与VM服务外包公司合作

　　关于与VM服务外包公司合作，这里有如下建议：

　　要完全了解VM服务外包公司获取的数据情况。在签订合同之前，确保与外包公司达成一致，你拥有实时访问数据的权利，因为这些数据是通过扫瞄你的站点而得到的。

　　与外包公司确认他们所使用的产品以及信息分享的方式。通过CSV文件或者XML可以分享这些数据吗?你的SIEM或者法规遵从工具能够自动读取日志文件和警告信息吗?理想的情况是你能够将你的SIEM或者法规遵从工具与外包公司的VM工具直接链接，以实现实时数据共享。另一个引申而来的问题是与外包公司就计划如何将这些数据应用在服务改进中进行谈判。比如说，目前已经完成的某些任务可以如何优化以提高效率。如果对误报有一个记录，判断的标准就更精确些，管理员就不需要不断地检查同样的警告了。

　　VM收集到的一些数据，比如完成补丁所需的时间，可以成为关键性能指标(KPI)，并可以体现出一些关键性能的改进情况。但最根本的问题是：如果外包公司不允许你访问这些本属于你自己的，而且很有价值的数据，那你就要仔细考虑是否要和他们合作了。

　　外包公司的漏洞管理工具获取的信息包含了你的设备状况和补丁状况等关键信息。即使你觉得你已经掌握了这些数据信息，依然要留心去比较那些信息，而不是直接就确定。所以当你和你的VM外包公司讨论系统正常运行时间和覆盖范围时，不要忘记要求数据访问和使用的权限。因为这是你的数据信息——所以要确保你能够使用这些信息，从而使你的网络安全评估更加完善。