问题：
　　我们公司成立于２００７年，规模比较小，专门从事ＩＴ工作的人员很少。因此，我们公司的老总希望能将信息安全外包出去。请问，我们该如何选择安全管理服务供应商？
　　——上海市闵行区 朱应雨
　　Ｑ博士：
　　对于中小企业来说，将其信息安全业务外包给一个安全管理服务供应商（MSSP）是种不错的选择，能减轻IT部门的部分压力。但要确定这是否适合你的公司，还要了解外包安全的利弊，并衡量其成本。
　　中小企业选购MSSP的步骤是先确定自己需要供应商具备哪些功能，然后选择一个供应商，并计算费用。
　　MSSP可以提供各种服务，如虚拟专用网络（VPN）配置和管理、防火墙管理和审查（可能也包括虚拟专用网络管理）、监测和日志审计以及漏洞扫描。中小企业可以从中选择自己需要的，不必购买整套服务。
　　确定你的需求
　　首先，中小企业要仔细考虑自己真正需要的是什么，可以做一个全面的审查，看看IT部门目前是如何处理信息安全的，以及它需要卸除哪些冗余的部分。比如，现有的IT工作人员能够管理公司的防火墙吗?这通常是网络管理员的基本工作，目前他们是否已经能够有效处理了呢？如果企业比较小，用户群和网络都有限，那么，为了便于管理，就没有必要外包防火墙工作。但另一方面，如果企业的防火墙会生成大量日志——足够填满一个图书馆的话，这就意味着企业的网络存在很大问题，可能需要进行外部审查。
　　在通常情況下，企业会想在内部进行防火墙管理，而不会想把IDS、日志审计和事故处理等功能发送出去交付给一个外包的MSSP。需要再强调一次的是，中小企业最好根据自己的需求仔细挑选和选购外包的服务。MSSP既可以只提供一种服务，也可以提供全部服务。
　　在监测、扫描、IDS和事故处理方面，MSSP的一个优点是每个既定的参与者都有自己的安全操作中心（SOC），会有许多经验丰富的信息安全人才为其提供全天候服务。
　　一些较大的MSSP甚至在全球各地都有SOC，可以立即处理各种情况（例如病毒攻击等）。它们都有自己的情报网络来监控疑似Phishing（网络钓鱼，指盗取他人个人资料、银行及财务账户资料的网络诱骗行为）和其他不法行为的报告。而大多数中小企业没有类似的对漏洞实时检测的工作人员，充其量就是它们的IT员工在网上黑客公布榜上瞥见一些黑客名单，然而并没有时间或者资源来应对攻击。
　　货比三家
　　当企业已经决定要外包哪些功能后，就可以开始选择一个供应商。现在市场上已经有能提供多种服务的供应商，尤其是那些能够监测大型因特网通信量的服务商。它们提供的服务都是合同制的，其价格都不一样，并且不公开。对于中小企业来说，外包是否值得取决于企业对系统和特殊需求的评估。