目前许多公司出于降本增效的考虑,大量使用服务外包的形式,通常根据外包人员是否入驻服务企业营业场所又可将外包分为驻场和非驻场两类。按照服务类型分又可以划分为安全服务类、开发测试类、咨询规划类、业务支持类等。
一:驻场外包人员风险:
-
数据泄露风险:外包人员可能由于培训不足缺乏足够的网络安全意识导致企业敏感信息(如商业秘密、源代码等)泄露。
-
技术安全风险:外包团队可能会引入安全漏洞,如未经过充分安全测试的代码直接上线,可能导致运维生产事故。
-
人员安全风险:外包人员缺乏背景审查,可能导致不安全的人员进入企业,增加了安全风险。
外部案例:
外包人员倒卖个人信息案例:中国建设银行一分行外包人员利用职务之便,盗取客户个人信息倒卖给贷款公司,获利3.6万元后被判刑。
二:外包人员信息安全管理措施:
2.1入驻前:
-
在外包项目立项阶段的可行性研究期间,增加专门的外包商风险评估。
-
实施严格的外包人员背景审查(可以参考正式员工)。
-
与外包供应商签订明确的外包服务协议和保密协议。
2.2入驻时:
-
与外包人员签署正式的保密协议明确双方工作内容、保密范围、保密责任、违约责任、有效期限。