出于多方面的考虑,不少企业会将部分业务外包给其他公司或组织,很多外包工作也都会涉及数据处理问题,然而为其提供服务的外包组织的安全防护水平和管理细粒度不一定能与企业内部的水平匹配,也因此存在各种威胁企业信息安全的风险。
现在已经有不少数据泄露事件发生在外包、转包流程中,外包业务的数据处理过程中存在的各种泄密渠道,如外设拷贝、IM、邮件和网络上传等,很容易成为企业机密泄露的隐患,此外终端管理的缺失也会给企业带来更多系统风险。
外包人员信息安全管理的挑战
1、敏感数据泄露风险
开展外包业务时,需要给对方发送部分业务数据、项目资料等,这些重要机密存放在外包人员的电脑上,该如何保护它们的存储安全?项目合作过程中,我们也要堤防终端的重要文件遭遇恶意损坏而无法恢复的风险,此外我们也要给对方一定的服务器访问权限,该如何保证访问下载安全?
2、外包人员终端管理缺失
通常情况下,外包人员的终端需要接入公司内网开展工作,然而我们很难掌握外包人员的终端环境信息,外包人员随意使用USB或网络端口,随意安装不明来源应用软件,以及操作系统存在安全漏洞等,因为没有部署与公司一致的终端安全管理,这些行为很容易成为企业风险管理的一个短板。
3、非法的网络访问行