目前许多公司出于降本增效的考虑,大量使用服务外包的形式,通常根据外包人员是否入驻服务企业营业场所又可将外包分为驻场和非驻场两类。按照服务类型分又可以划分为安全服务类、开发测试类、咨询规划类、业务支持类等。
一:驻场外包人员风险:
-
数据泄露风险:外包人员可能由于培训不足缺乏足够的网络安全意识导致企业敏感信息(如商业秘密、源代码等)泄露。
-
技术安全风险:外包团队可能会引入安全漏洞,如未经过充分安全测试的代码直接上线,可能导致运维生产事故。
-
人员安全风险:外包人员缺乏背景审查,可能导致不安全的人员进入企业,增加了安全风险。
外部案例:
外包人员倒卖个人信息案例:中国建设银行一分行外包人员利用职务之便,盗取客户个人信息倒卖给贷款公司,获利3.6万元后被判刑。
二:外包人员信息安全管理措施:
2.1入驻前:
-
在外包项目立项阶段的可行性研究期间,增加专门的外包商风险评估。
-
实施严格的外包人员背景审查(可以参考正式员工)。
-
与外包供应商签订明确的外包服务协议和保密协议。
2.2入驻时:
-
与外包人员签署正式的保密协议明确双方工作内容、保密范围、保密责任、违约责任、有效期限。
-
信息安全入职培训和考试:参考正式员工的信息安全入职培训,在此基础上可以增加定制内容如外包人员安全规范介绍、外包人员安全管理流程、前期违规案例和处罚等并需要考试通过。
技术措施:
-
权限管控、源代码检查、敏感信息泄露(DLP)、终端口令安全、终端病毒防护等。
2.3撤出现场:
-
安全人员需要考虑是如何才能及时通知到信安部门以便关闭账号权限等。
-
做好本次安全团队的安全评价如外包期间发生安全漏洞、事件数,安全培训通过率,并及时归档。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
