有一家做智能硬件的客户,产品还没量产,外观图和内部结构图就在华强北的柜台上出现了。老板气得拍了桌子,内部排查了一个月没查出结果。后来我们介入做供应链审计,发现问题是出在一个塑胶外壳的供应商——他们把客户的设计图发给了自己的另一家客户,对方抢在前面开了模。
这个故事不是个例。企业花了几十万甚至上百万做信息安全建设,防火墙、加密、权限控制全上了,结果信息的出口不在内部,在供应链。供应商的人员进你厂区、看你的产线、拿你的图纸、碰你的数据,而你对他们几乎没有任何保密管控。
供应链保密管理涉及的面很广,我把核心操作归纳成四个阶段。
第一阶段,供应商准入的保密审查。选供应商的时候不只看价格和交期,还要看他的保密能力。企业在引入新供应商之前,应该要求对方提交保密资质或者保密管理体系说明,是不是有过泄密记录、有没有专职的信息安全人员、厂区物理防护做到了什么程度。这些东西不需要多严格的标准,但至少是一个筛选门槛。连保密承诺都不愿意签的供应商,建议直接排除。
第二阶段,合同里的保密条款设计。很多企业的采购合同保密条款写得很随意,就一句话"双方应保守对方的商业秘密"。这种条款在事后维权的时候几乎没用。专业的保密条款应该包含几个关键要素:保密信息的范围和载体形式、使用目的的唯一性限制——只能用于这个合同目的,不得用于其他用途、保密期限——即使合作结束后条款仍持续有效、违约赔偿的可计算方式——比如约定一个固定的违约金金额或赔偿计算方式。更进一步的,可以要求供应商的主要分包商也受同样的保密条款约束。
第三阶段,现场作业的权限管控。这是最难也最容易被忽视的环节。供应商和外包人员要在企业现场工作,制度的复杂度比内部员工高很多。我的建议是做分层管控:先区分供应商人员的工作区域——是在你的涉密区域里,还是在普通办公区,还是不进入物理现场只通过网络协作。涉密区域里实施带人制,供应商人员必须由企业内部人员陪同,不得单独行动。网络权限做白名单,供应商只能访问工作必须的系统和数据,访问留日志,定期审计。
第四阶段,离场审计。很多企业对供应商进场的时候很严,离场的时候就放掉了。供应商的项目做完之后,人员的访问权限有没有及时撤销?带走的涉密资料有没有归还或者销毁?设备、工装、模具上有没有残留客户的技术信息?这些都要检查。我们的标准流程是做一个离场检查清单,收回所有物料、数据和设备,要求供应商签署一份离场确认书,确认已经没有保留客户信息的副本。
还有一个相对较新的话题——VDR治理。VDR是虚拟数据室,很多跨境交易、并购、融资的时候,企业把大量商业资料放在VDR里供第三方查阅。VDR本身有权限控制,但很多企业开通权限的时候过于慷慨,把所有资料一股脑放进去,也没有设置水印和禁止下载。更危险的是VDR关闭后,对方有没有截图、有没有留底,你根本不知道。VDR的使用必须有明确的上传范围限制,核心秘密要么脱敏要么不传,查阅人员逐个审批,访问日志保留备查。
回到开头那个案例。后来我们帮那家客户重建了供应商准入和管控流程,关键环节加了保密条款约束和现场陪同制度。他们老板把这件事写进了年度培训材料,每次讲都给新来的采购看——一次供应链翻车,够你后悔好几年。
北京企密安信息安全技术有限公司
/ 邮箱:jess@baomiwang.com
