供应商泄密事件的应急处置流程 - 保密网

说句实话，供应商泄密是我觉得整个保密管理里最难处理的情况之一。为什么？因为你对供应商的控制力是有限的，供应商出了事，你只能在他配合的时候才能做好调查和处置，他要是不配合你一点办法都没有。我经历过好几次供应商泄密的处置，每一次都在提醒自己——供应商管理这件事，平时不抓好，事后的代价会让你后悔。

供应商泄密的应急处置流程跟内部泄密有相通之处，但也有几个完全不同的关键节点。

第一步是快速确认泄密的源头是否确实是该供应商。接到供应商泄密的消息或者自己有迹象怀疑时，不要直接认定就是供应商的问题。也可能是你自己的系统被攻破了，正好跟供应商的数据存储在一起，看上去像是供应商泄密。所以第一件事是要求供应商提供初步证据，包括他们发现泄密的时间、方式、已经采取的措施。同时你自己也要在自己的系统侧做交叉验证，确认攻击路径确实指向了供应商，而不是你自己的漏洞。

第二步是根据合作协议启动应急条款。这步特别重要，因为如果合作协议里没有明确的应急响应条款，供应商可能没有义务配合你的调查。好的供应商合作协议里应该有一系列应急条款：供应商必须在发现泄密后多长时间内通知你，必须配合你的取证调查，必须提供完整的事件报告，必须承担因自身原因导致泄露的赔偿责任。如果没有这些条款，你现在要求供应商配合，只能靠情面靠施压，效果往往不理想。

第三步是评估泄密对自身业务的影响。供应商泄密的波及面需要你自己来评估，不能等供应商的报告。你要搞清楚几个问题：供应商那里存了你什么数据？这些数据的敏感程度如何？涉及哪些客户和业务？数据泄露后可能带来哪些直接和间接损失？这个评估结果直接决定了你要不要启动自己的应急预案，比如通知客户、报告监管等。供应商泄密不是你的事，但你客户的数据安全是你的事，这个责任边界要清楚。

第四步是联合调查。在供应商愿意配合的前提下，双方一起做调查会比较高效。但联合调查有一个难点——利益冲突。供应商可能为了减少自己的责任而隐瞒一些关键信息。所以联合调查需要有中立的调查标准，双方各自提供证据但由第三方或双方共同认可的专家组来分析。如果供应商拒绝配合或者有隐瞒的迹象，你需要考虑请律师介入，启动法律程序。

第五步是数据安全处置。如果供应商系统里的数据还在泄露风险中，你得要求供应商立即隔离涉事系统，重置所有有权限的账号密码，撤回已发出的数据的访问权限。如果供应商已经无法保证数据安全，你要考虑把数据迁移出来，转移到自己或者可信的灾备环境中。我曾经处理过一起供应商泄密事件，供应商的态度非常消极，调查了一个月也没给实质性的结果，不得不同时启动数据迁移计划，把数百万条客户数据从供应商那里搬走，那场面就跟打了一场仗一样。

第六步是供应链安全反思。供应商泄密事件结束后，你一定要做一个供应链安全的全面检查。查查还有哪些供应商存着你们的敏感数据，他们的安全防护水平如何，你们的合作协议有没有应急条款，平时的安全审计有没有流于形式。然后根据检查结果做整改，该补充条款的补充条款，该加强审计的加强审计，该更换供应商的更换供应商。

供应商的安全问题本质上是一个信任问题，但这个信任不能是无条件的。很多企业选择供应商的时候只看价格看服务，安全能力往往排在后面考虑。但一次供应商泄密带来的损失，可能远超你在供应商那里省下来的成本。所以选择供应商的时候一定要把安全能力作为评估要素之一，定期做安全审计，建立供应商安全分级管理机制。信任归信任，规矩归规矩，两条腿走路才能走稳。