外包人员现场服务保密管控标准流程.md - 保密网

外包人员现场服务保密管控标准流程

一家科技公司的运维主管跟我回忆过一段经历。他们公司的服务器机房需要做一次年度维护，从设备供应商那里叫来了三位工程师。其中一位负责网络设备的年轻人在调试的过程中，顺手用手机拍了一张机柜上的标签照片——机柜上贴着一排服务器的名称和IP地址清单。这件事被在场陪同的员工发现了，当即制止并让对方删除了照片。虽然照片没有传出去，但这个事提醒了所有人——外包人员在场的时候，公司有多少机密在他们面前几乎是"裸露"的。

外包人员现场服务是中小企业很容易放松警惕的场景。IT维护、设备安装、装修施工、清洁保洁、安保巡逻，这些每天进进出出的外部人员，对公司的物理环境和信息环境接触非常密切，如果不加管控就相当于在保密体系上开了一个个缝隙。

入场前的准备工作不能省。不管是一次性的设备安装还是一家常驻的保洁公司，在工作开始之前都应该和对方签署保密协议。协议中要明确对方员工接触到的公司信息不得对外传播、现场工作期间禁止摄影录音、不得擅自拷贝公司文件。同时建议在合同中写明"若因外包人员行为造成公司数据泄露，由服务方承担相应的法律责任和损失赔偿"，这样可以倒逼服务方加强自身的管理。

证件管理和身份核实要做到位。所有外包人员入场前必须在公司前台登记，领取临时工作证或访客证，明确注明允许进入的区域范围。长期驻场的外包人员，由服务方提供人员名单和身份信息，公司审核后发放临时出入卡。临时出入卡不得转借。

陪同制度必须严格执行。任何外包人员在涉密区域内工作都必须有公司员工全程陪同。陪同不是看着对方就行了，而是要关注对方在做什么、有没有打开不该看的柜子、有没有用手机对着资料拍照。涉密区域内的设备维修，如果可能接触到存储的数据，需要提前和数据管理部门沟通，把关键数据临时转移或者备份并设置访问密码。明确告知维修人员在操作期间哪些区域不可以进入。

工具和设备限制入场。有些外包人员会自带笔记本电脑、U盘、智能手机进场。这些设备进入涉密区域之前应该加以限制。建议在外包人员进入前告知"工作区域内禁止使用个人手机"，必要的时候提供指定的通信工具。外包人员需要接入公司网络进行调试或者维修的，走专用的临时网络入口，用完后立即关闭。不要给外包人员开放核心网络的完全访问权限。

工作结束后的检查不可少。外包工作完成之后，由陪同人员检查工作现场——有没有遗留工具、有没有遗留存储介质、工作区域有没有异常情况。如果属于IT维护类的工作，还要检查临时账号是否已经回收、临时网络权限是否已经关闭。所有工作完成后保留服务单据和陪同人员的签字记录。

常见问题：
Q：外包保洁人员也需要签保密协议吗？
A：是的。保洁人员在非工作时间进入办公区域的机会非常多，如果缺乏条款约束，他们顺手带走文件或者垃圾箱里的废纸是很常见的风险场景。如果对方不愿意签署正式保密协议，至少在工作合同中增加保密条款。

Q：装修施工期间的保密怎么管？
A：装修期间涉密区域最好暂停使用或者搬到临时办公区。施工人员的工作范围和材料堆放区域用围挡隔离。如果施工需要暂时拆除隔断或者门禁，由公司人员对涉密物品提前做清点和搬离。

Q：外包人员常驻公司一年以上，怎么管理？
A：长期驻场的外包人员可以参照临时员工来管理。入职时签署保密承诺书，参加公司的基础保密培训，配发固定范围的出入证件。如果外包人员更换，新来的人要重新走一遍所有流程。