一台丢失的笔记本电脑和三个月的漏洞
某通信设备公司接到一个大项目,工期紧任务重,就从合作的外包公司调了二十名工程师驻场开发。这二十个人在客户现场一呆就是三个月。临走的时候,公司项目负责人发现少了两台测试用的笔记本电脑,里面存了不少重要的技术文档。后来经过排查,是其中一位外包工程师把笔记本带回了自己公司,说"以为测试设备可以带走"。负责人问他有没有签过设备领用协议,他说"没注意,签了一堆文件不知道哪个是哪个"。
这不是个例。外包人员驻场办公,已经成为很多企业项目中的常态。研发外包、开发外包、运维外包、测试外包,大大小小的外包人员穿梭在企业办公区,他们的保密教育问题也越来越突出。
外包人员保密培训为什么更紧迫
外包人员进厂办公,保密培训的紧迫性在哪里?第一,外包人员不属于本企业员工,对企业缺乏归属感和责任感,对公司的商业秘密保护天然不如正式员工上心。第二,外包人员流动频繁,培训不易覆盖到位,而且今天做完培训明天可能就离职了,投入产出不高。第三,外包人员同时服务多家企业,资源和信息在不同的项目中交叉流动,容易出现上家公司信息带下家公司的情况。第四,很多人对外包工作中的保密义务认知模糊,他们甚至不觉得自己拿到的技术资料属于"商业秘密"。
既然外包人员如此特殊,他们的企业保密培训就不能照搬正式员工的培训方案,而需要针对性地设计。
外包人员保密培训七步法
第一步:进场前置是关键
外包人员的保密培训不应该在进到办公区之后才开始,而应该在合同签订阶段就纳入管理要求。企业在与外包公司签订服务合同时,就应该明确约定保密义务条款、培训要求和违规责任。可以要求外包公司在派遣人员前对人员进行基础保密培训,并出具培训证明。企业在正式接收外包人员进场前,也应当对这些外包人员进行一次简短但刚性的在线保密测试,测试通过后才能获得工牌和系统权限。不设这个门槛,后面再补课很难补得全。
第二步:进厂当天的现场培训不能少
外包人员第一次到企业办公地点报到的时候,要安排专门的保密告知环节。内容包括:可以带什么、不能带什么(比如手机、相机、U盘的使用限制),公司网络的接入规范,办公区域的分区和通行权限,涉密文件的获取和存储规则,以及发现异常或疑似泄密情况的上报方式。建议给每人发一份简明的保密告知卡,上面只有重点、没有冗长的法条,方便随时翻看。
第三步:系统权限的授予以培训履历为前提
可以设立这样一条硬规则:没有完成保密培训的外包人员,IT部门不开通账号、不发放设备、不配置访问权限。这条规则看起来简单,但在执行层面能起到很强的约束作用。有些外包项目由于急着干活,系统权限先开通了再说,培训后面补。结果一补就补了几个月都没补上,风险敞口一直开着。
第四步:培训内容要极简、场景化
外包人员没有耐心也没有义务去学习企业全套保密制度,他们只需要知道跟自己相关的部分。比如做开发的外包人员,需要了解代码仓库的使用规范、代码上传的限制、开发过程中的数据脱敏要求。做运维的外包人员,需要了解服务器权限的使用规范、日志的查看和记录规则、敏感配置文件的处理方式。培训时间控制在二十分钟以内,内容高度聚焦,确保每个人听得懂、记得住、做得到。
第五步:技术手段做管控,不能只靠培训
对外包人员的保密管理,最终还是要靠制度和技术和培训的组合拳。比如,企业可以对外包人员的操作做日志记录,限制其下载和导出的权限,设置敏感内容的水印追踪。遇到可疑操作,系统自动拦截并通知管理端。技术防控加上企业保密培训教育,双重保障比单靠任何一边都要可靠。
第六步:离场清理要及时到位
外包人员项目结束后往往要走得比较急,如果在他们归还设备和交接文件的过程中没有严格的保密审查,设备和资料容易流出。企业应当在外包人员离场前,由IT部门确认其使用的所有系统账号已关闭、本地数据已清除或归还,由业务部门核对其接触过的文件和资料是否全部归位,并且做一次简短的保密义务重申,签署离场保密确认书。
第七步:外包公司的连带责任不能放松
外包人员的泄密行为,外包公司本身也需要承担管理责任。企业在合同中应当明确,如果外包人员在项目中发生泄密事件,外包公司需要配合调查并承担相应责任。有些企业还会定期向外包公司通报外包人员保密培训的完成情况和检查结果,将保密表现纳入外包公司的考核评价体系。
外包人员不应该是企业保密管理的盲区。他们带着技术和能力帮助企业解决问题,同时也带着潜在的泄密风险进入企业的核心工作区域。培训做得好,他们是合作共赢的伙伴;培训做不好,他们就是风险敞口的入口。企业在追求项目交付效率的同时,不能忽略那个在进场前签字时被快速翻过的保密告知。
