企业日常经营中与第三方技术服务商的合作越来越频繁,云服务、IT运维、软件开发、数据分析、客服外包等,几乎每个环节都有服务商的参与。服务商在为企业的运营提供支撑的同时,也获得了接触企业内部数据的通道。这种情况下,服务商自身的安全水平直接影响了企业的商业秘密保护效果。
很多企业在选择技术服务商时,最关注的是价格、服务质量和技术能力,对安全能力的关注往往排在比较靠后的位置。但实际上一旦选错了服务商,后续出现数据安全事件,企业的损失可能远大于当初省下来的那点合作成本。所以把安全能力纳入服务商评估的核心指标很有必要。
在服务商准入阶段,企业应当对候选服务商进行安全能力尽职调查。调查的内容至少包括几个方面。服务商是否持有相关的信息安全认证,比如ISO二七零零一信息安全管理体系认证、等保测评等级证书等。服务商内部的信息安全管理制度是否健全,有没有专门的安全团队或者安全负责人。服务商是否拥有成熟的数据隔离和访问控制机制,确保不同客户的数据在存储和处理过程中实现物理或逻辑隔离。服务商的员工在入职时是否签署了保密协议,是否接受了安全培训。服务商是否建立完善的应急响应机制,一旦发生数据安全事件能够快速处置和通报。服务商过去三年内是否有过数据泄露或者违规处理的记录,如果有,原因是什么,采取了什么改进措施。
尽职调查的形式可以根据风险等级灵活选择。对于涉及核心数据的高风险服务商,需要安排专人到现场进行安全审计,包括对对方的数据中心、安全管理制度、系统日志、员工安全培训记录等进行实地核查。对于一般风险的服务商,可以采取问卷调查加线上核验的方式,要求对方填写安全能力评估表并提供相应的证明材料。对于低风险的服务商,签署包含安全条款的合同即可,不需要做深入的尽调。
尽职调查通过之后,正式签署的合同中必须包含数据安全和保密条款。这些条款不能是通用模板里的两行字,而是要针对具体的合作场景进行精细化设计。明确服务商接触企业数据的范围和目的,限定服务商只能在合同约定的范围内使用数据,不得用于其他任何目的。明确服务商对数据的保护义务,包括技术措施和管理措施的具体要求,比如数据传输必须加密、数据存储必须隔离、访问数据必须经过授权和记录等。明确数据泄露的通知义务,一旦服务商发现或者有理由怀疑发生了涉及企业数据的安全事件,必须在规定时间内通知企业,并配合企业进行事件调查和损失控制。明确服务商转委托第三方的限制,服务商在未取得企业书面同意的情况下不得将接触企业数据的业务转委托给其他第三方。明确合同终止或者服务到期后的数据处置方式,服务商应当彻底删除或归还所有涉密数据,并提供数据清除的书面证明。
合同签署之后,执行过程中的持续监督同样重要。企业应当定期对服务商进行安全合规检查,不能签完合同就放任不管。检查的频率取决于服务商的风险等级,高风险服务商至少每半年检查一次,中低风险服务商每年至少检查一次。检查的方式可以是要求服务商提交安全自评报告,也可以是安排专人或者第三方审计机构进行现场检查。检查的内容应该覆盖服务商的安全制度执行情况、员工的保密意识状况、系统安全防护措施的有效性、日志记录的完整性和审计情况等。
还有一个实务中经常遇到的问题,就是服务商的人员变动。服务商为企业的项目配备了专门的技术人员,如果这些人员离职或者岗位调整,服务商是否及时进行了权限回收和数据清理,企业往往无法掌握。建议企业在与服务商的合同中约定人员管理的具体要求,服务商的涉企项目人员变动需要在规定时间内通知企业,并做好交接和权限清理。对于涉及核心数据的高级权限人员,企业在条件允许的情况下可以要求服务商报备人员名单或者经过企业的审核同意。
服务商的技术系统接入企业内部网络时,必须设定严格的访问权限,遵循最小必需原则。很多服务商在提供远程运维服务时需要远程接入企业的系统,这种远程接入的通道必须通过VPN加密隧道,并且采用双因素认证。服务商的远程操作应当全程录像或者记录操作日志,企业定期审查这些日志,确保服务人员的操作都在授权范围内。一旦发现异常操作,企业有权立即终止服务商的远程访问权限并要求服务商做出解释。
退一万步说,即使做了充分的尽职调查和合同约束,服务商环节的泄密风险依然无法完全消除。所以企业在与服务商合作时,还有一个底线策略,就是在不影响服务质量的前提下,对提供给服务商的数据做脱敏或者去标识化处理。能用脱敏数据就用脱敏数据,只有在使用真实数据才能完成服务的情况下,才向服务商提供原始数据。这个策略的核心思路是减少服务商对企业核心数据的接触面,从源头上控制风险。
