一家大型医疗设备制造企业与多家零部件供应商保持着长期稳定的合作关系。为了便于技术交流和问题沟通,企业与供应商之间建立了一个包含双方技术人员的即时通讯群组。群组中经常讨论产品设计变更、技术参数调整和生产工艺优化等内容,这些信息综合起来可以完整地反映出企业产品更新的技术路线。
供应商方面有一位技术人员,在离职后仍然保留着这个即时通讯群组。他离职后在原行业的一家新公司工作,很快就在新工作中遇到了一个与他之前参与的项目类似的技术问题。为了帮助新同事解决问题,他在未经原供应商和终端客户企业同意的情况下,将与项目相关的群聊记录截图发送到了新公司的内部工作群中。截图内容包含了产品设计参数、材料规格和工艺要求等信息。
几周后,终端客户企业从其他渠道获知,第三方供应商的前员工可能泄露了与他们项目相关的技术信息。企业迅速启动调查,通过群聊记录的截图中的一些细节特征,确认了信息来源。虽然企业最终通过法律途径要求相关方删除信息,但技术的泄露已经发生,信息在传播过程中的不可控性使得删除的难度和成本都非常高。
这个案例揭示了供应链安全管理中数据共享受控的重要性。现代制造业中,企业与供应商之间有着紧密的合作关系,信息共享是合作的基础。但同时,每一条共享出去的信息都像是一颗种子,可能在不经意间被传播到不希望的渠道。供应链的信息安全不仅取决于企业自身的管理水平,也取决于合作伙伴的管理能力和员工的行为规范。
从这个教训出发,企业在与供应商进行信息共享时,应当遵循几个基本原则。共享的信息范围以合作需要为限,不提供超出项目需要范围的信息。共享的信息应当标注密级和使用范围,明确告知接收方信息的保密要求和传播限制。与供应商的合同中应当包含明确的信息保密条款,约定泄露信息的违约责任和争议处理方式。对于高度敏感的共享信息,应当建立信息接收者清单和授权机制,使每一次信息的共享都有据可查。北京企密安在帮助企业进行供应链安全评估时,特别关注信息共享环节的安全管控措施是否到位,因为供应链往往是最容易发现信息泄露风险的薄弱环节。
从更宏观的视角来看,这个案例还体现了在产业协作日趋深化的背景下,信息安全管理已经不再是个体企业的事情,而是整条供应链共同面对的课题。一个企业的信息安全水平,往往取决于其供应链中最薄弱的那个环节。因此建立跨企业的信息安全管理标准,推动上下游企业共同提升安全能力,已经成为现代企业风险管理中不可或缺的组成部分。企业应当将信息安全要求纳入供应商准入评估的标准体系中,定期对核心供应商进行信息安全管理审核,帮助和督促供应商提升信息安全水平。只有当整条供应链上的每一个环节都具备了足够的信息安全能力,企业才能真正的减少信息泄露的风险,在日益复杂的产业生态中保持自身的竞争优势。
