现在很多企业都有大量的外包人员,参与研发、测试、运维、客服等各个环节。外包人员在企业里工作,接触的可能是跟正式员工一样的信息。但问题是,许多企业对外包人员的保密管理非常随意,培训也是走个过场,这中间的隐患太大了。
我遇到过一件真事儿。有个做金融科技的公司,外包了一个开发团队来做系统的部分模块。外包团队的工程师进入项目组之后,公司只是让他们签了一份保密协议就开工了,连基本的保密培训都没有。结果其中一个外包工程师在论坛上提问的时候,贴了一段代码,这段代码里包含了公司的数据库连接方式和部分表结构。幸亏被内部的人及时发现了,不然后果不堪设想。
事后调查的时候,那个工程师说他根本不知道这些信息是保密的,公司也没有告诉过他哪些能公开哪些不能。你看,问题的根源就在于培训没有跟上。
外包人员的保密培训,跟正式员工的培训有一些共性的内容,但也有一些独有的特点需要注意。
第一,外包人员的归属感问题。这是最大的不同。正式员工把企业当作自己的家,或多或少有保护意识。但外包人员的心态不一样,他们觉得我是给外包公司干活的,只是暂时在你这儿待一段时间,你的东西跟我没啥关系。这种心态下,他们往往不会把保密当回事。所以培训的时候要特别强调,无论你跟谁签的合同,只要你接触到了企业的信息,就有保密义务和责任。
第二,外包人员的流动性问题。外包人员流动性大,频繁地进进出出,带来的保密风险也大。一个人刚培训好,可能下个月就换人了,换来的新人又得从头培训。这对企业来说是个不小的挑战。建议企业建立一套标准化的外包人员保密培训流程,每进来一个人都走一遍,不培训不上岗,不考核不授权。
第三,外包人员的信息权限边界。培训的时候要讲清楚,外包人员能接触哪些信息,不能接触哪些信息。不能模糊处理,要具体到文件类型、系统范围。同时要让他们知道,干什么活用什么权限,不能越权访问、查看与自己工作无关的内部信息。
第四,外包人员的设备和网络管理。很多外包人员使用自己的电脑和设备工作,这些设备上可能没有企业的安全管控措施。培训的时候要说明,哪些设备可以用、哪些不能用,接公司网络有什么限制,数据怎么传输才安全。如果可能的话,最好给外包人员配置专用的工作设备,或者至少要求在公司的安全环境下工作。
第五,离场安全。外包人员的合同期满或者项目结束后离开公司,这个环节的保密管理往往很薄弱。培训中要明确告知,离场的时候需要做什么。包括归还所有设备和资料、清除个人设备上留存的公司数据、签署离场保密承诺书。这些步骤必须在培训中讲清楚,让外包人员知道这不是可做可不做的事。
有一个很好的做法是,把外包人员的保密培训和外包服务商的考核挂钩。就是企业对外包服务商提出明确的保密培训要求,外包服务商必须确保其派驻的人员都接受过培训,并通过考核。如果外包人员出现保密违规,企业的处罚不仅是针对个人,还会追溯到外包服务商。这样既加强了外包服务商的责任心,也提高了外包人员的重视程度。
另外,即使外包人员只在公司待很短的时间,比如一个月的短期项目,也不能省略保密培训。短期的培训内容可以精简,但不能没有。至少要把基本的保密制度、红线行为和后果讲清楚,并留下培训和承诺的记录。
外包人员是企业信息安全的薄弱环节,但也是最容易被忽视的环节。把外包人员的保密培训做好了,好比是把马奇诺防线上最容易突破的那个缺口给补上了。简单应付外包人员的保密培训,就是给自己的企业埋了一颗不知道什么时候会爆的雷。
如需了解更多培训信息,可咨询联系官方培训专线 010-87562232,或发送邮件至 px@baomiwang.com
