做供应链保密管理的时候,供应商分级是一个容易被忽视但相当有效的基础工作。把所有供应商按一个标准去管,既不合理也不经济。把供应商分出层次来,不同的层次对应不同的管理深度,这样才能把有限的资源用在刀刃上。
我在和客户一起做供应商分级保密管理时,通常采用三维度评价法,从数据敏感度、合作深度、供应商安全能力三个维度来确定供应商的保密等级。
数据敏感度评估的是供应商能接触到企业哪些级别的信息。如果供应商只能接触到公开信息和一般商务文件,那保密管理的重点就放在基础性要求上。如果供应商能接触到核心技术图纸和工艺参数,那管理的强度就得提高好几个等级。评估的时候可以做一个供应商接触信息矩阵,把每一家供应商能接触到的主要信息类型列出来,对照信息分级标准来定级。
合作深度看的是供应商在供应链中的角色。只做单一零部件供应的,和参与产品联合研发的,保密管理要求自然不同。参与度越深,供应商对企业的技术秘密了解得越多,管理力度也应当越大。以硬件制造为例,批量生产的加工厂接触到的信息相对有限,但参与早期试产和散件组装的代工厂,几乎能看到产品的全部设计细节。
供应商安全能力评估的是供应商自身的信息安全管理水平。有没有通过信息安全认证,有没有专职的信息安全岗位,有没有做过数据安全培训,这些都可以纳入评价体系。有些供应商规模很大,但信息安全意识薄弱。有些供应商不大,但体系做得规范。不能只看规模来定级。
基于三个维度的综合评分,可以把供应商分成A、B、C三个保密等级。
A级供应商是核心供应商,对企业的技术秘密掌握程度深、合作紧密、数据敏感度高。这类供应商的保密管理要做全方位覆盖。签署专门的保密协议,而不是使用框架合同中的保密条款。执行定期的现场审计,每季度或半年一次。要求供应商指定专人负责信息安全管理,企业直接与对方的保密负责人对接。对供应商的人员变动做台账跟踪,核心岗位人员更换需提前通知。技术文件的传递使用受控通道,不支持通过普通邮件或者社交软件发送。
B级供应商是一般业务供应商,合作过程中会接触到部分敏感信息但不涉及核心技术。这类供应商的管理以协议约束加定期抽检为主。使用标准保密协议模板,不需要单独定制。每年做一次书面或现场的安全检查。供应商的关键人员变动要求在合作期限内报备。信息传递使用基本加密措施即可。
C级供应商是低风险供应商,只提供常规物资或服务,基本不接触敏感信息。这类供应商的管理做框架性约束就够了。在采购合同的标准条款中纳入保密义务,不做单独协议。不安排定期审计,但在发现问题时保留临时检查的权利。信息传递以日常业务渠道为主,不做额外管控。
分级不是一成不变的。供应商的业务范围变化、合作深度调整、或者供应商自身的企业重组和并购,都可能影响保密等级。我建议企业每年至少做一次供应商保密等级复审,并在供应商发生重大变更时及时调整等级。
还有一个配套动作是建立供应商保密档案。每家供应商的建档内容包括:基本信息、保密等级评定结果、签署的保密协议版本、历次审计报告、信息交接记录、保密培训记录。档案可以电子化存储在统一管理平台上,方便查阅和更新。
供应商分级管理的效果往往不是在日常管理中体现出来的。真正体现价值的时候是资源紧张时,你能快速判断哪些供应商需要重点盯防,哪些可以适当放松。好的分级管理不会让管理变得复杂,反而让复杂的事情变得更有条理。
