供应商员工信息安全行为规范指南的设计思路 - 保密网

供应商的员工直接接触企业的内部信息，他们的日常行为习惯决定了信息安全的最后一道防线是否牢固。很多供应商泄密事件的原因其实不是恶意攻击，而是供应商员工的无心之举。把员工行为规范设计好了，很多风险可以避免在日常操作层面。

供应商员工信息安全行为规范指南，不是一封冷冰冰的规定合集。如果只是罗列各种禁止事项，员工的接受度和记忆度都不高。更好的做法是把行为规范做成一份实用性强、内容清晰、有场景感的操作手册。

行为规范指南的内容可以从以下几个重点场景来设计。

信息传递场景下需要明确的行为边界。供应商员工在与企业对接过程中，应使用企业指定的沟通工具和文件传输通道。禁止使用个人微信、个人邮箱或未加密的网盘来传递工作文件和业务数据。供应商员工在需要向企业内部人员发送邮件时，抄送和密送的收件人范围要谨慎，避免将信息发送给不相关的人。

有些企业要求供应商员工在处理企业邮件时启用邮件加密，或者在发送含有技术文件附件的邮件时添加打开密码，密码通过电话或其他独立渠道告知接收方。这些看似多余的步骤，在实际工作中挡住了很多不经意间的信息泄露。

移动办公场景下需要明确的行为边界。供应商员工外出拜访客户或远程办公时，不能将存有企业数据的设备随意放置。使用公共无线网络时，开启VPN连接到企业内部网络。供应商员工在乘坐公共交通时查看工作文件，注意屏幕遮挡，防止被旁边的人看到。

曾经有过供应商销售代表在高铁上打开电脑做方案报价的案例，旁边的乘客正好是企业的竞争对手的人。这种情况不需要任何技术手段，信息就在大庭广众之下泄露了。行为指南里对这种容易被忽视的场景加以提醒，可以帮助供应商员工建立基本的隐私意识。

社交网络场景下需要明确的行为边界。供应商员工不得在任何社交平台上发布涉及企业产品的信息、工作现场的照片、与客户的合作细节。供应商员工的朋友圈、短视频账号等个人社交账号不能包含有关企业项目的任何线索。

这条规范在执行时可能会遇到"我不是故意的"这类解释。所以在行为指南中写出具体的禁止场景，不给模糊空间。比如"不拍工作台上的产品照片""不发带有客户企业标识的工牌照片""不在评论区谈论项目细节"。

移动设备和存储介质的使用场景下需要明确的行为边界。供应商员工不能将个人手机、平板、U盘接入处理企业数据的工作电脑。供应商员工在处理企业信息的设备上，禁用未经授权的软件安装和外部设备连接。

对于需要经常移动办公的供应商员工，可以考虑由企业统一配发加密的移动存储设备或者加密笔记本电脑，做好设备的管理和软件更新。

信息处置场景下需要明确的行为边界。供应商员工在需要销毁含有企业信息的纸质文件和电子介质时，使用企业的碎纸机和数据销毁工具，不随意丢弃到普通垃圾桶。供应商员工在更换电脑或者手机等设备时，确认设备中不存有企业信息后方可处置。

文件打印和复印方面也要有明确规范。供应商员工不得将企业文件大量打印后带出办公区域。打印后及时取走文件，不放在打印机上。复印涉密文件时，在有人看管的复印机上进行，复印件做好使用登记。

行为规范指南的编写语言要简明易懂，避免使用过于专业的法律术语。可以在每一条规范后面加一个简单的场景举例，方便员工理解这个规定在实际工作中是什么意思。指南印刷成便于携带的小册子或者存为手机可查阅的电子版，供应商员工人手一份。

指南发布之后，不是发了就完事了。每年至少组织一次行为规范的培训宣贯，新入职供应商员工在开始工作前完成指南的学习和签署。定期的抽查和了解执行情况，对执行好的供应商团队给予肯定，对发现的问题及时指出和纠正。