供应链信息泄露不一定是敌对行为。很多时候,信息的流失发生在不经意之间。一家供应商同时给两家有竞争关系的企业供货,这在制造业里非常普遍。供应商内部的人员在日常业务中,不自觉地就把A公司的一些信息带到了B公司的项目里。
这个问题在保密管理里叫"信息交叉感染",简单说就是供应商在同时服务多家客户时,客户之间的信息发生了非预期的交流和混同。
去年我接触过一个案例,两家做类似产品的企业找了同一家代工厂生产核心配件。代工厂的生产线上,A公司产品的技术员和B公司产品的技术员在同一个车间里工作,有时候聊天时会把一些工艺参数随口说出来。A公司的技术员说"我们那个抛光参数调到1200转效果很好",这话被旁边的B公司技术员听到了,回去试着调了一下,果然效果有提升。虽然这个参数算不上核心机密,但如果换成更关键的技术信息,后果就不一样了。
解决这个问题需要从多个层面来建立信息隔离机制。
合同隔离是最基础的层面。在供应商的合作协议中,明确写入同时服务竞争客户的约束条款。供应商不得将一方的技术信息用于另一方的产品开发和生产。如果有意或无意导致了信息交叉传播,供应商需要承担相应的违约责任。合同条款虽然不能完全杜绝问题,但至少给追责提供了依据。
物理隔离是相对可靠的措施。不同的客户项目在供应商的厂区内进行分区管理。生产设备的调试区域、物料的存放区域、技术文件的存储区域,都按客户做物理上的分隔。涉密部门的门禁权限按项目分配,A项目的人员刷不开B项目的门。物理隔离虽然会增加供应商的管理成本,但对高保密要求的客户来说这是必要的代价。
人员隔离也是关键的措施之一。供应商为不同客户配备不同的项目团队,团队之间的人员不交叉。如果供应商的同一名工程师既做A公司的项目又在B公司兼职,这就要在合同中明令禁止。项目团队人员的名单报企业备案,人员变动提前沟通。
系统隔离在数字化的环境下越来越重要。供应商如果使用同一套ERP或者PLM系统管理多家客户的数据,必须在系统层面做严格的数据隔离。比较好的做法是按客户做租户分离,每家客户的数据在逻辑上完全独立。供应商的IT管理员要能够证明数据的隔离是有效的。
供应商内部的信息隔离措施还需要有日常监督。企业可以定期要求供应商提交交叉业务的制度落实情况报告。如果供应商同时服务两家具有竞争关系的客户,企业的审计人员可以在现场审计时专门检查这方面的隔离执行情况。
除了对供应商做隔离,企业自己也有一些可以做的事情。比如在交给供应商的技术资料上,做适当的冗余信息屏蔽。不需要供应商知道的技术细节,在共享的时候先做遮蔽处理。把供应商的项目参与范围尽量限定在他们必须知道的范围内,不需要他们知道的坚决不给。
还有一些企业会使用技术手段来建立信息隔离的追踪能力。在提供给供应商的技术资料中加入数字水印或微小标记,如果自己的技术信息在另一个竞争客户的产品上出现,可以通过这些标记来追溯泄露源头。
信息隔离机制的执行会有一定阻力,尤其在多家客户竞争关系敏感时容易引发纠纷。但从长远来看,供应商愿意配合信息隔离机制,反而说明了这个供应商的管理水平到位,能够为自己的客户提供可靠的服务保障。企业把这个要求定得清晰、执行得坚定,对供应链的信息安全环境提升很有帮助。
