同一家供应商同时服务多家有竞争关系的企业,这在供应链中是非常普遍的现象。代工厂同时为几家品牌商生产同类产品,物流公司同时运输多家电商的货物,云服务商同时托管多家企业的数据。这种多方服务的模式不可避免会带来一个管理难题,就是竞品间的信息如何在供应商内部实现有效隔离。
我去年调研过一家大型代工厂的信息隔离做法,收获了一些实践经验。这家代工厂同时为三家手机品牌提供服务,工厂内部分为三个完全独立的厂区,各自有独立的门禁系统、网络系统和项目管理团队。不同品牌的技术资料不仅在物理上分离,在人员配置和信息流转上也做了严格的切割。这种做法看起来管理成本较高,但是对于保证客户信息安全来说确实有其效果。
竞品信息隔离在实践中可以采取的措施,主要可以分为几个层面。
物理隔离是较为彻底的方式。在同一家供应商的厂区或办公区内,为不同的客户设置独立的物理空间。不同客户的项目设备、生产区域、存储区域、办公区域,都做物理上的硬隔离。A客户的人员不进入B客户的工作区域。门禁系统按照项目权限进行分配,一人只能刷开自己项目所在的门。
物理隔离的成本相对较高,对于空间有限的供应商来说执行起来有一定的难度。不过对于处理高保密等级项目的供应商来说,物理隔离是重要的安全保障措施。可以在合同中约定,供应商同时为竞争关系的客户服务时,需要做到工作的物理隔离。
逻辑隔离是物理隔离的补充和替代方案。当物理隔离受到条件限制时,通过技术手段在同一个物理空间中实现不同客户数据的独立访问。比如在使用统一ERP系统的情况下,不同客户的数据通过租户隔离的方式实现逻辑独立。A客户的数据系统账户不能访问B客户的数据模块。逻辑隔离的有效性需要经过定期的验证和审计。
人员隔离是供应商内部管理中容易被忽视但效果明显的一环。供应商应为不同客户指派不同的项目团队,团队人员之间不交叉流动。同一名工程师不能同时服务两个竞争客户的项目。供应商的项目负责人在任用时会确认这是一个需要信息隔离的项目,在人员安排上有所注意。
人员隔离在中小型供应商那里执行起来会遇到一些实际困难。团队规模小,核心人才有限,无法做到完全隔离。在这种情况下,至少要做到关键岗位的人员隔离,以及对共用的辅助人员做好信息限制。
流程隔离是制度层面的管理措施。供应商内部为竞争客户间的信息隔离建立专门的流程和管理规范。来自不同客户的技术文件使用不同的编码和标识,内部审批流程区分不同客户。供应商的员工在处理不同客户的信息时,有清晰的流程指引,知道什么时候需要格外注意信息的交叉。
流程隔离的落地需要供应商的管理层真正重视起来,在日常工作中严格执行。单纯有一份写在纸上的流程制度是远远不够的。
监管机制的建立也很有必要。供应商应当指定专门的信息隔离监管人员,对竞争客户间信息隔离的执行情况做日常抽查。监管人员发现违规情况时,有独立报告和立即纠正的权限。在供应商的年度信息安全报告中,竞争客户信息隔离的执行情况作为一个专项内容呈现给客户。
企业作为客户,在与供应商合作时也可以主动了解供应商在其他客户中的服务情况。如果供应商说同时为几家企业提供服务,可以要求供应商解释信息隔离的具体措施。供应商对信息隔离措施解答得越清楚、越细致,说明供应商在这方面做得越规范。
