邮件和即时通讯是供应链日常沟通中使用的频率较高的工具。但这些工具在带来沟通便利的同时,也给保密管理带来了一定挑战。供应商和企业之间的沟通过程中,不经意间就可能通过邮件或者即时通讯工具把不该发送的信息发给了不该收的人。
一个典型的案例是,某制造企业的采购人员在跟供应商做订单跟进时,不小心把写有内部成本价的邮件发错了供应商联系人。虽然发现后紧急撤回了,但对方已经下载了附件。虽然这家企业最终通过双方沟通解决了问题,但这件事让采购部门的每个人都心惊了一下。
邮件和即时通讯工具的安全管控,是供应链保密管理不能忽视的环节。
对邮件使用的管理,可以从以下几个方面入手。
企业邮箱与供应商邮箱之间传输文件的管理规范需要明确。当需要把合同、技术文件、报价资料等敏感信息通过邮件发送给供应商时,应当使用加密邮件功能或者给附件加上保护密码。密码通过电话、短信或者其他独立的通讯通道告知供应商的接收人,不使用邮件本身来传递密码。
文件中可以添加个人水印,显示供应商名称、员工姓名和传输时间。一旦文件在供应商内部未经授权扩散,可以追溯到责任人。
对邮件发送前做一个收件人确认的小操作可以避免很多失误。在点击发送按钮之前,花几秒钟核对收件人地址是否正确。采购人员把发给供应商A的报价单错发给了供应商B,这类问题虽然看起来不起眼,但后果可能非常严重。
邮件转发的管控也需要形成习惯。供应商员工在处理企业邮件时,转发操作要谨慎。如果转发需要包含原始邮件中的所有信息和附件,就要考虑这些信息转发出去后是否超出了应有的知悉范围。在邮件安全策略中设置转发告警功能,当供应商员工试图批量转发或者将企业邮件转发到个人邮箱时,系统会弹出告警提示。
即时通讯工具的管理比邮件更复杂,因为即时通讯的特点是速度快、记录少、难以管控。
在与供应商的即时通讯中,保密管理可以做的几点是设置沟通边界。做技术讨论使用企业指定的即时通讯工具,不做私人加好友使用。在即时通讯中不发完整的技术文件原文件,只发摘要或者脱敏后的信息。供应商工作群设置为内部群,外部人员进群需要项目经理审批。
对于确实需要通过即时通讯传递文件的情况,可以在企业指定的群里发送加密压缩包,压缩包密码用其他方式单独传达。不能图方便直接发文档原文件或者截图。
即时通讯中的截屏行为需要提前约定。供应商员工在即时通讯中接收到的企业信息,不能随意截图转发给无关人员。供应商向自己上级汇报项目进展时,如果需要引用即时通讯中的对话内容,建议在得到发送方确认后再引用。
还有一类场景是供应商员工会在个人手机上安装企业的即时通讯应用来接收工作通知。这个操作本身不直接导致信息泄露,但如果手机落入他人手中或者手机系统存在漏洞,企业信息就可能面临泄露风险。建议对安装企业即时通讯应用的设备设定锁屏密码,启用应用远程擦除功能,在员工离职后及时移除应用。
邮件签名和即时通讯头像也需要管控。供应商员工的邮件签名中不要包含与当前项目的任何敏感信息。即时通讯的头像和使用名称不要使用企业的产品照片或企业标识。
邮件和即时通讯的管控最终要靠规范的操作习惯来保障。制度制定得再完善,供应商员工日常沟通中多确认一下收件人、多思考一下消息内容,才是安全沟通的底线。
