供应商废弃物料管理中的信息残留风险与防范 - 保密网

供应链生产过程中会产生大量废弃物料。报废的零件、不合格的样品、过期的包装、废弃的工艺文件。这些看似无用的废弃物里，可能包含了大量关于企业产品设计、工艺参数、质量标准的敏感信息。废弃物料如果处理不当，就是信息泄露的一个重要渠道。

一家食品包装企业的案例很能说明问题。他们的供应商在试产过程中产生了不少印刷不合格的包装袋，供应商的处理方式是把这些报废包装袋卖给了一家废品回收公司。回收公司把包装袋转手卖给了另一家小企业，小企业发现包装袋上的设计图案和批号信息很有意思，就把信息卖给了行业内的信息中间商。这家食品企业的新品包装方案就这样在没有正式发布前就流到了市场上。

废弃物料的信息残留风险主要来自几个方面。

首要个方面是生产废料中的产品信息残留。在电子产品制造中，报废的电路板上保留了完整的产品电路设计特征和元器件布局信息。在机械加工中，报废的配件和模具保留了产品的尺寸参数和加工特征。在包装印刷中，报废的包装材料上印有产品的品牌标识和设计特点。

管理措施的核心是从供应商的废弃物料处理流程入手。在保密协议中写入废弃物料处理的专项条款。供应商生产过程中产生的涉及企业信息的废料、不合格品、报废品，不得作为普通废品处理。供应商应当对这些物料做物理破坏处理，确保信息不可恢复后再进入废品回收环节。

对于特别敏感的报废品，比如试产的完整产品、包含核心技术的电路板，应当由企业回收销毁或在供应商现场监督销毁。销毁过程做影像记录存档。

第二个方面是废弃技术文件中的信息残留。供应商在生产过程中积累了大量技术文件。工艺卡、作业指导书、检验记录、不合格品分析报告。这些文件在项目完成后或者更新换版后被废弃，如果当做普通废纸处理或者随意丢弃，技术信息就处于完全暴露状态。

废弃技术文件的处置方式可以这样安排。所有涉及企业信息的废弃技术文件，统一使用工业级碎纸机销毁。碎纸机的粉碎等级要达到一定的标准，确保碎片无法拼接复原。销毁过程有记录和监督，不能由员工个人随意处理。

第三个方面是废弃电子介质中的信息残留。供应商在处理企业信息的过程中，使用了大量的电脑硬盘、移动硬盘、U盘、光盘等电子存储介质。这些介质在报废或者更换时，如果只是简单的删除操作或者快速格式化，数据仍然可以通过数据恢复工具还原。

管理措施是在供应商的管理制度中增加电子介质报废的规范。所有曾经存储过企业信息的电子介质在报废前必须做数据覆写擦除。擦除工具使用符合行业标准的擦除软件，至少擦除一次。擦除后的介质做物理破坏处理。供应商的IT部门需要保留电子介质的报废记录和处理证明。

第四个方面是测试和实验过程中的余料管理。供应商在做产品的生产测试、老化测试、环境实验时，会产生大量的测试余料和实验用样品。这些余料上承载了产品的性能特征和技术参数信息，甚至在测试后的余料上还有可读的测试数据。

管理建议是要求供应商在测试和实验完成后，将测试余料和实验样品按保密要求处置。可以退回企业的退回，需要销毁的做销毁处理。测试余料不能作为员工福利发放或者随意丢弃。供应商的实验室和测试车间，定期检查废弃物料的管理情况。

废弃物料处理供应商的选择也是一个值得关注的问题。有些企业把废弃物料处理外包给了第三方处理公司。第三方的管理水平参差不齐，有的处理公司规模不大，内部管理不够规范，可能在处理过程中就把废弃物料的信息扩散出去了。

在选聘废弃物料处理的服务商时，将安全管理水平作为合作条件之一。与处理服务商签署废弃物料处理的安全协议，明确物料来源的保密义务。定期了解和服务商确认处理流程是否规范，处理现场是否符合安全管理要求。

大多数企业在供应链保密管理中把精力主要放在在用的文档和物料上，对废弃物的管理投入不多。但恰恰是这些不起眼的废弃物，往往是信息泄露中比较容易被忽略的出口。把废弃物料管好，供应链保密才算完整。