外部保安公司的人员在执勤过程中掌握企业的出入记录、巡逻路线和安防薄弱环节,企业必须通过合同约束和制度管理确保保安公司的保密责任落实到位。
保安服务外包是企业维护办公场所安全的重要方式,保安人员负责门禁管理、人员出入登记、安全巡逻、应急处置等安保工作。然而,保安人员在日常工作中能够接触到企业的出入记录、来访人员信息、安防监控画面、安保布防情况等大量内部信息,这些信息如果被保安人员泄露,将直接威胁企业信息系统的物理安全防线。
保安人员掌握的企业安防信息属于高度敏感的内部信息。保安人员了解企业的门禁系统布局、监控摄像头位置和角度、报警系统的设防和撤防时间、安保薄弱环节、重点保护区域等信息。这些信息如果被泄露给有不良企图的人员或竞争对手,他们可以利用这些信息规划入侵路线、规避监控覆盖、选择最佳的入侵时间。企业的物理安全防线在安保信息泄露后将形同虚设。
出入记录和来访人员信息的保护同样值得重视。保安人员在日常执勤中登记了大量的人员出入信息,包括员工出入时间、访客身份信息、来访事由、接待人信息、车辆出入记录等。这些信息反映了企业员工的工作规律、客户来往频率、合作伙伴关系等重要商业信息。如果这些出入记录被获取,攻击者可以分析出企业的作息规律、关键岗位人员的行踪信息,从而制定更加精准的攻击策略。
监控录像资料的保密管理是保安服务的信息安全难点。现代企业的视频监控系统通常由保安公司负责日常运行和维护管理。监控录像记录了企业各个区域的实时影像,包括员工的日常工作状态、会议室的会议过程、敏感区域的访客活动等。如果监控录像资料被未经授权的人员获取或传播,不仅可能泄露企业商业秘密,还可能涉及员工个人隐私的法律问题。
保安人员的轮岗和交接管理中的信息保护需要建立规范。外部保安公司的保安人员流动性较高,人员轮换频繁。每次人员轮换时,新上岗的保安人员需要交接和了解企业的安保情况,这意味着企业的大量安保信息在不同的人员之间传递。如果轮岗和交接管理不规范,安保信息可能在每一次交接中被扩散到更多的人员。特别是保安人员离职后,其掌握的企业安保信息是否仍会以某种形式传播,是难以控制和追溯的。
保安人员在执勤中的个人行为同样是信息安全保护的变量。保安人员在值班时可能需要使用手机、与外界通信、接待访客等。如果保安人员在工作时间使用个人手机拍照或录像,将监控屏幕的内容拍摄下来并通过社交媒体传播,企业的安防格局就可能在不知不觉中被公之于众。企业应在保安服务合同中明确禁止保安人员在执勤中的此类行为。
安保系统的账号和密码管理需要企业和保安公司双方共同负责。门禁系统、监控系统、报警系统等安保设备的管理员账号和密码如果管理不善,一旦泄露,攻击者可以直接控制企业的物理安全系统。企业应对安保系统的管理员账号实施双重管控,即企业和管理人员各持有一部分权限,任何一方的账号都无法独立完成高风险操作。
保安服务合同中的信息安全条款应明确规定保安公司的保密义务。合同应包含保安公司对其所属保安人员管理和保密培训的责任条款,保安人员在服务期间接触到的一切企业信息均属于保密信息,不得向任何第三方泄露。合同应设定保安人员轮岗信息交接的安全要求,以及保安人员离职后的保密义务延续条款。保安人员入职前应签署保密承诺书,明确违反保密义务的法律后果。
保安公司的背景和信誉是选择保安服务时的重要考量因素。企业应选择具有良好信誉和规范管理的保安服务公司,审查保安公司的资质许可、员工管理体系、保密制度建设和历史服务记录。对于服务高安全性需求的企业,应选择经过政府批准的具有资质、从业人员经过政审的保安公司。企业应保留对保安公司派驻人员的背景情况进行审核的权利。
保安系统的操作日志应当定期进行审计。企业应要求保安公司提供出入管理系统、访客预约系统、监控系统的操作日志,定期审查这些日志,检查是否存在异常的查询行为或数据导出行为。如果发现保安人员有非授权的数据访问行为,应及时进行调查和处理。审计结果应作为保安服务评价的重要依据。
保安人员和保安系统的双重管理是保障企业物理安全的关键。企业在将安保工作外包的同时,不能将安保信息的保护完全交给保安公司,而应通过合同约束、制度规定和日常检查相结合的方式,确保保安公司切实履行保密责任。
保安外包的信息安全方面常见疑问包括以下内容。问:如何防止保安人员泄露企业安防布局信息?答:在保安服务合同中明确保密条款,对保安人员进行保密培训,建立安保信息的访问权限控制。问:监控录像如何防止被保安人员私自传播?答:对监控系统实施严格的访问控制和操作审计,禁止保安人员携带个人手机进入监控室。问:保安人员离职后如何确保其不再掌握企业安保信息?答:在合同中约定保安人员离职后的保密义务延续条款,对离职人员进行保密提醒。
北京企密安信息安全技术有限公司为企业提供安保外包信息安全评估和保安服务合同安全条款设计服务,帮助企业在外包安保服务中有效保护企业的物理安全信息。咨询邮箱jess@baomiwang.com。
