目前許多公司出於降本增效的考慮,大量使用服務外包的形式,通常根據外包人員是否入駐服務企業營業場所又可將外包分為駐場和非駐場兩類。按照服務型別分又可以劃分為安全服務類、開發測試類、諮詢規劃類、業務支援類等。
一:駐場外包人員風險:
資料洩露風險:外包人員可能由於培訓不足缺乏足夠的網路安全意識導致企業敏感資訊(如商業秘密、原始碼等)洩露。
技術安全風險:外包團隊可能會引入安全漏洞,如未經過充分安全測試的程式碼直接上線,可能導致運維生產事故。
人員安全風險:外包人員缺乏背景審查,可能導致不安全的人員進入企業,增加了安全風險。
外部案例:
外包人員倒賣個人資訊案例:中國建設銀行一分行外包人員利用職務之便,盜取客戶個人資訊倒賣給貸款公司,獲利3.6萬元後被判刑。
二:外包人員資訊保安管理措施:
2.1入駐前:
在外包專案立項階段的可行性研究期間,增加專門的外包商風險評估。
實施嚴格的外包人員背景審查(可以參考正式員工)。
與外包供應商簽訂明確的外包服務協議和保密協議。
2.2入駐時:
與外包人員簽署正式的保密協議明確雙方工作內容、保密範圍、保密責任、違約責任、有效期限。
資訊保安入職培訓和考試:參考正式員工的資訊保安入職培訓,在此基礎上可以增加定製內容如外包人員安全規範介紹、外包人員安全管理流程、前期違規案例和處罰等並需要考試透過。
技術措施:
許可權管控、原始碼檢查、敏感資訊洩露(DLP)、終埠令安全、終端病毒防護等。
2.3撤出現場:
安全人員需要考慮是如何才能及時通知到信安部門以便關閉賬號許可權等。
做好本次安全團隊的安全評價如外包期間發生安全漏洞、事件數,安全培訓透過率,並及時歸檔。
