新闻报道称，美国防部员工信息泄密，原因竟然是我们习以为常的业务外包导致的。我们看一下详细新闻报道。据俄罗斯卫星通讯社10月13日报道，美国国防部代表约瑟夫·布奇诺中校12日向卫星通讯社表示，“10月4日国防部发现我部工作人员个人数据遭到泄露”“信息是通过为国防部提供其员工出行服务的承包商公司泄露的，该公司组织的出行次数不多。”，他称：“我部正在继续评估员工遭受损失的程度，并已开始通知受害者”。“目前正在收集有关该事件的其他信息。国防部正在采取应对措施。”

美国防部员工数据遭泄露

美国国防部应该是信息安全保护最严格的地方之一吧？但他们员工的信息还是泄露了。按照美官方说法，是给他们“提供出行服务的承包商公司”泄露的。好吧，“猪队友”外包公司就是来背锅的。

美国防部的具体情况我们不了解，不过外包公司和供应商的信息安全管控我们也有同感，确实是个需要引起重视和持续加强改进的问题。

供应商和外包公司的信息安全管控需重视

信息安全遵循着木桶原理，信息安全防护水平的高低，不是取决于防护最好的方面，也不是取决于防护的平均水平，而是取决于防护的最低水平。一个企业重视信息安全工作，会努力在信息安全领域的各个方面做好，但给他们提供服务的供应商、外包公司的安全防护水平却不一定与该企业的匹配。换句话说，外包公司提供的服务有可能就会成为企业信息安全防护的短板，就像上面美国防部的案例。

信息安全管理遵循木桶原理

那么如何加强外包服务的信息安全管控呢？一般来讲，可以从以下几方面开展。

1、外包商务管理方面。在签订合同时，需要在合同中明确企业对外包服务的信息安全要求的条款，包括提供的服务需要满足的信息安全标准、服务过程中信息安全要求、提供服务的外包方员工需要遵循的信息安全要求等，并且需要签订保密条款。这样，万一在服务过程中出现信息安全问题，可以从法律上保障企业的利益。

在合同中要明确信息安全相关条款

2、外包实施管理方面。在外包商提供服务的过程中，企业需要对其提供服务的过程、人员进行管理和跟踪，防范实施执行中出现偏差和风险。当有服务连续性、信息泄露等安全风险时，需要采取措施降低风险，防止小的隐患演变成大的问题。

3、外包人员管理方面。对于在企业现场提供服务的外包人员，在其入场前需要进行面试和筛选，签订保密协议；在其入场后开展工作时，需要有专人管理，防止企业的保密文档等信息泄露；涉及人员调换、离场时，需要做好用户账号和权限的清理。

做好外包人员管理

外包服务的信息安全，除了提出安全要求，更重要的是在实施过程中得到有效的落实。可以通过配套切实可行的技术手段和管理工具，将企业的信息安全要求固化下来，防止在实施过程中执行不到位，切实保障企业的信息安全防护目标。

上海加密软件厂商，弘软信息安全工程师说在业务外包里，除了合同约定保密义务以外，还有很重要的一点就是利用数据防泄密系统，把涉及核心的机密数据保护起来，在与业务外包人员沟通时，控制好权限，按时间，次数等进行授权查看。