首页 > 其他分享 >聊聊企业驻场外包信息安全管理

聊聊企业驻场外包信息安全管理

时间:2024-09-17 10:26:29浏览次数:8  
标签:风险 外包 信息安全 安全 保密 人员 聊聊 场外

目前许多公司出于降本增效的考虑,大量使用服务外包的形式,通常根据外包人员是否入驻服务企业营业场所又可将外包分为驻场和非驻场两类。按照服务类型分又可以划分为安全服务类、开发测试类、咨询规划类、业务支持类等。

一:驻场外包人员风险:

数据泄露风险:外包人员可能由于培训不足缺乏足够的网络安全意识导致企业敏感信息(如商业秘密、源代码等)泄露。

技术安全风险:外包团队可能会引入安全漏洞,如未经过充分安全测试的代码直接上线,可能导致运维生产事故。

人员安全风险:外包人员缺乏背景审查,可能导致不安全的人员进入企业,增加了安全风险。

外部案例:

外包人员倒卖个人信息案例:中国建设银行一分行外包人员利用职务之便,盗取客户个人信息倒卖给贷款公司,获利3.6万元后被判刑。

二:外包人员信息安全管理措施:

2.1入驻前:

在外包项目立项阶段的可行性研究期间,增加专门的外包商风险评估。

实施严格的外包人员背景审查(可以参考正式员工)。

与外包供应商签订明确的外包服务协议和保密协议。

 

2.2入驻时:

与外包人员签署正式的保密协议明确双方工作内容、保密范围、保密责任、违约责任、有效期限。

信息安全入职培训和考试:参考正式员工的信息安全入职培训,在此基础上可以增加定制内容如外包人员安全规范介绍、外包人员安全管理流程、前期违规案例和处罚等并需要考试通过。

技术措施:

权限管控、源代码检查、敏感信息泄露(DLP)、终端口令安全、终端病毒防护等。

 

2.3撤出现场:

安全人员需要考虑是如何才能及时通知到信安部门以便关闭账号权限等。

做好本次安全团队的安全评价如外包期间发生安全漏洞、事件数,安全培训通过率,并及时归档。

 

标签:风险,外包,信息安全,安全,保密,人员,聊聊,场外
From: https://www.cnblogs.com/janepeak/p/18416946

相关文章

  • springboot+vue信息安全知识学习微信小程序【程序+论文+开题】计算机毕业设计
    系统程序文件列表开题报告内容研究背景随着互联网技术的飞速发展,信息安全已成为现代社会不可忽视的重要议题。网络攻击、数据泄露、隐私侵犯等事件频发,不仅给个人用户带来巨大损失,也对企业的运营安全和国家的信息安全构成了严峻挑战。在此背景下,提升公众的信息安全意识和技......
  • 聊聊OceanBase合并和转储
    相比于Oracle、MySQL等传统的数据库,OceanBase数据库的存储引擎采用LSM-Tree的架构,这种存储引擎和之前所使用到的堆结构或B+树结构有很大的差别,今天我们就来聊聊LSM-Tree存储引擎所引入的合并和转储相关的功能特点。OB存储引擎的分层结构LSM-Tree存储引擎分为静态基......
  • 两年后的首更-聊聊甲辰龙年的云桌面
    昨天下午,和朋友一起沟通了两个小时,无意间,他提出了一个问题,现在云桌面的市场怎么样?我愣了一下,离开这个市场已经1年半了。 9月初,VmwareEUC的北京好友联系我,他们被收购后,后面也被裁员了,现在自由之身了。同样9月初,VmwarePS的朋友也告知我,他们估计要去伟仕佳杰,估计会接受降薪过去,未......
  • 信息安全数学基础(11)同余的概念及基本性质
    一、同余的概念    同余是一个数学概念,用于描述两个数在除以某个数时所得的余数相同的情况。具体地,设m是一个正整数,a和b是两个整数,如果a和b除以m的余数相同,则称a和b模m同余,记作a≡b(modm)。反之,如果a和b除以m的余数不同,则称a和b模m不同余。二、同余的基本性质自......
  • 信息安全数学基础(12)剩余类及完全剩余系
    一、剩余类定义:设 m 是一个正整数,a 是任意整数。模 m 的 a 的剩余类定义为集合 Ca​={c∣c∈Z,c≡a(modm)}。这个集合包含了所有模 m 余数为 a 的整数。解释:剩余类实际上是将整数集 Z 分成了 m 个等价类,每个类中的元素在模 m 运算下是等价的,即它们除以 m......
  • 局域网聊天工具:提升企业内部信息安全的私有化即时通讯软件
    在数字化转型的过程中,越来越多的企业依赖即时通讯工具来进行内部沟通与协作。然而,许多企业在使用的微信、钉钉等SaaS聊天工具却存在着严重的安全隐患和管理难题,这些问题不仅危及信息安全,还影响企业的整体运营效率。针对这些痛点,选择一款私有化部署的局域网聊天工具成为了企业的当务......
  • 等保测评后:企业如何持续优化信息安全
    通过信息安全等级保护(等保)测评,标志着企业达到了国家规定的安全标准,但这并非终点。在等保测评后,企业需要持续优化信息安全,保持和提升信息安全的防护水平,确保业务的稳定运行和数据的安全。本文将从实战角度出发,探讨等保测评后企业如何构建和维护高效的信息安全管理体系,保持信息安......
  • 简单聊聊 CORS 攻击与防御
    我们是袋鼠云数栈UED团队,致力于打造优秀的一站式数据中台产品。我们始终保持工匠精神,探索前端道路,为社区积累并传播经验价值。本文作者:霁明什么是CORSCORS(跨域资源共享)是一种基于HTTP头的机制,可以放宽浏览器的同源策略,实现不同域名网站之间的通信。前置知识同源定义:协......
  • 信息安全
     数据的安全性在Java的网络传输过程中需要通过信息的加密和解密。数据的加密过程有相应的数据编码标准。JavaEE的默认数据编码标准是IOS8859-1。前端请求过来的数据在客户端会有缓存的存在,后台的数据相应在客户端也会缓存。每次用户打开浏览器的窗口的tab页面的时候,用户客户端都......
  • 信息安全工程师(4)IP地址与子网划分
    前言    IP地址与子网划分是计算机网络中的核心概念,对于理解网络通信和数据传输至关重要。以下是对IP地址与子网划分的详细阐述:一、IP地址    IP地址(InternetProtocolAddress)是指互联网协议地址,它是IP协议提供的一种统一的地址格式,为互联网上的每一个网......