据国家安全部微信公众号7月5日消息,随着数字政务、智慧办公的深入推进,为提升工作质效,越来越多的单位选择第三方外包服务开展系统运维、数据归集、信息整理、平台保障等工作。在实际运行中,个别单位和个人存在监管弱化、思想松懈等问题,简单将业务、数据、权限一并交给服务承包商,当起了“甩手掌柜”。殊不知,这种缺乏有效监管的粗放模式,可能引发系统性安全风险。

近年来,国家安全机关与有关部门先后通报多起“数据外包”失泄密的典型案件,暴露出部分单位重业务推进、轻安全管控,重服务效率、轻风险防范的问题,应引起高度重视。
案例一:国家安全机关工作发现,某科研单位将实验数据库运维外包给第三方企业,但未建立驻场人员背景审查、数据调取留痕等安全防范机制。一外包运维人员受境外间谍情报机关利诱拉拢,利用远程运维权限下载海量核心科研数据,跨境提供给境外间谍情报机关,后被国家安全机关抓获。该科研单位相关责任人员也被依法追责问责。
案例二:最高人民法院公开案例显示,某公司在为某医院提供“数据外包”服务过程中,暗中从后台收集该医院挂号用户相关个人信息,并导入公司自建数据库,数据去重后合计28万余条。涉事公司已构成侵犯公民个人信息罪,被依法惩处。
案例三:央视新闻公开案例显示,某机构将门户网站外包给第三方公司建设维护,却未建立安全管理制度,仅“一托了之”。该公司未落实基本网络安全防护措施,未修复已知漏洞,未履行风险告知义务,将存在安全隐患的系统交付上线后,遭网络攻击并被植入违法内容,造成不良影响。涉事双方均被依法责令限期改正。

综合相关案例来看,各类“数据外包”失泄密风险点高度趋同,主要集中在准入把关、权限管控、闭环管理三个方面。


