蓝盟企业it外包服务

签保密协议，无论it个人或者it企业一般签署后不会瞎泄露的。

我签过很多奇葩的协议，例如系统完成后，自愿放弃所有涉及该软件的权利协议，或者软件完成后，禁止在几年内为其他行业设计此类系统。或者为其他企业提供此类算法咨询及建议。最奇怪的是某个大牛，此程序开发所有涉及代码及系统均为甲方所有，乙方为代码输入人员。然后尼玛活我全干，都是他的功劳。不过签署这些协议的都是有钱的金主，所以你想让程序员保密的话，用钱逼他签保密协议。

无线改变世界

我刚参加工作的时候，做了5年多的外包，而且都是面向银行的软件外包。

对于软件外包到底安不安全，我觉得还是分情况来说吧。

外包人头

首先我们说一说买人月这种情况，也就是某公司给你们公司提供一些员工，完全听从你们公司的安排，费用就按照一个人一个月多少钱来算。这种方式一般在那些本身具备较强的软件开发实力的公司而短时间内人手不足时比较常见。

这种购买人月的方式一般外来的员工是不能接触到公司的核心代码以及核心数据的，所以相对来说是比较安全的方式。

外包项目

我们再来说一说外包项目这种情况，也就是按照项目需求的工作评估来算费用，至于外包公司派多少人来、派什么样的人来一般不做硬性要求，只是对项目团队的基本能力和项目工期有一定的框架性的要求。

这种项目外包的方式，可能会在项目投产后的运营维护期间存在生产数据泄露的问题，按照金融行业对生产环境的操作要求，是必须要双人操作才行的，也就是一名本公司技术人员加一名外包项目人员一起才能够进入机房或者是操作生产数据。从一定层度上来说也能够避免业务数据的泄露。

IT外包

最后来说一说题主提到的这种IT外包的方式，这种方式太危险，对于老板来讲，不想在IT方面有所投入，又想当翘脚老板，结果是把自己的命脉交到别人手上，别人想怎样就怎样。

综上所述，强烈不建议采取IT整体外包的方式，作为一个信息化时代的企业，最好还是培养一个自己的IT团队，人不在多而在精，能够把握企业自身的核心，带领外包团队或外包人员进行项目实施即可。另外，无论是选择何种外包方式，保密协议必须要签，至少从道德上规避风险，万一发生了泄露事件，从法律层面上也有理有据。

程序员爱编程

本人从事金融软件工作，就结合自己的工作来谈谈楼主对it外包的数据泄密风险问题。就拿我们公司的系统来说，以前几乎90%都是通过外包公司开发的，这几年随着金融科技的高速发展，科技人才队伍不断壮大，系统自主可控率才逐步提升。但仍有相当多的系统仍然依赖外包公司来开发，今天就从以下几个方面来谈谈外包对信息安全的影响：

1、人力外包模式，俗称的“卖人头”。这种模式基本外包公司就是提供人头，结算以人力投入为依据，说白了就是外包公司一个月在甲方投入多少人力，就拿多少钱，具体外包人员干什么活，完全由甲方安排。这种模式的外包合作，个人认为对信息数据的保护还是存在比较大的风险的，因为外包公司无法直接管控到每个外包人力的工作内容，而甲方大部分也仅仅是分配任务，对外包人力的管理存在局限性，也仅仅只能靠规章制度来约束外包人力。

2、项目外包模式。这种模式一般就是将整个项目打包给外包公司完成，外包公司一般都有成熟的产品，在现有产品基础上结合客户需求进行改造，同时项目会配备完善的项目管理，组建项目组，项目经理对整个项目负责，能有效的降低数据泄密的风险。

3、不管是人力外包还是项目外包，当前软件开发的模式大部分都要求进驻甲方的办公场所，而且一般甲方会提供办公设备或开发终端，在安全部门的严格监督下，数据一般都是只进不出，从技术上提供了防止数据泄露的保障。

4、生产环境的信息数据才有利用价值，而外包人员一般很难能直接从生产环境提取到信息数据，哪怕要提取也要经过一道道的程序，很容易被发现。

5、如果担心外包引起信息数据泄露，那在与外包合作的合同上明确权责，这样出现了泄露事件，可以第一时间对外包公司进行追责，外包公司也就会更加重视信息安全。

信息安全关乎每个人的切身利益，大家务必重视！！！

IT漫话

我不做外包，但从一个长期合作伙伴以及自己公司的使用外包的情况，说一下吧

IT外包在我们公司很正常，我们公司是外企，全球的IT都外包。他们有驻场的，也有远端集中的服务中心。我们公司也会有人衔接外包公司，包括所有IT外包期间的项目和运维。员工信息外泄，觉得好像没有什么防范。不过公司内部的客户信息，项目信息，商务上的文件和数据倒是有很严格的规范，权限管理还是很严的。就算员工也只能找到和自己相关的信息的授权，其他依赖系统。就连邮件系统都是使用微软的云端的outlook。

我觉得我们公司是极度相信大企业提供的IT服务。

我们的一个长期合作的伙伴是一家国企，他的IT是使用人力外包的方式从外包公司雇人驻场服务，少量自己公司的员工，大量的外包人员。感觉上还是很多漏洞，部分敏感的信息的归自己员工负责，其他都交给外包的人。外包公司的人员流动虽说不频繁，但工资待遇和正式员工还是有差距，活又多又累，人还是浮躁的。对于这家企业，也习惯了，活只要有人干，流动就流动吧。

信息外泄也是他们头等大事，现在也在出台很多规范补漏。随机突击检查，定期扫描，CCTV监控，完善门禁登记等。搞到最后，总要在效率和严防之间有一个取舍？

gzluke

不安全，就算不是外包，完全自主掌控的话，也不安全。

我认为 IT 的安全可以分成这么几个部分：

• 数据泄露：比如公司有一些敏感数据的话，是万万不能泄露出去的，比如客户信息，包括客户的姓名、证件号、手机号、家庭住址等等；再比如一些订单信息，甚至每天的订单量，这些都是公司的商业机密。

• 数据丢失：这里的丢失不是被拷走的意思，而是数据被删除，不能恢复的意思。

• 代码泄露：有些人可能认为代码泄不泄露也没啥影响，觉得咱们写的大部分项目都是增删查改，没有什么可保密的；抛开一些值得进行保护的代码，一般项目的代码泄露，可能会导致数据库配置的泄露，同样会威胁到数据的安全；已经发生过很多次，开发人员直接将单位的代码上传到网上公开的代码托管平台，导致数据库配置泄露，被不法分子利用。

那么回到题目，想将 IT 外包出去，又担心公司信息泄露，我建议可以这样做：

外包和自主掌控相结合

如果公司有一定 IT 能力的话，建议采用外包和自主掌控相结合的方式推动；一些关键性的内容，还是掌握在自己手里比较好。

比如数据库的维护，就不要轻易让外包有生产环境的权限了，这样至少可以排除一定的风险。

加强权限管控和故障恢复机制

对于内部员工，也需要加强权限管控，不同的岗位，应该有不同的操作权限：比如 DBA 的权限最大，开发人员只需要有对表中的数据有读取和操作权限即可，测试人员的话只需要只读权限等等；

故障恢复机制也很重要，如果生产上的数据只有一份的话，万一被删除就是致命的。

操作必留痕

对于数据库的操作，甚至是系统的操作，是必须留下操作轨迹的；对于一些敏感操作，应该要做预警的；比如数据库中的用户信息表发生数据的导出、下载。

必要的数据脱敏

有些心怀不轨的人，虽然没有操作数据库的权限，但是可以通过页面查询到敏感数据，手动复制粘贴，这时候就需要对页面进行脱敏处理展示了；

数据脱敏的意思就是有一些数据不能完整展示，需要遮住一部分字段，比如手机号只展示前三位+后四位，中间四位打成星号。

加强宣导

在技术层面减少数据泄露的风险，同时也需要从管理入手，加强对数据泄露危害的宣导，让员工提高重视；公司敏感数据的泄露，会触犯法律的，严重会被判刑坐牢。

我将持续分享Java开发、架构设计、程序员职业发展等方面的见解，希望能得到你的关注。

会点代码的大叔

事先声明，我并不从事IT相关业务，也没有打广告的企图。

可以的。既然你们要外包公司IT，那我就假设你们公司并不是互联网行业，IT业务是辅助作用，而不是你们公司的主业。

一般这种公司要求外包，能降低企业运营成本，减少公司支出费用。通过电话，邮件等提交IT申请，然后外包公司就会通过VPN网络在后台给你解决软件问题，通过外派技术代表到公司解决硬件问题。也有一些公司干脆连电脑，打印机等设备都是租用的，直接轻资产上阵运营。

但是，公司运营不能紧紧看成本降低多少。而是看实际效果。9102年代，离开电脑基本就不用办公了，就算能工作，效率也是极低的。因此还是有以下几个缺点：

1. 通过电话，邮件等沟通的外包公司，只能解决小问题，大问题的时候基本没用。

2. 现代企业还是有不少地方需要自己开发小软件提高工作效率的。例如制作一个适合自己公司业务流程的小型数据库(ACCESS就好，看书都能零基础自己动手做)什么的，简单，实用。自己公司的IT人员也能更好的理解公司业务流程，开发维护软件。外包公司是不会管这些的，你要开发任何软件都要重新报价付费，而这还是不涉及后期维护或者软件修改的费用。

总之，外包可能会降低自己公司生产成本，但基本不可能再提高生产效率。如果只是小型公司就还好，中大型企业基本可以告别效率了。

哦，对了，还有数据安全这一块。一般来说还是安全的，外包公司只负责你的防火墙外围，但不能解决内部密码。例如说，你有一个加密文件，它要得到你的文件并解密跟外部黑客获取你的文件方式是一样的，非法破解密码也是一样的。并无更容易的方法，反而外包公司还要维护你的网络安全，这样也是跟自己IT部门基本一样。只是自己IT部门解决不了的网络安全问题时，他可以选择拔网线，而外包公司无法远程拔掉物理网线。

综上所述，是否外包公司IT其实也是利弊掺半的事情，但我个人觉得对于中大型企业来说，弊大于利。

的士通勤王

我就在外包公司，前不久我们公司发生了一起严重的泄露客户代码事件，客户一查到底，追究我们公司责任，导致公司利益受损，泄露者本人被司法机关控制

我想说的是永远不要相信人的自觉，不管是外包还是你们自己的员工，一定要用制度和技术去管理，比如网络和代码的权限控制，比如要求所有人使用公司电脑，关闭usb，关闭文件外发，禁止访问网盘云盘，监控所有电脑，等等，再配合严格的追责制度，多加强调宣贯，让所有人员知道泄露的后果，这样才能减少发生信息泄露事件的概率

OcelotConsul

服务外包是一个很成熟、很普通的模式，从私营企业到国家部位，从电子商务到银行业，IT业务外包随处可见。因为外包能提高效率降低成本，好处显而易见。

数据安全并非外包就会泄露，更多的案例是内部的员工所为，比如众所周知的通讯公司员工倒卖用户信息。为什么外包IT是安全的呢？

1.外包公司是公司行为，风险由外包机构承担；内部员工属于个体，就算无意搞出问题，个体承担风险的能力也远远不能跟公司相提并论。

2.外包公司为了在竞争中生存下去，一般会爱惜自己的羽毛，到目前为止，还没听说哪个外包公司窃取倒卖用户信息(金融业基本上都是服务外包:包括系统服务、软件开发、日常维护、故障处理等)。同理，律所与会计师事务所知晓服务对象的商业机密，也从没听闻泄露过什么机密。到时前段时间，微盟自己的运维，把自家的数据库删得精光，哈哈！

3.外包公司不掌握业务逻辑，看到的只是砖头，而运营人员才是真正看见整个建筑物的人员。比如一个计费系统，系统管理员(sa)看到的是文件，数据库(dba)看到的是记录，后天运营人员，登录管理后台后，根据设定权限不同，获得的是可以清晰理解的完整数据，比如一天的营业额、新增用户…，你现在觉得谁更要防备呢？

3.法律及制度。公司是组织机构，以盈利为目的，以发展更多的客户为目标，不太可能花精力来做代价高且违法的事情。

基于以上原因，外包还是可行的，化解风险在于制度及法律。管理制度制度的好，可落地执行，并且根据实际情况签订边界，远比自己雇员要有效。

西都月季

要分清楚哪些it业务是公司的核心业务，哪些是it当中的外围业务，然后自己公司要有维护管理核心数据及应用层面的it业务的能力，把一部分劳动密集型重复性强的分离出来，做为外包业务支持，这样可以解决公司相关部门人员名额问题，同时提高自己核心团队服务于公司主营业务的能力，比如一家公司的help desk业务，日常反复的电脑安装，网络连接端口排查，it厂商硬件保修，可以做适当外包，比如远程支持分支机构的基础运维，都能考虑通过外包方式解决，公司的核心数据库，核心分析平台，核心自用平台，二次开发的ERP软件，这种业务本来就具有独特性和公司数据保密性，一旦流失或被竞争对手公司获得，会造成严重损失，哪还是要公司自己管理比较妥当。

money-maker154823023

从事软件开发多年，对于软件这块还是不太建议外包的方式，外包虽然是一种非常快速的让那个企业拥有产品的一种方式，但是外包隐患还是非常巨大，特别是一些规模不是很大的外包公司，本身里面人员就不太稳定，如果出现一个问题很可能当初的代码和相关的技术场景都很难还原，但是外包行业还是存在很大的市场，外包是能够解决这么一种场景需要一种定制化的产品，但本身在资金或者人员配置不够，为了业务的需要还要去做，于是找到外包公司给完成，本来是一种双赢的工作，但因为软件技术开发的特殊性还是会遗留很多问题。

外包里面到底有多深的水

如果条件允许的情况下，还是建议找正规外包公司，虽然费用贵点起码品质能够保证。像华为很多项目都是外包来完成，品质也是能够保证，主要原因华为公司平台比较强，能够源源不断拿到大的订单，所以配套的外包公司重视程度也会不一般，所以在质量以及售后的保障上都能跟得上，哪个外包公司敢得罪华为这个金主，到了这种性质的外包质量还是非常可靠的，而且很多给华为做外包的企业员工，在做完这个项目之后就加入华为公司了，外包公司属于弱势一方。

如果真的需要项目的外包还是建议找正规一点的外包企业，这样在后期维护方面还能跟得上，小的外包公司风险相对会比较大。

小的外包公司风险较大。小的外包公司相对来讲价位会便宜一些，功能的修改也会更加随意一点，但是由于人员的配备问题，在初期功能完善的非常快，关键是后期需要增加新的功能时候，售后很可能跟不上，而且经常遇见之前主要的开发者已经离职的情况，新的技术人员又不了解情况，毕竟软件类的产品，需要更新修改的地方还是相当多，不是简单的一锤子买卖。有些外包公司为了补加额外的功能费用，还会对服务器上做一些手脚，让一些基本的功能不能正常的运转，这种情况在实际开发过程中遇见过，所以外包软件开发如果不是必须不建议去做。

当然不能简单的认为所有的外包公司都不好，很多外包还是服务非常到位，主要这个行业参差不齐很容易就被各种浑水给搅和了，里面欺生的现象太严重，仗着对方不明白在里面做了很多不光彩的事情，甚至还出现极限的删库问题，只要是外包很多数据肯定是暴露出来了，这种是无法避免的，所以很多企业在外包公司完成之后就开始修改服务器的密码。

如果真是到了必须请外包的地步，建议选择公司大点的企业，而且在合同条款要明确清楚，毕竟软件外包产品后期维护的可能性非常大，不要觉得做完了万事大吉了。很多做外包的程序员做不了几年就转行找个有自己产品的公司，开始新的征程了毕竟外包公司给人的感觉还是没有成就感，希望能够帮到你。

關鍵字: 泄露 职场 科技