心理测评供应商退出流程完成后,项目方容易认为风险已经结束。实际上,退出后的二次复核更关键:历史账号是否还能登录,导出文件是否已经回收,报告链接是否仍可访问,交接清单是否覆盖外部协作材料。
供应商退出后的复核,不重复做一次交接,重点检查交接之后有没有遗留口子。尤其是项目持续多年、外部专家较多、导出材料频繁的机构,更需要这一步。
历史账号要按角色逐一核对
供应商管理员、客服、技术支持、外部专家、项目顾问和临时测试账号,都曾在项目期间获得权限。退出后要按角色列清单。
核对内容包括账号状态、最后登录时间、权限范围、绑定邮箱或手机号、是否仍在外部系统中有效。只看主管理员账号,容易漏掉临时协作账号。
NIST SP 800-53涉及访问控制、账号管理和审计控制。供应商退出后的账号复核属于典型访问控制事项。
导出文件要追到接收位置
退出前导出的名单、报告、组织汇总、预警清单和服务记录,要确认接收位置。文件是否在网盘、邮箱、聊天工具、移动硬盘或外部研究目录中,影响后续回收。
复核时应查看导出记录和交接清单是否一致。导出记录里有文件,交接清单没有说明,就需要补确认。
报告链接要确认失效策略
历史报告链接常会保存在短信、邮件、微信、项目文档或浏览器收藏中。供应商退出后,要确认旧链接是否失效、是否转为只读、是否需要重新授权。
个人报告和组织汇总的处理方式不同。个人报告可按协议继续开放给本人,组织汇总则要按项目交接规则处理。
交接清单要覆盖外部协作
退出项目不只涉及供应商和采购方。外部专家、研究机构、EAP 服务商、园区联系人和学校二级单位,也会在项目期内接触材料。
交接清单应写明这些外部协作关系是否结束,账号是否关闭,材料是否删除或转交,未完成服务是否继续由新供应商承接。
NIST Privacy Framework强调组织隐私治理和责任分配。供应商退出后的复核需要把外部责任一并整理。
新旧系统要核对报告版本
更换供应商后,旧报告会被导入新系统,或作为历史材料保存。报告版本、生成时间、解释口径和查看权限要写清。
旧报告不能在新系统里失去来源说明。后续使用时,管理者和专业人员都要知道它来自哪个项目、哪个版本和哪个供应商阶段。
退出后复核要安排时间点
二次复核可以安排在退出后 30 天、90 天或年度审计时。复核结果要写入项目材料,避免停留在口头确认。
心理测评供应商退出后复核,重点在查遗留访问。历史账号、导出文件和报告链接再查一遍,项目方才能把供应商切换后的数据风险降到可管理范围。