逐步規劃員工與機密文件管理

文/郭慧姿


員工與機密文件管理其實是每一個公司都需要，而且都想做的，但談到如何落實，一般公司卻是不得其門而入，CA公司諮詢顧問經理黃龍波表示，由於員工與機密文件管理涉及的範圍很廣，因此他建議企業要一步一步去做，不能操之過急，以避免對企業運作形成衝擊。
機密文件管理的極致：集中管理
目前一般的情況，如政府機關是將文件區分為一般件、密、機密、極機密與最機密五等級。當機密等級確定了，便要再依據權限，決定誰可以看，甚至規定是否可進行列印，並進行列印管理，黃龍波指出，列印管理也是一門學問：例如，有些公司要求員工使用列印識別卡，不僅可掌握成本，並了解員工列印了哪些編號的文件；有些印表機廠商就有提供這樣的支援。




黃龍波建議，極機密文件最好設定為不能列印出來，應該要集中至機房管理，且要運用主機Console
Mode（控制台模式）方式，也就是要看這些文件時，必須要在這台機器進行登錄，甚至必須經過申請，才有權限讀取。而且進行管理的機器數目有所限制，企業也須向員工宣導一離開系統時就必須Log
Out，平時螢幕僅會出現需輸入密碼的預備Log In畫面。




其實，機房的安全又是另一個重要議題，例如門禁管制、高架地板、FM200滅火設備、空調...的管理，以及人員進入機房後的權限管制、攝影機的監視...等。另外，就因為機密文件集中管理的觀念，若不幸發生火災，將使所有機密文件付之一炬，也突顯出異地備援的重要性。

觀念宣導不可少
黃龍波強調，企業應針對主管進行機密文件管理的觀念宣導，因為高階主管通常掌握較多機密文件，更須重視資訊安全，否則，員工與主管談事情的頻率相當高，若不經意看到機密文件，將徒增困擾，企業有許多謠言就因此而起。另外，重要的紙本也不其實機密文件的分類並不是一件容易的事，就連BS7799當中對於機密文件的管理政策也未見詳細，僅指出應該要作機密等級區分，因此，黃龍波建議，全公司都要動員，由各部門自行衡量重要文件有哪些？重要等級分成哪幾種？再匯整至公司總管理處，依據企業政策，協調共同的安全等級。他透露目前即有知名半導體業者之副總級以上主管，正在思考如何做到一些機密資料與特定Notebook的Chip連結在一起，當檔案一離開特定Notebook，就只是一堆亂碼的呈現。

員工的管理更複雜
黃龍波表示，相形之下，員工的管理更形複雜，除了一而在再，再而三的教育與叮嚀外，他建議企業可擬定相關規範：例如保密協定，釐清員工的責任與義務，以利員工了解公司內部有哪些等級的文件不能與他人分享或洩漏；目前一般高科技業者會要求員工簽定競業條款，要求員工在離職後一段時間內不得從事相關行業，即是為了避免營業秘密外洩。

掌握權限的「收回」流程
從員工的招募到離職，涵蓋了一連串包含電子郵件帳號、門禁、系統權限...種種的「給予」與「收回」，以及資訊安全意識的灌輸，黃龍波即以CA本身為例說明：當員工到職時，公司的人力資源部門會啟動相關機制：發文至Office
Manager，再通知門禁管理者準備識別證、門禁卡，以及到各部門辦理各事項的流程單，以「給予」員工各項權限。




至於權限的「收回」，黃龍波建議，由於種種權限的「收回」有其複雜度，企業各部門可先確立該部門員工應該有哪些權限，再運用軟體進行管理，在員工到職後，建立所有應有的權限，並在其離職後刪除權限；若目前企業沒有相關工具協助各項資訊流程的順暢，也應該反覆進行沙盤推演，了解哪些系統需要開立權限？哪些部門會用到？一一條列出後，在員工離職時再以此Check
List進行權限的「收回」。




他進一步表示，招募員工時這些機制建立的困難度其實較低，因為員工到職時，若公司「給予」的各項權限未見完整，為了工作的順暢，員工一定會去催促各部門提供他所需要的各項權限；最麻煩的是員工離職時，有些帳號因疏失而未刪除，可能就會導致有心人士或對公司不滿的離職員工進入系統，往往就因為員工離職後權限「收回」的過程未臻完善，而造成資訊安全的漏洞。