https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

拒上頭版!機密資料做好分級控管

2009 / 05 / 12
謝持恆
拒上頭版!機密資料做好分級控管
資料保護的工作,非僅是資訊單位的職責,高層應當分出資料文件的大方向,並訂定出每個人的使用權限,以降低資料外洩的機率。

當我們進入任何一個組織,如果提出這樣的問題:「請問你們的機密資料有沒有分類?又是如何進行控管?」,很典型的會聽到2種答案。有一派的人會告訴你說:「我們單位有分普通、機密和極機密的資料,都有分不同顏色的公文夾,我們看到公文夾的顏色,就知道文件的機密等級。」另外一派的人,則會用一雙哀怨的眼神看著你,幽幽的表示:「我們又不是情報單位,也沒有國防資料,不會有人對我們的資料有興趣。」也許我們該拍拍手,大家對於機密資料都有很好的處理。從另外一個角度來看,重新定義「機密資料」,會不會有不一樣的答案?

熟悉資料特性 給予適當保護
什麼叫「機密資料」?簡單來說,就是不想讓其他人所知道的資料。就像年輕的歲月,日記是傾訴心事最好的管道,在日記中記載著青少年的懵懂、對師長的不滿。這樣的文件,當然不是任何人可以垂手可得,於是另一場鬥智遊戲又再度展開,床墊下、牆壁的夾層,都可以變成日記藏身的所在。

時至今日,對應到組織內,機密資料就更多了,從組織的經營方針、財務流向,乃至於新產品的研發計劃,都不是一般人可輕易取得的,當然需要被列管。除了組織整體性的資料外,各部門內也有屬於各自的機密資料,行政管理單位採購發包的金額,法務部門訴訟中的案件,不要覺得這些文件不重要,想像一下,如果有一天人事單位把薪資所得資料傳送給每一個人,那會是怎樣的下場呢?

有了這一層認知,就可以知道所有單位都會存在所謂的機密資料,而展現的方式,可能是紙張、或是電子檔案,這些機密資料,會隨著產業特性或是部門特質而有所差異。不同的資料型態,相對所採用的保護方式也就不同。傳統的紙張,可能採用限閱的方式,文件閱覽過後,不允許複印,文件也是統一保管,更不可以攜帶到其他的場所。

至於電子檔案,使用者帳號密碼這是最起碼的限制,必要的時候,可能對資料採用加解密或是亂碼的措施。正因為機密資料的型態不是只有單一的形式,目前很多組織都列一個概括性的原則,如果只依照大原則的分類,或是只想靠單一的文件控管軟體,就以為可以解決機密資料的問題,那真是把問題想得太簡單了。如果各部門無法整理出屬於自己單位的機密資料,不了解這些資料的特性,那又如何能談下一步的保護。

資料保護意識 管理階層帶頭做
更何況無論是紙張文件,或是電子檔案,目前所採用的控管措施,大部分都還是偏重在使用的階段,也就是那些人在工作職掌上有需要運用這些資料。但是資料不會憑空產生,也不會無故消失,整個資料生命循環,從最初的產生,到最終資料的銷毀,無論是儲存、遞送,每一個過程都應該依照資料本身的屬性,進行不同的處理,這才是完整的機密資料分類。但是很可惜的,連最基本的機密資料分類,都已經弄得焦頭爛額了,更不要說還要注意到不同的階段,需要有不同的控管方式。也正因為如此,我們可以看到軍事機密,可以從廢紙場中被人整袋買回。好好利用搜尋引擎,不難發現那又是另一個樂園,未經錄取的求職人員個人基本資料,國中生學籍資料也在網路上歷歷在目。上級主管機關可以把下屬單位的資料原封不動的放在網路上,不管是組織架構、公務車使用記錄,甚至連人事考評都可以在網路上清楚的查閱。不知道那樣的心態,是不知道這些也是機密資料需要保護,還是覺得那是別人家的資料,就算出問題也與我無關。

最近更聽說某家金融機構,員工工會強力要求管理階層,要將組織內所有的作業辦法、管理規章、作業程序,全部可以開放讓人員可以自由取得,不受任何管制,甚至可以任意影印攜出。我們不知道這家金融機構是否已經日暮西山,所以工會已經幫員工做好跳槽其他金融機構的準備,還是根本沒有機密資料的意識,把組織資產當作廢鐵般秤斤論兩的在販售。如果連組織營運的資料,都可以毫不重視,那未來發現客戶資料外洩的事件,似乎也不需要特別的訝異了!

關於機密資料,首先一定要建立起資料保護的意識,不管資料分類的大方向為何,是依照資料所牽涉到的金額多寡,還是依照資料機密性的程度,那些越少人需要知道的資料就越機密,或是依照核決權限,需要越高階層主管核可的資料就越重要,同樣的都要確認那些資料是應該歸屬於組織、單位或個人應該負起保護責任與義務的,再來看看這些資料要如何區分,這才進入到資料分類的階段,依照不同的分類以及不同的使用階段,分別設定不同的措施。對於高階主管而言,如果不希望自己組織內的核心技術,成為同業仿冒複製的對象。或是因為所謂機密性文件不當的控管,而成為隔日媒體頭版的焦點,甚至有可能因此而辭官下台,那麼就請開始注意這些容易被人忽略的機密資料吧!不要覺得這只是資訊單位的事,或是只是表面上宣示一下口號,這樣都無濟於事。更何況不管使用再先進的設備工具,還有一種洩漏管道是無法抵擋,那就叫口語傳播。真正要杜絕言語上的外洩,就只有看高階管理階層,有沒有如此的毅力和認知了。