觀點

逐步規劃員工與機密文件管理

2002 / 08 / 02
逐步規劃員工與機密文件管理

文/郭慧姿


員工與機密文件管理其實是每一個公司都需要,而且都想做的,但談到如何落實,一般公司卻是不得其門而入,CA公司諮詢顧問經理黃龍波表示,由於員工與機密文件管理涉及的範圍很廣,因此他建議企業要一步一步去做,不能操之過急,以避免對企業運作形成衝擊。
機密文件管理的極致:集中管理
目前一般的情況,如政府機關是將文件區分為一般件、密、機密、極機密與最機密五等級。當機密等級確定了,便要再依據權限,決定誰可以看,甚至規定是否可進行列印,並進行列印管理,黃龍波指出,列印管理也是一門學問:例如,有些公司要求員工使用列印識別卡,不僅可掌握成本,並了解員工列印了哪些編號的文件;有些印表機廠商就有提供這樣的支援。




黃龍波建議,極機密文件最好設定為不能列印出來,應該要集中至機房管理,且要運用主機Console
Mode(控制台模式)方式,也就是要看這些文件時,必須要在這台機器進行登錄,甚至必須經過申請,才有權限讀取。而且進行管理的機器數目有所限制,企業也須向員工宣導一離開系統時就必須Log
Out,平時螢幕僅會出現需輸入密碼的預備Log In畫面。




其實,機房的安全又是另一個重要議題,例如門禁管制、高架地板、FM200滅火設備、空調...的管理,以及人員進入機房後的權限管制、攝影機的監視...等。另外,就因為機密文件集中管理的觀念,若不幸發生火災,將使所有機密文件付之一炬,也突顯出異地備援的重要性。

觀念宣導不可少
黃龍波強調,企業應針對主管進行機密文件管理的觀念宣導,因為高階主管通常掌握較多機密文件,更須重視資訊安全,否則,員工與主管談事情的頻率相當高,若不經意看到機密文件,將徒增困擾,企業有許多謠言就因此而起。另外,重要的紙本也不其實機密文件的分類並不是一件容易的事,就連BS7799當中對於機密文件的管理政策也未見詳細,僅指出應該要作機密等級區分,因此,黃龍波建議,全公司都要動員,由各部門自行衡量重要文件有哪些?重要等級分成哪幾種?再匯整至公司總管理處,依據企業政策,協調共同的安全等級。他透露目前即有知名半導體業者之副總級以上主管,正在思考如何做到一些機密資料與特定Notebook的Chip連結在一起,當檔案一離開特定Notebook,就只是一堆亂碼的呈現。

員工的管理更複雜
黃龍波表示,相形之下,員工的管理更形複雜,除了一而在再,再而三的教育與叮嚀外,他建議企業可擬定相關規範:例如保密協定,釐清員工的責任與義務,以利員工了解公司內部有哪些等級的文件不能與他人分享或洩漏;目前一般高科技業者會要求員工簽定競業條款,要求員工在離職後一段時間內不得從事相關行業,即是為了避免營業秘密外洩。

掌握權限的「收回」流程
從員工的招募到離職,涵蓋了一連串包含電子郵件帳號、門禁、系統權限...種種的「給予」與「收回」,以及資訊安全意識的灌輸,黃龍波即以CA本身為例說明:當員工到職時,公司的人力資源部門會啟動相關機制:發文至Office
Manager,再通知門禁管理者準備識別證、門禁卡,以及到各部門辦理各事項的流程單,以「給予」員工各項權限。




至於權限的「收回」,黃龍波建議,由於種種權限的「收回」有其複雜度,企業各部門可先確立該部門員工應該有哪些權限,再運用軟體進行管理,在員工到職後,建立所有應有的權限,並在其離職後刪除權限;若目前企業沒有相關工具協助各項資訊流程的順暢,也應該反覆進行沙盤推演,了解哪些系統需要開立權限?哪些部門會用到?一一條列出後,在員工離職時再以此Check
List進行權限的「收回」。




他進一步表示,招募員工時這些機制建立的困難度其實較低,因為員工到職時,若公司「給予」的各項權限未見完整,為了工作的順暢,員工一定會去催促各部門提供他所需要的各項權限;最麻煩的是員工離職時,有些帳號因疏失而未刪除,可能就會導致有心人士或對公司不滿的離職員工進入系統,往往就因為員工離職後權限「收回」的過程未臻完善,而造成資訊安全的漏洞。