拒上頭版！機密資料做好分級控管

資料保護的工作，非僅是資訊單位的職責，高層應當分出資料文件的大方向，並訂定出每個人的使用權限，以降低資料外洩的機率。

當我們進入任何一個組織，如果提出這樣的問題：「請問你們的機密資料有沒有分類？又是如何進行控管？」，很典型的會聽到2種答案。有一派的人會告訴你說：「我們單位有分普通、機密和極機密的資料，都有分不同顏色的公文夾，我們看到公文夾的顏色，就知道文件的機密等級。」另外一派的人，則會用一雙哀怨的眼神看著你，幽幽的表示：「我們又不是情報單位，也沒有國防資料，不會有人對我們的資料有興趣。」也許我們該拍拍手，大家對於機密資料都有很好的處理。從另外一個角度來看，重新定義「機密資料」，會不會有不一樣的答案？

熟悉資料特性 給予適當保護
什麼叫「機密資料」？簡單來說，就是不想讓其他人所知道的資料。就像年輕的歲月，日記是傾訴心事最好的管道，在日記中記載著青少年的懵懂、對師長的不滿。這樣的文件，當然不是任何人可以垂手可得，於是另一場鬥智遊戲又再度展開，床墊下、牆壁的夾層，都可以變成日記藏身的所在。

時至今日，對應到組織內，機密資料就更多了，從組織的經營方針、財務流向，乃至於新產品的研發計劃，都不是一般人可輕易取得的，當然需要被列管。除了組織整體性的資料外，各部門內也有屬於各自的機密資料，行政管理單位採購發包的金額，法務部門訴訟中的案件，不要覺得這些文件不重要，想像一下，如果有一天人事單位把薪資所得資料傳送給每一個人，那會是怎樣的下場呢？

有了這一層認知，就可以知道所有單位都會存在所謂的機密資料，而展現的方式，可能是紙張、或是電子檔案，這些機密資料，會隨著產業特性或是部門特質而有所差異。不同的資料型態，相對所採用的保護方式也就不同。傳統的紙張，可能採用限閱的方式，文件閱覽過後，不允許複印，文件也是統一保管，更不可以攜帶到其他的場所。

至於電子檔案，使用者帳號密碼這是最起碼的限制，必要的時候，可能對資料採用加解密或是亂碼的措施。正因為機密資料的型態不是只有單一的形式，目前很多組織都列一個概括性的原則，如果只依照大原則的分類，或是只想靠單一的文件控管軟體，就以為可以解決機密資料的問題，那真是把問題想得太簡單了。如果各部門無法整理出屬於自己單位的機密資料，不了解這些資料的特性，那又如何能談下一步的保護。

資料保護意識 管理階層帶頭做
更何況無論是紙張文件，或是電子檔案，目前所採用的控管措施，大部分都還是偏重在使用的階段，也就是那些人在工作職掌上有需要運用這些資料。但是資料不會憑空產生，也不會無故消失，整個資料生命循環，從最初的產生，到最終資料的銷毀，無論是儲存、遞送，每一個過程都應該依照資料本身的屬性，進行不同的處理，這才是完整的機密資料分類。但是很可惜的，連最基本的機密資料分類，都已經弄得焦頭爛額了，更不要說還要注意到不同的階段，需要有不同的控管方式。也正因為如此，我們可以看到軍事機密，可以從廢紙場中被人整袋買回。好好利用搜尋引擎，不難發現那又是另一個樂園，未經錄取的求職人員個人基本資料，國中生學籍資料也在網路上歷歷在目。上級主管機關可以把下屬單位的資料原封不動的放在網路上，不管是組織架構、公務車使用記錄，甚至連人事考評都可以在網路上清楚的查閱。不知道那樣的心態，是不知道這些也是機密資料需要保護，還是覺得那是別人家的資料，就算出問題也與我無關。

最近更聽說某家金融機構，員工工會強力要求管理階層，要將組織內所有的作業辦法、管理規章、作業程序，全部可以開放讓人員可以自由取得，不受任何管制，甚至可以任意影印攜出。我們不知道這家金融機構是否已經日暮西山，所以工會已經幫員工做好跳槽其他金融機構的準備，還是根本沒有機密資料的意識，把組織資產當作廢鐵般秤斤論兩的在販售。如果連組織營運的資料，都可以毫不重視，那未來發現客戶資料外洩的事件，似乎也不需要特別的訝異了！

關於機密資料，首先一定要建立起資料保護的意識，不管資料分類的大方向為何，是依照資料所牽涉到的金額多寡，還是依照資料機密性的程度，那些越少人需要知道的資料就越機密，或是依照核決權限，需要越高階層主管核可的資料就越重要，同樣的都要確認那些資料是應該歸屬於組織、單位或個人應該負起保護責任與義務的，再來看看這些資料要如何區分，這才進入到資料分類的階段，依照不同的分類以及不同的使用階段，分別設定不同的措施。對於高階主管而言，如果不希望自己組織內的核心技術，成為同業仿冒複製的對象。或是因為所謂機密性文件不當的控管，而成為隔日媒體頭版的焦點，甚至有可能因此而辭官下台，那麼就請開始注意這些容易被人忽略的機密資料吧！不要覺得這只是資訊單位的事，或是只是表面上宣示一下口號，這樣都無濟於事。更何況不管使用再先進的設備工具，還有一種洩漏管道是無法抵擋，那就叫口語傳播。真正要杜絕言語上的外洩，就只有看高階管理階層，有沒有如此的毅力和認知了。