國企下屬單位泄密事件
● A集團下屬某公司收到集團印發的機密級《工作要點》后,公司辦公室工作人員蔣某依據該文件起草本公司《工作安排》,但未確定為國家秘密,經公司相關領導張某、吳某審批后,通過公司非涉密OA系統分發至公司各部門及所屬15家企業,所屬企業又分發給內設部門。經比對,該公司《工作安排》與集團《工作要點》重復較多,內容涉密。
● C集團某分公司承擔一項涉密項目,為讓項目現場負責人曹某、工作人員李某協助起草有關材料,該單位工作人員劉某將項目涉及的一份機密級文件中的第1頁、第6頁、第8頁交曹某、李某閱看,并明確要求嚴禁將文稿帶出辦公室,嚴禁拍照、復印。但在閱看期間,李某在劉某與曹某不知情的情況下,擅自使用手機對上述3頁文件拍照,并通過圖文識別小程序轉換成電子文檔,用于起草材料。
● E集團印發一份秘密級通知,要求逐級傳達落實。集團下屬三級企業一線工人屈某,平時接觸國家秘密較少,保密意識不強,遂將通知發送至生產線微信工作群中,造成泄密。
● F集團某子公司為及時向海外分公司傳達上級文件,違規使用互聯網視頻會議軟件召開會議進行傳達,導致一份密級文件的主要內容被境外竊取、炒作。
>> 定密管理不規范導致泄密:一些國有企業下屬單位工作人員保密業務知識掌握不扎實,定密知識欠缺,在實際工作中定密不準確,執行上級涉密事項沒有嚴格遵守派生定密要求。同時,一些定密責任人、部門負責人也存在定密知識欠缺、定密審核不嚴格的問題,導致將涉密文件作為非涉密文件印發,成為泄密事件的源頭。
>> 私下傳輸涉密文件無管控:國有企業的下屬三四級企業通常會承擔一定的涉密項目,項目組往往不設在企業辦公地點,具有分散性和流動性,部分項目組保密管理不規范,對涉密項目參與人員缺乏保密教育,“重項目實施、輕保密管理”問題突出。工作人員為圖方便,僥幸心理作祟,違規使用郵箱、微信、QQ傳遞涉密信息,存在較大失泄密隱患。
>> 傳達層級多、范圍廣導致泄密:國有企業的涉密和內部文件往往要傳達到下屬三級甚至四級單位落實,有的甚至要傳達到一線生產車間,傳達層級多、涉及范圍廣。同時,下屬單位基層一線工作人員多,接受保密教育培訓少,保密意識基礎薄弱,容易因不知不會導致泄密。
>> 與境外分支機構聯絡存在隱患:大型國有企業境外分支機構較多,在跨境辦公、工作聯絡、涉密文件傳達、涉密項目開展等方面,缺乏安全保密的聯系渠道和傳輸途徑。一些分支機構不注重保密管理,溝通聯絡時圖方便、重速度、輕保密,將涉密信息通過互聯網傳遞,存在較大失泄密風險隱患。
敏捷科技為大型國有企業中國中車集團及其下屬51家一級子公司保障數據安全多年,對國有企業數據安全防護難點及日常業務泄密場景有深入了解和針對技術。憑借多年的行業深耕及市場經驗,敏捷科技對國有企業及下屬單位的數據安全與數據管理提出以下建議:
? 強化保密意識 層層落實責任:國有企業層級多、單位多,保密管理不可能“一竿子捅到底”,必須層層壓實主體責任,使每個下屬單位對自身保密管理負責。集團總部可以制定并落實分層分級的保密責任制度,定期進行保密規范和法律規定培訓,將保密工作責任制落實情況納入下屬單位責任考核體系,使國企員工在日常工作中自覺為國家機密、商業秘密等進行保密。
?引進防護手段 管控涉密文件:
Part.1
內部辦公場景
首先,將所有內部數據按照分類分級原則,統一進行密級劃定,根據不同的級別采取阻斷、告警、加密等措施。對涉密文件則進行強制加密存儲管控,并根據文件密級,匹配相對應的人員權限,縮小涉密信息知悉范圍,確保對內部數據進行全生命周期的安全管控,從而降低內部泄密的可能性。
Part.2
文件傳輸場景
通過加密文件的外發審批流程,限定接受者文檔使用權限、閱讀次數和使用時間等。這樣集團總部在向下級單位印發涉密文件時,可以要根據文件的敏感性和工作需求,明確轉發和傳達范圍,防止層層轉發到不具備保密條件的基層單位和個人。
Part.3
跨境辦公場景
可以通過部署數據安全管控平臺,在員工跨國出差需使用內部文件數據時,集團內部可將此次外出工作需要的電子文檔存放于管控平臺上,讓員工在個人云盤中上傳電子文件資料并進行查看編輯。而當電子文件從管控平臺下載到員工電腦上時,實施落地自動加密,并設置閱后即焚,保障數據的落地安全。
18120179909
關注敏捷小助手,了解更多