很多涉密文件泄露的渠道并非原件被盗,而是复制件管理失控。员工可能出于工作需要将一份涉密文件复印几份分发给同事,但复印件的去向无人追踪。或者将扫描件通过即时通讯工具发给合作方,但未做任何密级说明。这些行为的发生,根源在于一种普遍的错误认知复印件比原件不重要,复印件不需要像原件那样严格管理。
纠正这种认知是企业涉密文件管理的第一步。法律层面来看,商业秘密的保护覆盖以任何形式存在的同源信息。企业层面来看,复印件和扫描件包含的信息与原文件完全相同,一旦泄露造成的损失也与原件泄露无异。因此,企业制度中应当明确规定复制件等同于原件,同密级、同管理、同追责的三大原则。任何人对涉密文件进行复印或扫描前,必须确认被复制文件属于哪一级保密类别。绝密文件的复印或扫描需要经企业最高负责人或保密委员会批准。机密文件的复印或扫描需要经部门负责人同意。秘密文件可以由授权人员自行操作但需要进行登记。未经审批的涉密文件复印属于违规行为,应当追究相应责任。
复印和扫描的操作过程本身也存在管控要求。涉密文件应当由文件持有人本人亲自操作复印或扫描,不得交由他人代办。复印或扫描时应当使用企业指定的专用设备,不得使用共享区域或公共文印设备中的传真复印一体机。复印设备应当放置在受控的文印室内,文印室的门应当保持常闭,非授权人员不得进入。复印或扫描完成后,操作人应当当场检查设备内部是否残留了原件或复印件,并在复制件上加盖复制章和密级标识章。复制章的样式可以设计为复制件编号加密级的格式,方便日后追踪和归档。
扫描件的电子化管理也需要同步跟上。扫描生成的电子文件应当以加密格式保存,文件名中注明密级标识。扫描件通过公司内部工作平台传输时,应当确认接收方具有相应的阅读权限。通过即时通讯工具或电子邮件发送扫描件,必须在消息正文中明确标注密级,并要求接收方确认收到后妥善保存。扫描件使用完毕后,如需删除版本和记录应当向IT部门提出申请,进行安全的彻底清理。
问:涉密文件复印或扫描后,原件上的修订号记录会泄露隐写信息吗?答:有可能。原件上的铅笔批注、手写修改和签署痕迹可能包含比正式内容更敏感的信息。在复印或扫描前,复印件应当使用白纸条覆盖这些手写内容。对于密级特别高的文件,建议在复印或扫描时制作一个干净的副本,而非直接复制带有批注的原件。
问:公司的共享复印机是否适合用于复印涉密文件?答:不适合。共享复印机通常连接办公网络,且硬盘中会缓存所有复印和扫描记录。这些缓存数据在复印机保修或报废后可能被第三方恢复,造成泄密风险。企业应当为涉密文件的复印配置专用复印机,该复印机的硬盘经过加密处理且不接入办公网络。或者使用无硬盘的简单复印机处理涉密文件。
问:外部机构在审计或尽调时需要查看涉密文件复印件,如何处理?答:应当在企业内部的阅文室提供复印件供对方现场查阅,查阅完毕当场收回或销毁。不得将复印件交给对方带走。如需对方在复印件上签字盖章确认的,可以在复印件上做企业水印或者书写仅限本次审计使用的限制性说明。
北京企密安信息安全技术有限公司从制度设计到设备选型,为企业提供涉密文件复制管控的全方位支持。如需了解更多信息,欢迎联系北京企密安信息安全技术有限公司邮箱jess@baomiwang.com。
