泄密事件发生的时候,企业的第一反应决定了最终的损失有多大。很多人以为泄密就是机密文件被发到了网上,其实泄密的形式多种多样,可能是员工不小心把文件发给了错误的客户,可能是外人混进了档案室,也可能是内部人员把核心数据打包拷走。不管哪种形式,如果公司没有一个清晰的应急处置流程,等大家反应过来的时候,损失可能已经无法挽回了。
今天咱们把泄密事件应急处置流程的每个环节掰开揉碎了讲清楚,从发现到研判到封堵到善后,一条线走到底。
第一步:发现与报告
泄密事件的发现通常有三种途径。一种是技术监测发现,比如DLP系统报警、异常下载提醒、外部数据泄露提醒。一种是人员报告,比如员工发现自己的账号异常、同事发现有人翻找保密柜、客户反馈收到了不该收到的文件。还有一种是外部告警,比如监管机构通知、客户投诉、媒体曝光。
不管哪种途径发现,发现人必须在发现后的第一时间向公司的保密管理部门报告。报告的内容包括发现时间、发现途径、泄密信息的基本描述、初步判断的影响范围。不需要在报告阶段做详细调查,但要有基本的定性判断,比如是否涉及核心秘密。
这里有一个容易犯的错误:发现人出于善意或者害怕被追责,先自己查了一下,耽误了半小时才上报。泄密应急处置的黄金时间非常短,通常是泄密后的一个小时内。所以规章制度中要明确写清楚,第一时间上报,不要自行调查,不要自行处理。
第二步:初步研判与分级响应
保密管理部门接到报告后,成立临时应急处置小组,由保密负责人、技术负责人、法务负责人和涉密信息所属部门的负责人组成。小组的工作是做出初步研判,判断泄密事件的性质、范围和严重程度。
研判定级的标准可以参考以下维度。泄密信息的密级,核心秘密泄密和一般秘密泄密的响应级别完全不同。泄密途径,如果是内部误操作还是外部恶意窃取,处置方法也完全不同。泄密的范围,是仅限于内部少数人知悉还是已经扩散到外部。泄密的时效性,如果是不再具有保密价值的历史信息,处置的紧迫性相对较低。
根据研判结果,将泄密事件分为三个响应等级。一级是重大泄密事件,涉及核心秘密或者可能对公司造成重大经济损失或者法律风险的,立即启动公司层面的应急响应,同时报告较高管理层。二级是较大泄密事件,涉及重要秘密且影响范围可控的,由保密管理部门牵头处置。三级是一般泄密事件,涉及一般秘密且影响范围有限的,由涉密信息所属部门自行处置并报备。
第三步:封锁与控制
确定响应等级后,立即进入封锁控制阶段。封锁控制的目标是切断泄密渠道、封存证据、防止二次扩散。
技术层面的动作包括:立即关闭涉事人员的系统账号和网络权限、检查系统日志和操作记录、阻止涉事设备的外网连接、启动数据备份和镜像保全、修改所有关联密码和密钥。物理层面的动作包括:封存涉事人员的办公设备和存储介质、封锁涉事区域的物理进出、派专人看守涉密档案柜和服务器机房。
封锁过程中要注意一个原则:宁可宽封不可漏封。因为一旦有遗漏通道,泄密可能继续发生。但宽封不是无限封,封存的范围要在第二次研判中重新评估,不必要的封锁可以逐步解除。
第四步:排查与取证
封锁完成后立即启动排查取证的流程。取证的目标是还原泄密过程、确认泄密责任人、收集法律证据。
取证工作要尽可能维持现场的原状,不要清理桌面、不要删除邮件、不要修改文件。所有电子数据的提取应当由专业技术人员操作,使用写保护设备防止数据被污染。取证的过程要做全程录像和书面记录,取出的每份证据都要贴上标签、标注提取时间和提取人。
排查方面需要弄清楚几个关键问题:泄密者是谁、泄密信息的具体范围和数量、泄密的渠道和工具、泄密的目的和动机、信息是否已经被第三方获取。
第五步:报告与通报
根据法律要求和合同约定,某些类型的泄密事件需要向监管机构、客户或者合作伙伴进行通报。比如涉及个人信息的泄露,按照个人信息保护法的规定需要向网信部门报告并通知受影响的个人。涉及军工、金融、医疗等行业的,还有行业特定的报告要求。
通报的内容要包括事件的基本情况、初步影响评估、已采取的处置措施和正在进行的补救工作。不要在没有查清楚的情况下做过多的归因和责任认定,避免因信息披露不当引发二次法律风险。
第六步:善后与整改
泄密事件的应急处置不是事情平息就结束了。善后阶段要做三件事。第一是恢复受影响的信息系统和业务流程,但要注意在确保安全可控的前提下才能恢复,不能为了恢复业务而放松安全要求。第二是对泄密事件的原因做深度分析,找出管理制度、技术手段和人员意识上存在的根本性问题。第三是根据分析结果制定并实施整改计划,防止同类事件再次发生。
每一次泄密事件都是保密管理体系的压力测试。应对得好,就是一次体系升级的机会应对得不好,可能会演变成更严重的危机。建议每家公司都提前制定好泄密事件应急处置预案,每年至少组织一次应急演练,让每个相关人员都知道自己在应急流程中应该做什么、什么时候做、怎么做。
应急处置流程图的核心就是六个步骤环环相扣,每个步骤的启动条件和时间要求都要在制度和预案中做出明确的规定。
