某国家级经济技术开发区在编制新一轮的产业发展规划时,形成了一份详细的招商指导文件。文件中明确列出了开发区未来三年的重点招商方向、目标企业清单、土地供应计划、优惠政策方案和产业扶持资金的分配预案。这份文件被视为开发区招商工作的核心机密,只有少数招商部门的核心人员才有权限查阅。
文件起草完成后,负责起草的工作人员为了方便与上级领导沟通汇报,将文件导入了在线协作文档中,并设置了分享链接发送给了领导。但他在设置分享权限时,误将文件设置为获得链接的人即可编辑,而不是仅查看。领导在查看文件后已经关闭了文档,但那个分享链接仍然有效,并且因为权限设置错误,任何获得链接的人都能对文档进行编辑。
几个月后,开发区管委会在网络上发现,这份招商文件的内容被部分转载到了行业讨论平台上。经过追踪,发现是一名曾在开发区考察过的投资顾问在网络上搜索开发区相关信息时,通过搜索引擎找到了这份设置成公开分享的在线文档,并将部分内容截图后发布到了行业群里。文件中的土地供应计划和优惠政策方案由此被广泛传播,原本计划在招商谈判中作为筹码的信息失去了应有的价值。
这一类招商信息的过早泄露,对开发区的影响是多方面的。目标企业可能因此调整谈判策略,提出更高的条件要求。竞争对手开发区则可以据此调整自己的招商方案,在竞争中占据主动。已经签署意向协议的企业也可能因为看到了更优惠的政策而重新要求谈判条件。一份内部文件的不慎泄露,可能让整个招商团队数月的辛勤工作成果大打折扣。
各地开发区和产业园区的招商部门和政策研究部门,在起草和管理敏感的政策文件时,应当建立严格的保密管理制度。文件的起草、审阅、定稿和分发过程应当有明确的分级权限控制,不同级别的人员只能访问与自己工作相关的信息。使用在线协作工具处理敏感文件时,应当仔细检查分享权限设置,避免因为操作失误导致信息扩散。对于涉及产业布局、土地供应、专项资金分配等高度敏感的信息,应当使用加密的专用系统进行管理,不得通过标准渠道传输和分享。在信息安全管理中,一个看似小小的权限设置失误,可能让大量的前期投入付诸东流。
从更宏观的信息安全管理视角来看,开发区和政府部门在制定敏感文件时,还应当建立文件密级分类管理制度。不同类型的文件根据其敏感程度划分为不同的保密等级,不同等级的文件采取不同的管理措施。文件从起草到正式发布的全生命周期内,每个环节都应当有明确的保密要求和操作规范。在文件的流转过程中,相关人员的权限应当遵循最小化原则,不需要知道的人就不应当接触到敏感信息。同时,对涉密文件的操作应当全程留痕,一旦出现问题可以快速追溯到责任人。数据安全管理不是一种随意的选择,而是组织机构在信息化进程中必须承担的基本责任,尤其是掌握着大量公共数据和公民信息的政府机构,在这方面更应当起到示范作用。
