涉密载体销毁与处置操作规范
去年一家咨询公司的库房清理,清理工人在废品堆里发现了一大叠标注着"机密"的纸质文件,包括客户尽调报告、项目方案底稿、财务数据。一问才知道,这些文件是仓库管理员认为"过了有效期"准备卖废纸的。幸好发现得及时,不然这些资料三天后就会出现在某家废品回收站里,有可能被翻找信息的人带走。
涉密载体到了生命周期终点之后怎么处置,是很多中小企业保密管理的盲区。大家容易把注意力放在信息产生和传输阶段,到了销毁环节反而掉以轻心。
先说什么东西算涉密载体。不只是纸质文件,凡是承载了公司商业秘密的东西都属于涉密载体——包括纸质文件、光盘和硬盘、U盘和SD卡、报废电脑和服务器、报废的一体机硬盘、报废的碎纸机、甚至连办公用途的涉密笔记本也属于。不同载体的销毁方式不同,不能一刀切。
纸质涉密文件的销毁必须用碎纸机,而且不是普通的办公碎纸机。企业层面的涉密文件销毁,建议使用工业级细碎型碎纸机,粉碎后的纸条宽度不超过两毫米。办公桌旁边的那种小碎纸机一次性能碎五六张纸的,只适合处理一般内部文件,核心机密文件还是要集中拿到专用粉碎机处理。销毁过程至少需要两个人在场监督,双方在销毁记录上签字,注明销毁时间、文件名称、编号、数量和销毁方式。
硬盘和光盘的物理销毁是最彻底的方式。硬盘不要只格式化或者删除文件,因为专业的数据恢复工具可以重建被删除的数据。正确的做法是物理摧毁——用硬盘粉碎机或者专业钻头在硬盘盘面上钻穿。光盘也是一样,直接破碎处理。硬盘销毁时也要保留销毁记录,包括硬盘的资产编号、型号、数量、销毁方式、监督人签名。
U盘和移动硬盘的处置。这类存储设备因为体积小、容量大,经常被遗忘在抽屉里。建议建立存储设备全生命周期台账,每一个U盘从采购到报废都有记录。报废时要么物理毁坏,要么使用专业消磁设备进行消磁。特别注意带USB接口的设备在销毁前一定要确认里面有没有残留数据。
废旧电子设备的处置要严格管控。电脑、服务器直接卖二手或者丢垃圾桶都是隐患。这些设备在处置前必须对硬盘进行彻底擦除或物理销毁。有条件的最好由公司IT部门统一做数据清除处理,并出清空证明。清完再走资产报废流程。
委托外部机构销毁的话,一定要审核对方的资质和流程。市场上确实有专业的信息安全销毁服务商,但水平参差不齐。选择之前要查看对方的资质、销毁流程、透明度和监督机制。委托后也要派人现场监督,不要全权交给对方自己不管。
常见问题:
Q:涉密文件碎到什么程度才算安全?
A:国家对涉密载体碎纸机有标准要求,一般企业的核心机密文件建议使用粉碎后颗粒不大于两毫米乘八毫米的碎纸机。普通的条状碎纸机不够安全,因为纸条理论上可以被拼回去。
Q:废旧电脑的硬盘拆下来之后怎么处理?
A:最保险的是拆下硬盘之后做物理销毁。如果硬盘还能使用并且在公司内部有后续用途,可以用专业擦除软件做多次覆写(建议三次以上),然后重新分区使用。但涉密程度高的硬盘不建议重复使用。
Q:光盘销毁有什么特殊要求?
A:光盘表面有一层记录数据的有机染料层,用剪刀剪碎或者徒手掰断都很难彻底破坏那层数据。建议使用光盘粉碎机或者把光盘放入工业碎纸机一并处理。
