涉密传真与通信保密管理实务
有一次去客户公司做现场调研,路过传真机的时候我看到一张传真件正卡在出纸口。我走近一看,是一份供应商的报价单,清清楚楚写着产品型号、单价、交货期。旁边没有任何人在等这份传真,它就那么躺在那里,经过的每个人都能看到。我问旁边的人这份传真打算怎么处理,对方说"等行政回来再收"。这件事不是什么特例,传真机作为办公通信工具在绝大多数中小企业里几乎没有保密管理的概念。
虽然电子邮件和即时通讯已经取代了大部分传真需求,但在合同签署、报价确认、资质证明传递这几个场景中,传真依然在使用。传真的天然缺陷是明文传输、落地可见、无法追溯。
传真机的管理规范应该明确。传真机尽量放置在涉密办公区内部的独立空间,不要放在公共走廊或者前台附近。核心机密文件原则上不应该通过传真传输,如果必须传输,需要走审批流程,优先使用加密传真或者使用带密码接收的传真设备。对于需要紧急传真的情况,要求在设备前有人等候,接收完毕立即取走原件。
电子邮箱的保密管理同样值得重视。邮箱是企业通信中最常用的工具,也是被攻击最多的目标。员工邮箱的密码要足够复杂,不满足条件的密码必须强制修改。建议启用双因子认证,就是除了密码之外还需要手机验证码或者认证应用的一次性密码。在邮件安全中,钓鱼邮件也是最常见的攻击手段,建议公司每季度做一次钓鱼邮件模拟演练,提高员工识别钓鱼邮件的能力。
员工的邮箱权限要定期清理。很多公司员工离职之后,邮箱还在继续运行。这就等于公司的敏感资料有了一个没人管的出口。员工离职后,邮箱应该立刻停用或者转移给接任者,同时清空邮箱中的所有自动转发规则,因为离职员工很有可能会在离职前设置自动转发。
即时通讯工具的管理更是中小企业的重灾区。微信、钉钉、飞书、企业微信这些工具在工作里已经普及了,但使用规范基本没有。涉密信息不能在个人微信上发送是一个基本要求,即使是在企业微信中,也要注意群聊的范围和文件的安全设置。对于涉及到核心机密的文件,使用支持阅后即焚或者水印功能的通讯工具。
通信内容审计和记录保留。公司的通信系统应该具备基本的审计能力,记录异常行为的日志。涉密通信的审计日志保存时间不低于六个月,以备事后追查。另外,员工通信内容涉及到企业商业秘密的,如果在公司配发的设备上通过公司许可的通信工具进行,公司在合理范围内有权查看与工作相关的内容。
常见问题:
Q:公司可以用微信群讨论工作吗?
A:建议使用企业微信或钉钉的企业版讨论工作,群聊中的文件和聊天记录由企业管理。个人微信群里讨论工作内容的话,控制和追溯都非常困难。
Q:传真被错发到陌生号码怎么处理?
A:立即通知对方要求退回或销毁,同时报告给保密负责人。如果传真内容涉密等级较高,还需要临时评估有没有必要启动应急预案。
Q:邮件中不小心加了密级标注错误怎么办?
A:如果发现后能马上撤销,撤销处理。如果已经发送出去了,通知接收方按照错误标注密级的对应要求来处理,同时向保密负责人报备记录。
