企业商业涉密档案管理现状及对策
2016-02-02邹晔
■邹晔
企业商业涉密档案管理现状及对策
■邹晔
企业涉密档案是企业档案的一部分,由国家秘密和企业商业秘密组成。其中商业秘密是企业投入了大量的人、财、物创造的智力成果,体现了企业的创新能力和市场竞争能力,蕴含着极高的市场价值和潜在利润,关系到企业未来经济发展的成败。企业商业秘密的密级,根据泄露会使企业的经济利益遭受损害的程度,又可分为核心商业秘密、普通商业秘密两级。作为国有大型企业,宝钢于2007年通过国家三级保密资格认证,2012年又顺利通过了军工保密资格的复查、复审,公司以国家保密资格认证、换证工作为契机,全面梳理和规范了相关业务流程,制订和完善了相关规章制度,并举办培训,组织检查,旨在提高全员保密意识,确保国家和企业的安全和利益。
一、商业秘密档案管理现状
商业秘密档案由商业秘密文件转化而成。涉密文件的定密是做好保密工作的基础性工作,但在实际工作中,“定密”经常出现以下问题:
1.定密的准确性难以把握
一般来说,文件的密级由文件形成部门确定,确定某一事项是否属于企业秘密、何种密级和保密期限的过程,实质上是一个主观判断、自由裁量的过程,由于定密人员掌握国家政策、了解行业动态等不同,对保密事项范围的理解和把握也不同,对同一事项不同的人会得出不同结论。
2.密级标识不够规范
企业商业秘密的标志由权属(单位规范简称或者标识等)、密级、保密期限三部分组成。然而在工作中,除公文外,大部分涉密文件材料都没有严格按规定执行,标注欠规范,普遍只标密级,基本上不标注“★”和保密期限,或在有关文件的资料袋上写上“企业秘密”,或在有关文件上印上“军工”字样等,特别是涉密存储介质更是少有做出规范性的标志。
3.商业秘密文件信息著录不够严谨
在数字化环境下,涉密文件的标识往往通过“密级”及“保密期限”字段进行标引,定密人员在确定文件密级的同时必须著录“密级”和“保密期限”字段,这样才能确保涉密文件归档时信息的完整、准确。然而在实际操作中,经常忽视这两个字段,仅按系统默认的数据保存,以至于归档时影响涉密文件的认定。
4.商业秘密档案没有实现动态管理
目前,多数人对秘密文件的管理过程仅限于定密环节,致使绝大多数涉密事项一旦确定,就不再有相应的责任人跟踪管理,通常是依据密级确定年限,届时自行解密。这一状况使得许多已经失去保密价值的档案没能及时解密,影响了档案的利用。
二、商业秘密档案管理的对策
1.健全体系——建立全方位的安全管理体系,筑成企业商业秘密保护的有效防线
商业秘密管理制度是企业商业秘密保护的依据,是指导员工保守商业秘密的行为规范,包含了三方面的内容:
一是制定制度。企业应当以国家的档案法规为准绳,在认真贯彻执行《中华人民共和国保守国家秘密法》、《中华人民共和国反不正当竞争法》和《中央企业商业秘密保护暂行规定》等国家相关规定基础上,结合本单位业务工作实际,制定出一套符合保密法规、可操作性强的、严谨而又完整的与本企业相适应的一系列规章制度,如《保密管理办法》、《商业秘密及内部事项保密管理办法》、《商业秘密定密及密级变更管理细则》、《涉及公司商业秘密员工劳动合同管理办法》等,这些制度对商业秘密管理工作的各个环节都做出明确规定,约束管理者在文件产生、存储、流转、归档、保管、利用、解密、销毁等各个环节不出差错,各项规章制度的条文严密而简明,方便工作,具有可操作性,便于执行,并在实践中认真加以总结,不断充实和完善。
二是严格执行。有了好的管理制度,却不能按制度严格遵守和执行,等于一纸空文。在保密管理中的各个环节都必须按制度执行,一视同仁,决不能因人而异,或因审批程序复杂而简化手续甚至不履行手续。
三是有严格考核。保密工作要与业务工作做到同计划、同检查、同考核、同总结、同奖惩,根据企业保密制度和企业确定的商业秘密事项,列出具体的考核项点,制订考核标准,定期进行考核检查。通过检查考核,了解企业保密制度的落实情况,了解保密承诺人对承诺内容履行情况,以及企业商业秘密事项的管理情况,以便及时发现问题,堵塞保密管理中的漏洞。
2.控制源头——建立科学的定密机制,确保涉密事项从源头受控
定密工作是保密工作的源头,是保密管理的基础工作,定密不准的问题一直是保密管理的瓶颈,制约着保密管理的最终效果,应从以下五方面确保涉密信息源头受控:
一是合理确定企业商业秘密事项。商业秘密不同于国家秘密,它渗透在企业的科研、生产、营销、管理等各个环节,但并非每项业务工作都涉及,需要根据商业秘密的法律构成要素,结合本企业自身实际情况,以“精细化、有区分、可操作”为目标,从商业秘密基本范围——技术信息和经营信息两大类梳理出具有本企业特色的商业秘密事项,划分出本企业商业秘密范围,细化本企业商业秘密事项目录,这样可以明确保护的对象,突出保护的准确性,做到商业秘密保护有的放矢。
二是完善定密工作程序。保密范围只是规定了某一类事项属于商业秘密,并且保密期限、知悉范围等内容也规定得较为弹性,具体定密时还应按照“业务工作谁主管、保密工作谁负责”的原则,落实保密工作责任制,并采取“三同时”的方法进行涉密事项密级和保密期限的确定工作,即起草文件的同时拟定其密级和保密期限,审核文件的同时审定其密级和保密期限,签发文件的同时确定其密级和保密期限。同时随着办公自动化系统的普及,结合公文处理的流程,合理确定公文起草、流转、承办、审批、签发等各个环节的定密规定和责任区分,确定争议事项的处理原则和方法,形成点对点的流程式运作模式,使具体职责层层分解,对定密工作的每个环节落实到岗、到人,任何一个环节不合格,当前处理人都可以进行退回,要求重新办理,确保工作的实效性,确保定密的“有效、可控、可追溯”。
三是规范密级的标识。按照企业相关文件规定,商业秘密标志由权属(单位规范简称或者标志等)、密级、保密期限三部分组成。如:“宝钢核心商密长期”、“宝钢普通商密1年”等,并在权属、密级、保密期限标识之间留有间隔。这些标识除了在涉密载体的规定位置上进行明显标注,还要在计算机系统中进行录入,特别要注意的是在进行“密级”字段录入的同时,绝不能忽视“保密期限”字段的录入,如果没有标注保密期限,就会使所有标注密级的档案都按其最高的保密期限来管理,不利于档案的及时解密。
四是加强密级变更管理。商业秘密文件是有等级的,也是有时效性的,在管理过程中,其密级不是一成不变的,而是随着时间的推移和文件贯彻的情况变化的,基本变化是升密、降密、解密。其中升密是极少数的,也是暂时的,大多是降密,直至解密。过去档案的解密制度不够明确,一密定终身,而应该解密的又没按时解密,还有许多涉密档案,只标有密级而没有保密时限,多数都是超期服役。因此要完善解密制度,在保证企业利益不受侵害的情况下及时解密档案。而对商业秘密档案进行解密工作,应当遵循公司的有关规定,由原确定密级的部门、单位进行,档案管理部门主要应注意以下3个方面:(1)科学著录保密期限,以便保密期届满后档案自行解密;(2)完善密级变更流程,对在保密期间发生升降变化或提前解密的文件,保密期限届满后需要延长的,由确定密级的部门、单位及时变更其密级和保密期限,并同步通知档案部门,配合涉密事项的产生单位应及时在有关档案原标志位置的附近做出新的标志。(3)在档案系统设置相关功能,适时调整,自动完成解密划控工作。
五是开展定密监督。在保密工作中,各级保密行政管理部门应当把定密监督作为一项重要工作来抓。保密工作部门把监督检查定密工作纳入行政执法责任制,作为保密工作的一项重要任务,定期开展,发现问题,督促整改。
3.融入业务——将计算机网络安全技术融入保密业务工作中,提升保密工作效能
对于现代企业来说,一方面,现代企业作为一个群体组织,其正常的运作是由各个有机组成部分协作分工共同实现的。在企业正常运作的各个环节都可以产生出具有价值、值得保护的信息资源,因此,从企业管理人员到基层的操作人员,都或多或少掌握着一些商业秘密;另一方面,现代企业的管理、生产、研制过程大都是在网络和用户终端上完成,产生的商业秘密多以实现电子化,商业秘密可能存在于分散的用户终端,也可能存在于企业或部门的文件服务器,或者应用系统的服务器中,鉴于此,构建企业内商业秘密的防护是一项复杂的系统工程,涉及到主机、网络、数据、终端等多个层面。国资委于2012年5月颁布了《中央企业商业秘密信息系统安全技术指引》,对商业秘密的保护提出了完整的技术规范。宝钢软件公司率先提出基于云存储的商业秘密保护概念,并自主研发“基于云存储的商业秘密保护平台”,该平台将终端安全、数据安全与云存储安全进行有效联动,首次提出商密准入,商密合规访问的创新商密保护思路,确保只有合法的人通过合规的终端才能创建安全磁盘,并通过安全磁盘与云端存储进行实时同步,为用户提供了全周期、全流程、全层次的数据保护解决方案。
全周期:实现商业秘密数据从制作、存储、使用、传递到销毁等全生命周期的闭环管理,以帮助企业建立全生命周期的数据安全防护体系。
全流程:从商业秘密保护的业务角度出发,实现了商业秘密定密、密级变更、审批、外发、离线外带、内外部流转等各个流程的集中管控。
全层次:提供了从前台传统终端、移动终端到后端数据存储的多重保护措施。在用户终端层面,提供安全准入、健康体检、虚拟磁盘、驱动层的透明加密、离线访问、外发控制等功能,有效防范客户端面临的安全威胁;在后端存储层面,采用了云存储技术,实现了数据的集中存储,通过高强度的加密、多重冗余、碎片化存储等多种技术,确保服务端的数据安全。
系统通过以上技术手段,改变了以往企业商密数据分散在员工个人手中难以管控的局面,以数据集中存储,分级管理为核心理念,改变商业秘密分散管理、各自为政的局面,通过数据的自动汇聚、灵活的分级管理策略和全面的业务管理流程,对企业涉及商业秘密的各种文件、合同、资金、账务等非结构化数据进行统一管理和加密保护,保证企业的商密数据资产被有效识别并有效管控,同时,由于可以在云端服务器上设置管理统一、分级授权的安全防护机制,使得企业商密数据,在集中化的前提下得到了统一的保护,为宝钢的商密管理体系提供有力的技术支撑。
4.全程闭环——构建“无缝对接”的档案管理体系
企业档案工作要科学发展,必须将档案管理工作与现代企业管理有机结合,与各业务工作协同发展,使所有管理要素有机融合、互相支撑,形成一个协同运转的整体闭环系统。最突出的一点就是要改变档案的收集归档工作方式,要建立各业务系统与档案信息系统的归档接口,在双方业务成熟的条件下,实现不落地归档和信息资源共享,商业秘密的档案管理完全可以把“基于云存储的商业秘密保护平台”的成功经验、先进技术“移植”到档案系统中,逐步构建“无缝对接”的档案管理体系,把信息安全保密贯穿到档案信息系统的整个生命周期中,确保商业秘密文件在归档后的安全管理,并在大力开展档案利用工作的同时,针对不同层次的利用人员确定不同的利用范围,规定不同的审批手续,实现内部人员经授权控制知密范围,从而真正实现商密档案全过程管控,形成一个“全方位覆盖,全过程闭环”的系统。
作者单位:宝山钢铁股份有限公司