網(wǎng)站首頁
產(chǎn)品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務(wù)與支持
關(guān)于敏捷
行業(yè)資訊
敏捷分享丨國企下屬單位泄密事件剖析,國有企業(yè)加強數(shù)據(jù)安全管控的四個舉措
發(fā)布時間:2024-04-11    作者:敏捷科技
國有企業(yè)特別是大型國有企業(yè)下屬單位層級多、分布廣,人員多、結(jié)構(gòu)復(fù)雜。近年來,國有企業(yè)下屬單位,在上級文件傳達落實、涉密人員管理、涉密文件管理和涉密項目保密管理等方面存在較多風(fēng)險隱患,導(dǎo)致泄密事件頻發(fā)。


640.png




國企下屬單位泄密事件

 A集團下屬某公司收到集團印發(fā)的機密級《工作要點》后,公司辦公室工作人員蔣某依據(jù)該文件起草本公司《工作安排》,但未確定為國家秘密,經(jīng)公司相關(guān)領(lǐng)導(dǎo)張某、吳某審批后,通過公司非涉密OA系統(tǒng)分發(fā)至公司各部門及所屬15家企業(yè),所屬企業(yè)又分發(fā)給內(nèi)設(shè)部門。經(jīng)比對,該公司《工作安排》與集團《工作要點》重復(fù)較多,內(nèi)容涉密。


 C集團某分公司承擔一項涉密項目,為讓項目現(xiàn)場負責(zé)人曹某、工作人員李某協(xié)助起草有關(guān)材料,該單位工作人員劉某將項目涉及的一份機密級文件中的第1頁、第6頁、第8頁交曹某、李某閱看,并明確要求嚴禁將文稿帶出辦公室,嚴禁拍照、復(fù)印。但在閱看期間,李某在劉某與曹某不知情的情況下,擅自使用手機對上述3頁文件拍照,并通過圖文識別小程序轉(zhuǎn)換成電子文檔,用于起草材料。


 E集團印發(fā)一份秘密級通知,要求逐級傳達落實。集團下屬三級企業(yè)一線工人屈某,平時接觸國家秘密較少,保密意識不強,遂將通知發(fā)送至生產(chǎn)線微信工作群中,造成泄密。


● F集團某子公司為及時向海外分公司傳達上級文件,違規(guī)使用互聯(lián)網(wǎng)視頻會議軟件召開會議進行傳達,導(dǎo)致一份密級文件的主要內(nèi)容被境外竊取、炒作。


通過對這些國企下屬子公司單位的泄密事件總結(jié),結(jié)合敏捷國企客戶數(shù)據(jù)安全防護的實際場景需求,敏捷認為當前國企下屬單位的數(shù)據(jù)保密工作還存在以下薄弱環(huán)節(jié):


>> 定密管理不規(guī)范導(dǎo)致泄密:一些國有企業(yè)下屬單位工作人員保密業(yè)務(wù)知識掌握不扎實,定密知識欠缺,在實際工作中定密不準確,執(zhí)行上級涉密事項沒有嚴格遵守派生定密要求。同時,一些定密責(zé)任人、部門負責(zé)人也存在定密知識欠缺、定密審核不嚴格的問題,導(dǎo)致將涉密文件作為非涉密文件印發(fā),成為泄密事件的源頭


>> 私下傳輸涉密文件無管控:國有企業(yè)的下屬三四級企業(yè)通常會承擔一定的涉密項目,項目組往往不設(shè)在企業(yè)辦公地點,具有分散性和流動性,部分項目組保密管理不規(guī)范,對涉密項目參與人員缺乏保密教育,“重項目實施、輕保密管理”問題突出。工作人員為圖方便,僥幸心理作祟,違規(guī)使用郵箱、微信、QQ傳遞涉密信息,存在較大失泄密隱患。


>> 傳達層級多、范圍廣導(dǎo)致泄密:國有企業(yè)的涉密和內(nèi)部文件往往要傳達到下屬三級甚至四級單位落實,有的甚至要傳達到一線生產(chǎn)車間,傳達層級多、涉及范圍廣。同時,下屬單位基層一線工作人員多,接受保密教育培訓(xùn)少,保密意識基礎(chǔ)薄弱,容易因不知不會導(dǎo)致泄密。


>> 與境外分支機構(gòu)聯(lián)絡(luò)存在隱患:大型國有企業(yè)境外分支機構(gòu)較多,在跨境辦公、工作聯(lián)絡(luò)、涉密文件傳達、涉密項目開展等方面,缺乏安全保密的聯(lián)系渠道和傳輸途徑。一些分支機構(gòu)不注重保密管理,溝通聯(lián)絡(luò)時圖方便、重速度、輕保密,將涉密信息通過互聯(lián)網(wǎng)傳遞,存在較大失泄密風(fēng)險隱患。


敏捷科技為大型國有企業(yè)中國中車集團及其下屬51家一級子公司保障數(shù)據(jù)安全多年,對國有企業(yè)數(shù)據(jù)安全防護難點及日常業(yè)務(wù)泄密場景有深入了解和針對技術(shù)。憑借多年的行業(yè)深耕及市場經(jīng)驗,敏捷科技對國有企業(yè)及下屬單位的數(shù)據(jù)安全與數(shù)據(jù)管理提出以下建議:


? 強化保密意識 層層落實責(zé)任:國有企業(yè)層級多、單位多,保密管理不可能“一竿子捅到底”,必須層層壓實主體責(zé)任,使每個下屬單位對自身保密管理負責(zé)。集團總部可以制定并落實分層分級的保密責(zé)任制度,定期進行保密規(guī)范和法律規(guī)定培訓(xùn),將保密工作責(zé)任制落實情況納入下屬單位責(zé)任考核體系,使國企員工在日常工作中自覺為國家機密、商業(yè)秘密等進行保密。


?引進防護手段 管控涉密文件

Part.1

內(nèi)部辦公場景

首先,將所有內(nèi)部數(shù)據(jù)按照分類分級原則,統(tǒng)一進行密級劃定,根據(jù)不同的級別采取阻斷、告警、加密等措施。對涉密文件則進行強制加密存儲管控,并根據(jù)文件密級,匹配相對應(yīng)的人員權(quán)限,縮小涉密信息知悉范圍,確保對內(nèi)部數(shù)據(jù)進行全生命周期的安全管控,從而降低內(nèi)部泄密的可能性。


Part.2

文件傳輸場景

通過加密文件的外發(fā)審批流程,限定接受者文檔使用權(quán)限、閱讀次數(shù)和使用時間等。這樣集團總部在向下級單位印發(fā)涉密文件時,可以要根據(jù)文件的敏感性和工作需求,明確轉(zhuǎn)發(fā)和傳達范圍,防止層層轉(zhuǎn)發(fā)到不具備保密條件的基層單位和個人。


Part.3

跨境辦公場景

可以通過部署數(shù)據(jù)安全管控平臺,在員工跨國出差需使用內(nèi)部文件數(shù)據(jù)時,集團內(nèi)部可將此次外出工作需要的電子文檔存放于管控平臺上,讓員工在個人云盤中上傳電子文件資料并進行查看編輯。而當電子文件從管控平臺下載到員工電腦上時,實施落地自動加密,并設(shè)置閱后即焚,保障數(shù)據(jù)的落地安全。



在數(shù)字化轉(zhuǎn)型浪潮中,國有企業(yè)正面臨著如何將合法合規(guī)、業(yè)務(wù)安全和數(shù)據(jù)管理有效集成的困境。作為國內(nèi)數(shù)據(jù)安全領(lǐng)域的領(lǐng)軍企業(yè),敏捷科技將一如既往、繼續(xù)用堅實的產(chǎn)品和周到的服務(wù),保障國有企業(yè)數(shù)據(jù)安全,堅決防范失泄密事件發(fā)生,確保國家秘密安全。


電話:18120179909