員工違規存取機敏資料,檢調介入偵辦!
-
列印
- 文/ 資訊安全部
媒體報導某行政法人機構有員工涉嫌透過內部漏洞下載機敏資料,檢調介入偵辦,釐清是否涉及不法及資料外洩情形。
據調查,該機構員工以「節省經費」及「行政作業方便」為由,指示同仁駭侵取得各部門公文,並將資料儲存外租的伺服器中,重建一組新的公文系統,再丟至雲端讓組員隨時閱覽。由於公文大多與公私部門合作案有關,文件有分級限制,下載的資料已超越權限,調查局懷疑另有目的,辦案人員查扣三人手機、電腦與伺服器鑑識,追查有無境外勢力介入。
公司依據檔案管理安全政策將資訊機密等級區分如下:
▲極機密資訊
該資訊為公司最重要之資訊,如外洩將對公司的利益有非常重大損害,知悉該資訊僅限於特定人或封閉範圍內。該資訊包括但不限於本公司尚未正式對外發表之關鍵性策略,如購併、聯盟策略等。
▲機密資訊
該資訊屬公司營業秘密,或依法規命令要求有保密義務者,非一般涉及該類資訊之人所知者;其資訊來源不限公司內部所產出,或是從外部所取得之機密資訊。機密資訊包括但不限於:
1、自行查核相關文件。
2、涉及個人資料保護法所規定之作業。
3、其他對本公司安全風險控管上之重大措施。
▲內部資訊
基於業務資訊,適用於公司內部使用,可於公司員工間使用之資訊,包括但不限於本公司內部共通之資訊,例如規章辦法、作業程序或內部會議紀錄、簽呈、照會單、共用表單等。
▲公開資訊
適用於不限公司內,公眾皆可得知之資訊,包括但不限於如商品廣告、新聞稿等。
運用公司資訊,應留意職場資訊淨空辦法及資訊安全行準則等相關內容,例如:
★極機密或機密資訊必須以安全方式存放於工作場所中,例如檔案加密後存放、上鎖的檔案櫃等。
★當不在電腦設備旁時,必須將電腦鎖定(password protected)後再行離開。
★列印、影印或傳真文件後,必須立即自印表機、影印機或傳真機取回。
★如機密或極機密資訊(如客戶個人資料、信用卡卡號等)儲放在網路檔案夾或可攜式媒體(如USB、CD/DVD等)上,都必須採取適當加密保護機制(如使用Zip軟體等)。
★極機密或機密資訊必須透過安全方式進行銷毀,例如:實體文件可利用碎紙機或委請合格廠商進行銷毀;可攜式媒體、磁帶或硬碟可採用實體銷毀、磁性銷毀或使用軟體進行資料清除等安全方式。
★當極機密或機密資訊的文件不使用時,不論存放於何種媒體,都必須放置於上鎖的辦公室、櫃子或辦公桌中,不能遺留在公共區域或空間中。
★當工作場所都無人使用時,需實施下列規則:
(1) 紙張和文件必須放在檔案夾內或裝訂起來。
(2) 空檔案夾可以允許留在桌上。
(3) 零散的紙張或文件不應該被留在桌上。
(4) 個人物品要越少越好。
★切勿試圖進行超越您的授權層級之行為。
★未經適當授權,不要把公司資訊上傳到外部網站上。
★當員工出差與在家工作時也應遵守相關規定。
---
參考資料:
檔案管理安全政策
資訊安全行為準則
職場資訊淨空辦法
