383期
  1. 公司訊息

員工違規存取機敏資料,檢調介入偵辦!

媒體報導某行政法人機構有員工涉嫌透過內部漏洞下載機敏資料,檢調介入偵辦,釐清是否涉及不法及資料外洩情形。

據調查,該機構員工以「節省經費」及「行政作業方便」為由,指示同仁駭侵取得各部門公文,並將資料儲存外租的伺服器中,重建一組新的公文系統,再丟至雲端讓組員隨時閱覽。由於公文大多與公私部門合作案有關,文件有分級限制,下載的資料已超越權限,調查局懷疑另有目的,辦案人員查扣三人手機、電腦與伺服器鑑識,追查有無境外勢力介入。

公司依據檔案管理安全政策將資訊機密等級區分如下:

▲極機密資訊

該資訊為公司最重要之資訊,如外洩將對公司的利益有非常重大損害,知悉該資訊僅限於特定人或封閉範圍內。該資訊包括但不限於本公司尚未正式對外發表之關鍵性策略,如購併、聯盟策略等。

▲機密資訊

該資訊屬公司營業秘密,或依法規命令要求有保密義務者,非一般涉及該類資訊之人所知者;其資訊來源不限公司內部所產出,或是從外部所取得之機密資訊。機密資訊包括但不限於:

1、自行查核相關文件。

2、涉及個人資料保護法所規定之作業。

3、其他對本公司安全風險控管上之重大措施。

▲內部資訊

基於業務資訊,適用於公司內部使用,可於公司員工間使用之資訊,包括但不限於本公司內部共通之資訊,例如規章辦法、作業程序或內部會議紀錄、簽呈、照會單、共用表單等。

▲公開資訊

適用於不限公司內,公眾皆可得知之資訊,包括但不限於如商品廣告、新聞稿等。

運用公司資訊,應留意職場資訊淨空辦法及資訊安全行準則等相關內容,例如:

★極機密或機密資訊必須以安全方式存放於工作場所中,例如檔案加密後存放、上鎖的檔案櫃等。

當不在電腦設備旁時,必須將電腦鎖定(password protected)後再行離開。

列印、影印或傳真文件後,必須立即自印表機、影印機或傳真機取回。

如機密或極機密資訊(如客戶個人資料、信用卡卡號等)儲放在網路檔案夾或可攜式媒體(USBCD/DVD)上,都必須採取適當加密保護機制(如使用Zip軟體等)

極機密或機密資訊必須透過安全方式進行銷毀,例如:實體文件可利用碎紙機或委請合格廠商進行銷毀;可攜式媒體、磁帶或硬碟可採用實體銷毀、磁性銷毀或使用軟體進行資料清除等安全方式。

當極機密或機密資訊的文件不使用時,不論存放於何種媒體,都必須放置於上鎖的辦公室、櫃子或辦公桌中,不能遺留在公共區域或空間中。

當工作場所都無人使用時,需實施下列規則:

 (1) 紙張和文件必須放在檔案夾內或裝訂起來。

 (2) 空檔案夾可以允許留在桌上。

 (3) 零散的紙張或文件不應該被留在桌上。

 (4) 個人物品要越少越好。

切勿試圖進行超越您的授權層級之行為。

未經適當授權,不要把公司資訊上傳到外部網站上。

當員工出差與在家工作時也應遵守相關規定。

---

參考資料:

檔案管理安全政策

資訊安全行為準則

職場資訊淨空辦法

https://www.cna.com.tw/news/afe/202603200126.aspx

https://udn.com/news/story/7321/9393675