文檔管理系統(tǒng)是如何完美解決企業(yè)核心文檔保密問題

申請免費(fèi)試用、咨詢電話：400-8352-114

 　　文檔管理系統(tǒng)是如何完美解決企業(yè)核心文檔保密問題

　　1 企業(yè)的核心數(shù)據(jù)面臨內(nèi)外兩方面的安全保密隱患

　　1.1 缺乏統(tǒng)一管理

　　組織里某人或某些人起草的重要文件缺乏集中統(tǒng)一管理：企業(yè)員工的離職，電腦的丟失，有意或無意的刪除操作，或病毒的侵襲造成文件丟失。傳統(tǒng)上，像含有機(jī)密財(cái)務(wù)數(shù)據(jù)的投融資報(bào)告，月度、季度、年度銷售分析報(bào)告，財(cái)務(wù)分析報(bào)告，商業(yè)往來文件和合同，重要內(nèi)部會(huì)議的會(huì)議紀(jì)要等。這些對一個(gè)組織來講非常重要的文件大多是由組織里的某個(gè)人或某些人撰寫，保留在個(gè)人的電腦里，容易由于有意或者無意的原因造成文件丟失。

　　1.2 缺乏有效加密

　　很多企業(yè)在文檔和核心數(shù)據(jù)資產(chǎn)的加密方面意識不強(qiáng)，并且沒有有效的加密手段：文件在員工的電腦里可以輕松地通過電子郵箱、移動(dòng)存儲(chǔ)設(shè)備、通信工具、打印設(shè)備等將文檔原文直接拷貝出來，最終導(dǎo)致信息的泄露。

　　2 加強(qiáng)文檔數(shù)據(jù)管理的手段

　　2.1 建立組織級文檔保護(hù)機(jī)制

　　一個(gè)組織中最難管理的是人員，要管理好企業(yè)的核心文檔首先要管理好這些文檔的管理者。建立一套合理而健全的機(jī)制，是具有關(guān)鍵意義的做法。組織內(nèi)信息安全制度的建立，往往比購買設(shè)備、提高技術(shù)還重要。國外信息安全管理的經(jīng)驗(yàn)表明，大多數(shù)的攻擊來自系統(tǒng)內(nèi)部，并且外部可利用內(nèi)部進(jìn)行攻擊。而對內(nèi)部攻擊的防范比對外部攻擊的防范更困難。防范內(nèi)部的安全攻擊，管理措施(行政的和法律的)顯得更為重要。建立并執(zhí)行一整套科學(xué)、合理、嚴(yán)密的管理制度，從每一個(gè)環(huán)節(jié)堵塞電子文檔信息安全的漏洞，這些環(huán)節(jié)包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔，到電子檔案的保管、提供利用的全過程，即要進(jìn)行全過程管理，任何一個(gè)環(huán)節(jié)疏于管理，都有可能導(dǎo)致電子文檔信息的丟失或失真。加強(qiáng)對電子文件制作人員和管理人員的管理;電子文件制作過程要職責(zé)分明;電子文件形成后要及時(shí)積累;建立和執(zhí)行科學(xué)的歸檔制度;制定和嚴(yán)格執(zhí)行電子文檔的鑒定、保管制度和標(biāo)準(zhǔn);加強(qiáng)對電子文檔利用活動(dòng)的管理;建立電子文檔管理的記錄系統(tǒng)等。

　　2.2 利用數(shù)據(jù)安全保護(hù)軟件加強(qiáng)文檔管理

　　(1)加強(qiáng)訪問控制

　　訪問控制是網(wǎng)絡(luò)環(huán)境下電子文檔信息安全防范和保護(hù)的主要措施和手段，它的主要任務(wù)是保證包括電子文檔信息在內(nèi)的網(wǎng)絡(luò)資源不被非法訪問和非法使用。具體措施包括：入網(wǎng)訪問控制，控制組織內(nèi)的用戶是否用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶的訪問時(shí)間和準(zhǔn)入范圍;權(quán)限控制，控制用戶允許訪問哪些目錄、子目錄、文件和其他資源;指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作，如只讀、改寫、創(chuàng)建、刪除、查找、存取控制等，而最基本的控制是防止電子文檔的拷貝篡改和打印;

　　(2)數(shù)據(jù)加密

　　信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息的傳輸，確保不宜公開的電子文檔的非公開性。在多數(shù)情況下，信息加密是保證電子文檔機(jī)密性的唯一方法。如果有權(quán)使用受控文件的內(nèi)部人士將受控文件通過郵件，聊天工具，u盤等任何方式傳遞給第三者，第三者打開文件看到的是亂碼，確保信息不被泄露。

　　(3)文檔備份

　　由于網(wǎng)絡(luò)的不安全性，導(dǎo)致電子文檔信息易丟失或失真，給信息安全帶來嚴(yán)重威脅。盡管可以采取各種各樣的技術(shù)和方法來保證網(wǎng)絡(luò)的安全，但客觀地說，任何一個(gè)網(wǎng)絡(luò)都不能確保萬無一失，信息丟失和失真的現(xiàn)象難免不會(huì)發(fā)生。如果建立備份與恢復(fù)系統(tǒng)，即使信息丟失和失真，也能夠做到有備無患，只要啟動(dòng)該系統(tǒng)，丟失或失真的信息就會(huì)重新恢復(fù)原來的面貌。

　　(4)事后跟蹤

　　企業(yè)在加強(qiáng)管控的同時(shí)還應(yīng)注意文檔泄露后的跟蹤管理。應(yīng)該準(zhǔn)備好正常的事件報(bào)告和分類程序，這類程序用來報(bào)告可能對機(jī)構(gòu)的財(cái)產(chǎn)安全造成影響的不同種類的事件和弱點(diǎn)，所有的員工、合同方和第三方用戶都應(yīng)該知曉這套報(bào)告程序。他們需要盡可能快地將文檔泄露事件和弱點(diǎn)報(bào)告給指定的聯(lián)系方。組織應(yīng)明確信息安全事故報(bào)告的方式、報(bào)告的內(nèi)容、報(bào)告的受理部門，即安全事件應(yīng)在被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)氖芾硗緩竭M(jìn)行通報(bào)。應(yīng)當(dāng)盡可能快速地通過適當(dāng)管理渠道來報(bào)告安全事故。組織的普通員工通常是安全事件的最早發(fā)現(xiàn)者，如果安全事件能及時(shí)發(fā)現(xiàn)并報(bào)告相應(yīng)的主管部門，作出及時(shí)的處理，能使組織的經(jīng)濟(jì)損失及聲譽(yù)損失降到最低。為及時(shí)發(fā)現(xiàn)安全事件，組織應(yīng)建立正式的報(bào)告程序，分別對安全事故的報(bào)告作出明確規(guī)定。應(yīng)當(dāng)讓所有員工和第三方的簽約人都了解報(bào)告程序并鼓勵(lì)他們在安全事件發(fā)生的第一時(shí)間就盡快報(bào)告。還應(yīng)當(dāng)建立起事故反應(yīng)機(jī)制，以便在接到事故報(bào)告時(shí)，有關(guān)部門能及時(shí)采取措施。應(yīng)當(dāng)建立適當(dāng)?shù)姆答仚C(jī)制，確保在處理完事故之后，使員工能夠知道所報(bào)告事故的處理結(jié)果。同時(shí)可以用這些事故來提高用戶的安全意識，使他們了解發(fā)生了什么情況、對這種情況怎樣做出反應(yīng)并且將來如何避免這些事故。針對不同的類型的安全事件，作出相應(yīng)的應(yīng)急計(jì)劃，規(guī)定事件處理步驟。

　　3 結(jié)論

　　企業(yè)核心文檔的安全保密工作關(guān)系到企業(yè)的核心競爭力和可持續(xù)發(fā)展水平，加強(qiáng)保密工作、建立有效的防范機(jī)制、提高員工的保密意識、利用系統(tǒng)手段進(jìn)行文檔管理是全面提高保密管理能力的有效途徑。