企業(yè)商業(yè)涉密檔案管理現(xiàn)狀及對(duì)策

■鄒曄

企業(yè)商業(yè)涉密檔案管理現(xiàn)狀及對(duì)策

■鄒曄

企業(yè)涉密檔案是企業(yè)檔案的一部分，由國(guó)家秘密和企業(yè)商業(yè)秘密組成。其中商業(yè)秘密是企業(yè)投入了大量的人、財(cái)、物創(chuàng)造的智力成果，體現(xiàn)了企業(yè)的創(chuàng)新能力和市場(chǎng)競(jìng)爭(zhēng)能力，蘊(yùn)含著極高的市場(chǎng)價(jià)值和潛在利潤(rùn)，關(guān)系到企業(yè)未來經(jīng)濟(jì)發(fā)展的成敗。企業(yè)商業(yè)秘密的密級(jí)，根據(jù)泄露會(huì)使企業(yè)的經(jīng)濟(jì)利益遭受損害的程度，又可分為核心商業(yè)秘密、普通商業(yè)秘密兩級(jí)。作為國(guó)有大型企業(yè)，寶鋼于2007年通過國(guó)家三級(jí)保密資格認(rèn)證，2012年又順利通過了軍工保密資格的復(fù)查、復(fù)審，公司以國(guó)家保密資格認(rèn)證、換證工作為契機(jī)，全面梳理和規(guī)范了相關(guān)業(yè)務(wù)流程，制訂和完善了相關(guān)規(guī)章制度，并舉辦培訓(xùn)，組織檢查，旨在提高全員保密意識(shí)，確保國(guó)家和企業(yè)的安全和利益。

一、商業(yè)秘密檔案管理現(xiàn)狀

商業(yè)秘密檔案由商業(yè)秘密文件轉(zhuǎn)化而成。涉密文件的定密是做好保密工作的基礎(chǔ)性工作，但在實(shí)際工作中，“定密”經(jīng)常出現(xiàn)以下問題：

1.定密的準(zhǔn)確性難以把握

一般來說，文件的密級(jí)由文件形成部門確定，確定某一事項(xiàng)是否屬于企業(yè)秘密、何種密級(jí)和保密期限的過程，實(shí)質(zhì)上是一個(gè)主觀判斷、自由裁量的過程，由于定密人員掌握國(guó)家政策、了解行業(yè)動(dòng)態(tài)等不同，對(duì)保密事項(xiàng)范圍的理解和把握也不同，對(duì)同一事項(xiàng)不同的人會(huì)得出不同結(jié)論。

2.密級(jí)標(biāo)識(shí)不夠規(guī)范

企業(yè)商業(yè)秘密的標(biāo)志由權(quán)屬（單位規(guī)范簡(jiǎn)稱或者標(biāo)識(shí)等）、密級(jí)、保密期限三部分組成。然而在工作中，除公文外，大部分涉密文件材料都沒有嚴(yán)格按規(guī)定執(zhí)行，標(biāo)注欠規(guī)范，普遍只標(biāo)密級(jí)，基本上不標(biāo)注“★”和保密期限，或在有關(guān)文件的資料袋上寫上“企業(yè)秘密”，或在有關(guān)文件上印上“軍工”字樣等，特別是涉密存儲(chǔ)介質(zhì)更是少有做出規(guī)范性的標(biāo)志。

3.商業(yè)秘密文件信息著錄不夠嚴(yán)謹(jǐn)

在數(shù)字化環(huán)境下，涉密文件的標(biāo)識(shí)往往通過“密級(jí)”及“保密期限”字段進(jìn)行標(biāo)引，定密人員在確定文件密級(jí)的同時(shí)必須著錄“密級(jí)”和“保密期限”字段，這樣才能確保涉密文件歸檔時(shí)信息的完整、準(zhǔn)確。然而在實(shí)際操作中，經(jīng)常忽視這兩個(gè)字段，僅按系統(tǒng)默認(rèn)的數(shù)據(jù)保存，以至于歸檔時(shí)影響涉密文件的認(rèn)定。

4.商業(yè)秘密檔案沒有實(shí)現(xiàn)動(dòng)態(tài)管理

目前，多數(shù)人對(duì)秘密文件的管理過程僅限于定密環(huán)節(jié)，致使絕大多數(shù)涉密事項(xiàng)一旦確定，就不再有相應(yīng)的責(zé)任人跟蹤管理，通常是依據(jù)密級(jí)確定年限，屆時(shí)自行解密。這一狀況使得許多已經(jīng)失去保密價(jià)值的檔案沒能及時(shí)解密，影響了檔案的利用。

二、商業(yè)秘密檔案管理的對(duì)策

1.健全體系——建立全方位的安全管理體系，筑成企業(yè)商業(yè)秘密保護(hù)的有效防線

商業(yè)秘密管理制度是企業(yè)商業(yè)秘密保護(hù)的依據(jù)，是指導(dǎo)員工保守商業(yè)秘密的行為規(guī)范，包含了三方面的內(nèi)容：

一是制定制度。企業(yè)應(yīng)當(dāng)以國(guó)家的檔案法規(guī)為準(zhǔn)繩，在認(rèn)真貫徹執(zhí)行《中華人民共和國(guó)保守國(guó)家秘密法》、《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》和《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》等國(guó)家相關(guān)規(guī)定基礎(chǔ)上，結(jié)合本單位業(yè)務(wù)工作實(shí)際，制定出一套符合保密法規(guī)、可操作性強(qiáng)的、嚴(yán)謹(jǐn)而又完整的與本企業(yè)相適應(yīng)的一系列規(guī)章制度，如《保密管理辦法》、《商業(yè)秘密及內(nèi)部事項(xiàng)保密管理辦法》、《商業(yè)秘密定密及密級(jí)變更管理細(xì)則》、《涉及公司商業(yè)秘密員工勞動(dòng)合同管理辦法》等，這些制度對(duì)商業(yè)秘密管理工作的各個(gè)環(huán)節(jié)都做出明確規(guī)定，約束管理者在文件產(chǎn)生、存儲(chǔ)、流轉(zhuǎn)、歸檔、保管、利用、解密、銷毀等各個(gè)環(huán)節(jié)不出差錯(cuò)，各項(xiàng)規(guī)章制度的條文嚴(yán)密而簡(jiǎn)明，方便工作，具有可操作性，便于執(zhí)行，并在實(shí)踐中認(rèn)真加以總結(jié)，不斷充實(shí)和完善。

二是嚴(yán)格執(zhí)行。有了好的管理制度，卻不能按制度嚴(yán)格遵守和執(zhí)行，等于一紙空文。在保密管理中的各個(gè)環(huán)節(jié)都必須按制度執(zhí)行，一視同仁，決不能因人而異，或因?qū)徟绦驈?fù)雜而簡(jiǎn)化手續(xù)甚至不履行手續(xù)。

三是有嚴(yán)格考核。保密工作要與業(yè)務(wù)工作做到同計(jì)劃、同檢查、同考核、同總結(jié)、同獎(jiǎng)懲，根據(jù)企業(yè)保密制度和企業(yè)確定的商業(yè)秘密事項(xiàng)，列出具體的考核項(xiàng)點(diǎn)，制訂考核標(biāo)準(zhǔn)，定期進(jìn)行考核檢查。通過檢查考核，了解企業(yè)保密制度的落實(shí)情況，了解保密承諾人對(duì)承諾內(nèi)容履行情況，以及企業(yè)商業(yè)秘密事項(xiàng)的管理情況，以便及時(shí)發(fā)現(xiàn)問題，堵塞保密管理中的漏洞。

2.控制源頭——建立科學(xué)的定密機(jī)制，確保涉密事項(xiàng)從源頭受控

定密工作是保密工作的源頭，是保密管理的基礎(chǔ)工作，定密不準(zhǔn)的問題一直是保密管理的瓶頸，制約著保密管理的最終效果，應(yīng)從以下五方面確保涉密信息源頭受控：

一是合理確定企業(yè)商業(yè)秘密事項(xiàng)。商業(yè)秘密不同于國(guó)家秘密，它滲透在企業(yè)的科研、生產(chǎn)、營(yíng)銷、管理等各個(gè)環(huán)節(jié)，但并非每項(xiàng)業(yè)務(wù)工作都涉及，需要根據(jù)商業(yè)秘密的法律構(gòu)成要素，結(jié)合本企業(yè)自身實(shí)際情況，以“精細(xì)化、有區(qū)分、可操作”為目標(biāo)，從商業(yè)秘密基本范圍——技術(shù)信息和經(jīng)營(yíng)信息兩大類梳理出具有本企業(yè)特色的商業(yè)秘密事項(xiàng)，劃分出本企業(yè)商業(yè)秘密范圍，細(xì)化本企業(yè)商業(yè)秘密事項(xiàng)目錄，這樣可以明確保護(hù)的對(duì)象，突出保護(hù)的準(zhǔn)確性，做到商業(yè)秘密保護(hù)有的放矢。

二是完善定密工作程序。保密范圍只是規(guī)定了某一類事項(xiàng)屬于商業(yè)秘密，并且保密期限、知悉范圍等內(nèi)容也規(guī)定得較為彈性，具體定密時(shí)還應(yīng)按照“業(yè)務(wù)工作誰主管、保密工作誰負(fù)責(zé)”的原則，落實(shí)保密工作責(zé)任制，并采取“三同時(shí)”的方法進(jìn)行涉密事項(xiàng)密級(jí)和保密期限的確定工作，即起草文件的同時(shí)擬定其密級(jí)和保密期限，審核文件的同時(shí)審定其密級(jí)和保密期限，簽發(fā)文件的同時(shí)確定其密級(jí)和保密期限。同時(shí)隨著辦公自動(dòng)化系統(tǒng)的普及，結(jié)合公文處理的流程，合理確定公文起草、流轉(zhuǎn)、承辦、審批、簽發(fā)等各個(gè)環(huán)節(jié)的定密規(guī)定和責(zé)任區(qū)分，確定爭(zhēng)議事項(xiàng)的處理原則和方法，形成點(diǎn)對(duì)點(diǎn)的流程式運(yùn)作模式，使具體職責(zé)層層分解，對(duì)定密工作的每個(gè)環(huán)節(jié)落實(shí)到崗、到人，任何一個(gè)環(huán)節(jié)不合格，當(dāng)前處理人都可以進(jìn)行退回，要求重新辦理，確保工作的實(shí)效性，確保定密的“有效、可控、可追溯”。

三是規(guī)范密級(jí)的標(biāo)識(shí)。按照企業(yè)相關(guān)文件規(guī)定，商業(yè)秘密標(biāo)志由權(quán)屬（單位規(guī)范簡(jiǎn)稱或者標(biāo)志等）、密級(jí)、保密期限三部分組成。如：“寶鋼核心商密長(zhǎng)期”、“寶鋼普通商密1年”等，并在權(quán)屬、密級(jí)、保密期限標(biāo)識(shí)之間留有間隔。這些標(biāo)識(shí)除了在涉密載體的規(guī)定位置上進(jìn)行明顯標(biāo)注，還要在計(jì)算機(jī)系統(tǒng)中進(jìn)行錄入，特別要注意的是在進(jìn)行“密級(jí)”字段錄入的同時(shí)，絕不能忽視“保密期限”字段的錄入，如果沒有標(biāo)注保密期限，就會(huì)使所有標(biāo)注密級(jí)的檔案都按其最高的保密期限來管理，不利于檔案的及時(shí)解密。

四是加強(qiáng)密級(jí)變更管理。商業(yè)秘密文件是有等級(jí)的，也是有時(shí)效性的，在管理過程中，其密級(jí)不是一成不變的，而是隨著時(shí)間的推移和文件貫徹的情況變化的，基本變化是升密、降密、解密。其中升密是極少數(shù)的，也是暫時(shí)的，大多是降密，直至解密。過去檔案的解密制度不夠明確，一密定終身，而應(yīng)該解密的又沒按時(shí)解密，還有許多涉密檔案，只標(biāo)有密級(jí)而沒有保密時(shí)限，多數(shù)都是超期服役。因此要完善解密制度，在保證企業(yè)利益不受侵害的情況下及時(shí)解密檔案。而對(duì)商業(yè)秘密檔案進(jìn)行解密工作，應(yīng)當(dāng)遵循公司的有關(guān)規(guī)定，由原確定密級(jí)的部門、單位進(jìn)行，檔案管理部門主要應(yīng)注意以下3個(gè)方面：（1）科學(xué)著錄保密期限，以便保密期屆滿后檔案自行解密；（2）完善密級(jí)變更流程，對(duì)在保密期間發(fā)生升降變化或提前解密的文件，保密期限屆滿后需要延長(zhǎng)的，由確定密級(jí)的部門、單位及時(shí)變更其密級(jí)和保密期限，并同步通知檔案部門，配合涉密事項(xiàng)的產(chǎn)生單位應(yīng)及時(shí)在有關(guān)檔案原標(biāo)志位置的附近做出新的標(biāo)志。（3）在檔案系統(tǒng)設(shè)置相關(guān)功能，適時(shí)調(diào)整，自動(dòng)完成解密劃控工作。

五是開展定密監(jiān)督。在保密工作中，各級(jí)保密行政管理部門應(yīng)當(dāng)把定密監(jiān)督作為一項(xiàng)重要工作來抓。保密工作部門把監(jiān)督檢查定密工作納入行政執(zhí)法責(zé)任制，作為保密工作的一項(xiàng)重要任務(wù)，定期開展，發(fā)現(xiàn)問題，督促整改。

3.融入業(yè)務(wù)——將計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)融入保密業(yè)務(wù)工作中，提升保密工作效能

對(duì)于現(xiàn)代企業(yè)來說，一方面，現(xiàn)代企業(yè)作為一個(gè)群體組織，其正常的運(yùn)作是由各個(gè)有機(jī)組成部分協(xié)作分工共同實(shí)現(xiàn)的。在企業(yè)正常運(yùn)作的各個(gè)環(huán)節(jié)都可以產(chǎn)生出具有價(jià)值、值得保護(hù)的信息資源，因此，從企業(yè)管理人員到基層的操作人員，都或多或少掌握著一些商業(yè)秘密；另一方面，現(xiàn)代企業(yè)的管理、生產(chǎn)、研制過程大都是在網(wǎng)絡(luò)和用戶終端上完成，產(chǎn)生的商業(yè)秘密多以實(shí)現(xiàn)電子化，商業(yè)秘密可能存在于分散的用戶終端，也可能存在于企業(yè)或部門的文件服務(wù)器，或者應(yīng)用系統(tǒng)的服務(wù)器中，鑒于此，構(gòu)建企業(yè)內(nèi)商業(yè)秘密的防護(hù)是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及到主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)、終端等多個(gè)層面。國(guó)資委于2012年5月頒布了《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》，對(duì)商業(yè)秘密的保護(hù)提出了完整的技術(shù)規(guī)范。寶鋼軟件公司率先提出基于云存儲(chǔ)的商業(yè)秘密保護(hù)概念，并自主研發(fā)“基于云存儲(chǔ)的商業(yè)秘密保護(hù)平臺(tái)”，該平臺(tái)將終端安全、數(shù)據(jù)安全與云存儲(chǔ)安全進(jìn)行有效聯(lián)動(dòng)，首次提出商密準(zhǔn)入，商密合規(guī)訪問的創(chuàng)新商密保護(hù)思路，確保只有合法的人通過合規(guī)的終端才能創(chuàng)建安全磁盤，并通過安全磁盤與云端存儲(chǔ)進(jìn)行實(shí)時(shí)同步，為用戶提供了全周期、全流程、全層次的數(shù)據(jù)保護(hù)解決方案。

全周期：實(shí)現(xiàn)商業(yè)秘密數(shù)據(jù)從制作、存儲(chǔ)、使用、傳遞到銷毀等全生命周期的閉環(huán)管理，以幫助企業(yè)建立全生命周期的數(shù)據(jù)安全防護(hù)體系。

全流程：從商業(yè)秘密保護(hù)的業(yè)務(wù)角度出發(fā)，實(shí)現(xiàn)了商業(yè)秘密定密、密級(jí)變更、審批、外發(fā)、離線外帶、內(nèi)外部流轉(zhuǎn)等各個(gè)流程的集中管控。

全層次：提供了從前臺(tái)傳統(tǒng)終端、移動(dòng)終端到后端數(shù)據(jù)存儲(chǔ)的多重保護(hù)措施。在用戶終端層面，提供安全準(zhǔn)入、健康體檢、虛擬磁盤、驅(qū)動(dòng)層的透明加密、離線訪問、外發(fā)控制等功能，有效防范客戶端面臨的安全威脅；在后端存儲(chǔ)層面，采用了云存儲(chǔ)技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)的集中存儲(chǔ)，通過高強(qiáng)度的加密、多重冗余、碎片化存儲(chǔ)等多種技術(shù)，確保服務(wù)端的數(shù)據(jù)安全。

系統(tǒng)通過以上技術(shù)手段，改變了以往企業(yè)商密數(shù)據(jù)分散在員工個(gè)人手中難以管控的局面，以數(shù)據(jù)集中存儲(chǔ)，分級(jí)管理為核心理念，改變商業(yè)秘密分散管理、各自為政的局面，通過數(shù)據(jù)的自動(dòng)匯聚、靈活的分級(jí)管理策略和全面的業(yè)務(wù)管理流程，對(duì)企業(yè)涉及商業(yè)秘密的各種文件、合同、資金、賬務(wù)等非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行統(tǒng)一管理和加密保護(hù)，保證企業(yè)的商密數(shù)據(jù)資產(chǎn)被有效識(shí)別并有效管控，同時(shí)，由于可以在云端服務(wù)器上設(shè)置管理統(tǒng)一、分級(jí)授權(quán)的安全防護(hù)機(jī)制，使得企業(yè)商密數(shù)據(jù)，在集中化的前提下得到了統(tǒng)一的保護(hù)，為寶鋼的商密管理體系提供有力的技術(shù)支撐。

4.全程閉環(huán)——構(gòu)建“無縫對(duì)接”的檔案管理體系

企業(yè)檔案工作要科學(xué)發(fā)展，必須將檔案管理工作與現(xiàn)代企業(yè)管理有機(jī)結(jié)合，與各業(yè)務(wù)工作協(xié)同發(fā)展，使所有管理要素有機(jī)融合、互相支撐，形成一個(gè)協(xié)同運(yùn)轉(zhuǎn)的整體閉環(huán)系統(tǒng)。最突出的一點(diǎn)就是要改變檔案的收集歸檔工作方式，要建立各業(yè)務(wù)系統(tǒng)與檔案信息系統(tǒng)的歸檔接口，在雙方業(yè)務(wù)成熟的條件下，實(shí)現(xiàn)不落地歸檔和信息資源共享，商業(yè)秘密的檔案管理完全可以把“基于云存儲(chǔ)的商業(yè)秘密保護(hù)平臺(tái)”的成功經(jīng)驗(yàn)、先進(jìn)技術(shù)“移植”到檔案系統(tǒng)中，逐步構(gòu)建“無縫對(duì)接”的檔案管理體系，把信息安全保密貫穿到檔案信息系統(tǒng)的整個(gè)生命周期中，確保商業(yè)秘密文件在歸檔后的安全管理，并在大力開展檔案利用工作的同時(shí)，針對(duì)不同層次的利用人員確定不同的利用范圍，規(guī)定不同的審批手續(xù)，實(shí)現(xiàn)內(nèi)部人員經(jīng)授權(quán)控制知密范圍，從而真正實(shí)現(xiàn)商密檔案全過程管控，形成一個(gè)“全方位覆蓋，全過程閉環(huán)”的系統(tǒng)。

作者單位：寶山鋼鐵股份有限公司