■鄒曄

企業(yè)商業(yè)涉密檔案管理現(xiàn)狀及對策

■鄒曄

企業(yè)涉密檔案是企業(yè)檔案的一部分，由國家秘密和企業(yè)商業(yè)秘密組成。其中商業(yè)秘密是企業(yè)投入了大量的人、財、物創(chuàng)造的智力成果，體現(xiàn)了企業(yè)的創(chuàng)新能力和市場競爭能力，蘊含著極高的市場價值和潛在利潤，關(guān)系到企業(yè)未來經(jīng)濟發(fā)展的成敗。企業(yè)商業(yè)秘密的密級，根據(jù)泄露會使企業(yè)的經(jīng)濟利益遭受損害的程度，又可分為核心商業(yè)秘密、普通商業(yè)秘密兩級。作為國有大型企業(yè)，寶鋼于2007年通過國家三級保密資格認證，2012年又順利通過了軍工保密資格的復查、復審，公司以國家保密資格認證、換證工作為契機，全面梳理和規(guī)范了相關(guān)業(yè)務流程，制訂和完善了相關(guān)規(guī)章制度，并舉辦培訓，組織檢查，旨在提高全員保密意識，確保國家和企業(yè)的安全和利益。

一、商業(yè)秘密檔案管理現(xiàn)狀

商業(yè)秘密檔案由商業(yè)秘密文件轉(zhuǎn)化而成。涉密文件的定密是做好保密工作的基礎(chǔ)性工作，但在實際工作中，“定密”經(jīng)常出現(xiàn)以下問題：

1.定密的準確性難以把握

一般來說，文件的密級由文件形成部門確定，確定某一事項是否屬于企業(yè)秘密、何種密級和保密期限的過程，實質(zhì)上是一個主觀判斷、自由裁量的過程，由于定密人員掌握國家政策、了解行業(yè)動態(tài)等不同，對保密事項范圍的理解和把握也不同，對同一事項不同的人會得出不同結(jié)論。

2.密級標識不夠規(guī)范

企業(yè)商業(yè)秘密的標志由權(quán)屬（單位規(guī)范簡稱或者標識等）、密級、保密期限三部分組成。然而在工作中，除公文外，大部分涉密文件材料都沒有嚴格按規(guī)定執(zhí)行，標注欠規(guī)范，普遍只標密級，基本上不標注“★”和保密期限，或在有關(guān)文件的資料袋上寫上“企業(yè)秘密”，或在有關(guān)文件上印上“軍工”字樣等，特別是涉密存儲介質(zhì)更是少有做出規(guī)范性的標志。

3.商業(yè)秘密文件信息著錄不夠嚴謹

在數(shù)字化環(huán)境下，涉密文件的標識往往通過“密級”及“保密期限”字段進行標引，定密人員在確定文件密級的同時必須著錄“密級”和“保密期限”字段，這樣才能確保涉密文件歸檔時信息的完整、準確。然而在實際操作中，經(jīng)常忽視這兩個字段，僅按系統(tǒng)默認的數(shù)據(jù)保存，以至于歸檔時影響涉密文件的認定。

4.商業(yè)秘密檔案沒有實現(xiàn)動態(tài)管理

目前，多數(shù)人對秘密文件的管理過程僅限于定密環(huán)節(jié)，致使絕大多數(shù)涉密事項一旦確定，就不再有相應的責任人跟蹤管理，通常是依據(jù)密級確定年限，屆時自行解密。這一狀況使得許多已經(jīng)失去保密價值的檔案沒能及時解密，影響了檔案的利用。

二、商業(yè)秘密檔案管理的對策

1.健全體系——建立全方位的安全管理體系，筑成企業(yè)商業(yè)秘密保護的有效防線

商業(yè)秘密管理制度是企業(yè)商業(yè)秘密保護的依據(jù)，是指導員工保守商業(yè)秘密的行為規(guī)范，包含了三方面的內(nèi)容：

一是制定制度。企業(yè)應當以國家的檔案法規(guī)為準繩，在認真貫徹執(zhí)行《中華人民共和國保守國家秘密法》、《中華人民共和國反不正當競爭法》和《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》等國家相關(guān)規(guī)定基礎(chǔ)上，結(jié)合本單位業(yè)務工作實際，制定出一套符合保密法規(guī)、可操作性強的、嚴謹而又完整的與本企業(yè)相適應的一系列規(guī)章制度，如《保密管理辦法》、《商業(yè)秘密及內(nèi)部事項保密管理辦法》、《商業(yè)秘密定密及密級變更管理細則》、《涉及公司商業(yè)秘密員工勞動合同管理辦法》等，這些制度對商業(yè)秘密管理工作的各個環(huán)節(jié)都做出明確規(guī)定，約束管理者在文件產(chǎn)生、存儲、流轉(zhuǎn)、歸檔、保管、利用、解密、銷毀等各個環(huán)節(jié)不出差錯，各項規(guī)章制度的條文嚴密而簡明，方便工作，具有可操作性，便于執(zhí)行，并在實踐中認真加以總結(jié)，不斷充實和完善。

二是嚴格執(zhí)行。有了好的管理制度，卻不能按制度嚴格遵守和執(zhí)行，等于一紙空文。在保密管理中的各個環(huán)節(jié)都必須按制度執(zhí)行，一視同仁，決不能因人而異，或因?qū)徟绦驈碗s而簡化手續(xù)甚至不履行手續(xù)。

三是有嚴格考核。保密工作要與業(yè)務工作做到同計劃、同檢查、同考核、同總結(jié)、同獎懲，根據(jù)企業(yè)保密制度和企業(yè)確定的商業(yè)秘密事項，列出具體的考核項點，制訂考核標準，定期進行考核檢查。通過檢查考核，了解企業(yè)保密制度的落實情況，了解保密承諾人對承諾內(nèi)容履行情況，以及企業(yè)商業(yè)秘密事項的管理情況，以便及時發(fā)現(xiàn)問題，堵塞保密管理中的漏洞。

2.控制源頭——建立科學的定密機制，確保涉密事項從源頭受控

定密工作是保密工作的源頭，是保密管理的基礎(chǔ)工作，定密不準的問題一直是保密管理的瓶頸，制約著保密管理的最終效果，應從以下五方面確保涉密信息源頭受控：

一是合理確定企業(yè)商業(yè)秘密事項。商業(yè)秘密不同于國家秘密，它滲透在企業(yè)的科研、生產(chǎn)、營銷、管理等各個環(huán)節(jié)，但并非每項業(yè)務工作都涉及，需要根據(jù)商業(yè)秘密的法律構(gòu)成要素，結(jié)合本企業(yè)自身實際情況，以“精細化、有區(qū)分、可操作”為目標，從商業(yè)秘密基本范圍——技術(shù)信息和經(jīng)營信息兩大類梳理出具有本企業(yè)特色的商業(yè)秘密事項，劃分出本企業(yè)商業(yè)秘密范圍，細化本企業(yè)商業(yè)秘密事項目錄，這樣可以明確保護的對象，突出保護的準確性，做到商業(yè)秘密保護有的放矢。

二是完善定密工作程序。保密范圍只是規(guī)定了某一類事項屬于商業(yè)秘密，并且保密期限、知悉范圍等內(nèi)容也規(guī)定得較為彈性，具體定密時還應按照“業(yè)務工作誰主管、保密工作誰負責”的原則，落實保密工作責任制，并采取“三同時”的方法進行涉密事項密級和保密期限的確定工作，即起草文件的同時擬定其密級和保密期限，審核文件的同時審定其密級和保密期限，簽發(fā)文件的同時確定其密級和保密期限。同時隨著辦公自動化系統(tǒng)的普及，結(jié)合公文處理的流程，合理確定公文起草、流轉(zhuǎn)、承辦、審批、簽發(fā)等各個環(huán)節(jié)的定密規(guī)定和責任區(qū)分，確定爭議事項的處理原則和方法，形成點對點的流程式運作模式，使具體職責層層分解，對定密工作的每個環(huán)節(jié)落實到崗、到人，任何一個環(huán)節(jié)不合格，當前處理人都可以進行退回，要求重新辦理，確保工作的實效性，確保定密的“有效、可控、可追溯”。

三是規(guī)范密級的標識。按照企業(yè)相關(guān)文件規(guī)定，商業(yè)秘密標志由權(quán)屬（單位規(guī)范簡稱或者標志等）、密級、保密期限三部分組成。如：“寶鋼核心商密長期”、“寶鋼普通商密1年”等，并在權(quán)屬、密級、保密期限標識之間留有間隔。這些標識除了在涉密載體的規(guī)定位置上進行明顯標注，還要在計算機系統(tǒng)中進行錄入，特別要注意的是在進行“密級”字段錄入的同時，絕不能忽視“保密期限”字段的錄入，如果沒有標注保密期限，就會使所有標注密級的檔案都按其最高的保密期限來管理，不利于檔案的及時解密。

四是加強密級變更管理。商業(yè)秘密文件是有等級的，也是有時效性的，在管理過程中，其密級不是一成不變的，而是隨著時間的推移和文件貫徹的情況變化的，基本變化是升密、降密、解密。其中升密是極少數(shù)的，也是暫時的，大多是降密，直至解密。過去檔案的解密制度不夠明確，一密定終身，而應該解密的又沒按時解密，還有許多涉密檔案，只標有密級而沒有保密時限，多數(shù)都是超期服役。因此要完善解密制度，在保證企業(yè)利益不受侵害的情況下及時解密檔案。而對商業(yè)秘密檔案進行解密工作，應當遵循公司的有關(guān)規(guī)定，由原確定密級的部門、單位進行，檔案管理部門主要應注意以下3個方面：（1）科學著錄保密期限，以便保密期屆滿后檔案自行解密；（2）完善密級變更流程，對在保密期間發(fā)生升降變化或提前解密的文件，保密期限屆滿后需要延長的，由確定密級的部門、單位及時變更其密級和保密期限，并同步通知檔案部門，配合涉密事項的產(chǎn)生單位應及時在有關(guān)檔案原標志位置的附近做出新的標志。（3）在檔案系統(tǒng)設置相關(guān)功能，適時調(diào)整，自動完成解密劃控工作。

五是開展定密監(jiān)督。在保密工作中，各級保密行政管理部門應當把定密監(jiān)督作為一項重要工作來抓。保密工作部門把監(jiān)督檢查定密工作納入行政執(zhí)法責任制，作為保密工作的一項重要任務，定期開展，發(fā)現(xiàn)問題，督促整改。

3.融入業(yè)務——將計算機網(wǎng)絡安全技術(shù)融入保密業(yè)務工作中，提升保密工作效能

對于現(xiàn)代企業(yè)來說，一方面，現(xiàn)代企業(yè)作為一個群體組織，其正常的運作是由各個有機組成部分協(xié)作分工共同實現(xiàn)的。在企業(yè)正常運作的各個環(huán)節(jié)都可以產(chǎn)生出具有價值、值得保護的信息資源，因此，從企業(yè)管理人員到基層的操作人員，都或多或少掌握著一些商業(yè)秘密；另一方面，現(xiàn)代企業(yè)的管理、生產(chǎn)、研制過程大都是在網(wǎng)絡和用戶終端上完成，產(chǎn)生的商業(yè)秘密多以實現(xiàn)電子化，商業(yè)秘密可能存在于分散的用戶終端，也可能存在于企業(yè)或部門的文件服務器，或者應用系統(tǒng)的服務器中，鑒于此，構(gòu)建企業(yè)內(nèi)商業(yè)秘密的防護是一項復雜的系統(tǒng)工程，涉及到主機、網(wǎng)絡、數(shù)據(jù)、終端等多個層面。國資委于2012年5月頒布了《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》，對商業(yè)秘密的保護提出了完整的技術(shù)規(guī)范。寶鋼軟件公司率先提出基于云存儲的商業(yè)秘密保護概念，并自主研發(fā)“基于云存儲的商業(yè)秘密保護平臺”，該平臺將終端安全、數(shù)據(jù)安全與云存儲安全進行有效聯(lián)動，首次提出商密準入，商密合規(guī)訪問的創(chuàng)新商密保護思路，確保只有合法的人通過合規(guī)的終端才能創(chuàng)建安全磁盤，并通過安全磁盤與云端存儲進行實時同步，為用戶提供了全周期、全流程、全層次的數(shù)據(jù)保護解決方案。

全周期：實現(xiàn)商業(yè)秘密數(shù)據(jù)從制作、存儲、使用、傳遞到銷毀等全生命周期的閉環(huán)管理，以幫助企業(yè)建立全生命周期的數(shù)據(jù)安全防護體系。

全流程：從商業(yè)秘密保護的業(yè)務角度出發(fā)，實現(xiàn)了商業(yè)秘密定密、密級變更、審批、外發(fā)、離線外帶、內(nèi)外部流轉(zhuǎn)等各個流程的集中管控。

全層次：提供了從前臺傳統(tǒng)終端、移動終端到后端數(shù)據(jù)存儲的多重保護措施。在用戶終端層面，提供安全準入、健康體檢、虛擬磁盤、驅(qū)動層的透明加密、離線訪問、外發(fā)控制等功能，有效防范客戶端面臨的安全威脅；在后端存儲層面，采用了云存儲技術(shù)，實現(xiàn)了數(shù)據(jù)的集中存儲，通過高強度的加密、多重冗余、碎片化存儲等多種技術(shù)，確保服務端的數(shù)據(jù)安全。

系統(tǒng)通過以上技術(shù)手段，改變了以往企業(yè)商密數(shù)據(jù)分散在員工個人手中難以管控的局面，以數(shù)據(jù)集中存儲，分級管理為核心理念，改變商業(yè)秘密分散管理、各自為政的局面，通過數(shù)據(jù)的自動匯聚、靈活的分級管理策略和全面的業(yè)務管理流程，對企業(yè)涉及商業(yè)秘密的各種文件、合同、資金、賬務等非結(jié)構(gòu)化數(shù)據(jù)進行統(tǒng)一管理和加密保護，保證企業(yè)的商密數(shù)據(jù)資產(chǎn)被有效識別并有效管控，同時，由于可以在云端服務器上設置管理統(tǒng)一、分級授權(quán)的安全防護機制，使得企業(yè)商密數(shù)據(jù)，在集中化的前提下得到了統(tǒng)一的保護，為寶鋼的商密管理體系提供有力的技術(shù)支撐。

4.全程閉環(huán)——構(gòu)建“無縫對接”的檔案管理體系

企業(yè)檔案工作要科學發(fā)展，必須將檔案管理工作與現(xiàn)代企業(yè)管理有機結(jié)合，與各業(yè)務工作協(xié)同發(fā)展，使所有管理要素有機融合、互相支撐，形成一個協(xié)同運轉(zhuǎn)的整體閉環(huán)系統(tǒng)。最突出的一點就是要改變檔案的收集歸檔工作方式，要建立各業(yè)務系統(tǒng)與檔案信息系統(tǒng)的歸檔接口，在雙方業(yè)務成熟的條件下，實現(xiàn)不落地歸檔和信息資源共享，商業(yè)秘密的檔案管理完全可以把“基于云存儲的商業(yè)秘密保護平臺”的成功經(jīng)驗、先進技術(shù)“移植”到檔案系統(tǒng)中，逐步構(gòu)建“無縫對接”的檔案管理體系，把信息安全保密貫穿到檔案信息系統(tǒng)的整個生命周期中，確保商業(yè)秘密文件在歸檔后的安全管理，并在大力開展檔案利用工作的同時，針對不同層次的利用人員確定不同的利用范圍，規(guī)定不同的審批手續(xù)，實現(xiàn)內(nèi)部人員經(jīng)授權(quán)控制知密范圍，從而真正實現(xiàn)商密檔案全過程管控，形成一個“全方位覆蓋，全過程閉環(huán)”的系統(tǒng)。

作者單位：寶山鋼鐵股份有限公司