文件划定密级,人员亦须匹配相应权限等级。若人员未分级管控,涉密文件便会随意传阅,文件密级管理将形同虚设。
在上一期《给文档上“身份证”——手动标密与智能自动标密》中,每一份文档都有了属于自己的“身份证”(密级标识),并通过手动+自动的方式,确保所有文档都有密可依。但新问题也浮出水面:
“文件是标了敏感二级,但谁能打开它?”
如果实习生和CTO拥有同样的访问权限,那么“敏感二级”就只是一个标签,而非真正的防线。更棘手的是:当一份敏感二级文件需要解密(降密)发给合作伙伴时,谁来批?怎么批?
光有分级不够,还必须做到“人员匹配”——人的安全等级要和文档的安全等级相匹配,同时,等级变更需要严格的流程控制。
背景:为何“人员密级匹配”是必答题?
很多企业栽过的坑:
- 权限过粗:整个部门共享一个文件夹,研发文件与行政值班表等文件权限没有区别,人人都可查看。
- 变更随意:员工为了工作方便,私自将一份高密级文档解密(降密)后外发,导致核心敏感数据外流。
- 审批缺失:文档从高密级降为低密级时,没有任何审批环节,等于给泄密开了绿灯。
解决思路很清晰:
- 文档分级:文档已有五级安全等级(对外公开、内部公开、敏感三级、敏感二级、敏感一级)。
- 人员定级:为每个企业员工定义安全等级,匹配可查看的文档等级。
- 匹配规则:低安全等级的员工无法使用高安全等级文档;高安全等级员工可以向下兼容使用低安全等级文档。
- 流程控制:降低密级必须审批,升高密级无须审批,解密外发按密级设置不同审批流程。
最佳实践:人员密级匹配与变更流程
1.员工安全等级:每个人都有一个“安全身份”
与文档五级相对应,每个员工都有一个安全等级(基于岗位、部门、涉密程度)。
核心原则:
- 向上不可为:员工安全等级为敏感三级,无法打开敏感二级及以上文档。系统会直接拒绝访问,并提示“您的权限不足”。
- 向下可兼容:员工安全等级为敏感一级,可以访问敏感二级、敏感三级等全部文档。
2. 文档升密与降密:何时需要审批?
文档的密级不是一成不变的。例如:
- 一份内部公开的会议纪要,后来加入了核心客户名单,需要升级为敏感三级(升密)。
- 一份敏感二级的年度报告,在正式发布后,需要降为内部公开(降密)。
最佳实践规则:
举例:员工小张想把一份“敏感二级”合同降为“内部公开”发给同事小李,系统会自动弹出审批流程,需要他的上级或文档所有者批准后方可生效。反过来,他要把一份“内部公开”升为“敏感二级”,直接操作即可,无需审批。
3. 文档解密外发:不同等级不同审批链
“解密外发”是降密的一种特殊场景——将高密级文档转为外部可读的形式,发送给企业外部人员。
最佳实践:根据文档安全等级,设置差异化的审批流程。
优势:
- 低密级文档外发高效,不拖累业务。
- 高密级文档外发审核,防止泄密。
- 每个审批节点都有记录,事后可审计。
实践价值
通过“人员密级匹配”与“流程控制”,企业在文档安全管控上获得以下四重核心价值:
1. 杜绝越权访问:低不可攀高
员工安全等级与文档密级匹配后,低等级员工无法打开高等级文档。系统直接拒绝访问并提示权限不足,从技术上杜绝了“无意或恶意的越权查看”。
2. 提升变更效率:升密自由,降密审批
- 升密无需审批:鼓励员工主动提升文档保护等级,即时生效,不影响业务节奏。
- 降密必须审批:防止人为“手滑”或将高密级文件随意降低导致泄密。审批流既保留了灵活性,又增加了安全闸门。
3. 外发可控可溯:分级审批,全链路审计
针对不同密级的文档外发,设置差异化的审批流程(低密从简,高密从严)。每一份解密外发的文件都有申请记录、审批人、时间和数字水印。一旦泄露,可快速定位责任人。
4. 合规与审计无忧:制度与技术统一
等保、ISO27001等合规标准均要求“基于角色的访问控制”和“变更管理流程”。这套实践将管理制度固化到系统规则中,审计时可以直接导出人员匹配关系、升降密和外发审批记录,做到有据可查。
电子文档安全管理系统(CDG)是一款市场领先的终端数据泄露防护产品,聚焦非结构化文档的全生命周期管控,构建企业文档防泄密体系,实现敏感文件带不走、读不懂、可追溯。CDG采用一体化平台架构设计,融合数据防泄漏、文档加密、终端桌面管理等终端安全能力,提供终端一体化安全解决方案。
