办公安全
办公安全的核心是控制数据流动边界。公司数据只在公司授权的设备和渠道内流转,一旦流出到个人设备、外部工具或非授权渠道,就失去了管控能力。
行为规范
文档与数据:
- 工作文档不存放在个人移动设备
- 禁止使用外部文档网盘(如个人版网盘、境外云存储)传输公司内容
- 离职前不得带走任何工作文档
- 不可擅自对外披露工作相关的敏感数据
- 内部信息不可截图擅自分享到外部
工具与渠道:
- 不得使用非公司产品传输和讨论公司内容
- 员工信息不得对外泄漏
权限使用:
- 不得滥用工作权限
- 账号/权限不得外借
典型案例
离职时外发文档。 员工离职前将公司文档发送至私人邮箱、个人设备,或通过即时通讯工具转移,是最常见的数据泄漏方式。
借用个人设备办公。 将公司材料发到个人手机或电脑上进行修改,绕过了公司的终端管控,一旦个人设备被攻击或丢失,数据直接暴露。
权限滥用查询。 员工通过后台权限查询非工作需要的数据,再转给外部人员。这类行为难以从技术上完全阻断,依赖权限最小化和行为审计双重管控。
利用权限牟利。 删除或修改数据以获取利益,属于主动破坏,需要操作日志和不可抵赖机制来追溯。
技术管控思路
员工行为规范是基础,技术手段是保障。纯靠制度约束无法解决所有问题,需要配套:终端管控(禁止外发、设备加密)、数据水印(溯源泄漏路径)、权限最小化(按需申请、定期回收)、操作日志(关键数据访问留痕)。
制度和技术共同作用,才能覆盖"不知道不能做"和"知道但还是做"两类风险。