近年来,越来越多的机关、单位将信息化运维工作外包给社会组织。部分运维人员长期在机关、单位服务,存在接触、知悉国家秘密的可能。这提醒我们,应有针对性地强化运维人员的保密管理,消除失泄密隐患。
典型案例
案例1:2023年3月,某科技公司在某县级市政府部门开发运维信息管理系统,未经同意,将建设单位采集的敏感业务数据上传至云服务器,造成严重数据泄露。案发后,公安机关依法对公司及项目主管人员、直接责任人员作出行政处罚。
案例2:2019年,某信息科技公司承包某涉密单位电磁屏蔽系统建设和运维服务工作,负责该项目的运维人员陈某,辞职后成立了一家新公司,将该涉密运维项目作为个人以往业绩,在网上公开推介和宣传,造成涉密信息泄露。案发后,陈某的公司被责令删除业绩宣传,暂停营业并专项整改,同时被有关部门依法处罚。
切勿“拱手送密”
使用个人手机、笔记本电脑进行涉密运维服务。使用手机和连接过互联网的笔记本电脑参与涉密运维服务,等于将涉密信息传输、存储到联网设备上,属于严重违规行为。
通过互联网提供远程涉密运维服务。新的信息系统或者新购设备安装调试时,如果连接了互联网,就可能被植入“木马”病毒,后期一旦加载涉密数据,遭遇“黑客”窃密的风险将会大大增加。
通过即时通信工具传递涉密运维信息。微信、QQ、钉钉等即时通信工具具有自动存储和备份功能,信息在传输途中各环节都有可能被拦截,即使传递后立即删除也会留下痕迹,极易被技术还原。
通过互联网邮箱发送、存储涉密运维信息。电子邮箱依托互联网,极易受到恶意攻击,若发送涉密数据,过程中可能被不法分子截获。收发邮件后即使立即删除,互联网服务商的服务器内仍然保存着全部邮件的副本,无法保证绝对安全。
将涉密运维项目作为个人业绩对外宣传或公开展示。运维人员如将工作中掌握的涉密信息作为工作业绩对外宣传,会直接导致运维项目的参数、性质、功能等涉密信息泄露,甚至还有可能引来不法分子的拉拢策反。
严守“保密要求”
机关、单位外包涉密信息系统或设施设备建设、运维业务,应当从严审查承包单位资质条件,与其签订保密协议,明确保密要求,并对网络建设、运维全过程进行保密监督,确保资质单位严格管控泄密风险。
运维人员上岗前,须经过背景审查和业务能力考核,接受专门的保密教育和知识技能培训,签订保密承诺书。
运维人员在岗期间,机关、单位应对运维人员实施安全保密检查,防止违规带入、带出涉密信息设备事件发生。承载重要敏感信息的运维项目,可对运维人员实施封闭式管理,或者采取进驻式伴随运维,直至运维结束。
运维人员离岗、离职时,机关、单位应当进行保密检查,确保运维人员移交全部图纸文件、参数资料、存储介质和各类设备等,并删除所掌握的涉密信息;同时签订保密协议,督促其严格遵守相关保密规定,不得因工作变动泄露运维项目涉密事项。