辦公資安守則：如何避免員工在社群媒體洩密？

Q.我是一家中小企業的主管，公司日前在進行一項開發專案，常常透過Line來聯繫團隊。有一次，一位團隊成員不小心誤傳專案資訊到其他Line群組中。此外，也有一些員工很喜歡在社群媒體中分享上班心得、拍辦公室的照片。公司應該採取哪些做法，讓團隊留意資安問題，避免員工在社群媒體上洩漏公司機密？

A.因為社群媒體的普遍，今天，很多公司常仰賴Line群組或簡訊來聯繫與溝通。然而，不論是員工的手機設備或是社群媒體，都不是公司的資產，所以本質上具有一定程度的資安風險、不確定性。公司如果沒有妥善管理，預先防範，很可能會形成資安上的一大漏洞，為公司帶來難以想像的傷害。

一方面，因為這並不是公司內部的軟體，員工究竟有沒有透過社群媒體將資料洩漏出去，公司很難預防與驗證。

另一方面，在傳訊息時，我們往往會假定，自己傳訊息給手機持有人後，一定會是本人看到消息，卻忽略了看到訊息的不一定會是本人。持有人可能會弄丟手機，或是將手機密碼告訴家人，導致資安風險，資訊意外流出。

因此，主管在交辦事項的時候，應該判斷，若有些事並非急事或需要立即得到回應，可以等部屬回辦公室之後再交辦處理，不必在下班後透過Line等社群媒體傳訊息。這樣除了可以避免增加員工負擔，更可以藉此降低公司資安風險，以及資料外流的可能。

若一定需要使用Line傳送資訊，應該要把握下列三項原則：

1.一開始就訂好資安規範。

社群媒體裡，人人都可以建立群組、傳送訊息，更方便轉寄，因此很難管理傳遞資訊內容的流通。當企業要制定社群媒體資安規範時，第一個要注意的就是，要非常清楚地告訴員工，哪些內容可以透過社群媒體傳送，哪些不能。在制定資安規範時，也必須確保內容清楚，且每個人都可以理解，並且做充分與適當的宣導，以避免員工犯錯。假如員工按照規範做事，出了什麼問題，要先被檢討的不該是員工，而是這份資安規範。

以台北市政府為例，他們針對Line的公務使用就制定了資安規範，以一張簡明的流程圖表，讓員工明確知道，在涉及機密安全、不符合市政府作業規範的情況下，不能透過Line傳遞訊息。對於非機密文件的傳送，也依據是否需要正式簽辦，要求員工填寫紀錄單，確保資訊傳遞的安全性。

另外，若員工用的是安裝在辦公室電腦內的Line電腦版軟體，也可以透過辦公室內的電腦做一些安全設定，讓公司可以更容易管理。

2.設定群組管理員。

在台灣，Line的使用率十分高，公司創立Line群組的情況也很普遍，少的話可能會有三、四個，多的話可能高達十幾個。有時候可能會發生，員工想要傳訊息到Ａ群組，卻誤傳到Ｂ群組的情況。若誤傳群組中有人下載了檔案，就算將訊息收回也無濟於事。

此外，因Line的群組內人數繁多，傳送訊息時，往往無法確定是否每一個人都屬於此群組，群組內是不是有人已經調到其他部門，或甚至已經離職。

想要避免這種情況，可以指定或安排一個群組管理員，定期檢視與管理群組內的成員，若發現有人職務異動，就要將他請出群組，才不會讓群組內有與目的不相關的人員存在，進而擴大資訊洩漏的風險。在建立群組、拉人入群時，也必須要特別謹慎，因為你無法保證加入者的帳號密碼會不會外流，被其他人盜用。因此最好不要個別拉人，而是透過群組管理員，統一加人、統一管理。

3.用來通知，而非傳遞內容。

如果一定要使用，應該用Line來「通知」，而不是直接將重要內容打在Line上面。例如，主管可以透過社群媒體通知，有一些公務需要部屬處理，而收到訊息的人，則必須透過安全的方式，連線回公司內部，才能夠取得實際的資訊。這是對於使用自攜電子設備（ＢＹＯＤ）等非屬公司設備，處理公務資訊時，較為適合的使用方式。

本文未完，全文請見EMBA雜誌422期