公司的資安無法落實,往往最大的破壞者,就是高層。
公司內部文件,都需要保密,也簽署保密協定,大家也都很努力去寫制度、流程,一切表單也照流程簽核,可是遇到高層就像海豚灣一樣,突然間所有的制度都變成廢紙,以下本人就針對這種形式上的保密協議,做個討論。
四、資訊安全組織 (資訊安全組織、人事及資訊單位)
4.7重要資訊處理人員是否簽署保密協議並定期審查?
說明:此項說明二個重點:1.簽署保密協議。2.定期審查。
一般來說,每個員工進入一家新公司,都會要求簽署很多合約,這種保密協議一定會有,但是正常的情況下,也沒人會真的去看內容,反正為了一碗飯,該簽的賣身契還是得簽,這也是無奈的地方。
以下是網路上的參考範例:
保 密 協 議 書
茲 (以下稱甲方)為與 (以下稱乙方)因之需要,一方擬將其持有之機密資訊告知或交付他方,或一方將有接觸另一方相關研發成果或技術秘密等機密資訊之機會。任一方所告知或交付之機密資訊,內含其自身所擁有之研發成果或技術秘密重要智慧財產權之法定權利或期待利益。為保持所知悉或交付資訊之機密性,他方同意恪遵本協議書下列各項規定:
第一條 本合約所指任一方之機密資訊係指與任一方相關並經該方標示「機密」、「限閱」或其他同義字之一切商業上、技術上或生產上尚未公開之秘密,或雖未標示但依一般商業及法律觀念,應視為機密之物品、文件及資料等,包括但不限於任一方未公開之發明、創作、專門技術、電腦軟體或其他技術資料或研發成果。
第二條 任一方所交付之機密資訊,包括但不限於書面、圖儀、電腦或磁碟片檔案、錄音、錄影帶或光碟片資料檔案等,凡他方自一方取得或知悉或接觸的一切資訊均屬之。但下列情形不在此限:
一、 已有書面證據證明,一方所交付或告知之資訊,他方所已知者;
二、 已見於公開發行之刊物或出版品等欠缺機密性質之資訊;
三、 經一方事先書面同意他方公開或揭露給第三人之資訊;
四、 自不須承擔任何保密義務及責任的第三人處合法取得者。
五、 依法律、政府機關或法院之命令須為揭露者。
第三條 任一方保證對於他方之機密資訊嚴守保密之義務,非經他方事前書面同意,絕不以任何方式使其他第三人知悉或持有任何他方之機密資訊,更不得於甲乙雙方約定目的以外為自行利用或以任何方式使第三人利用他方之機密資訊或取得任何權利。
第四條 雙方同意於本協議書簽署時,完成與其職務作業必須知悉任一方機密資訊的員工及相關人員簽署保密合約,要求其負擔與甲方相同的保密義務。
第五條 任一方違反本協議書之約定或有因可歸責之事由,致使他方的機密資訊被洩露者,除該違約方負擔一切法律上責任,並應負損害賠償之責。
第六條 若非因一方因素造成,當該等機密資訊對外公開或解除其機密性時,該方亦同時解除對該等機密資訊之保密責任。
第七條 本同意書之條款,如部份無效或無法執行,不影響其他條款之效力。
第八條 本協議書以中華民國法令為準據法,凡因本協議書而生之爭議,雙方同意先本誠信原則磋商之,磋商不協時,同意以台灣地方法院為第一審管轄法院。
第九條 本協議書正本壹式貳份,甲、乙雙方各執存乙份。
我想誰都不想看這裡面到底寫了甚麼,除非真正出事,這種協議書才會變成呈堂證供,高層也不見得會多遵守這裡面的規定,但這就是官場文化,要確實執行,某種程度,形式大於實質,定期審查也是一樣流於形式。
這類的文件,都會由文件管理部門留存,主要還是應付主管機關的,公司裡面若是真的有再強調,這真的難能可貴。畢竟,即使公司有給組織員工看過宣導影片,或者做些簡單的測驗,員工都會嫌煩,這也不意外,畢竟,工作要緊,不能因為這些耽擱工作。
本人只強調一點,做任何事情,請留下軌跡(紀錄),免得到時候,死無對證,又被公司拿了簽過名文件反告,對於員工來說損失是非常大的。
簽署當下,我們都會再另外提醒一些項目。以BYOD為例,人來了可能就隨便簽,但是我們特別提到會開啟LOCATION SERVICE,大家就開始緊張,問為什麼,有什麼影響...等等,那時再針對文件內的項目解釋(並請仔細詳閱)。