遠距辦公與混合辦公已成為新創企業與科技公司招募人才的標準配備。然而,面對員工透過家用網路登入公司系統、用個人裝置存取客戶資料、在公共場所參加視訊會議等情況,企業過去在辦公室環境中建立的保密機制,已無法涵蓋這些場景。傳統辦公室的保密管控,常建立在物理邊界上,例如門禁、檔案櫃、集中管理的伺服器等。這套架構的前提是,員工在一個受到集中控制的物理與網路環境中工作。
然而,當員工改為在家工作時,這些控管機制因物理空間的拓展變得難以適用。本文整理三個方向,供企業在導入遠距辦公前後,系統性地補強保密措施。
建議一:補強現有法律文件
許多企業的勞動契約與工作規則,草擬、簽署時仍立基在辦公室工作型態的前提上。對於遠距情境下的保密義務、設備使用規範、稽核授權,往往缺乏明確約定。建議從以下幾個方向檢視並補強:
(一)釐清保密義務的範圍與條件
保密契約或保密條款,應明確定義哪些資訊屬於機密資訊或營業秘密,不能只寫「公司一切業務資訊」這種概括性語言。此外,條款應具體說明員工在遠距工作情境下的義務,例如:注意且選擇適當的視訊會議周遭環境、應透過安全層級高的網路環境下存取特定等級的機密資訊、離職時應返還或依指示銷毀所持有的公司資料等。
(二)在契約中事先取得員工對稽核之同意
若企業日後希望對公司設備及員工取用企業資訊的活動進行資安稽核,應在勞動契約或工作規則中事先取得員工同意,並載明稽核的範圍與方式。
(三)工作規則的配套更新
針對30人以上的事業單位,勞動基準法規定企業應制定工作規則。實務上工作規則雖然大多採用政府的範本,仍應適度增訂設備使用規範、資料存取與傳輸規則、資安事件的通報流程,以及違反規定的懲處依據。如果主管機關對於修正內容有疑慮,不妨考慮以工作規則指派、授權相關部門另訂辦法。
建議二:採用技術措施
(一)存取權限管理:依照部門職能與職務等級,設定不同的資料存取權限。例如:研發部門員工可存取技術文件,業務部門員工不應能存取同等級的技術資料庫;不同研發專案的人員不得互相取用彼此的技術文件。
(二)端點管控:透過行動裝置管理或端點安全軟體,限制公司設備上的外部儲存設備使用、螢幕截圖功能,以及未授權程式的安裝。
(三)異常行為警示:設定系統在偵測到異常操作時發出警示。例如:員工在短時間內大量下載機密文件、異常時間或地點登入、嘗試存取超出其權限範圍的資料夾等。這類機制一方面能嚇阻員工,一方面能提供洩密事故的早期預警,建議企業能評估採用一種或多種機制。
建議三:教育訓練與稽核
制度建立後,若缺乏訓練、執行、稽核、改善,效果將大打折扣。實務上較常見的洩密起因不是駭客入侵,而是員工在不知情或圖方便的情況下違反規定。
因此,企業應辦理資安與保密教育訓練,並將訓練紀錄留存備查。內容不需要複雜,重點是讓員工了解:機密資訊的範圍、常見的違規態樣、保密措施的目的、發生資安事件時的通報流程,以及公司的稽核機制如何運作。
稽核機制應定期執行,檢視項目可包括:存取紀錄是否有異常、公司設備上是否有未授權軟體、備份機制是否正常、保密契約是否已由所有相關員工簽署。稽核後若發現缺失,應要求相關部門提出改善措施並追蹤落實情形。
結語
遠距辦公已成為許多新創企業與科技公司的常態,也對既有的資訊保護帶來挑戰。若企業未事前妥為規劃、落實資訊保護技術措施、執行稽核與改善,不僅可能面臨機密資訊外洩的風險,對於所經手的客戶、供應商、員工個人資料,也可能有遭竊取、竄改或洩漏的風險,而有違反個人資料保護法的疑慮。
如果您正在建立或調整公司的遠距辦公制度,或希望審視現有勞動契約、保密契約與工作規則是否足以因應目前的工作模式,歡迎與我們聯繫。