Конфиденциальное делопроизводство в компании
Источник: bizentropy.biz Автор:Вячеслав Панкратьев
Организации конфиденциального делопроизводства в информационной безопасности уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является одним из наиболее доступных способов.
Как создавать конфиденциальное делопроизводство в компании?
Составные части делопроизводства:
- делопроизводство материальных документов;
- делопроизводство электронных документов;
- система взаимодействия и сопряжения материальных и электронных документов.
- документооборот компании;
- информационное хранилище компании (архив).
При создании конфиденциального делопроизводства необходимо ответить на следующие вопросы.
- Возможна ли оптимизация информационных потоков с целью минимизации затрат на создание конфиденциального делопроизводства?
- Какие грифы конфиденциальности ставить на документах (конфиденциально, строго конфиденциально, ознакомление по списку, графические фигуры и т.д.)?
- Кто осуществляет присвоение и снятие грифа конфиденциальности?
- Какой порядок пересмотра грифа конфиденциальности?
- Какое подразделение (должностное лицо) ведет учет конфиденциальных документов (ведение реестра), а также учет их перемещения;
кто определяет, какие документы содержат конфиденциальную информацию?
- Какие документы (кроме конфиденциальных) включать в систему конфиденциального делопроизводства (бланки строгой отчетности, номерные документы и др.)?
- Как создавать конфиденциальное делопроизводство - отдельно или на базе существующего открытого делопроизводства?
- Кому подчинить конфиденциальное делопроизводство и кто будет ее проверять?
- Какой порядок размещения конфиденциальных документов в СМИ, Интернете и в рекламных материалах?
- Какой порядок доступа к конфиденциальным документам представителей государственных структур?
- Как осуществлять контроль за конфиденциальным делопроизводством, в том числе за использованием копировально-множительной техники?
- Какие создать инструкции для обеспечения деятельности конфиденциального делопроизводства?
как осуществлять проверкe конфиденциального делопроизводства (плановая, внеплановая)
- Какой порядок создания конфиденциальных документов?
- Какой порядок ведения черновых конфиденциальных записей?
- Какой порядок уничтожения конфиденциальных документов (коллегиальность решения, использование шредеров, регистрация об уничтожении и т.д.)?
- Какой порядок пользования конфиденциальными документами?
- Какой порядок размножения (копирования) конфиденциальных документов?
- Какой порядок распечатывания конфиденциальных документов?
- Какая процедура индексации документов?
- Как осуществлять прием-передачу конфиденциальных документов (в том числе при уходе в отпуск, болезни и т.д.)?
- Какой порядок учета ознакомления с конфиденциальными документами?
- Какой порядок ведения конфиденциальных документов в актуальном состоянии?
- Какой порядок конвертования конфиденциальных документов?
- Какой порядок доклада и подписи конфиденциальных документов?
- Какая роль секретарей в работе с конфиденциальными документами?
- Какая процедура регистрации документов?
- Как осуществлять поиск документов (по дате, по номерам, по тематике, по исполнителям и т.д.)?
- Как осуществлять санкционированные выписки из конфиденциальных документов?
- Как формировать дела с конфиденциальными документами?
- Как осуществлять рассылку конфиденциальных документов?
- Какой порядок выноса конфиденциальных документов с контролируемой территории?
- Какой порядок работы с конфиденциальными документами в командировках?
- Как осуществлять контроль и учет конфиденциальных документов (в бумажном или в электронном исполнении)?
- Какой порядок перемещения конфиденциальных документов между территориально удаленными объектами компании?
- Как создать карточку конфиденциальности документа?
- Как оборудовать помещения, где находятся конфиденциальные документы?
- Как обеспечить физическую сохранность конфиденциальных документов при их хранении?
- Как осуществить защиту конфиденциальных документов от аппаратуры промышленного шпионажа?
- Как осуществлять защиту конфиденциального документа, представленного в электронном виде?
- Какие использовать средства криптографической защиты информации?
- Где расположить сервер с конфиденциальными документам, представленными в электронном виде, и какой будет порядок доступа к ним?
- Как осуществлять резервное копирование конфиденциальных документов, представленных в электронном виде?
- Как осуществлять антивирусную защиту?
- Какой перечень сотрудников (должностей), имеющих право на доступ к конфиденциальным документам (в том числе есть ли этот доступ у юристов, финансистов и редакторов)?
- Как оформлять обязательство сотрудника о сохранении информации, содержащейся в конфиденциальных документах?
- Какой порядок проведения проверок сотрудников, работающих с конфиденциальными документами?
- Какая будет мотивация персонала, работающего с конфиденциальными документами?
- Как организовать обучение персонала, работающего с конфиденциальными документами?
- Какой порядок оформления разрешения (допуска) на работу с конфиденциальными документами?
- Какие возможны превентивные мероприятия, направленные на недопущение разглашения конфиденциальной информации сотрудниками, работающими с конфиденциальными документами?
- Какой порядок проведения внутренних расследований по фактам разглашения конфиденциальной информации?
Материально-технические вопросы:
- Какие закупить сейфы для сохранности конфиденциальных документов?
- Какие закупить шредеры для уничтожения конфиденциальных документов?
- Где расположить архив конфиденциальных документов?
- Как осуществлять выдачу конфиденциальных документов из архива (кто имеет право получать документы, срок возвращения, контроль за возвращением документов и т.д.)?
- Какой порядок работы экспертной комиссии?[/h4][/strong]
Порядок создания конфиденциального делопроизводства
Порядок создания делопроизводства материальных документов:
1 этап – создание Секретариата (подразделения, отвечающего за делопроизводство) или введение в штат должности, в чьи функциональные обязанности будет входить обеспечение делопроизводства организации.
2 этап – определение как будут создаваться, учитываться, перемещаться и храниться документы.
3 этап – закупка необходимых принадлежностей для функционирования делопроизводства (сейфы, печати, оборудование для помещений и т.д.).
4 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
5 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей.
6 этап – создание механизмов контроля за соблюдением делопроизводства.
7 этап – создание механизма ответственности за нарушение правил делопроизводства.
Делопроизводство должно быть организовано в соответствии с ГОСТами, применяемыми в Российской Федерации. Основа – ГОСТ 6.30–97 "Унифицированные системы документации. Система организационно–распорядительной документации. Требования к оформлению документов".
Создание делопроизводства материальных конфиденциальных документов. Порядок создания.
1 этап - создание делопроизводства открытых материальных документов.
2 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения.
3 этап - утверждение перечня сведений конфиденциального характера у руководства, определение порядка и сроков пересмотра данного перечня, а также снятие грифа конфиденциальности.
4 этап - определение правил делопроизводства материальных конфиденциальных документов (создание, регистрация, перемещение, хранение, уничтожение документов) на основе делопроизводства материальных документов.
5 этап – определение технических, инженерно-технических и IT решений по защите материальных конфиденциальных документов и их электронных копий.
6 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера.
7 этап – заключение договоров о сохранении конфиденциальной информацией между компанией и сотрудниками, допущенными к работе с конфиденциальной информацией.
8 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
9 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей.
10 этап – создание механизмов контроля за соблюдением делопроизводства материальных конфиденциальных документов.
11 этап – создание механизма ответственности за нарушение правил делопроизводства материальных конфиденциальных документов.
Составные части делопроизводства материальных документов:
- Делопроизводство, связанное со стандартными, но специфическими задачами:
- бухгалтерия;
- учредительные документы;
- судебно-процессуальные документы;
- договорные документы и т.д.
- Внешнее делопроизводство:
- доставка входящей корреспонденции (в бумажном виде, в виде факса и т.д.);
- отправление исходящей корреспонденции (в бумажном виде, в виде факса и т.д.);
- Внутреннее делопроизводство:
- хранение документов (у сотрудников, в Секретариате);
- создание документов;
- издание нормативных документов руководством организации (приказы, распоряжения и т.д.);
- регистрация документа в Секретариате;
- движение документа внутри организации. Создание реестровой системы передачи документов;
размножение документов (снятие копий);
- контроль за исполнением документов;
- создание архивов документов. Экспертиза ценности документов. Возможность использования в работе документов, определенных в архив;
- уничтожение документов.
- О внесении изменений и дополнений в нормативно-правовые документы организации:
- в Устав организации;
- в "Коллективный договор";
- в правила внутреннего трудового распорядка для сотрудников;
- в трудовой договор;
- во все заключаемые договора.
- Договор между компанией и сотрудником о сохранении конфиденциальной информации.
- Инструкция по обеспечению сохранности конфиденциальной информации в компании. Примерный план инструкции:
- общие положения;
- определение информации и обозначение документов, содержащих конфиденциальную информацию, и сроков ее действия;
- организация работы с конфиденциальными документами;
- порядок сохранности документов, дел и изданий, содержащих конфиденциальную информацию;
- порядок допуска к сведениям, составляющим конфиденциальную информацию;
- контроль за выполнением требований внутриобъектового режима при работе со сведениями, содержащими конфиденциальную информацию;
- обязанности сотрудников компании, работающих со сведениями конфиденциального характера, и ответственность за их разглашение.
- Инструкция по организации делопроизводства. Инструкция должна состоять из следующих разделов:
- общие положения;
- правила составления и оформления документов;
- составление и оформление основных видов документов;
- организация документооборота:
- порядок движения и обработки входящих документов;
- порядок движения и обработки исходящих документов;
- порядок движения и обработки внутренних документов;
- регистрация документов;
- контроль исполнения документов;
- систематизация документов;
- разработка номенклатуры дел;
- формирование дел;
- подготовка документов к архивному хранению;
- экспертиза ценности документов;
- описание документов постоянного и временного сроков хранения;
- обеспечение сохранности дел;
- передача дел в архив;
- Кроме того, Инструкция по организации делопроизводства должна иметь ряд приложений:
- примерный перечень документов, не подлежащих регистрации;
- перечень документов, на которые ставится печать;
- перечень документов, подлежащих утверждению;
- перечень документов, подлежащих согласованию;
- форма регистрационной контрольной карточки;
- перечень документов, подлежащих контролю за исполнением, с указанием сроков хранения;
- акт о выделении к уничтожению документов с истекшими сроками хранения;
- внутренняя опись документов дела;
- опись дел, передаваемых на архивное хранение.
- Инструкция по конфиденциальному делопроизводству. Она включает:
- определение порядка выноса-вноса конфиденциальных документов применительно к охраняемой территории;
- определение порядка работы с конфиденциальными документами вне служебных помещений;
- изготовление и использование бланков организации, печатей и штампов;
- определение порядка использования бланков строгой отчетности (бланков компании, подготавливаемых за подписью первых лиц);
- порядок передачи конфиденциальных документов в случае ухода в отпуск, командировку или увольнения с работы;
- определение порядка подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, а также порядок подписи конфиденциальных документов;
- определение порядка пересылки конфиденциальных документов вне контролируемых помещений.
положение о Секретариате;
- должностные обязанности сотрудников Секретариата по обеспечению делопроизводства.
- системы документооборота электронных конфиденциальных документов;
- системы информационного хранилища электронных конфиденциальных документов (архив);
- системы защиты электронных конфиденциальных документов;
- системы сопряжения документообоотов (материальных и электронных конфиденциальных документов.
- Создание электронного конфиденциального документа:
- создание электронных документов с помощью текстовых редакторов, включая создание электронных документов по типовым формам;
- создание составных электронных документов, состоящих из нескольких разных по формату файлов;
- создание электронных документов с помощью сканирования документа на материальном носителе;
- создание электронных документов с помощью иных электронных данных, полученных с помощью электронной почты, корпоративной компьютерной сети, устройств ввода компьютерной информации и т.д.
- Использование электронной цифровой подписи для подтверждения авторства и подлинности электронного конфиденциального документа.
- Работа с электронными конфиденциальными документами различных форматов (текстовых, графических и т.д.).
- Создание регистрационных карточек электронных документов, связки регистрационной карточки с электронным документом и присвоение необходимых реквизитов, среди которых:
- дата создания, получения, исполнения;
- регистрационный номер;
- фамилия, имя, отчество исполнителя, адресата;
- права доступа;
- конфиденциальность;
- количество листов и т.д.
- Разделение документов по виду конфиденциальности, присвоение каждому документу грифа конфиденциальности и разграничение права пользователей работы с конфиденциальными документами по мандатному принципу.
- Получение и отправление электронных конфиденциальных документов по корпоративной компьютерной сети, а также по электронной почте.
- Работа с взаимосвязанными документами, поддержание возможности установления гиперссылок между учетными карточками или документами, связанных тематически, отменяющих или дополняющих друг друга.
- Контроль передвижения электронных конфиденциальных документов по сети и контроль ознакомления с ними, а также контроль за копированием, редактированием и размножением электронных конфиденциальных документов.
- Контроль исполнения резолюций, поручений, сроков исполнения, а также возможность сигнального режима, как составной части контроля.
- Поиск электронных конфиденциальных документов по:
- реквизитам;
- ключевым словам;
- содержанию;
- дате создания;
- контрольным срокам;
- исполнителю и т.д.
- Анализ электронных конфиденциальных документов по:
- тематике;
- проблематике;
- исполнителям;
- резолюциям;
- дате создания и т.д.
- дублирование (архивирование) электронных конфиденциальных документов с заданной периодичностью;
- разделение конфиденциального и открытого делопроизводства электронных документов.
- систематизации поступающих в хранилище электронных конфиденциальных документов различных видов и форм и упорядочения работы с ними;
- сохранения электронных конфиденциальных документов в массивах хранилища;
- отслеживания движения электронных конфиденциальных документов, выдаваемых сотрудникам, контроля и обеспечения их возврата или уничтожения;
- обеспечения эффективного поиска нужных электронных конфиденциальных документов в хранилище по идентификационным признакам;
- обеспечения подтверждения легитимности электронной цифровой подписи, применяемой для подтверждения авторства и подлинности электронных конфиденциальных документов;
- обеспечения режима безопасности электронных конфиденциальных документов в процессе их хранения, передачи в хранилище или получения из хранилища за счет использования современных технологий и средств информационной безопасности, а также разграничение доступа пользователей.
- блок технических (программных) средств защиты электронных конфиденциальных документов;
- блок защиты электронных конфиденциальных документов, связанных с человеческим фактором;
- блок организационных методов защиты электронных конфиденциальных документов.
1 рубеж – системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, Office и т.д.);
2 рубеж – системы защиты информации, встроенные в саму систему делопроизводства электронных конфиденциальных документов;
3 рубеж – системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователей.
- криптографическую защиту информации при хранении и при перемещении электронных конфиденциальных документов по корпоративной компьютерной сети, сети Интернет, электронной почте;
- защиту информации от несанкционированного доступа;
- мандатный принцип доступа пользователей к информационным ресурсам конфиденциального делопроизводства;
- контроль и защиту электронного конфиденциального документа от просмотра, изменения, копирования, распечатывания (перевода электронного документа в материальную форму);
- контроль целостности и достоверности электронного конфиденциального документа, а также подтверждение авторства исполнителя с помощью электронной цифровой подписи;
- защиту от вредоносных программ (вирусов).
- перевода материального конфиденциального документа в электронный конфиденциальный документ;
- перевода электронного конфиденциального документа в материальный конфиденциальный документ;
- параллельного хождения одного и того же документа в электронном и материальном виде.
