回想筆者約20年前從事的第一份工作，那時企業普遍都還沒有機敏文件保護的觀念，而且企業電腦化的程度也遠不如現在，很多屬於比較機密的資料是工程人員手中一張張的紙本資料，當然你說要做到有多嚴謹的保護，真的是比較困難的，尤其是那時員工的忠誠度跟現在相較來講是高的，所以企業並沒有意識到保護公司的這些機敏文件，有那麼的重要與迫切。

但現今隨著電腦化的普及以及全球網路化之後，資料的傳遞不但快速而且多元化，企業彼此間的競爭到了無所不用其極的地步，所以新聞常見到有企業互相告發侵害智慧財產、或宣稱研究成果遭對手竊用，或更有甚者整個研發團隊被挖角等等，這些種種的事件，如果您的企業是受侵害的一方，相信這企業主心中一定有說不出的痛，所以說現今的企業對於機敏文件的管理，一定要有基本的認知及作為。

機敏文件分級建議 

機敏文件管理的第一步，就是企業一定要清楚知道有哪些資料是屬於機敏文件，也就是企業對於機敏文件要定義，一般來說可以簡易定義如以下所列：

• 一般(可公開)
• 內部使用(部門間流通不限制，但不能攜出於公司外)
• 機密(僅能於少數相關的部門間流通)
• 極機密(僅限一部門內及授權人員使用，嚴禁流通)

上述定義完之後，各部門一定要將所有機敏資料盤點出來，然後只要不是一般可公開的資料，就必需清楚的紀錄在機敏文件的盤點清冊內。這邊所提到的當然不分是紙本或是電子形式的檔案，都需要盤點，並且要紀錄檔案的形式，後續才能針對不同形式的文件來思考不同的保護對策。

機敏文件管理案例分享 

筆者以輔導過的案例來分析，記得在幾年前，筆者輔導一家資料處理公司導入資訊安全管理系統時，那間公司本身並沒有什麼機敏文件，所有的機敏文件是各個客戶委託處理的資料。例如其中一間是委託處理客戶名單資料，因為這些名單的內容包含姓名、出生日期、地址、連絡電話及家庭成員聯絡資訊，而當時客戶交給他們的並非是電子檔案，是一張張用手填的紙本資料，這該如何的來進行保護工作呢？ 首先應先分析有哪些點是容易造成資料外洩的：

第一：從客戶端取得資料時是一張張的紙本，所以如果讓員工直接拿這一張張的紙本資料去做輸入會有什麼風險？ 
第二：執行輸入工作的員工辦公室是開放的空間，而員工則有近200員，會不會有員工彼此代為輸入的問題，這樣有什麼風險？
第三：上述辦公室是開放的空間，若有資料遺失或外洩了，如何追究責任？

以上簡略列出3點來說明，其實當初各部門主管腦力激盪的結果列了快20點。以下是各點解決的方式：

第一：先將客戶送來的資料，直接在一間管制的空間做掃瞄工作，將一張張的紙本資料掃成圖檔，並且將這圖檔切割成為四份，切割完電腦程式直接配上工單號，然後完整的電子圖檔就自動銷燬，以避免客戶整筆資料外洩。 
第二：員工不拿取紙本資料，電腦開機輸入個人帳號密碼後，自動有工單列表，員工必須完成自己的工作，而辦公室則加了門禁，每位員工配置一員工通行卡，有權限的人員才能進入 
第三：員工輸入資料的位置上不能放有紙筆及其他私人物品等，並且加裝攝影機做安全管制

第二個例子是一間程式開發公司，當然這間公司最重要的機敏文件就是程式碼了，那時大家都知道當然是要避免有員工能拿到完整開發的原始碼，其實產品的走向提前曝光對公司營運也有很大的影響，但是要避免這些的困難度很高，最後分析的結果要做的改善有近40項，而這企業主最後親自主導整個作業，其中包含政策的發佈、管理組織的成立、人員的管理、實體環境的管理及存取的控制等等的，而所有機敏文件分析出的結果都有這些方面的弱點及威脅，所以這企業主體認到要完全做好機敏文件的管理，最基本就是要避免機敏文件的弱點能被外在威脅所利用，最後新增的管制作業一共比原本多了近100項。

機敏文件管理應著重風險分析與控制 

從上面的案例我們可以瞭解到，機敏文件的管理，是一種風險管理的方法，企業要從各個面向去分析所面對的風險，然後想出因應的對策，風險的主體是機敏文件，分析這主體在各方面有什麼弱點，而這弱點是否可能被外在的威脅所利用，如果弱點很多，能被威脅利用的可能性很大，那一定要儘快以企業能用的資源來解決，否則輕則單純的資料遺失，重則影響企業的營運，您願意這樣嗎？

風險分析可依據ISO27001的標準來參考，包括實體環境、人員任用、電子檔案存取、紙本資料列印、個人電腦安全、網路架構安全、資料傳輸安全等，除此之外，在雲端世代，還需考慮資料可否上雲端儲存平台等等議題。藉由專業的風險評估，還規劃企業機敏資料的使用，才可確保企業機敏文件可以有效被保護。