隨著資訊技術及網際網路技術在企業生産經營活動中應用的日益深入,企業在商業活動中的商業秘密保護難度逐步加大,“網際網路+”環境下商業秘密安全保護成為現代企業面臨的嚴峻問題。
隨著資訊技術及網際網路技術在企業生産經營活動中應用的日益深入,企業在商業活動中的商業秘密保護難度逐步加大,“網際網路+”環境下商業秘密安全保護成為現代企業面臨的嚴峻問題。為提升全社會的網路安全意識和安全防護技能,中央網路安全和資訊化領導小組決定每年九月第三周開展“國家網路安全宣傳周活動”,在聚焦于網路安全的同時,“網際網路+”環境下的企業商業秘密保護工作作為網路安全宣傳教育的重要組成部分也成為各主管部門各企業單位關注的焦點。
“網際網路+”環境下的商業秘密安全形勢嚴峻
商業秘密安全是關係到企業發展和生存的重要一環,隨著網路的便利性加強,使得企業對其的依賴性也逐步加強,企業和個人在正常使用網路基礎設施享受網路化服務的過程中有意或無意的洩露了企業商業秘密的情況時有發生。而由於員工乃至高層對於網路知識的缺乏及對網路安全的不重視,大多數企業沒有建立起有效的安全管理制度和採取相應的安全防護手段。
當前企業面臨的競爭環境複雜多變、威脅日愈增多、資訊安全形勢嚴峻。 “網際網路+”環境下商業密秘密在保密措施、泄密形式、溯源審計上較以往的傳統方式有所不同,“網際網路+”環境下的商業秘密具有使用和存儲的高度聚集性、保密和泄密的高技術性等特點,並且大部分企業由於其員工眾多、組織架構複雜、業務經營範圍廣等原因,商業秘密保護項目開展起來難度大,缺乏商業秘密保護管理經驗和有效的技術保護支撐,企業保護商業秘密的意識比較淡薄、保護措施滯後,致使侵害商業秘密權益的事件不斷增加,商密泄漏現象屢屢發生。
拿什麼保護企業商業秘密
面對日益激烈的商業競爭環境,企業拿什麼來保護自身商業秘密?企業怎樣才能具備商業秘密安全需求的能力以求在商業競爭環境中立於不敗之地?長期從事企業商業秘密保護諮詢及商密數據安全與管理産品的研發工作的敏捷科技,通過以往大量的企業商業秘密保護經驗總結認為商業秘密保護工作開展應遵循“三分技術,七分管理,十二分意識”的原則,各企業需根據自身業務及行業特點建立一套能滿足企業商業秘密安全技術需求和管理需求的商業秘密安全保障體系,並從根本上提升員工商業秘密保護意識。
建立商業秘密技術保護體系
企業需針對自身的商業秘密數據使用和管理現狀進行調研分析,從數據流、業務流多角度對商業秘密資訊數據安全管理手段進行研究,分析用戶當前資訊化中存在的安全風險與薄弱環節,明確商密保護技術體系建設的安全需求。並根據商業秘密資訊數據的生成、存放、流轉、銷毀等特徵建立準確的商密數據生命週期模型,對企業商業秘密資訊的“數據創建、密級標識、知悉範圍、數據存儲、數據使用、數據共用、數據歸檔以及數據銷毀”等全生命週期的進行訪問控制和安全管理,併為實現商密資訊數據全生命週期的安全防護體系建設提供基準和技術應用參考。
企業商業秘密保護不同於傳統的資訊安全建設,傳統的資訊安全防護是基於靜態數據的加密保護、桌面行為管理、網路防攻擊等技術手段對企業的數據安全進行安全保護的。由於網路環境的開放性、動態發展性等特徵,企業商密保護的核心重點是對數據全生命週期這樣一個“動態”的過程進行安全防護,因此,不能用傳統的資訊安全思路設計商密保護的建設方案,而應該結合企業的實際應用場景,針對不同的資訊流轉過程、載體、方式等特點,設計適用於企業資訊化現狀的商業秘密資訊數據安全解決方案,並結合企業商業秘密保護的系列安全項目建設,為企業構建全面、完整、高效的商業秘密安全技術保障體系。
建立商業秘密保護管理體系
目前,對於商密資訊數據的安全防護大多企業普遍重視安全技術而忽視安全管理。同時,安全管理缺乏系統性,被動應對多於主動防禦,事前沒有制定防範預案,出現安全問題才去想辦法補救。然而,大多數企業都未開展過專門的商業秘密資訊資産保護工作,缺乏或者未健全相關的安全管理制度。企業要切實加強商業秘密保護效果,單靠技術層面的建設是遠遠不夠的,企業需通過以下幾步建設完整的商業秘密管理體系。
確定商業秘密保護指導方針:企業商業秘密保護應遵循“業務誰主管,保密誰負責”責任制原則,在保密工作中堅持“積極防範,突出重點,嚴格標準,嚴格管理”的基本工作準則。
建立保密組織機構及明確人員職責:組織機構的設置對於企業開展保密工作有著基礎支撐作用,企業要想搞好保密工作,首先要確立保密工作領導小組和保密工作組,並確定人員職責。
建立企業商業秘密保護管理制度:完善的商業秘密保護管理制度是做好保密工作的基礎,建立健全保密管理制度有利於明確企業每一個員工在保密工作中的權利和義務,便於保密工作的有章可循、有法可依。
制定商業秘密洩露應急處置及響應辦法:建立安全態勢分析機制對企業內外網的商業秘密數據安全態勢進行統一分析和安全預警,採取相應商密數據洩露應急處置方法對商業秘密資訊洩露事故進行回溯追蹤和應急響應處置。
提高全員商業秘密保護意識
除了在管理和技術層面入手,企業還應加強員工商業秘密保護意識。通過從企業商業秘密管理制度宣貫、企業商業秘密保護文化氛圍營造、以及培養日常工作中商業秘密保護小技巧等方面開展系列活動,從根本上提升普通員工商業秘密保護意識,再結合管理制度和技術手段的應用,才能在“網際網路+”環境下很好的達到企業商業秘密保護效果。(陳萬江)
[責任編輯:韓靜]