隨著信息技術(shù)及互聯(lián)網(wǎng)技術(shù)在企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中應(yīng)用的日益深入,企業(yè)在商業(yè)活動(dòng)中的商業(yè)秘密保護(hù)難度逐步加大,“互聯(lián)網(wǎng)+”環(huán)境下商業(yè)秘密安全保護(hù)成為現(xiàn)代企業(yè)面臨的嚴(yán)峻問(wèn)題。
隨著信息技術(shù)及互聯(lián)網(wǎng)技術(shù)在企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中應(yīng)用的日益深入,企業(yè)在商業(yè)活動(dòng)中的商業(yè)秘密保護(hù)難度逐步加大,“互聯(lián)網(wǎng)+”環(huán)境下商業(yè)秘密安全保護(hù)成為現(xiàn)代企業(yè)面臨的嚴(yán)峻問(wèn)題。為提升全社會(huì)的網(wǎng)絡(luò)安全意識(shí)和安全防護(hù)技能,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組決定每年九月第三周開(kāi)展“國(guó)家網(wǎng)絡(luò)安全宣傳周活動(dòng)”,在聚焦于網(wǎng)絡(luò)安全的同時(shí),“互聯(lián)網(wǎng)+”環(huán)境下的企業(yè)商業(yè)秘密保護(hù)工作作為網(wǎng)絡(luò)安全宣傳教育的重要組成部分也成為各主管部門各企業(yè)單位關(guān)注的焦點(diǎn)。
“互聯(lián)網(wǎng)+”環(huán)境下的商業(yè)秘密安全形勢(shì)嚴(yán)峻
商業(yè)秘密安全是關(guān)系到企業(yè)發(fā)展和生存的重要一環(huán),隨著網(wǎng)絡(luò)的便利性加強(qiáng),使得企業(yè)對(duì)其的依賴性也逐步加強(qiáng),企業(yè)和個(gè)人在正常使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施享受網(wǎng)絡(luò)化服務(wù)的過(guò)程中有意或無(wú)意的泄露了企業(yè)商業(yè)秘密的情況時(shí)有發(fā)生。而由于員工乃至高層對(duì)于網(wǎng)絡(luò)知識(shí)的缺乏及對(duì)網(wǎng)絡(luò)安全的不重視,大多數(shù)企業(yè)沒(méi)有建立起有效的安全管理制度和采取相應(yīng)的安全防護(hù)手段。
當(dāng)前企業(yè)面臨的競(jìng)爭(zhēng)環(huán)境復(fù)雜多變、威脅日愈增多、信息安全形勢(shì)嚴(yán)峻。 “互聯(lián)網(wǎng)+”環(huán)境下商業(yè)密秘密在保密措施、泄密形式、溯源審計(jì)上較以往的傳統(tǒng)方式有所不同,“互聯(lián)網(wǎng)+”環(huán)境下的商業(yè)秘密具有使用和存儲(chǔ)的高度聚集性、保密和泄密的高技術(shù)性等特點(diǎn),并且大部分企業(yè)由于其員工眾多、組織架構(gòu)復(fù)雜、業(yè)務(wù)經(jīng)營(yíng)范圍廣等原因,商業(yè)秘密保護(hù)項(xiàng)目開(kāi)展起來(lái)難度大,缺乏商業(yè)秘密保護(hù)管理經(jīng)驗(yàn)和有效的技術(shù)保護(hù)支撐,企業(yè)保護(hù)商業(yè)秘密的意識(shí)比較淡薄、保護(hù)措施滯后,致使侵害商業(yè)秘密權(quán)益的事件不斷增加,商密泄漏現(xiàn)象屢屢發(fā)生。
拿什么保護(hù)企業(yè)商業(yè)秘密
面對(duì)日益激烈的商業(yè)競(jìng)爭(zhēng)環(huán)境,企業(yè)拿什么來(lái)保護(hù)自身商業(yè)秘密?企業(yè)怎樣才能具備商業(yè)秘密安全需求的能力以求在商業(yè)競(jìng)爭(zhēng)環(huán)境中立于不敗之地?長(zhǎng)期從事企業(yè)商業(yè)秘密保護(hù)咨詢及商密數(shù)據(jù)安全與管理產(chǎn)品的研發(fā)工作的敏捷科技,通過(guò)以往大量的企業(yè)商業(yè)秘密保護(hù)經(jīng)驗(yàn)總結(jié)認(rèn)為商業(yè)秘密保護(hù)工作開(kāi)展應(yīng)遵循“三分技術(shù),七分管理,十二分意識(shí)”的原則,各企業(yè)需根據(jù)自身業(yè)務(wù)及行業(yè)特點(diǎn)建立一套能滿足企業(yè)商業(yè)秘密安全技術(shù)需求和管理需求的商業(yè)秘密安全保障體系,并從根本上提升員工商業(yè)秘密保護(hù)意識(shí)。
建立商業(yè)秘密技術(shù)保護(hù)體系
企業(yè)需針對(duì)自身的商業(yè)秘密數(shù)據(jù)使用和管理現(xiàn)狀進(jìn)行調(diào)研分析,從數(shù)據(jù)流、業(yè)務(wù)流多角度對(duì)商業(yè)秘密信息數(shù)據(jù)安全管理手段進(jìn)行研究,分析用戶當(dāng)前信息化中存在的安全風(fēng)險(xiǎn)與薄弱環(huán)節(jié),明確商密保護(hù)技術(shù)體系建設(shè)的安全需求。并根據(jù)商業(yè)秘密信息數(shù)據(jù)的生成、存放、流轉(zhuǎn)、銷毀等特征建立準(zhǔn)確的商密數(shù)據(jù)生命周期模型,對(duì)企業(yè)商業(yè)秘密信息的“數(shù)據(jù)創(chuàng)建、密級(jí)標(biāo)識(shí)、知悉范圍、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)歸檔以及數(shù)據(jù)銷毀”等全生命周期的進(jìn)行訪問(wèn)控制和安全管理,并為實(shí)現(xiàn)商密信息數(shù)據(jù)全生命周期的安全防護(hù)體系建設(shè)提供基準(zhǔn)和技術(shù)應(yīng)用參考。
企業(yè)商業(yè)秘密保護(hù)不同于傳統(tǒng)的信息安全建設(shè),傳統(tǒng)的信息安全防護(hù)是基于靜態(tài)數(shù)據(jù)的加密保護(hù)、桌面行為管理、網(wǎng)絡(luò)防攻擊等技術(shù)手段對(duì)企業(yè)的數(shù)據(jù)安全進(jìn)行安全保護(hù)的。由于網(wǎng)絡(luò)環(huán)境的開(kāi)放性、動(dòng)態(tài)發(fā)展性等特征,企業(yè)商密保護(hù)的核心重點(diǎn)是對(duì)數(shù)據(jù)全生命周期這樣一個(gè)“動(dòng)態(tài)”的過(guò)程進(jìn)行安全防護(hù),因此,不能用傳統(tǒng)的信息安全思路設(shè)計(jì)商密保護(hù)的建設(shè)方案,而應(yīng)該結(jié)合企業(yè)的實(shí)際應(yīng)用場(chǎng)景,針對(duì)不同的信息流轉(zhuǎn)過(guò)程、載體、方式等特點(diǎn),設(shè)計(jì)適用于企業(yè)信息化現(xiàn)狀的商業(yè)秘密信息數(shù)據(jù)安全解決方案,并結(jié)合企業(yè)商業(yè)秘密保護(hù)的系列安全項(xiàng)目建設(shè),為企業(yè)構(gòu)建全面、完整、高效的商業(yè)秘密安全技術(shù)保障體系。
建立商業(yè)秘密保護(hù)管理體系
目前,對(duì)于商密信息數(shù)據(jù)的安全防護(hù)大多企業(yè)普遍重視安全技術(shù)而忽視安全管理。同時(shí),安全管理缺乏系統(tǒng)性,被動(dòng)應(yīng)對(duì)多于主動(dòng)防御,事前沒(méi)有制定防范預(yù)案,出現(xiàn)安全問(wèn)題才去想辦法補(bǔ)救。然而,大多數(shù)企業(yè)都未開(kāi)展過(guò)專門的商業(yè)秘密信息資產(chǎn)保護(hù)工作,缺乏或者未健全相關(guān)的安全管理制度。企業(yè)要切實(shí)加強(qiáng)商業(yè)秘密保護(hù)效果,單靠技術(shù)層面的建設(shè)是遠(yuǎn)遠(yuǎn)不夠的,企業(yè)需通過(guò)以下幾步建設(shè)完整的商業(yè)秘密管理體系。
確定商業(yè)秘密保護(hù)指導(dǎo)方針:企業(yè)商業(yè)秘密保護(hù)應(yīng)遵循“業(yè)務(wù)誰(shuí)主管,保密誰(shuí)負(fù)責(zé)”責(zé)任制原則,在保密工作中堅(jiān)持“積極防范,突出重點(diǎn),嚴(yán)格標(biāo)準(zhǔn),嚴(yán)格管理”的基本工作準(zhǔn)則。
建立保密組織機(jī)構(gòu)及明確人員職責(zé):組織機(jī)構(gòu)的設(shè)置對(duì)于企業(yè)開(kāi)展保密工作有著基礎(chǔ)支撐作用,企業(yè)要想搞好保密工作,首先要確立保密工作領(lǐng)導(dǎo)小組和保密工作組,并確定人員職責(zé)。
建立企業(yè)商業(yè)秘密保護(hù)管理制度:完善的商業(yè)秘密保護(hù)管理制度是做好保密工作的基礎(chǔ),建立健全保密管理制度有利于明確企業(yè)每一個(gè)員工在保密工作中的權(quán)利和義務(wù),便于保密工作的有章可循、有法可依。
制定商業(yè)秘密泄露應(yīng)急處置及響應(yīng)辦法:建立安全態(tài)勢(shì)分析機(jī)制對(duì)企業(yè)內(nèi)外網(wǎng)的商業(yè)秘密數(shù)據(jù)安全態(tài)勢(shì)進(jìn)行統(tǒng)一分析和安全預(yù)警,采取相應(yīng)商密數(shù)據(jù)泄露應(yīng)急處置方法對(duì)商業(yè)秘密信息泄露事故進(jìn)行回溯追蹤和應(yīng)急響應(yīng)處置。
提高全員商業(yè)秘密保護(hù)意識(shí)
除了在管理和技術(shù)層面入手,企業(yè)還應(yīng)加強(qiáng)員工商業(yè)秘密保護(hù)意識(shí)。通過(guò)從企業(yè)商業(yè)秘密管理制度宣貫、企業(yè)商業(yè)秘密保護(hù)文化氛圍營(yíng)造、以及培養(yǎng)日常工作中商業(yè)秘密保護(hù)小技巧等方面開(kāi)展系列活動(dòng),從根本上提升普通員工商業(yè)秘密保護(hù)意識(shí),再結(jié)合管理制度和技術(shù)手段的應(yīng)用,才能在“互聯(lián)網(wǎng)+”環(huán)境下很好的達(dá)到企業(yè)商業(yè)秘密保護(hù)效果。(陳萬(wàn)江)
[責(zé)任編輯:韓靜]