隨著資訊技術(shù)及網(wǎng)際網(wǎng)路技術(shù)在企業(yè)生産經(jīng)營活動中應(yīng)用的日益深入,企業(yè)在商業(yè)活動中的商業(yè)秘密保護難度逐步加大,“網(wǎng)際網(wǎng)路+”環(huán)境下商業(yè)秘密安全保護成為現(xiàn)代企業(yè)面臨的嚴峻問題。
隨著資訊技術(shù)及網(wǎng)際網(wǎng)路技術(shù)在企業(yè)生産經(jīng)營活動中應(yīng)用的日益深入,企業(yè)在商業(yè)活動中的商業(yè)秘密保護難度逐步加大,“網(wǎng)際網(wǎng)路+”環(huán)境下商業(yè)秘密安全保護成為現(xiàn)代企業(yè)面臨的嚴峻問題。為提升全社會的網(wǎng)路安全意識和安全防護技能,中央網(wǎng)路安全和資訊化領(lǐng)導(dǎo)小組決定每年九月第三周開展“國家網(wǎng)路安全宣傳周活動”,在聚焦于網(wǎng)路安全的同時,“網(wǎng)際網(wǎng)路+”環(huán)境下的企業(yè)商業(yè)秘密保護工作作為網(wǎng)路安全宣傳教育的重要組成部分也成為各主管部門各企業(yè)單位關(guān)注的焦點。
“網(wǎng)際網(wǎng)路+”環(huán)境下的商業(yè)秘密安全形勢嚴峻
商業(yè)秘密安全是關(guān)係到企業(yè)發(fā)展和生存的重要一環(huán),隨著網(wǎng)路的便利性加強,使得企業(yè)對其的依賴性也逐步加強,企業(yè)和個人在正常使用網(wǎng)路基礎(chǔ)設(shè)施享受網(wǎng)路化服務(wù)的過程中有意或無意的洩露了企業(yè)商業(yè)秘密的情況時有發(fā)生。而由於員工乃至高層對於網(wǎng)路知識的缺乏及對網(wǎng)路安全的不重視,大多數(shù)企業(yè)沒有建立起有效的安全管理制度和採取相應(yīng)的安全防護手段。
當(dāng)前企業(yè)面臨的競爭環(huán)境複雜多變、威脅日愈增多、資訊安全形勢嚴峻。 “網(wǎng)際網(wǎng)路+”環(huán)境下商業(yè)密秘密在保密措施、泄密形式、溯源審計上較以往的傳統(tǒng)方式有所不同,“網(wǎng)際網(wǎng)路+”環(huán)境下的商業(yè)秘密具有使用和存儲的高度聚集性、保密和泄密的高技術(shù)性等特點,並且大部分企業(yè)由於其員工眾多、組織架構(gòu)複雜、業(yè)務(wù)經(jīng)營範圍廣等原因,商業(yè)秘密保護項目開展起來難度大,缺乏商業(yè)秘密保護管理經(jīng)驗和有效的技術(shù)保護支撐,企業(yè)保護商業(yè)秘密的意識比較淡薄、保護措施滯後,致使侵害商業(yè)秘密權(quán)益的事件不斷增加,商密泄漏現(xiàn)象屢屢發(fā)生。
拿什麼保護企業(yè)商業(yè)秘密
面對日益激烈的商業(yè)競爭環(huán)境,企業(yè)拿什麼來保護自身商業(yè)秘密?企業(yè)怎樣才能具備商業(yè)秘密安全需求的能力以求在商業(yè)競爭環(huán)境中立於不敗之地?長期從事企業(yè)商業(yè)秘密保護諮詢及商密數(shù)據(jù)安全與管理産品的研發(fā)工作的敏捷科技,通過以往大量的企業(yè)商業(yè)秘密保護經(jīng)驗總結(jié)認為商業(yè)秘密保護工作開展應(yīng)遵循“三分技術(shù),七分管理,十二分意識”的原則,各企業(yè)需根據(jù)自身業(yè)務(wù)及行業(yè)特點建立一套能滿足企業(yè)商業(yè)秘密安全技術(shù)需求和管理需求的商業(yè)秘密安全保障體系,並從根本上提升員工商業(yè)秘密保護意識。
建立商業(yè)秘密技術(shù)保護體系
企業(yè)需針對自身的商業(yè)秘密數(shù)據(jù)使用和管理現(xiàn)狀進行調(diào)研分析,從數(shù)據(jù)流、業(yè)務(wù)流多角度對商業(yè)秘密資訊數(shù)據(jù)安全管理手段進行研究,分析用戶當(dāng)前資訊化中存在的安全風(fēng)險與薄弱環(huán)節(jié),明確商密保護技術(shù)體系建設(shè)的安全需求。並根據(jù)商業(yè)秘密資訊數(shù)據(jù)的生成、存放、流轉(zhuǎn)、銷毀等特徵建立準確的商密數(shù)據(jù)生命週期模型,對企業(yè)商業(yè)秘密資訊的“數(shù)據(jù)創(chuàng)建、密級標識、知悉範圍、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)共用、數(shù)據(jù)歸檔以及數(shù)據(jù)銷毀”等全生命週期的進行訪問控制和安全管理,併為實現(xiàn)商密資訊數(shù)據(jù)全生命週期的安全防護體系建設(shè)提供基準和技術(shù)應(yīng)用參考。
企業(yè)商業(yè)秘密保護不同於傳統(tǒng)的資訊安全建設(shè),傳統(tǒng)的資訊安全防護是基於靜態(tài)數(shù)據(jù)的加密保護、桌面行為管理、網(wǎng)路防攻擊等技術(shù)手段對企業(yè)的數(shù)據(jù)安全進行安全保護的。由於網(wǎng)路環(huán)境的開放性、動態(tài)發(fā)展性等特徵,企業(yè)商密保護的核心重點是對數(shù)據(jù)全生命週期這樣一個“動態(tài)”的過程進行安全防護,因此,不能用傳統(tǒng)的資訊安全思路設(shè)計商密保護的建設(shè)方案,而應(yīng)該結(jié)合企業(yè)的實際應(yīng)用場景,針對不同的資訊流轉(zhuǎn)過程、載體、方式等特點,設(shè)計適用於企業(yè)資訊化現(xiàn)狀的商業(yè)秘密資訊數(shù)據(jù)安全解決方案,並結(jié)合企業(yè)商業(yè)秘密保護的系列安全項目建設(shè),為企業(yè)構(gòu)建全面、完整、高效的商業(yè)秘密安全技術(shù)保障體系。
建立商業(yè)秘密保護管理體系
目前,對於商密資訊數(shù)據(jù)的安全防護大多企業(yè)普遍重視安全技術(shù)而忽視安全管理。同時,安全管理缺乏系統(tǒng)性,被動應(yīng)對多於主動防禦,事前沒有制定防範預(yù)案,出現(xiàn)安全問題才去想辦法補救。然而,大多數(shù)企業(yè)都未開展過專門的商業(yè)秘密資訊資産保護工作,缺乏或者未健全相關(guān)的安全管理制度。企業(yè)要切實加強商業(yè)秘密保護效果,單靠技術(shù)層面的建設(shè)是遠遠不夠的,企業(yè)需通過以下幾步建設(shè)完整的商業(yè)秘密管理體系。
確定商業(yè)秘密保護指導(dǎo)方針:企業(yè)商業(yè)秘密保護應(yīng)遵循“業(yè)務(wù)誰主管,保密誰負責(zé)”責(zé)任制原則,在保密工作中堅持“積極防範,突出重點,嚴格標準,嚴格管理”的基本工作準則。
建立保密組織機構(gòu)及明確人員職責(zé):組織機構(gòu)的設(shè)置對於企業(yè)開展保密工作有著基礎(chǔ)支撐作用,企業(yè)要想搞好保密工作,首先要確立保密工作領(lǐng)導(dǎo)小組和保密工作組,並確定人員職責(zé)。
建立企業(yè)商業(yè)秘密保護管理制度:完善的商業(yè)秘密保護管理制度是做好保密工作的基礎(chǔ),建立健全保密管理制度有利於明確企業(yè)每一個員工在保密工作中的權(quán)利和義務(wù),便於保密工作的有章可循、有法可依。
制定商業(yè)秘密洩露應(yīng)急處置及響應(yīng)辦法:建立安全態(tài)勢分析機制對企業(yè)內(nèi)外網(wǎng)的商業(yè)秘密數(shù)據(jù)安全態(tài)勢進行統(tǒng)一分析和安全預(yù)警,採取相應(yīng)商密數(shù)據(jù)洩露應(yīng)急處置方法對商業(yè)秘密資訊洩露事故進行回溯追蹤和應(yīng)急響應(yīng)處置。
提高全員商業(yè)秘密保護意識
除了在管理和技術(shù)層面入手,企業(yè)還應(yīng)加強員工商業(yè)秘密保護意識。通過從企業(yè)商業(yè)秘密管理制度宣貫、企業(yè)商業(yè)秘密保護文化氛圍營造、以及培養(yǎng)日常工作中商業(yè)秘密保護小技巧等方面開展系列活動,從根本上提升普通員工商業(yè)秘密保護意識,再結(jié)合管理制度和技術(shù)手段的應(yīng)用,才能在“網(wǎng)際網(wǎng)路+”環(huán)境下很好的達到企業(yè)商業(yè)秘密保護效果。(陳萬江)
[責(zé)任編輯:韓靜]