商业秘密保护整体解决方案

创建时间:2019-07-26 15:00

需求背景

 

 

2014 年夏季达沃斯论坛组织世界顶级企业安全专家研究发现,中小企业普遍面临以下运营风险难题亟待解决:

1、商业秘密安全:未对敏感信息资产分类,也没有对重要信息资产提供有差别、针对性保护;

2、缺乏保密意识:一线员工不理解他们所使用的信息的价值,缺乏业务风险意识;

3、网络安全: 零散的控制措施和脆弱的安全架构,导致内部充斥着安全隐患。信息资产被盗窃和故意破坏等严重风险较高。

上述问题可能带来更多的潜在风险,如:

 

解决方案图片

 

 

 

方案依据

 

 

为解决内、外部人员泄密等信息安全问题,大型企业集团通常选择通过多个国际标准认证来保护企业信息安全,如:

  •   ISO27001 (ISMS信息安全标准族)
  •   ISO31000:风险管理标准
  •   COSO《内部控制-整合框架》
  • 《信息安全等级保护管理办法》

上述认证在世界各国的信息安全领域得到广泛运用,其体系框架规范全面,但建立实施过程耗时费力,体系运行对管理水平有较高要求,并不适用于没有认证需求的中小企业的商业秘密保护。中小企业管理基础薄弱,人才流动率居高不下,更容易泄露商业秘密,因此需要一套综合成本低、小巧精细、快速有效的保密管理体系。

我们认为一个适用于中小企业的商业秘密保护体系应当具备以下要求:

  • 能够合法依规、有效保护商业秘密资产;
  • 具备反商业情报搜集能力;
  • 具备ISMS 所要求的信息安全保障能力;
  • 符合企业知识产权管理规范要求;
  • 与企业现有管理体系深度融合,一体化管理;

要实现上述目标,依靠单一的技术或管理措施无法达成,必须另辟蹊径。从技术、管理、法律等多个层面,灵活配置各种措施,使其互为支撑、相互配合。建立立体多维、纵深防御的多体系融合管理系统是中小企业建设商业秘密保护体系的必然选择。

虹安信息基于多年商业秘密保护的实务经验和实践,总结出一套能适用于中小企业保密管理的商业秘密保护参考框架。该参考框架以业务安全为驱动,以保密方针为指导,包括组织职能建设管理、商业秘密保护制度、保密业务运作、保护策略、保密技术和运维管理等内容。参考框架如下图所示。

参考框架

 

 

为了保证该参考模型成功落地,虹安信息将多年来商业秘密保护实施过程中得到的经验进行总结,推出一套小巧精细、易落地、易实施的整体解决方案,并针对该方案开发了培训课程。

 

方案概述

 

 

企业整体解决方案是以知识资产分级为基础,以泄密风险评估为依据,以保密策略为中心。采用模块化设计方法,从管理、技术、法律等多个层面,构建起了一套一体化的保密策略、过程、控制框架和模型。

 

主要模块

 

 

1、商业秘密确定

 

商业秘密的确定是商业秘密资产管理的基础。缺少明确的保护对象,制定的保护措施就没有针对性,即起不到保护作用,也难以获得充分的法律保护,既浪费公司的资源,也达不成保密目的。

要确定商业秘密,第一步要确定划分准则,也就是确定商业秘密的标准。标准制定好后,企业可以根据自身特点,灵活运用强制法、列表法、过程法等各种方法识别商业秘密。流程如下:

 

商业秘密确定

 

2、泄密风险评估

 

商业秘密风险包括窃(泄)密、失密、保护、维权、侵权等多种风险。例如:

  • 商业秘密可能由员工疏忽而意外泄露,也可能被商业间谍或竞争对手窃取。

  • 因转换保护方式(如申请专利)或技术进步而失去秘密性;

  • 错误的保护方式致使工作效率大幅降低、创新能力受限、商业秘密价值损失(如加密后文件等);

  • 因合法维护自身的商业秘密,花费的时间、精力、金钱等;

  • 被竞争对手恶意诉讼,不得不自证清白,也可能造成商业秘密再次泄露;

上述风险中,对中小企业危害最大、损失最为惨重、发生频次最多的是泄(窃)密风险,这也是商业秘密的主要风险。

要处置好泄密风险,首先要认清风险,找出漏洞,这个基础工作就是泄密风险评估。

流程如下:

泄密风险评估

 

找出隐藏的泄密漏洞,是设计有针对性保密措施的依据;明确商业秘密信息的泄密影响,是分级保护的依据;准确判断泄密的可能性,是设计保护策略的重要依据。

 

3、保护方法策化

 

保密方法策划模块输出的是策略文件。

策略要针对自身的风险制定,不是生搬硬套同行经验和做法。策略应该符合公司的战略要求。它是在商业秘密保护方针的指导下,针对泄密漏洞、泄密威胁、泄密影响及泄密可能性设计的可执行、精细而有实效的风险应对措施。策略的覆盖范围应该包括商业秘密全生命周期。

策略是配置保密资源的指南,是执行的标准,是对分级保护原则的细节呈现,是搭建组织架构的参考,也是考核人员职责的依据;策略还是编制商业秘密保护制度的重要依据,策略也是对保密技术集成的规范和要求,策略落实是否有效是保密检查的重点,是商业秘密保护的生命。

保护方法策划

图2:策略-机制构建原理图

策略的设计流程

 

策略设计流程

 

 

4、技术集成

 

技术集成就是依据风险评估的结果,按照分级保护的原则,针对不同性质的风险采取不同的保护策略,灵活运用保密技术集成、安防保卫集成和网络安全集成的相关技术,帮助企业建立起全方位的商业秘密保护技术体系,保护企业核心竞争力,使得企业在全球化竞争中处于有利地位。

技术集成

 

实施流程

商业秘密保护解决方案是一个企业级的解决方案。涉及到企业保密文化构建、保密组织的建设和考核、保密制度的建立和贯彻、涉密流程的梳理和优化、保密技术集成等企业管理的多个方面。决策层的决心、大力支持和积极参与是本方案整体成功实施的关键。

实施流程

 

方案优势

全方位,全生命周期保护

模块化设计,灵活、实效的保密集成;

方案易落地,实施期短,成本可控制;

有针对性的保护策略设计,适用于企业自身需求。