隨著信息技術及互聯(lián)網技術在企業(yè)生產經營活動中應用的日益深入,企業(yè)在商業(yè)活動中的商業(yè)秘密保護難度逐步加大,“互聯(lián)網+”環(huán)境下商業(yè)秘密安全保護成為現(xiàn)代企業(yè)面臨的嚴峻問題。
隨著信息技術及互聯(lián)網技術在企業(yè)生產經營活動中應用的日益深入,企業(yè)在商業(yè)活動中的商業(yè)秘密保護難度逐步加大,“互聯(lián)網+”環(huán)境下商業(yè)秘密安全保護成為現(xiàn)代企業(yè)面臨的嚴峻問題。為提升全社會的網絡安全意識和安全防護技能,中央網絡安全和信息化領導小組決定每年九月第三周開展“國家網絡安全宣傳周活動”,在聚焦于網絡安全的同時,“互聯(lián)網+”環(huán)境下的企業(yè)商業(yè)秘密保護工作作為網絡安全宣傳教育的重要組成部分也成為各主管部門各企業(yè)單位關注的焦點。
“互聯(lián)網+”環(huán)境下的商業(yè)秘密安全形勢嚴峻
商業(yè)秘密安全是關系到企業(yè)發(fā)展和生存的重要一環(huán),隨著網絡的便利性加強,使得企業(yè)對其的依賴性也逐步加強,企業(yè)和個人在正常使用網絡基礎設施享受網絡化服務的過程中有意或無意的泄露了企業(yè)商業(yè)秘密的情況時有發(fā)生。而由于員工乃至高層對于網絡知識的缺乏及對網絡安全的不重視,大多數(shù)企業(yè)沒有建立起有效的安全管理制度和采取相應的安全防護手段。
當前企業(yè)面臨的競爭環(huán)境復雜多變、威脅日愈增多、信息安全形勢嚴峻。 “互聯(lián)網+”環(huán)境下商業(yè)密秘密在保密措施、泄密形式、溯源審計上較以往的傳統(tǒng)方式有所不同,“互聯(lián)網+”環(huán)境下的商業(yè)秘密具有使用和存儲的高度聚集性、保密和泄密的高技術性等特點,并且大部分企業(yè)由于其員工眾多、組織架構復雜、業(yè)務經營范圍廣等原因,商業(yè)秘密保護項目開展起來難度大,缺乏商業(yè)秘密保護管理經驗和有效的技術保護支撐,企業(yè)保護商業(yè)秘密的意識比較淡薄、保護措施滯后,致使侵害商業(yè)秘密權益的事件不斷增加,商密泄漏現(xiàn)象屢屢發(fā)生。
拿什么保護企業(yè)商業(yè)秘密
面對日益激烈的商業(yè)競爭環(huán)境,企業(yè)拿什么來保護自身商業(yè)秘密?企業(yè)怎樣才能具備商業(yè)秘密安全需求的能力以求在商業(yè)競爭環(huán)境中立于不敗之地?長期從事企業(yè)商業(yè)秘密保護咨詢及商密數(shù)據(jù)安全與管理產品的研發(fā)工作的敏捷科技,通過以往大量的企業(yè)商業(yè)秘密保護經驗總結認為商業(yè)秘密保護工作開展應遵循“三分技術,七分管理,十二分意識”的原則,各企業(yè)需根據(jù)自身業(yè)務及行業(yè)特點建立一套能滿足企業(yè)商業(yè)秘密安全技術需求和管理需求的商業(yè)秘密安全保障體系,并從根本上提升員工商業(yè)秘密保護意識。
建立商業(yè)秘密技術保護體系
企業(yè)需針對自身的商業(yè)秘密數(shù)據(jù)使用和管理現(xiàn)狀進行調研分析,從數(shù)據(jù)流、業(yè)務流多角度對商業(yè)秘密信息數(shù)據(jù)安全管理手段進行研究,分析用戶當前信息化中存在的安全風險與薄弱環(huán)節(jié),明確商密保護技術體系建設的安全需求。并根據(jù)商業(yè)秘密信息數(shù)據(jù)的生成、存放、流轉、銷毀等特征建立準確的商密數(shù)據(jù)生命周期模型,對企業(yè)商業(yè)秘密信息的“數(shù)據(jù)創(chuàng)建、密級標識、知悉范圍、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)歸檔以及數(shù)據(jù)銷毀”等全生命周期的進行訪問控制和安全管理,并為實現(xiàn)商密信息數(shù)據(jù)全生命周期的安全防護體系建設提供基準和技術應用參考。
企業(yè)商業(yè)秘密保護不同于傳統(tǒng)的信息安全建設,傳統(tǒng)的信息安全防護是基于靜態(tài)數(shù)據(jù)的加密保護、桌面行為管理、網絡防攻擊等技術手段對企業(yè)的數(shù)據(jù)安全進行安全保護的。由于網絡環(huán)境的開放性、動態(tài)發(fā)展性等特征,企業(yè)商密保護的核心重點是對數(shù)據(jù)全生命周期這樣一個“動態(tài)”的過程進行安全防護,因此,不能用傳統(tǒng)的信息安全思路設計商密保護的建設方案,而應該結合企業(yè)的實際應用場景,針對不同的信息流轉過程、載體、方式等特點,設計適用于企業(yè)信息化現(xiàn)狀的商業(yè)秘密信息數(shù)據(jù)安全解決方案,并結合企業(yè)商業(yè)秘密保護的系列安全項目建設,為企業(yè)構建全面、完整、高效的商業(yè)秘密安全技術保障體系。
建立商業(yè)秘密保護管理體系
目前,對于商密信息數(shù)據(jù)的安全防護大多企業(yè)普遍重視安全技術而忽視安全管理。同時,安全管理缺乏系統(tǒng)性,被動應對多于主動防御,事前沒有制定防范預案,出現(xiàn)安全問題才去想辦法補救。然而,大多數(shù)企業(yè)都未開展過專門的商業(yè)秘密信息資產保護工作,缺乏或者未健全相關的安全管理制度。企業(yè)要切實加強商業(yè)秘密保護效果,單靠技術層面的建設是遠遠不夠的,企業(yè)需通過以下幾步建設完整的商業(yè)秘密管理體系。
確定商業(yè)秘密保護指導方針:企業(yè)商業(yè)秘密保護應遵循“業(yè)務誰主管,保密誰負責”責任制原則,在保密工作中堅持“積極防范,突出重點,嚴格標準,嚴格管理”的基本工作準則。
建立保密組織機構及明確人員職責:組織機構的設置對于企業(yè)開展保密工作有著基礎支撐作用,企業(yè)要想搞好保密工作,首先要確立保密工作領導小組和保密工作組,并確定人員職責。
建立企業(yè)商業(yè)秘密保護管理制度:完善的商業(yè)秘密保護管理制度是做好保密工作的基礎,建立健全保密管理制度有利于明確企業(yè)每一個員工在保密工作中的權利和義務,便于保密工作的有章可循、有法可依。
制定商業(yè)秘密泄露應急處置及響應辦法:建立安全態(tài)勢分析機制對企業(yè)內外網的商業(yè)秘密數(shù)據(jù)安全態(tài)勢進行統(tǒng)一分析和安全預警,采取相應商密數(shù)據(jù)泄露應急處置方法對商業(yè)秘密信息泄露事故進行回溯追蹤和應急響應處置。
提高全員商業(yè)秘密保護意識
除了在管理和技術層面入手,企業(yè)還應加強員工商業(yè)秘密保護意識。通過從企業(yè)商業(yè)秘密管理制度宣貫、企業(yè)商業(yè)秘密保護文化氛圍營造、以及培養(yǎng)日常工作中商業(yè)秘密保護小技巧等方面開展系列活動,從根本上提升普通員工商業(yè)秘密保護意識,再結合管理制度和技術手段的應用,才能在“互聯(lián)網+”環(huán)境下很好的達到企業(yè)商業(yè)秘密保護效果。(陳萬江)
[責任編輯:韓靜]