“互联网+”环境下企业商业秘密保护刻不容缓
随着信息技术及互联网技术在企业生产经营活动中应用的日益深入,企业在商业活动中的商业秘密保护难度逐步加大,“互联网+”环境下商业秘密安全保护成为现代企业面临的严峻问题。为提升全社会的网络安全意识和安全防护技能,中央网络安全和信息化领导小组决定每年九月第三周开展“国家网络安全宣传周活动”,在聚焦于网络安全的同时,“互联网+”环境下的企业商业秘密保护工作作为网络安全宣传教育的重要组成部分也成为各主管部门各企业单位关注的焦点。
“互联网+”环境下的商业秘密安全形势严峻
商业秘密安全是关系到企业发展和生存的重要一环,随着网络的便利性加强,使得企业对其的依赖性也逐步加强,企业和个人在正常使用网络基础设施享受网络化服务的过程中有意或无意的泄露了企业商业秘密的情况时有发生。而由于员工乃至高层对于网络知识的缺乏及对网络安全的不重视,大多数企业没有建立起有效的安全管理制度和采取相应的安全防护手段。
当前企业面临的竞争环境复杂多变、威胁日愈增多、信息安全形势严峻。 “互联网+”环境下商业密秘密在保密措施、泄密形式、溯源审计上较以往的传统方式有所不同,“互联网+”环境下的商业秘密具有使用和存储的高度聚集性、保密和泄密的高技术性等特点,并且大部分企业由于其员工众多、组织架构复杂、业务经营范围广等原因,商业秘密保护项目开展起来难度大,缺乏商业秘密保护管理经验和有效的技术保护支撑,企业保护商业秘密的意识比较淡薄、保护措施滞后,致使侵害商业秘密权益的事件不断增加,商密泄漏现象屡屡发生。
拿什么保护企业商业秘密
面对日益激烈的商业竞争环境,企业拿什么来保护自身商业秘密?企业怎样才能具备商业秘密安全需求的能力以求在商业竞争环境中立于不败之地?长期从事企业商业秘密保护咨询及商密数据安全与管理产品的研发工作的敏捷科技,通过以往大量的企业商业秘密保护经验总结认为商业秘密保护工作开展应遵循“三分技术,七分管理,十二分意识”的原则,各企业需根据自身业务及行业特点建立一套能满足企业商业秘密安全技术需求和管理需求的商业秘密安全保障体系,并从根本上提升员工商业秘密保护意识。
建立商业秘密技术保护体系
企业需针对自身的商业秘密数据使用和管理现状进行调研分析,从数据流、业务流多角度对商业秘密信息数据安全管理手段进行研究,分析用户当前信息化中存在的安全风险与薄弱环节,明确商密保护技术体系建设的安全需求。并根据商业秘密信息数据的生成、存放、流转、销毁等特征建立准确的商密数据生命周期模型,对企业商业秘密信息的“数据创建、密级标识、知悉范围、数据存储、数据使用、数据共享、数据归档以及数据销毁”等全生命周期的进行访问控制和安全管理,并为实现商密信息数据全生命周期的安全防护体系建设提供基准和技术应用参考。
企业商业秘密保护不同于传统的信息安全建设,传统的信息安全防护是基于静态数据的加密保护、桌面行为管理、网络防攻击等技术手段对企业的数据安全进行安全保护的。由于网络环境的开放性、动态发展性等特征,企业商密保护的核心重点是对数据全生命周期这样一个“动态”的过程进行安全防护,因此,不能用传统的信息安全思路设计商密保护的建设方案,而应该结合企业的实际应用场景,针对不同的信息流转过程、载体、方式等特点,设计适用于企业信息化现状的商业秘密信息数据安全解决方案,并结合企业商业秘密保护的系列安全项目建设,为企业构建全面、完整、高效的商业秘密安全技术保障体系。
建立商业秘密保护管理体系
目前,对于商密信息数据的安全防护大多企业普遍重视安全技术而忽视安全管理。同时,安全管理缺乏系统性,被动应对多于主动防御,事前没有制定防范预案,出现安全问题才去想办法补救。然而,大多数企业都未开展过专门的商业秘密信息资产保护工作,缺乏或者未健全相关的安全管理制度。企业要切实加强商业秘密保护效果,单靠技术层面的建设是远远不够的,企业需通过以下几步建设完整的商业秘密管理体系。
确定商业秘密保护指导方针:企业商业秘密保护应遵循“业务谁主管,保密谁负责”责任制原则,在保密工作中坚持“积极防范,突出重点,严格标准,严格管理”的基本工作准则。
建立保密组织机构及明确人员职责:组织机构的设置对于企业开展保密工作有着基础支撑作用,企业要想搞好保密工作,首先要确立保密工作领导小组和保密工作组,并确定人员职责。
建立企业商业秘密保护管理制度:完善的商业秘密保护管理制度是做好保密工作的基础,建立健全保密管理制度有利于明确企业每一个员工在保密工作中的权利和义务,便于保密工作的有章可循、有法可依。
制定商业秘密泄露应急处置及响应办法:建立安全态势分析机制对企业内外网的商业秘密数据安全态势进行统一分析和安全预警,采取相应商密数据泄露应急处置方法对商业秘密信息泄露事故进行回溯追踪和应急响应处置。
提高全员商业秘密保护意识
除了在管理和技术层面入手,企业还应加强员工商业秘密保护意识。通过从企业商业秘密管理制度宣贯、企业商业秘密保护文化氛围营造、以及培养日常工作中商业秘密保护小技巧等方面开展系列活动,从根本上提升普通员工商业秘密保护意识,再结合管理制度和技术手段的应用,才能在“互联网+”环境下很好的达到企业商业秘密保护效果。(陈万江)
(责任编辑:张艾 )