论文部分内容阅读
【摘 要】 风险管控是管理会计的重要职能,而商业秘密泄露的风险管控是风险管控的重要内容之一。当前企业关于商业秘密泄露的风险管控更多的是从技术角度进行,而忽视了管理会计的重要作用。文章研究了商业秘密泄露的方式,从环境、技术、设备、人员四个因素分析了导致泄露的原因;从制度基础、业务安全、技术防护三个维度的十一个方面,建立了商业秘密防泄漏风险系统管控模型。进而,探讨了WHHX公司的商业秘密泄露风险管控实践。
【关键词】 商业秘密; 泄露风险; 管控模型
【中图分类号】 F275 【文献标识码】 A 【文章编号】 1004-5937(2016)20-0132-04
商业秘密既包括技术信息,又包括经营信息,这些信息是公司核心竞争力的载体,一旦泄漏,可能对企业造成重大损失,甚至是致命威胁。普华永道2016年《全球信息安全现状调研报告》显示,信息安全预算正在不断增加。全球检测到并上报的安全漏洞数量较2014年报告呈上升之势,增长率38%,2015年,中国内地和香港企业检测到的信息安全事件平均数量约上升5倍[1]。目前,多数企业的商业秘密防泄漏管控聚焦于数据加密、虚拟专用网、身份认证、入侵检测、数据防泄漏系统等技术手段,对管理手段重视不够。本文从管理与技术的双重视角对商业秘密泄漏风险管控进行研究,并建立风险管控模型。
一、商业秘密泄露的方式
商业秘密具有信息所固有的“收集——传输——使用——储存——维护——销毁”这样一个生命周期。前四个阶段属于信息的活动阶段,泄漏风险较大。根据每个阶段信息泄漏的方式不同,一般可能通过以下三种不同的数据泄漏方式:①网络方式:主要包括网页、电子邮件(如Foxmail)、即时通讯、网络硬盘、FTP、P2P、论坛等;②存储方式:主要包括文件服务器、Web服务器、数据库、邮件服务器等;③终端方式:主要包括各种移动外设如U盘、蓝牙、CD等方式,电子邮件终端、笔记本,打印/传真等。
除此之外,还有一些信息泄露方式易被忽视。例如:拍照、窃听这样的物理安全问题;第三方(如设计方、施工方、制造方等)合作过程中泄密,员工离职转岗过程泄密等组织管理问题;口头传播,书面文档复制与传播,外来人员参观、考察接待,学术交流,新产品推介,废旧涉密载体处置等需要从提高员工安全意识抓起的问题;等等。
二、商业秘密泄露的致因
从商业秘密泄漏的动机来看,主要分为主动泄密和被动泄密,其中被动泄密一般是由于安全意识薄弱,机器中了木马和病毒,在不知情的情况下产生的信息泄漏;而主动泄密则一般是为了利益,内部人员主动将机密数据窃取的行为。从造成商业信息泄露的因素来看,可以分为环境因素、人员因素、技术因素和设备因素。
1.环境因素。多数企业在快速发展过程中,信息安全管理落后,商业秘密管理缺乏统一的保密体系规划和防泄漏机制,企业安全责任不明确,绩效考核体制不健全,惩戒措施和审计机制缺失。
2.技术因素。从软件来看,防火墙、IDS或防病毒软件不能对内网中的所有网络行为进行实时监测和控制,员工访问的某些互联网可能被安装间谍软件;另外,信息系统设计时没有以风险评估为基础,存在业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、信息资产安全等级不明确以及信息资产没有保护措施等情况。
3.设备因素。这主要集中在物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、链路传输的信号被窃取等。
4.人员因素。人员是商业秘密防泄漏管理中最薄弱的环节,但也是抵御信息安全威胁最强大的武器,从高层、中层到基层不同类别的人员对保密事故的影响不尽相同,在岗位设置上不相容职务分离是风险控制的关键。
三、商业秘密泄露风险的系统管控工具:三维模型
从对商业秘密的源头管理、数据流管理和系统化设计三个方面着手,可以实现对商业秘密泄露风险的系统管控,实现商业秘密生产周期的各个阶段在策略、设计以及运行等各个层面的安全保障。本文基于制度基础、业务安全、技术防护三个维度,建立了商业秘密防泄漏风险管控工具:三维模型,如图1所示。
商业秘密的制度基础包括实现业务安全的保密策略、保密组织体系、保密绩效考核以及保密审计四个方面,包括管理政策、执行规定和流程、具体规范和标准、信息安全记录要求等内容,健全的制度体系是技术手段、业务安全实施效果的重要保障;业务安全则应该从人力资源管理、技术秘密与经营秘密的内容保护、物理区域安全等方面实施管理;技术防范主要从网络、终端、应用、权限四个方面进行安全管理,技术防范措施是实现业务安全的重要基础。
三维模型架构下的商业秘密管理,可以实现从源头上清理所有不合规的数据访问权限,分配与岗位职责相对应的数据访问权限;在数据的传递、使用、发布过程中,有全面的标准规范和流程制度保障数据安全,同时培养员工的数据安全意识;建立基于业务需求的、不断完善的循环体系,实现数据安全保护管理的系统化、自动化。
以下就商业秘密泄露管控的几个重要方面进行阐述:
(一)商业秘密管理的组织机构建设
建立商业秘密保护的组织机构,明确岗位职责是有效实施保密制度和措施的基础。一般的,企业应该建立商业秘密保护领导责任制度,规定信息安全管理责任的最终问责机制;建立商业秘密管理组织制度,规定具体实施信息安全管理的组织架构(例如保密委员会、保密办公室)、职能、人员构成、预算、汇报路线、岗位权责规范、核心工作机制等内容。
(二)商业秘密分级、分类保护
商业秘密内涵丰富,为了保证对之保护的效率和效果,企业要遵循“信息识别——信息分级——信息保护”的思路,把主要资源向高密级信息倾斜。企业要对涉密技术信息和经营信息进行界定、评级,制定分类保护策略;对商业秘密的密级、期限、脱密等基础性内容进行界定;对于保密信息的全生命周期进行规范,包括采集、登记保管、安全、加密、发布、分发传递、打印、复制、查阅、外借、销毁以及涉密会议等。 四、WHHX商业秘密泄露风险管控实践
WHHX公司是中国唯一拥有MDI、ADI、IPDI制造技术知识产权的企业,是全球产能最大、质量最好、成本最低的MDI供应商。WHHX的涉密信息主要包括试验记录、工艺软件包、PID与PFD图、施工图、生产准备文件、工艺操作说明等。公司对这些商业秘密,以及相应的涉密区域、涉密人员等进行安全等级划分,实施不同等级的安全保护。
组织架构上,WHHX成立了“保密委员会”,下设制度流程梳理分委会、涉密人员管理分委会、信息化安全分委会、保密审计分委会、信息披露分委会、泄密事故调查分委会,明确界定了各分委会的成员组成以及工作职责,这些职责涵盖了“商业秘密泄漏风险管控模型”中的三个维度十一个方面,覆盖了研发体系、工程建设、生产体系、经营信息、市场营销五个领域的信息安全。其中,泄密事故调查分委会为非常设机构,如机密级以上资料出现泄密;或有重要涉密人员违反公司规定,造成商业秘密泄露;或出现核心人员离职,可能会对公司造成重大影响,由保密委员会临时指派分委会主席。
WHHX平衡成本与效率,遵循“适度安全”原则,建立了商业秘密泄露风险管控信息系统,包括安全组织、安全流程、安全策略、安全工具、安全运维五个层次,涵盖身份管理、数据安全、桌面安全、基础设施保护、基础设施管理、IT安全治理与合规六个部分。如图2所示。
“身份管理”负责管理用户身份的生命周期以及身份与业务应用服务之间的关系,例如集中化的账号管理、身份集中认证管理、集中授权管理等。“数据安全”包括信息泄漏保护,数据权限管理,数据加密,邮件安全。“桌面安全”实现对终端计算机资产集中管理、远程监控、访问管理和限制、可信软件或补丁分发;对于涉密等级比较高的员工,实施了无盘工作站。“基础设施保护与管理”在ITIL(IT Infrastructure Library,信息技术基础构架库)框架指导下,对终端、存储、服务器、网络进行系统架构和管理。“IT安全治理与合规”基于远程监控、数据防泄漏系统、物理监控系统、门禁系统,以及身份管理、服务器、操作系统、数据库等日志进行保密审计;基于公司各项保密制度进行合规性审计。
【参考文献】
[1] 普华永道.全球信息安全现状调研报告(2016)[R].2016.
[2] 李小山.商业秘密保护与信息安全[J].中国信息安全,2014(3):102-104.
【关键词】 商业秘密; 泄露风险; 管控模型
【中图分类号】 F275 【文献标识码】 A 【文章编号】 1004-5937(2016)20-0132-04
商业秘密既包括技术信息,又包括经营信息,这些信息是公司核心竞争力的载体,一旦泄漏,可能对企业造成重大损失,甚至是致命威胁。普华永道2016年《全球信息安全现状调研报告》显示,信息安全预算正在不断增加。全球检测到并上报的安全漏洞数量较2014年报告呈上升之势,增长率38%,2015年,中国内地和香港企业检测到的信息安全事件平均数量约上升5倍[1]。目前,多数企业的商业秘密防泄漏管控聚焦于数据加密、虚拟专用网、身份认证、入侵检测、数据防泄漏系统等技术手段,对管理手段重视不够。本文从管理与技术的双重视角对商业秘密泄漏风险管控进行研究,并建立风险管控模型。
一、商业秘密泄露的方式
商业秘密具有信息所固有的“收集——传输——使用——储存——维护——销毁”这样一个生命周期。前四个阶段属于信息的活动阶段,泄漏风险较大。根据每个阶段信息泄漏的方式不同,一般可能通过以下三种不同的数据泄漏方式:①网络方式:主要包括网页、电子邮件(如Foxmail)、即时通讯、网络硬盘、FTP、P2P、论坛等;②存储方式:主要包括文件服务器、Web服务器、数据库、邮件服务器等;③终端方式:主要包括各种移动外设如U盘、蓝牙、CD等方式,电子邮件终端、笔记本,打印/传真等。
除此之外,还有一些信息泄露方式易被忽视。例如:拍照、窃听这样的物理安全问题;第三方(如设计方、施工方、制造方等)合作过程中泄密,员工离职转岗过程泄密等组织管理问题;口头传播,书面文档复制与传播,外来人员参观、考察接待,学术交流,新产品推介,废旧涉密载体处置等需要从提高员工安全意识抓起的问题;等等。
二、商业秘密泄露的致因
从商业秘密泄漏的动机来看,主要分为主动泄密和被动泄密,其中被动泄密一般是由于安全意识薄弱,机器中了木马和病毒,在不知情的情况下产生的信息泄漏;而主动泄密则一般是为了利益,内部人员主动将机密数据窃取的行为。从造成商业信息泄露的因素来看,可以分为环境因素、人员因素、技术因素和设备因素。
1.环境因素。多数企业在快速发展过程中,信息安全管理落后,商业秘密管理缺乏统一的保密体系规划和防泄漏机制,企业安全责任不明确,绩效考核体制不健全,惩戒措施和审计机制缺失。
2.技术因素。从软件来看,防火墙、IDS或防病毒软件不能对内网中的所有网络行为进行实时监测和控制,员工访问的某些互联网可能被安装间谍软件;另外,信息系统设计时没有以风险评估为基础,存在业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、信息资产安全等级不明确以及信息资产没有保护措施等情况。
3.设备因素。这主要集中在物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、链路传输的信号被窃取等。
4.人员因素。人员是商业秘密防泄漏管理中最薄弱的环节,但也是抵御信息安全威胁最强大的武器,从高层、中层到基层不同类别的人员对保密事故的影响不尽相同,在岗位设置上不相容职务分离是风险控制的关键。
三、商业秘密泄露风险的系统管控工具:三维模型
从对商业秘密的源头管理、数据流管理和系统化设计三个方面着手,可以实现对商业秘密泄露风险的系统管控,实现商业秘密生产周期的各个阶段在策略、设计以及运行等各个层面的安全保障。本文基于制度基础、业务安全、技术防护三个维度,建立了商业秘密防泄漏风险管控工具:三维模型,如图1所示。
商业秘密的制度基础包括实现业务安全的保密策略、保密组织体系、保密绩效考核以及保密审计四个方面,包括管理政策、执行规定和流程、具体规范和标准、信息安全记录要求等内容,健全的制度体系是技术手段、业务安全实施效果的重要保障;业务安全则应该从人力资源管理、技术秘密与经营秘密的内容保护、物理区域安全等方面实施管理;技术防范主要从网络、终端、应用、权限四个方面进行安全管理,技术防范措施是实现业务安全的重要基础。
三维模型架构下的商业秘密管理,可以实现从源头上清理所有不合规的数据访问权限,分配与岗位职责相对应的数据访问权限;在数据的传递、使用、发布过程中,有全面的标准规范和流程制度保障数据安全,同时培养员工的数据安全意识;建立基于业务需求的、不断完善的循环体系,实现数据安全保护管理的系统化、自动化。
以下就商业秘密泄露管控的几个重要方面进行阐述:
(一)商业秘密管理的组织机构建设
建立商业秘密保护的组织机构,明确岗位职责是有效实施保密制度和措施的基础。一般的,企业应该建立商业秘密保护领导责任制度,规定信息安全管理责任的最终问责机制;建立商业秘密管理组织制度,规定具体实施信息安全管理的组织架构(例如保密委员会、保密办公室)、职能、人员构成、预算、汇报路线、岗位权责规范、核心工作机制等内容。
(二)商业秘密分级、分类保护
商业秘密内涵丰富,为了保证对之保护的效率和效果,企业要遵循“信息识别——信息分级——信息保护”的思路,把主要资源向高密级信息倾斜。企业要对涉密技术信息和经营信息进行界定、评级,制定分类保护策略;对商业秘密的密级、期限、脱密等基础性内容进行界定;对于保密信息的全生命周期进行规范,包括采集、登记保管、安全、加密、发布、分发传递、打印、复制、查阅、外借、销毁以及涉密会议等。 四、WHHX商业秘密泄露风险管控实践
WHHX公司是中国唯一拥有MDI、ADI、IPDI制造技术知识产权的企业,是全球产能最大、质量最好、成本最低的MDI供应商。WHHX的涉密信息主要包括试验记录、工艺软件包、PID与PFD图、施工图、生产准备文件、工艺操作说明等。公司对这些商业秘密,以及相应的涉密区域、涉密人员等进行安全等级划分,实施不同等级的安全保护。
组织架构上,WHHX成立了“保密委员会”,下设制度流程梳理分委会、涉密人员管理分委会、信息化安全分委会、保密审计分委会、信息披露分委会、泄密事故调查分委会,明确界定了各分委会的成员组成以及工作职责,这些职责涵盖了“商业秘密泄漏风险管控模型”中的三个维度十一个方面,覆盖了研发体系、工程建设、生产体系、经营信息、市场营销五个领域的信息安全。其中,泄密事故调查分委会为非常设机构,如机密级以上资料出现泄密;或有重要涉密人员违反公司规定,造成商业秘密泄露;或出现核心人员离职,可能会对公司造成重大影响,由保密委员会临时指派分委会主席。
WHHX平衡成本与效率,遵循“适度安全”原则,建立了商业秘密泄露风险管控信息系统,包括安全组织、安全流程、安全策略、安全工具、安全运维五个层次,涵盖身份管理、数据安全、桌面安全、基础设施保护、基础设施管理、IT安全治理与合规六个部分。如图2所示。
“身份管理”负责管理用户身份的生命周期以及身份与业务应用服务之间的关系,例如集中化的账号管理、身份集中认证管理、集中授权管理等。“数据安全”包括信息泄漏保护,数据权限管理,数据加密,邮件安全。“桌面安全”实现对终端计算机资产集中管理、远程监控、访问管理和限制、可信软件或补丁分发;对于涉密等级比较高的员工,实施了无盘工作站。“基础设施保护与管理”在ITIL(IT Infrastructure Library,信息技术基础构架库)框架指导下,对终端、存储、服务器、网络进行系统架构和管理。“IT安全治理与合规”基于远程监控、数据防泄漏系统、物理监控系统、门禁系统,以及身份管理、服务器、操作系统、数据库等日志进行保密审计;基于公司各项保密制度进行合规性审计。
【参考文献】
[1] 普华永道.全球信息安全现状调研报告(2016)[R].2016.
[2] 李小山.商业秘密保护与信息安全[J].中国信息安全,2014(3):102-104.