来源: 发布日期:2019.07.26 点击量:
当今以知识为导向的商业环境中,技术变得日益重要,具有商业价值的机密信息是企业获得成功的关键因素。企业必须保护自己的商业秘密,才能维持其竞争优势;商业秘密一旦被披露,往往就失去了其商业价值。在社会全球化和数字化的背景之下,保护商业秘密已经成为许多企业所面临的重大挑战。
近年来,随着互联网技术的发展,商业秘密泄露的渠道更加多元化,商业秘密泄漏事件层出不穷,所造成的危害也成倍增加。尤其是对于新兴科技产业,需要保护的数据内容和类型都更加丰富多样,从而使得数据保护也成为了商业秘密的重要议题;与此同时,高级管理人才与核心技术人才流动频繁,离职员工带走重大研发成果、竞争对手窃取核心技术等商业秘密外泄事件常见诸报端。越来越多的企业认识到了保护商业秘密的重要性,并通过各种方式建立企业自身的商业秘密保护体系。
制造业企业的敏感信息保护工作有以下几个方面需要加强:
1.企业在业务快速发展的同时,应同步加强企业敏感信息保护体系建设,不断完善内部信息安全管理制度,强化制度的执行力,完善敏感信息保护措施,加大高风险环节的检查力度和频率,控制人员权限,建立必要的制约与控制机制。
2.提高对信息安全技术保障手段的重视,一方面加大对信息安全方面的投入,部署信息安全设备,加强对敏感信息的保护,另一方面,应组建专门的信息安全团队或明确敏感信息保护的责任,做到合理规划、统筹兼顾。
3.提高人员敏感信息保护意识,加强对涉密人员管理,以及对外交流时的信息安全管理,通过加强信息安全意识培训及宣传,防止人为原因的泄密事件的发生。
商业秘密定密
定密工作是商业秘密保护工作的前提,只有确定企业经营过程中所涉及的哪些信息包含有商业秘密,以及这些商业秘密信息的载体,才能进一步进行商业秘密信息的防护和管理。
安言咨询在本阶段将提供如下服务:
◼协助企业梳理商业秘密信息的保密范围。将企业所拥有的,能为企业带来经济利益,具有实用性且不为竞争对手所掌握的技术信息和经营信息列入企业的保密范围;
◼协助企业梳理商业秘密的密级和保密期限。依据商业秘密的生命周期的商业秘密数据资产评价、从保密性、经济性和秘密性等因素,参照企业管理及运营的实际需求,对商业秘密进行分级,确定保密期限、知悉范围及使用权限;
◼协助企业在根据商业秘密分类建立密级和保密期限保护策略。商业秘密的密级和保密期限一经确定后,企业可在商业秘密的载体上做出明显并易于识别的标志,包括在涉密场所、系统、纸媒、电子介质上添加标志牌、标签、水印及发布公告等;
◼根据定密工作结果,提交《商业秘密数据资产评价》及《商业秘密分类分级策略》,注明各项商密的内容、密级、期限、载体、知悉范围和权限。
商密保护对标评估
对标评估是商密保护工作的基础,决定了商密保护体系的全面性、适宜性与有效性。并根据差距分析提出切合企业实际情况的商业秘密保护体系建设需求。
在本项目中,安言咨询将在通过与《中央企业商业秘密安全防护技术指引》的对标,通过现状调研制定差距分析表,并与企业确认。
安言咨询在本阶段将提供如下服务:
◼对企业现有商密管理组织、管理制度、信息系统开发运维现状以及已采取的商密保护安全技术措施进行调研;通过访谈了解企业商密保护工作的执行情况及保障情况,收集各相关方的意见和反馈,形成《商密保护现状分析报告》;
◼对标《中央企业商业秘密安全防护技术指引》,通过咨询方的《商密保护差距分析表》工具,明确企业商密保护工作差距,并提交《商密保护差距分析报告》。
商密保护体系改进建议
根据上一阶段的现状分析及差距分析结果,同时结合企业业务经营的实际需求及管理模式的特殊性,参照相关行业内的成功案例和最佳实践,安言咨询将对企业的商密体系提出必要的、可行的、有效的改进建议,并从管理和技术两方面制定满足企业实际需求的商密保护体系规划。
安言咨询在本阶段将提供如下服务:
◼综合企业商密保护现状、对标差距分析、业务发展需求、外部风险环境等4方面,最终形成一个完整包含了商密保护策略、组织架构及职责、管理架构、技术架构、企业文化建设等5个维度的《商密保护需求分析报告》;
◼根据需求分析报告,参照《中央企业商业秘密保护暂行规定》中各项要求,制定《商密保护管理架构规划设计方案》;
◼根据需求分析报告,结合当前外部信息安全风险环境以及业内的成功解决方案,制定《商密保护技术架构规划设计方案》。
商密保护管理架构建设
根据《商密保护管理架构规划设计方案》,安言咨询将协助企业在现有的管理架构的基础上,进一步优化商密保护工作管理方法及过程,完善组织架构、人员管理、制度建设、检查考核及培训教育机制。
安言咨询在本阶段将提供如下服务:
◼从满足人员内控、外部风险管理、审计、取证与追损等角度出发,协助企业优化符合企业商密保护策略的组织结构,着重理顺研发部门、IT部门与保密部门之间的工作协调关系,从决策、管理、技术执行三个层面明确岗位职责与分工;
◼协助企业完善涉密人员管理机制,包括规范保密条款,明确保密内容和范围、人员安全保密制度要求;
◼协助企业完善商密保护管理制度,修订《商业秘密管理办法》及《保密文件管理办法》、《信息安全管理办法》、《涉密系统保密管理办法》、《涉密移动存储介质管理办法》等相关细则或相关商业秘密保护所需的策略文件;
◼为企业提供2期,时长半天的商密保护内部培训,提高员工的商密保护意识,主要包括保密制度要求的培训、员工信息安全教育的意识教育培训,同时通过宣传手册(1份电子稿)、宣传海报(5份电子稿)等形式普及保密常识,帮助员工养成良好的工作习惯,培养良好的商密保护企业文化。
商密保护技术架构建设
根据《商密保护技术架构规划设计方案》,安言咨询将协助企业在现有的技术架构的基础上,参考成熟的信息安全技术模型、行业先进经验、结合当前主流安全技术及产品,制订符合企业实际需求的商密保护技术架构。架构主要从技术保障要求(事前保护、事中控制、事后审计)、技术实现层面(如网络与通信、数据与应用、终端与介质)出发,说明企业商密保护技术架构所包含的内容和实现方式。
安言咨询在本阶段将提供如下服务:
◼梳理、分析企业商密保护技术架构,从运维管理、操作流程的规范化、关键技术控制点等方面为企业规划设计商密保护技术框架;
◼根据前期定密结果,协助企业规划设计可信商密安全域的划分,协助梳理和优化安全域边界访问控制策略,建立信息安全审计、预警机制;
◼协助企业完善对企业核心商密数据及承载系统的重点安全防护技术设计,建立全面的安全存储、加密传输、可控流转、权限控制、跟踪审计等全生命周期管控机制;
◼协助企业完成终端(包括移动终端)安全防护及安全介质管理平台的技术设计,实现终端及介质的注册管理、授权管理、使用权限、数据加密、使用监控、使用审计、回收销毁等管控机制;
◼协助企业完善企业信息系统的基本安全防护规划设计,包括VPN/DDoS,网络防火墙、网络入侵检测、恶意代码防御、统一身份认证以及物理安全防护等内容;
◼协助企业梳理出所需进行的商密保护技术项目列表,根据项目的重要性、风险程度、实施难度、实施成本、紧迫性等要素设计出整体项目建设的实施路线图,从目标、时间、建设内容、建设范围、资源投入、风险及效益、关键成绩因素等几个维度指导项目实施,制定交付与验收标准,确保各项规划设计要求得以落实;
◼ 协助企业制定《商密保护技术项目实施规划》。
更多关于企业商务秘密保护体系建设的相关内容或业务需求请持续关注我们。
详情请咨询:
电话:021-62101209-811/17721199231
邮件:mkt@aryasec.com
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015