申亚楠 温素彬 郭春明
【摘 要】 风险管控是管理会计的重要职能,而商业秘密泄露的风险管控是风险管控的重要内容之一。当前企业关于商业秘密泄露的风险管控更多的是从技术角度进行,而忽视了管理会计的重要作用。文章研究了商业秘密泄露的方式,从环境、技术、设备、人员四个因素分析了导致泄露的原因;从制度基础、业务安全、技术防护三个维度的十一个方面,建立了商业秘密防泄漏风险系统管控模型。进而,探讨了WHHX公司的商业秘密泄露风险管控实践。
【关键词】 商业秘密; 泄露风险; 管控模型
【中图分类号】 F275 【文献标识码】 A 【文章编号】 1004-5937(2016)20-0132-04
商业秘密既包括技术信息,又包括经营信息,这些信息是公司核心竞争力的载体,一旦泄漏,可能对企业造成重大损失,甚至是致命威胁。普华永道2016年《全球信息安全现状调研报告》显示,信息安全预算正在不断增加。全球检测到并上报的安全漏洞数量较2014年报告呈上升之势,增长率38%,2015年,中国内地和香港企业检测到的信息安全事件平均数量约上升5倍[1]。目前,多数企业的商业秘密防泄漏管控聚焦于数据加密、虚拟专用网、身份认证、入侵检测、数据防泄漏系统等技术手段,对管理手段重视不够。本文从管理与技术的双重视角对商业秘密泄漏风险管控进行研究,并建立风险管控模型。
一、商业秘密泄露的方式
商业秘密具有信息所固有的“收集——传输——使用——储存——维护——销毁”这样一个生命周期。前四个阶段属于信息的活动阶段,泄漏风险较大。根据每个阶段信息泄漏的方式不同,一般可能通过以下三种不同的数据泄漏方式:①网络方式:主要包括网页、电子邮件(如Foxmail)、即时通讯、网络硬盘、FTP、P2P、论坛等;②存储方式:主要包括文件服务器、Web服务器、数据库、邮件服务器等;③终端方式:主要包括各种移动外设如U盘、蓝牙、CD等方式,电子邮件终端、笔记本,打印/传真等。
除此之外,还有一些信息泄露方式易被忽视。例如:拍照、窃听这样的物理安全问题;第三方(如设计方、施工方、制造方等)合作过程中泄密,员工离职转岗过程泄密等组织管理问题;口头传播,书面文档复制与传播,外来人员参观、考察接待,学术交流,新产品推介,废旧涉密载体处置等需要从提高员工安全意识抓起的问题;等等。
二、商业秘密泄露的致因
从商业秘密泄漏的动机来看,主要分为主动泄密和被动泄密,其中被动泄密一般是由于安全意识薄弱,机器中了木马和病毒,在不知情的情况下产生的信息泄漏;而主动泄密则一般是为了利益,内部人员主动将机密数据窃取的行为。从造成商业信息泄露的因素来看,可以分为环境因素、人员因素、技术因素和设备因素。
1.环境因素。多数企业在快速发展过程中,信息安全管理落后,商业秘密管理缺乏统一的保密体系规划和防泄漏机制,企业安全责任不明确,绩效考核体制不健全,惩戒措施和审计机制缺失。
2.技术因素。从软件来看,防火墙、IDS或防病毒软件不能对内网中的所有网络行为进行实时监测和控制,员工访问的某些互联网可能被安装间谍软件;另外,信息系统设计时没有以风险评估为基础,存在业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、信息资产安全等级不明确以及信息资产没有保护措施等情况。
3.设备因素。这主要集中在物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、链路传输的信号被窃取等。
4.人员因素。人员是商业秘密防泄漏管理中最薄弱的环节,但也是抵御信息安全威胁最强大的武器,从高层、中层到基层不同类别的人员对保密事故的影响不尽相同,在岗位设置上不相容职务分离是风险控制的关键。
三、商业秘密泄露风险的系统管控工具:三维模型
从对商业秘密的源头管理、数据流管理和系统化设计三个方面着手,可以实现对商业秘密泄露风险的系统管控,实现商业秘密生产周期的各个阶段在策略、设计以及运行等各个层面的安全保障。本文基于制度基础、业务安全、技术防护三个维度,建立了商业秘密防泄漏风险管控工具:三维模型,如图1所示。
商业秘密的制度基础包括实现业务安全的保密策略、保密组织体系、保密绩效考核以及保密审计四个方面,包括管理政策、执行规定和流程、具体规范和标准、信息安全记录要求等内容,健全的制度体系是技术手段、业务安全实施效果的重要保障;业务安全则应该从人力资源管理、技术秘密与经营秘密的内容保护、物理区域安全等方面实施管理;技术防范主要从网络、终端、应用、权限四个方面进行安全管理,技术防范措施是实现业务安全的重要基础。
三维模型架构下的商业秘密管理,可以实现从源头上清理所有不合规的数据访问权限,分配与岗位职责相对应的数据访问权限;在数据的传递、使用、发布过程中,有全面的标准规范和流程制度保障数据安全,同时培养员工的数据安全意识;建立基于业务需求的、不断完善的循环体系,实现数据安全保护管理的系统化、自动化。
以下就商业秘密泄露管控的几个重要方面进行阐述:
(一)商业秘密管理的组织机构建设
建立商业秘密保护的组织机构,明确岗位职责是有效实施保密制度和措施的基础。一般的,企业应该建立商业秘密保护领导责任制度,规定信息安全管理责任的最终问责机制;建立商业秘密管理组织制度,规定具体实施信息安全管理的组织架构(例如保密委员会、保密办公室)、职能、人员构成、预算、汇报路线、岗位权责规范、核心工作机制等内容。
(二)商业秘密分级、分类保护
商业秘密内涵丰富,为了保证对之保护的效率和效果,企业要遵循“信息识别——信息分级——信息保护”的思路,把主要资源向高密级信息倾斜。企业要对涉密技术信息和经营信息进行界定、评级,制定分类保护策略;对商业秘密的密级、期限、脱密等基础性内容进行界定;对于保密信息的全生命周期进行规范,包括采集、登记保管、安全、加密、发布、分发传递、打印、复制、查阅、外借、销毁以及涉密会议等。
(三)商业秘密保护的人力资源管理
英国工商部联合普华永道在英国进行的信息安全漏洞调查数据显示:有80%的大规模企业(员工>250人)和42%的小规模企业(员工≤250人)认为信息安全事件与内部人员有关。企业的信息资产都是通过人来管理和控制的,对人的管理实际是商业秘密保护中最重要,也是难度最大的工作。企业应对员工入职前、在职中、岗位变动或离职实行保密的生命周期管理,并且注重公司保密文化的养成。
1.入职环节的涉密人员管理。人力资源部门应重视对候选人员的背景检查,尤其当选用的职位涉及到对保密信息的访问时,应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行背景验证检查,减少招聘风险。
员工入职后,企业要和员工签订保密协议,这不仅是保护商业秘密的最好方法之一,也往往是执法机关判断保密措施是否合理的一项重要因素。企业与核心技术人员及高管人员还要签订竞业禁止协议。需要强调的是,竞业禁止只是对涉密人员择业的一种限制,不能简单地等同于保密义务。竞业禁止期满或被认定无效,只意味受限制人员不再受择业方向限制,并不意味免除了保密义务。
2.在职中的涉密人员管理。企业应识别公司重点涉密人员,进行重点监控和员工信用等级评估,定期实施岗位轮换,对其保密状态进行定期评估,建立定期约谈机制。
3.保密培训。商业秘密保护要想取得实效,企业所有员工,上至高级管理层,下至普通职员都应该充分意识到信息安全对企业的重要性,对于不同的培训对象,制定不同的教育和培训类型,让他们充分了解和遵守企业制定的安全策略、标准、规程和指导方针。
4.保密文化。信息安全管理是一个自上而下的管理活动,是全员的责任,要求企业中的每一个人、每一个岗位、每一项工作都要关注信息安全,倡导建立基于信任与合作的、以人为本的信息安全文化,以此来提高员工信息安全意识,支配和规范员工的信息安全行为。
5.岗位变动或离职。公司应明确规定需对转岗或离任研发人员的涉密保护情况进行稽核检查,应根据人员的岗位执行适当的涉密离任审计;并由法务人员向离职员工出具离职后律师函。
6.对外来人员的管理。企业商业秘密经常涉及被许可人、供应商、客户、制造商、销售代理商,以及向公司提供产品或服务的建筑师、工程师、顾问、承包人、分包人等第三人。公司对外部单位或人员聘用之前,要对外部组织进行安全评估,签署保密协议,进行保密培训,对外来员工在企业工作期间的权限进行控制。
(四)商业秘密的主要技术防护
商业秘密保护与企业的信息化工作紧密结合,利用外部法律、内控制度和信息技术手段系统化地推进[2]。网络层是整个信息化的传输基础,网络安全是信息安全防御的第一层,包括内外网络接口、内部网络安全域划分。安全域划分是把一个大规模复杂系统的安全问题,化解为更小区域的安全问题,是实现大规模复杂信息系统安全等级保护的有效方法。防火墙技术、入侵检测系统(Intrusion Detection System,IDS) 则可以主动有效地检测并拦截针对系统漏洞的各种攻击,屏蔽各种木马和病毒;另外,公司应统一规划对路由器、交换机、防火墙等网络设备的配置管理,并对网络访问进行准入控制。
数据是安全技术的核心,数据可能是文件形式,也可能是邮件形式,数据的存放地可能在本机也可能在远程服务器,企业在数据安全保护方面可以考虑实施以下技术:
1.虚拟桌面技术能够在“云”中为用户提供远程的计算机桌面服务,实现公司重要涉密信息的集中管理。但是虚拟桌面系统不能解决员工通过邮件、即时通讯工具以及其他网络传播方式导致的研发信息泄漏问题,不能解决通过打印或者拍照等方式引发的信息泄漏问题,不能解决超级管理员账号的管理问题,所以企业可以考虑同时部署数据防信息泄露(DLP)方案、实施文档安全管理和数字水印技术产品,以及系统管理员管理平台,等等。
2.数据防泄露防护方案(DLP)
数据泄露防护(Data Leakage Prevention,DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。数据防泄漏解决方案可以通过DLP来制定策略、检测网络流量、准确地检测事件并能够主动阻止不适当的数据传输。另外,DLP还可以帮助公司执行某些政策来阻止包含机密数据的网络传输以及制止向USB、iPod等驱动复制任何数据,同时能够自动化其他执行行为,如通知发件人、对电子邮件路由加密等,以确保敏感数据没有被暴露在文件系统中。总之,DLP可以实现“外部威胁防得住,敏感信息出不去,违规行为赖不掉”的管控效果。
3.文档安全管理。企业在上述商业秘密防护系统之外,可以并行实施文档管理系统以实现对公司各种重要项目文档的分发、保管、传播等功能。成熟的文档管理系统应该能够实现自动加密功能,只有装有指定的保密终端的设备才能打开;同时具有控制打印次数、下载等功能,具有良好的权限控制功能。
最后一个层面是终端安全管理,企业要求确保计算机终端都是安全的,而且符合安全策略定义的配置。企业可以考虑禁用guest(来宾)账号,提高操作系统密码复杂性要求,通过分权管理加强对管理员账号的管控,部署专用服务器并定义策略进行补丁分发,用户桌面上配置DLP终端等措施加固终端安全。
(五)保密审计
保密审计主要是监控来自网络内部和外部的用户活动,发现系统或用户行为中的入侵或异常现象,检测系统中现有和潜在的威胁,对安全活动的信息进行识别、记录、存储和分析。保密审计的内容可以包括上网审计、邮件审计、操作日志审计、终端审计、USB审计、权限审计、文印审计、病毒审计、文档审计、应用权限审计等。通过保密审计可以极大地加强公司的商业秘密防泄漏监控能力和对事件的响应水平,提升公司的保密管理水平;及时发现内部用户的违规操作、用户网络中的异常、外部用户窃取企业数据的企图。
四、WHHX商业秘密泄露风险管控实践
WHHX公司是中国唯一拥有MDI、ADI、IPDI制造技术知识产权的企业,是全球产能最大、质量最好、成本最低的MDI供应商。WHHX的涉密信息主要包括试验记录、工艺软件包、PID与PFD图、施工图、生产准备文件、工艺操作说明等。公司对这些商业秘密,以及相应的涉密区域、涉密人员等进行安全等级划分,实施不同等级的安全保护。
组织架构上,WHHX成立了“保密委员会”,下设制度流程梳理分委会、涉密人员管理分委会、信息化安全分委会、保密审计分委会、信息披露分委会、泄密事故调查分委会,明确界定了各分委会的成员组成以及工作职责,这些职责涵盖了“商业秘密泄漏风险管控模型”中的三个维度十一个方面,覆盖了研发体系、工程建设、生产体系、经营信息、市场营销五个领域的信息安全。其中,泄密事故调查分委会为非常设机构,如机密级以上资料出现泄密;或有重要涉密人员违反公司规定,造成商业秘密泄露;或出现核心人员离职,可能会对公司造成重大影响,由保密委员会临时指派分委会主席。
WHHX平衡成本与效率,遵循“适度安全”原则,建立了商业秘密泄露风险管控信息系统,包括安全组织、安全流程、安全策略、安全工具、安全运维五个层次,涵盖身份管理、数据安全、桌面安全、基础设施保护、基础设施管理、IT安全治理与合规六个部分。如图2所示。
“身份管理”负责管理用户身份的生命周期以及身份与业务应用服务之间的关系,例如集中化的账号管理、身份集中认证管理、集中授权管理等。“数据安全”包括信息泄漏保护,数据权限管理,数据加密,邮件安全。“桌面安全”实现对终端计算机资产集中管理、远程监控、访问管理和限制、可信软件或补丁分发;对于涉密等级比较高的员工,实施了无盘工作站。“基础设施保护与管理”在ITIL(IT Infrastructure Library,信息技术基础构架库)框架指导下,对终端、存储、服务器、网络进行系统架构和管理。“IT安全治理与合规”基于远程监控、数据防泄漏系统、物理监控系统、门禁系统,以及身份管理、服务器、操作系统、数据库等日志进行保密审计;基于公司各项保密制度进行合规性审计。
【参考文献】
[1] 普华永道.全球信息安全现状调研报告(2016)[R].2016.
[2] 李小山.商业秘密保护与信息安全[J].中国信息安全,2014(3):102-104.