申亞楠　溫素彬　郭春明

【摘 要】 風險管控是管理會計的重要職能，而商業(yè)秘密泄露的風險管控是風險管控的重要內(nèi)容之一。當前企業(yè)關(guān)于商業(yè)秘密泄露的風險管控更多的是從技術(shù)角度進行，而忽視了管理會計的重要作用。文章研究了商業(yè)秘密泄露的方式，從環(huán)境、技術(shù)、設(shè)備、人員四個因素分析了導致泄露的原因；從制度基礎(chǔ)、業(yè)務安全、技術(shù)防護三個維度的十一個方面，建立了商業(yè)秘密防泄漏風險系統(tǒng)管控模型。進而，探討了WHHX公司的商業(yè)秘密泄露風險管控實踐。

【關(guān)鍵詞】 商業(yè)秘密； 泄露風險； 管控模型

【中圖分類號】 F275 【文獻標識碼】 A 【文章編號】 1004-5937（2016）20-0132-04

商業(yè)秘密既包括技術(shù)信息，又包括經(jīng)營信息，這些信息是公司核心競爭力的載體，一旦泄漏，可能對企業(yè)造成重大損失，甚至是致命威脅。普華永道2016年《全球信息安全現(xiàn)狀調(diào)研報告》顯示，信息安全預算正在不斷增加。全球檢測到并上報的安全漏洞數(shù)量較2014年報告呈上升之勢，增長率38%，2015年，中國內(nèi)地和香港企業(yè)檢測到的信息安全事件平均數(shù)量約上升5倍[1]。目前，多數(shù)企業(yè)的商業(yè)秘密防泄漏管控聚焦于數(shù)據(jù)加密、虛擬專用網(wǎng)、身份認證、入侵檢測、數(shù)據(jù)防泄漏系統(tǒng)等技術(shù)手段，對管理手段重視不夠。本文從管理與技術(shù)的雙重視角對商業(yè)秘密泄漏風險管控進行研究，并建立風險管控模型。

一、商業(yè)秘密泄露的方式

商業(yè)秘密具有信息所固有的“收集——傳輸——使用——儲存——維護——銷毀”這樣一個生命周期。前四個階段屬于信息的活動階段，泄漏風險較大。根據(jù)每個階段信息泄漏的方式不同，一般可能通過以下三種不同的數(shù)據(jù)泄漏方式：①網(wǎng)絡方式：主要包括網(wǎng)頁、電子郵件（如Foxmail）、即時通訊、網(wǎng)絡硬盤、FTP、P2P、論壇等；②存儲方式：主要包括文件服務器、Web服務器、數(shù)據(jù)庫、郵件服務器等；③終端方式：主要包括各種移動外設(shè)如U盤、藍牙、CD等方式，電子郵件終端、筆記本，打印/傳真等。

除此之外，還有一些信息泄露方式易被忽視。例如：拍照、竊聽這樣的物理安全問題；第三方（如設(shè)計方、施工方、制造方等）合作過程中泄密，員工離職轉(zhuǎn)崗過程泄密等組織管理問題；口頭傳播，書面文檔復制與傳播，外來人員參觀、考察接待，學術(shù)交流，新產(chǎn)品推介，廢舊涉密載體處置等需要從提高員工安全意識抓起的問題；等等。

二、商業(yè)秘密泄露的致因

從商業(yè)秘密泄漏的動機來看，主要分為主動泄密和被動泄密，其中被動泄密一般是由于安全意識薄弱，機器中了木馬和病毒，在不知情的情況下產(chǎn)生的信息泄漏；而主動泄密則一般是為了利益，內(nèi)部人員主動將機密數(shù)據(jù)竊取的行為。從造成商業(yè)信息泄露的因素來看，可以分為環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素。

1.環(huán)境因素。多數(shù)企業(yè)在快速發(fā)展過程中，信息安全管理落后，商業(yè)秘密管理缺乏統(tǒng)一的保密體系規(guī)劃和防泄漏機制，企業(yè)安全責任不明確，績效考核體制不健全，懲戒措施和審計機制缺失。

2.技術(shù)因素。從軟件來看，防火墻、IDS或防病毒軟件不能對內(nèi)網(wǎng)中的所有網(wǎng)絡行為進行實時監(jiān)測和控制，員工訪問的某些互聯(lián)網(wǎng)可能被安裝間諜軟件；另外，信息系統(tǒng)設(shè)計時沒有以風險評估為基礎(chǔ)，存在業(yè)務流程描述錯誤或遺漏、前期測試不充分、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰、信息資產(chǎn)安全等級不明確以及信息資產(chǎn)沒有保護措施等情況。

3.設(shè)備因素。這主要集中在物理安全方面，包括物理安全邊界不明確、非授權(quán)的物理訪問、設(shè)備或存儲介質(zhì)缺乏安全措施、設(shè)施設(shè)備的非授權(quán)使用或移動、鏈路傳輸?shù)男盘柋桓`取等。

4.人員因素。人員是商業(yè)秘密防泄漏管理中最薄弱的環(huán)節(jié)，但也是抵御信息安全威脅最強大的武器，從高層、中層到基層不同類別的人員對保密事故的影響不盡相同，在崗位設(shè)置上不相容職務分離是風險控制的關(guān)鍵。

三、商業(yè)秘密泄露風險的系統(tǒng)管控工具：三維模型

從對商業(yè)秘密的源頭管理、數(shù)據(jù)流管理和系統(tǒng)化設(shè)計三個方面著手，可以實現(xiàn)對商業(yè)秘密泄露風險的系統(tǒng)管控，實現(xiàn)商業(yè)秘密生產(chǎn)周期的各個階段在策略、設(shè)計以及運行等各個層面的安全保障。本文基于制度基礎(chǔ)、業(yè)務安全、技術(shù)防護三個維度，建立了商業(yè)秘密防泄漏風險管控工具：三維模型，如圖1所示。

商業(yè)秘密的制度基礎(chǔ)包括實現(xiàn)業(yè)務安全的保密策略、保密組織體系、保密績效考核以及保密審計四個方面，包括管理政策、執(zhí)行規(guī)定和流程、具體規(guī)范和標準、信息安全記錄要求等內(nèi)容，健全的制度體系是技術(shù)手段、業(yè)務安全實施效果的重要保障；業(yè)務安全則應該從人力資源管理、技術(shù)秘密與經(jīng)營秘密的內(nèi)容保護、物理區(qū)域安全等方面實施管理；技術(shù)防范主要從網(wǎng)絡、終端、應用、權(quán)限四個方面進行安全管理，技術(shù)防范措施是實現(xiàn)業(yè)務安全的重要基礎(chǔ)。

三維模型架構(gòu)下的商業(yè)秘密管理，可以實現(xiàn)從源頭上清理所有不合規(guī)的數(shù)據(jù)訪問權(quán)限，分配與崗位職責相對應的數(shù)據(jù)訪問權(quán)限；在數(shù)據(jù)的傳遞、使用、發(fā)布過程中，有全面的標準規(guī)范和流程制度保障數(shù)據(jù)安全，同時培養(yǎng)員工的數(shù)據(jù)安全意識；建立基于業(yè)務需求的、不斷完善的循環(huán)體系，實現(xiàn)數(shù)據(jù)安全保護管理的系統(tǒng)化、自動化。

以下就商業(yè)秘密泄露管控的幾個重要方面進行闡述：

（一）商業(yè)秘密管理的組織機構(gòu)建設(shè)

建立商業(yè)秘密保護的組織機構(gòu)，明確崗位職責是有效實施保密制度和措施的基礎(chǔ)。一般的，企業(yè)應該建立商業(yè)秘密保護領(lǐng)導責任制度，規(guī)定信息安全管理責任的最終問責機制；建立商業(yè)秘密管理組織制度，規(guī)定具體實施信息安全管理的組織架構(gòu)（例如保密委員會、保密辦公室）、職能、人員構(gòu)成、預算、匯報路線、崗位權(quán)責規(guī)范、核心工作機制等內(nèi)容。

（二）商業(yè)秘密分級、分類保護

商業(yè)秘密內(nèi)涵豐富，為了保證對之保護的效率和效果，企業(yè)要遵循“信息識別——信息分級——信息保護”的思路，把主要資源向高密級信息傾斜。企業(yè)要對涉密技術(shù)信息和經(jīng)營信息進行界定、評級，制定分類保護策略；對商業(yè)秘密的密級、期限、脫密等基礎(chǔ)性內(nèi)容進行界定；對于保密信息的全生命周期進行規(guī)范，包括采集、登記保管、安全、加密、發(fā)布、分發(fā)傳遞、打印、復制、查閱、外借、銷毀以及涉密會議等。

（三）商業(yè)秘密保護的人力資源管理

英國工商部聯(lián)合普華永道在英國進行的信息安全漏洞調(diào)查數(shù)據(jù)顯示：有80%的大規(guī)模企業(yè)（員工>250人）和42%的小規(guī)模企業(yè)（員工≤250人）認為信息安全事件與內(nèi)部人員有關(guān)。企業(yè)的信息資產(chǎn)都是通過人來管理和控制的，對人的管理實際是商業(yè)秘密保護中最重要，也是難度最大的工作。企業(yè)應對員工入職前、在職中、崗位變動或離職實行保密的生命周期管理，并且注重公司保密文化的養(yǎng)成。

1.入職環(huán)節(jié)的涉密人員管理。人力資源部門應重視對候選人員的背景檢查，尤其當選用的職位涉及到對保密信息的訪問時，應按照相關(guān)法律法規(guī)、道德規(guī)范和對應的業(yè)務要求、被訪問信息的類別和察覺的風險來執(zhí)行背景驗證檢查，減少招聘風險。

員工入職后，企業(yè)要和員工簽訂保密協(xié)議，這不僅是保護商業(yè)秘密的最好方法之一，也往往是執(zhí)法機關(guān)判斷保密措施是否合理的一項重要因素。企業(yè)與核心技術(shù)人員及高管人員還要簽訂競業(yè)禁止協(xié)議。需要強調(diào)的是，競業(yè)禁止只是對涉密人員擇業(yè)的一種限制，不能簡單地等同于保密義務。競業(yè)禁止期滿或被認定無效，只意味受限制人員不再受擇業(yè)方向限制，并不意味免除了保密義務。

2.在職中的涉密人員管理。企業(yè)應識別公司重點涉密人員，進行重點監(jiān)控和員工信用等級評估，定期實施崗位輪換，對其保密狀態(tài)進行定期評估，建立定期約談機制。

3.保密培訓。商業(yè)秘密保護要想取得實效，企業(yè)所有員工，上至高級管理層，下至普通職員都應該充分意識到信息安全對企業(yè)的重要性，對于不同的培訓對象，制定不同的教育和培訓類型，讓他們充分了解和遵守企業(yè)制定的安全策略、標準、規(guī)程和指導方針。

4.保密文化。信息安全管理是一個自上而下的管理活動，是全員的責任，要求企業(yè)中的每一個人、每一個崗位、每一項工作都要關(guān)注信息安全，倡導建立基于信任與合作的、以人為本的信息安全文化，以此來提高員工信息安全意識，支配和規(guī)范員工的信息安全行為。

5.崗位變動或離職。公司應明確規(guī)定需對轉(zhuǎn)崗或離任研發(fā)人員的涉密保護情況進行稽核檢查，應根據(jù)人員的崗位執(zhí)行適當?shù)纳婷茈x任審計；并由法務人員向離職員工出具離職后律師函。

6.對外來人員的管理。企業(yè)商業(yè)秘密經(jīng)常涉及被許可人、供應商、客戶、制造商、銷售代理商，以及向公司提供產(chǎn)品或服務的建筑師、工程師、顧問、承包人、分包人等第三人。公司對外部單位或人員聘用之前，要對外部組織進行安全評估，簽署保密協(xié)議，進行保密培訓，對外來員工在企業(yè)工作期間的權(quán)限進行控制。

（四）商業(yè)秘密的主要技術(shù)防護

商業(yè)秘密保護與企業(yè)的信息化工作緊密結(jié)合，利用外部法律、內(nèi)控制度和信息技術(shù)手段系統(tǒng)化地推進[2]。網(wǎng)絡層是整個信息化的傳輸基礎(chǔ)，網(wǎng)絡安全是信息安全防御的第一層，包括內(nèi)外網(wǎng)絡接口、內(nèi)部網(wǎng)絡安全域劃分。安全域劃分是把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全問題，是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護的有效方法。防火墻技術(shù)、入侵檢測系統(tǒng)（Intrusion Detection System，IDS） 則可以主動有效地檢測并攔截針對系統(tǒng)漏洞的各種攻擊，屏蔽各種木馬和病毒；另外，公司應統(tǒng)一規(guī)劃對路由器、交換機、防火墻等網(wǎng)絡設(shè)備的配置管理，并對網(wǎng)絡訪問進行準入控制。

數(shù)據(jù)是安全技術(shù)的核心，數(shù)據(jù)可能是文件形式，也可能是郵件形式，數(shù)據(jù)的存放地可能在本機也可能在遠程服務器，企業(yè)在數(shù)據(jù)安全保護方面可以考慮實施以下技術(shù)：

1.虛擬桌面技術(shù)能夠在“云”中為用戶提供遠程的計算機桌面服務，實現(xiàn)公司重要涉密信息的集中管理。但是虛擬桌面系統(tǒng)不能解決員工通過郵件、即時通訊工具以及其他網(wǎng)絡傳播方式導致的研發(fā)信息泄漏問題，不能解決通過打印或者拍照等方式引發(fā)的信息泄漏問題，不能解決超級管理員賬號的管理問題，所以企業(yè)可以考慮同時部署數(shù)據(jù)防信息泄露（DLP）方案、實施文檔安全管理和數(shù)字水印技術(shù)產(chǎn)品，以及系統(tǒng)管理員管理平臺，等等。

2.數(shù)據(jù)防泄露防護方案（DLP）

數(shù)據(jù)泄露防護（Data Leakage Prevention，DLP）是通過一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)。數(shù)據(jù)防泄漏解決方案可以通過DLP來制定策略、檢測網(wǎng)絡流量、準確地檢測事件并能夠主動阻止不適當?shù)臄?shù)據(jù)傳輸。另外，DLP還可以幫助公司執(zhí)行某些政策來阻止包含機密數(shù)據(jù)的網(wǎng)絡傳輸以及制止向USB、iPod等驅(qū)動復制任何數(shù)據(jù)，同時能夠自動化其他執(zhí)行行為，如通知發(fā)件人、對電子郵件路由加密等，以確保敏感數(shù)據(jù)沒有被暴露在文件系統(tǒng)中。總之，DLP可以實現(xiàn)“外部威脅防得住，敏感信息出不去，違規(guī)行為賴不掉”的管控效果。

3.文檔安全管理。企業(yè)在上述商業(yè)秘密防護系統(tǒng)之外，可以并行實施文檔管理系統(tǒng)以實現(xiàn)對公司各種重要項目文檔的分發(fā)、保管、傳播等功能。成熟的文檔管理系統(tǒng)應該能夠?qū)崿F(xiàn)自動加密功能，只有裝有指定的保密終端的設(shè)備才能打開；同時具有控制打印次數(shù)、下載等功能，具有良好的權(quán)限控制功能。

最后一個層面是終端安全管理，企業(yè)要求確保計算機終端都是安全的，而且符合安全策略定義的配置。企業(yè)可以考慮禁用guest（來賓）賬號，提高操作系統(tǒng)密碼復雜性要求，通過分權(quán)管理加強對管理員賬號的管控，部署專用服務器并定義策略進行補丁分發(fā)，用戶桌面上配置DLP終端等措施加固終端安全。

（五）保密審計

保密審計主要是監(jiān)控來自網(wǎng)絡內(nèi)部和外部的用戶活動，發(fā)現(xiàn)系統(tǒng)或用戶行為中的入侵或異?，F(xiàn)象，檢測系統(tǒng)中現(xiàn)有和潛在的威脅，對安全活動的信息進行識別、記錄、存儲和分析。保密審計的內(nèi)容可以包括上網(wǎng)審計、郵件審計、操作日志審計、終端審計、USB審計、權(quán)限審計、文印審計、病毒審計、文檔審計、應用權(quán)限審計等。通過保密審計可以極大地加強公司的商業(yè)秘密防泄漏監(jiān)控能力和對事件的響應水平，提升公司的保密管理水平；及時發(fā)現(xiàn)內(nèi)部用戶的違規(guī)操作、用戶網(wǎng)絡中的異常、外部用戶竊取企業(yè)數(shù)據(jù)的企圖。

四、WHHX商業(yè)秘密泄露風險管控實踐

WHHX公司是中國唯一擁有MDI、ADI、IPDI制造技術(shù)知識產(chǎn)權(quán)的企業(yè)，是全球產(chǎn)能最大、質(zhì)量最好、成本最低的MDI供應商。WHHX的涉密信息主要包括試驗記錄、工藝軟件包、PID與PFD圖、施工圖、生產(chǎn)準備文件、工藝操作說明等。公司對這些商業(yè)秘密，以及相應的涉密區(qū)域、涉密人員等進行安全等級劃分，實施不同等級的安全保護。

組織架構(gòu)上，WHHX成立了“保密委員會”，下設(shè)制度流程梳理分委會、涉密人員管理分委會、信息化安全分委會、保密審計分委會、信息披露分委會、泄密事故調(diào)查分委會，明確界定了各分委會的成員組成以及工作職責，這些職責涵蓋了“商業(yè)秘密泄漏風險管控模型”中的三個維度十一個方面，覆蓋了研發(fā)體系、工程建設(shè)、生產(chǎn)體系、經(jīng)營信息、市場營銷五個領(lǐng)域的信息安全。其中，泄密事故調(diào)查分委會為非常設(shè)機構(gòu)，如機密級以上資料出現(xiàn)泄密；或有重要涉密人員違反公司規(guī)定，造成商業(yè)秘密泄露；或出現(xiàn)核心人員離職，可能會對公司造成重大影響，由保密委員會臨時指派分委會主席。

WHHX平衡成本與效率，遵循“適度安全”原則，建立了商業(yè)秘密泄露風險管控信息系統(tǒng)，包括安全組織、安全流程、安全策略、安全工具、安全運維五個層次，涵蓋身份管理、數(shù)據(jù)安全、桌面安全、基礎(chǔ)設(shè)施保護、基礎(chǔ)設(shè)施管理、IT安全治理與合規(guī)六個部分。如圖2所示。

“身份管理”負責管理用戶身份的生命周期以及身份與業(yè)務應用服務之間的關(guān)系，例如集中化的賬號管理、身份集中認證管理、集中授權(quán)管理等?！皵?shù)據(jù)安全”包括信息泄漏保護，數(shù)據(jù)權(quán)限管理，數(shù)據(jù)加密，郵件安全?！白烂姘踩睂崿F(xiàn)對終端計算機資產(chǎn)集中管理、遠程監(jiān)控、訪問管理和限制、可信軟件或補丁分發(fā)；對于涉密等級比較高的員工，實施了無盤工作站?！盎A(chǔ)設(shè)施保護與管理”在ITIL（IT Infrastructure Library，信息技術(shù)基礎(chǔ)構(gòu)架庫）框架指導下，對終端、存儲、服務器、網(wǎng)絡進行系統(tǒng)架構(gòu)和管理。“IT安全治理與合規(guī)”基于遠程監(jiān)控、數(shù)據(jù)防泄漏系統(tǒng)、物理監(jiān)控系統(tǒng)、門禁系統(tǒng)，以及身份管理、服務器、操作系統(tǒng)、數(shù)據(jù)庫等日志進行保密審計；基于公司各項保密制度進行合規(guī)性審計。

【參考文獻】

[1] 普華永道.全球信息安全現(xiàn)狀調(diào)研報告（2016）[R].2016.

[2] 李小山.商業(yè)秘密保護與信息安全[J].中國信息安全，2014（3）：102-104.