企业是商业泄密的多发地,企业的文档、图纸等信息泄露会给 企业正常运营带来巨大危害,以核心机密的泄露和公司经验信息的流失为主的事件发生的越来越多,这里专注文档加密软件和图纸加密软件研究的反泄密方案提供商安腾软件(www.iten.com.cn)介绍一个案例对企业内部信息控制的思路。
企业内部信息与企业商业秘密界限模糊,内部信息积累到一定程度就会转化为商业秘密。做好企业内部信息风险识别和防控是规范商业秘密管理的基础,也是保障企业生产经营活动正常开展,保障企业竞争力的关键环节。华北油田公司作为中国石油天然气股份有限公司的地区能源公司,既掌握油田地理位置、油井坐标等地面信息,也掌握油气藏生成、分布、地质构造等地下资料,还有生产投资、油气产量、油品成份等管理与技术资料。敏感信息多、涉密(商业秘密)程度高、风险防控难度大。因此,如何从源头——企业内部信息开始,即加强风险识别和防控,以规范商业秘密管理意义重大。
风险管理理论的界定
风险不仅是可以认识的,也是可以控制和掌握的。构建企业内部信息风险防控机制,就是运用现代管理理念,把风险管理理论和全面质量管理方法应用到保密工作中,以排查失泄密风险为核心内容,紧紧抓住“查找、防控、督查、评估”等关键环节,对失泄密风险实施科学的监督和防控,有效识别并解决工作中已经存在或可能存在的失泄密风险,从源头预防失泄密事件的发生。
在企业内部信息风险防控机制程序上,对查找的信息风险点进行前期预防、中期监控和后期处置,从而有效控制可能发生的失泄密行为。前期预防方面,通过综合运用开展保密宣传教育、加强制度建设、规范工作程序等各种手段,主动防范思想意识风险、制度机制风险和岗位职责风险, 大限度地降低失泄密行为发生的可能性。中期监控方面,通过信息监测、定期自查、专项检查和重点抽查等手段,对员工作业行为、制度机制运转、职责运行过程实施监督管理,及时发现不良倾向。后期处置方面,针对中期监控发现的问题,视情节轻重程度,采取警示提醒、诫勉谈话、责令改正、组织处理等手段,及时堵塞漏洞,避免失泄密风险转变成违规违法行为。
建立企业内部信息风险防控机制的基本构想
风险防控机制的实质是自身监督常态化的一种具体形式,做好控制的 有效方法就是尽可能缩小知悉范围,坚持“知悉必须以工作需要”为原则,以“建立四个体系、把握三个关键、提升三种能力”的构想,建立企业内部风险防控机制。
(一)建立四个体系
一是责任体系。明确各级党政主要领导对本单位保密工作负主要领导责任,各级行政主要领导为本单位保密工作第一责任人,全面负责保密工作;各级分管领导对分管工作范围内的保密工作承担直接领导责任,保密管理部门抓好落实的责任体系。层层签订保密工作责任书,一级对一级负责,涉密人员签订保密承诺书,把保密责任逐级传递到具体涉密岗位和责任人。保密责任紧跟业务范围的延伸,实现无盲区、无空白。
二是制度体系。把保密作为员工的职业道德的重要内容,持续深化以岗位确认、风险识别、流程管理和制度控制为主要内容的管理制度,建立和完善涉密岗位人员操作标准,实现对涉密人员、涉密载体、涉密信息、涉密场所和涉密活动的“全方位、全过程、全员化”的科学管理。
三是工作体系。努力建设一支适应工作任务、专兼结合的企业保密管理队伍,要有专门的管理和技术人员;涉密事项比较多的部门明确一名既懂专业又会管理的专职保密工作人员;专业部门成立由领导牵头的专业工作小组,建立纵向保密管理系统、专业管理系统与横向保密管理组织交叉互补,疏而不漏的工作网络,实现保密工作覆盖范围 大化、保密成效 优化。
四是考评体系。采取条块结合,动态管理,综合评价的方法,建立健全科学的考评体系和激励机制。把保密工作成效纳入各级领导班子业绩考核内容,年终述职时,一定要讲本单位、部门的保密工作情况;组织开展专项审核,定期对网络防范和信息管理进行有效风险评估。对查出的隐患、发现的问题及时整改,对不适合在涉密岗位工作的人员坚决调离,发生失泄密事件的,严肃追究相关责任人的责任。
(二)把握三个关键
一是界定好涉密人员。要准确界定接触和知悉企业商业秘密的涉密人员,以事定岗、以岗定人,按照所承担的工作任务和岗位职责确定岗位的密级,按照岗位的密级确定人员的密级,并根据情况变化及时对涉密人员等级做出调整。对涉密人员实行岗位责任制,根据接触秘密的范围、涉密程度等因素建立界限明晰的涉密岗位,对每个岗位提出明确的岗前保密知识、技能的考核要求,将涉密岗位要求与人员素质紧密联系起来,使岗位管理成为涉密人员管理的一种有效手段。
二是界定好要害部门部位。要害部门部位的确定与是否涉及商业秘密信息有关,对其采取的技术安全防护措施与密级有关。要害部门部位的确定要经过上级主管部门核准,不能自行其是。要按照“突出重点,分类清楚,责任明确,管理规范”的原则,科学界定要害部门部位,并实行分类管理,明确责任主体,突出工作重点,完善管理制度,落实有效防护措施。
三是确定好秘密事项。长期以来,商业秘密确定的随意性、不准确问题非常严重。究其原因主要是没有严格确定定密责任,缺乏专业人员,定密依据不够明确和细化,定密程序不规范等。因此,商业秘密事项的确定,必须按规定、依程序进行,实行定密责任人制度,加大定密工作监督检查力度,加强定密责任意识教育。
(三)提升三种能力
一是增强检查能力。企业商业秘密检查的核心在于依靠检查能及时发现问题。首先,通过工作实践、业务培训、高校专业培养等方式,使企业负责管理商业秘密的中层管理干部熟练运用先进的检查设备,掌握高超的检查技术,不断积累经验增长才干。当前,要着重提高重点、难点问题的检查能力,如存储企业核心商业秘密的计算机是否违规连接互联网,研发、营销人员是否违规在连接互联网的计算机上违规处理商业秘密文件等。其次,要不断引进先进技术和装备,完善商业秘密技术检查的覆盖面,健全技术检查工具功能,不断丰富检查手段。
二是提高监管能力。提高监管能力的关键是严格依法办事、正确处理问题。当前,企业要特别增强在技术防护、信息审计、监督整改以及出具整改文书等按程序办事的能力。加大监管力度,提高中层管理干部正确处理问题的能力和水平。对发现的问题,该制止纠正的要制止纠正,该限期整改的要限期整改,该调查取证的要调查取证,该移交查处的要移交查处,该建议处分的要建议处分,真正做到令行禁止,推动商业秘密保护工作真正落到实处。
三是注重协调能力。要协调、处理好以下几个关系。一是处理好上下级之间的关系。企业上级保密机构要加强对下级保密机构的工作指导,开展经常性调查研究和“飞检”,及时研究解决和指导规范工作中的问题。二是处理好与被检查单位间的关系。保密检查的目的不是代替部门单位自身的保密管理,而是通过检查监管,促进其加强自身建设,提高防范和管理水平。三是处理好与有关部门、单位间的关系。企业的商业秘密保护工作既要应对外部的窃密活动,又要防范内部的泄密风险,要与公安、科技信息、人事劳资和纪检监察等部门建立密切的工作关系和牢固的协调配合机制。
好的思路重在落实,从思想到管理,从意识到技术手段,在落地的管理和技术防范中,切实做好企业保密工作,部署文档加密软件等计算机反泄密系统,保护企业核心信息资产和核心机密,防止泄密。
通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。
