商业秘密信息系统防护措施

近日，南京市秦淮区人民法院公布了一起不正当竞争纠纷案，认定玩家侵犯了游戏公司的商业秘密，并判决其赔偿济损失10万元。这是全国首例针对“内测招募人员提前泄露游戏新版本内容”行为的处罚判例，也是国内首次将未公开的游戏角色、场景、动作及相关组合认定为商业秘密的案件。

商业秘密是企业的生命，在贸易全球化和供应链互联互通的影响下，商业秘密在市场竞争中发挥着越来越重要的作用。

随着信息技术的快速发展，信息系统的广泛应用，越来越多的企业将商业秘密数据存储于企业信息系统中，商业秘密数据泄露的风险越来越大，商业秘密信息系统的安全已成为企业发展的重要保障。

本期从做好统筹规划、推进责任落实、完善制度体系、加强技术管控、巩固关键环节、加大监管及风险防控力度6个方面为您介绍商业秘密信息系统的防护措施。

做好统筹规划，建立商业秘密安全防护架构

企业在进行商业秘密信息系统防护前，应先明确商业秘密范围和目录，明确企业商业秘密安全防护目标。企业为实现商业秘密的安全防护目标，应以国家网络安全法律法规标准和所在行业相关管理制度为基础，建立企业商业秘密信息系统防护架构。

商业秘密信息系统安全防护一般包含有物理安全、网络安全、服务器与应用安全、终端安全、移动存储介质安全和信息导入导出安全等方面。商业秘密数据安全应与商业秘密信息系统安全同步规划、同步建设，两者相辅相成、缺一不可。

商业秘密的安全保护监测、审计、应急响应，以及为实现商业秘密防护所需的制度、组织、运维、风险评估等保障措施应同步规划、同步建设。

推进责任落实，明确商业秘密信息系统管理和运维职责

企业应设立商业秘密信息系统管理部门和运维部门，落实“业务工作谁主管，保密工作谁负责”的原则，明确商业秘密信息系统管理和运维部门职责，包括：信息系统顶层规划、统一建设和归口管理；建立制度体系文件，落实安全保密要求；信息设备运行的日常管理；配合保密工作机构，查处泄密事件和违规行为等。

同时，企业应开展保密教育培训，通过专家授课、案例警示解读等，提高员工的敬畏之心，避免泄密行为；开展信息系统保密安全技能培训，使相关人员了解商业秘密信息系统管理要求，逐级压实保护责任，规范信息设备操作使用流程，避免违规行为。

完善制度体系，梳理商业秘密信息系统管理制度体系文件

企业应建立商业秘密信息系统安全保密管理制度体系，包括信息安全策略、管理制度、操作规程等。制度体系是落实安全保密工作要求，实现商业秘密信息系统可管、可用、可控、可查、可审、可追溯的基础，是系统的管理准则和控制流程。

安全策略针对安全问题提出对策和解决方案，管理制度应当保障安全策略提出的解决方案能够正确执行，操作规程是安全策略具体实现的操作步骤。

制度体系应结合岗位职责和业务特点，有针对性地对全体系统管理人员和使用人员开展宣贯培训，以确保策略制度规程可以有效落实。

加强技术管控，提升商业秘密信息系统技术防护能力

随着网络安全法、数据安全法、密码法、网络安全等级保护管理办法及各行业商业秘密管理办法的发布实施，企业商业秘密信息系统应与这些法律法规和标准进行对标建设，并结合企业工作实际，建立完善的商业秘密信息系统的安全防护技术保障体系。

此外，企业应针对特殊新兴技术的使用场景制定专门的安全保密方案和防护措施，加强网络安全保密防护能力，降低商业秘密数据泄露的风险。

巩固关键环节，加强商业秘密数据和设备全生命周期管理

商业秘密信息系统的防护关键为保障商业秘密数据的安全，商业秘密数据全生命周期可分为6个阶段：数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。

应梳理商业秘密数据资产,形成商业秘密数据资产台账；采取技术措施管控对商业秘密数据定密、解密等操作，并具有相应审计措施；商业秘密数据网络传输时，应采取商用密码加密等技术措施进行保护，防止传输的信息被窃取；基于最小授权原则，根据企业自身实际情况对不同类别的商业秘密数据设置相应权限；对商业秘密数据的外发行为进行审批、授权等控制；具备商业秘密数据的本地备份与恢复功能，建立数据备份与恢复策略，明确数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等；商业秘密数据销毁后应该对处理数据的载体进行数据清除、盘体销毁。

需要流转到境外的商业秘密应事前评估出境的合法性、必要性；评估商业秘密数据泄露、损毁的风险；评估境外接收方所在国家或地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；与境外接收方订立数据出境相关合同或者其他具有法律效力的文件，并明确约定数据安全保护的责任义务。通过数据加密存储等相关技术，确保商业秘密不被泄露或窃取。

同时，企业应加强对商业秘密信息设备的全生命周期管理，尤其应关注信息设备的维修和销毁环节。存储商业秘密数据的终端硬盘等存储介质一般不允许送外维修，如必须送外维修，应选择相关管理部门批准的维修机构；硬盘等存储介质的销毁应选择相关管理部门批准的销毁机构。

加大监管及风险防控力度，建立商业秘密监测预警制度

应加大行业监管力度，从行业层面搭建协同沟通平台，为行业内所属企业加强信息系统中商业秘密信息安全体系建设提供全面支撑。完善各企业保密协作模式，定期组织开展沟通交流和定向调研等，及时交流各企业商业秘密信息系统保护工作中遇到的新情况、新问题、新挑战，推广应用新方法、新技术、新手段，形成良性互动、共同提升的局面。同时，加强行业监管，定期开展对所属企业的保密检查，尤其关注商业秘密信息系统的安全管控是否到位。

企业应建立商业秘密监测预警制度，加强商业秘密信息系统安全信息收集、分析，建立健全商业秘密信息系统安全风险评估和应急工作机制，制定安全事件应急预案，并定期组织演练。安全事件应急预案应按照事件发生后的危害程度、影响范围等因素对事件进行分级，明确相应的应急处置措施。一旦发生安全事件，立即启动应急预案，对事件进行调查评估，采取技术措施和其他必要措施，消除安全隐患，防止危害扩大。

【摘编自《保密科学技术》2024年1月刊《商业秘密信息系统风险分析及防护建议》一文，作者：韩雪、刘振慧、罗雪莱】

声明：本文来自保密科学技术，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。