公司信息安全管理，企業內部防泄密

使你疲倦的不是遠方的羣山，而是你鞋裏的一粒石子。讓企業恐懼的不是強大的對手，而是自己的商業機密變成了對方手裏的底牌——機密到底是怎樣泄漏的？
“企業安全三分靠技術，七分靠管理，制定嚴格並且易於操作的管理制度是減少安全問題的基礎。”
　　離職高峯潛伏的風險
　　年底將至，企業開始漸漸進入一年中的跳槽高峯期。
　　最近一份調查顯示：85%的職員可以輕鬆地下載“有競爭力”的資料和信息，然後帶到下一份工作中。儘管大部分工作者可以從現在的公司下載資料，但只有32%會爲了增加在下一份工作中的競爭力而“出賣”資料。超過80%的人承認從工作中下載資料文檔等回家使用，最常用的方式是使用USB傳輸數據。
　　對於企業來講，那些即將離職的員工是很危險的。因爲不論出於什麼原因，他們都希望能夠爲自己以後的工作獲取必要的資源。一位離職員工很坦然地說：“實際上，離職員工通過各種手段從原公司拿走一些資料已經成爲一種習慣，當然這些資料只是方便以後工作，而不是直接用來出售。”當然，也有些員工爲了在應聘時博得新僱主的喜愛，而積極地回答僱主的疑問，而其中有許多問題都是新僱主爲了獲取競爭對手的資料故意設置的。
　　當然，也不乏有員工故意泄露企業商業機密，爲自己牟取利益。
　　在幾年前，可口可樂曾出現過員工出賣公司資料的事件：總部設在紐約的百事可樂公司向可口可樂提供了一份郵件複印件。而該郵件是用可口可樂正式商業信封寄往百事的，寄信人“德克”自稱爲可口可樂高層僱員，並提供了“十分詳細的機密信息”。可口可樂立即與聯邦調查局取得聯繫，後者當即展開了祕密調查。此後，這個自稱“德克”的泄密人又提供了另幾份被確認爲商業機密的可口可樂絕密文件，並提供了一份機密的可口可樂新產品樣本。
　　幾天後，一名聯邦密探提出以150萬美元向“德克”購買其他商業機密。後被證實這個機密爲可口可樂正在開發的新產品樣本。最後，3名嫌疑人得到了應有的懲罰，而可口可樂公司也重新審覈了其資料保護的相關政策、程序及制度，以確保知識產權不受侵害。
　　那麼，職員什麼樣的行爲算泄露公司商業機密？企業該如何預防和應對僱員泄露公司商業機密呢？
　　到底什麼纔是“祕密”
　　對於企業來說，什麼纔是商業祕密？商業機密的範圍很廣，任何與社會競爭、經濟利益相關的特定信息都可能構成商業機密。比如：產品配方、工藝程序、研發代碼、研發材料、機器設備改進方案、圖紙、客戶資料、財務數據、商業計劃書等。同時，商業機密是特指不爲公衆所知悉，能爲權利人帶來經濟利益，具有實用性並經權利人採取保密措施的技術信息和經營信息。
　　在許多企業中，商業機密的泄密事件每天都在發生。然而，對於這種信息流失，企業和員工卻有可能是全然不知。比如：作爲老闆在工作會議中無意中就透露了商業機密，而不要忘了“說者無意，聽者有心”，因此要避免“禍從口出”，首先就要從高層樹立起保密意識，並且要身體力行，纔有可能讓你的員工有意識、審視和意識到自己的行爲，是否已經是泄密了。
　　有位老闆說：他曾經有一個員工，在離職時帶走了自己設計的軟件。因爲他的理由是：軟件是自己設計的，就應該是自己的所有權，如果公司要用，那麼就要付費，否則就是侵權；還有的員工認爲：客戶是我開發的，我爲什麼沒有權利帶走他們的資料？於是，員工普遍理直氣壯，而企業又有些束手無策。
　　然而，在法律上有一個關於“職務發明”的界定，而這類發明的所有者就是企業。職務發明指執行本單位(包括臨時工作單位)的任務或者主要利用本單位的物質技術條件(是指本單位的資金、設備、零部件、原材料或者不對外公開的技術資料等)所完成的發明創造。那麼，基於職位獲得的客戶資源，毋庸質疑的應該是企業資源。因此，企業就要想方設法地收集和存儲這些資源，充分做好知識管理；而研製新產品的過程中，其實是保護最薄弱的時刻。因此，在企業裏要相對封鎖消息，讓最少的人知道新產品的動向。然而，爲什麼會有員工泄露公司機密和出賣情報？不可否認，出賣情報有時可以成爲賺錢的手段，跳槽的資本或者要價的砝碼，甚至是報復的暗箭。
　　那麼，又該如何看好企業的“機密庫”？
　　看好企業的“機密庫”
　　無論是當年秉承着“企業是家”文化的聯想，還是百度這個近年來的最佳僱主，都曾因閃電裁員而備受爭議。儘管這不能不稱其爲保護商業祕密的好方法，但確實會讓人難以接受這種太過“冰冷”的方式。但不可否認，聯想在裁員前先封掉其局域網中ID的做法，不失爲一種辦法。
　　隨着科技程度的提高，一個小小的閃存、一封EMAIL、錄音等手段都可能使機密瞬間不再是祕密，甚至隨着知情人的增加，連追究與索賠都變得十分困難。
　　那麼，如何防範員工的泄密問題呢？
　　第一，大量的泄密是通過計算機和拷貝，所以技術泄密的問題必須用技術的方法去解決。比如：安裝防止拷貝的軟件。既要設置專人的監管，也要通過技術性的監管。
　　第二，就是分割條塊，稀釋機密。企業不妨根據信息的價值，來確定保密的等級和涉祕的人羣。由於一個項目的開發需要衆多人的合作，如果部門之間完全沒有祕密的時候，那麼公司也就沒有祕密了。因此，有一個重要的保密原則就是稀釋核心機密，讓需要的人只知道可以知道的東西。也就是說，把一定的事項方案和計劃分成若干部分和環節，允許不同的人知道，但每一個人只知道自己的一部分，而誰都不清楚全部，也就是不把雞蛋放在同一個籃子裏的原則。
　　第三，絕密文件的使用需要有法人代表進行審批。同時，要建立嚴格授權制度，以及泄密的問責制度。對於企業來說，保密的重點不是已經成熟的技術，而應該是正在研發的技術和核心的新技術。因爲這些技術還沒有受到專利保護，一旦泄密的話，會成爲被競爭對手打擊你並戰勝你的手段。信息安全不是一個部門的事情，而是需要在信息形成時期，就開始安全防護。根據機密的價值，設定保護的成本，以被保護商業祕密的價值，來確定適合的保護範圍。同時，知道的人越少，當一旦有機密的泄露，也相對更容易界定責任和責任人。
　　第四，注重細節管理。確定關鍵崗位和關鍵部門實施重點防護。同時從內部流程制度建設上，完善保密程序。尤其對於研發、財務、信息系統等核心部門，更要注意其人員的素質水平，不僅要注意管理和激勵，更要讓他們感受到信任和責任感。同時，企業要關注員工的情緒和心理感受，以防止產生惡意的泄密現象。
　　第五，健全制度，依法維權。加強保密教育和培養保密意識，是企業不僅要做，並且是要根據企業的具體情況制定出保密制度。比如：與核心員工進行的競業禁止協議的簽訂，電腦硬盤的管理，離職前的交接，客戶信息的集中管理等。競業禁止協議固然重要，然而企業的保密文化的建設、員工激勵、對員工的信任，以及高管自身的職業操守的加強則更爲重要。
　　道德與利益的博弈，無時無刻不存在。偉人曾經說過：“在安全戰線上沒有朋友。”對於企業來說，如何讓離職員工，心中充滿感恩而不是怨恨，甚至依然能和企業是朋友，的確需要一種文化的境界。