管理员用户发表的博客

世界上的任何人

某知名科技公司的信息安全和商业秘密管理在业界被公认做得非常出色。在组织架构方面,该公司有一个500余人的部门就叫信息安全监察部,部长直接向公司总裁汇报,该部门的主要工作内容就是商业秘密的保护。很多人会很吃惊,更让人震惊的是该公司每年将利润的60%投入到研发当中,这在全球也是遥遥领先的。而我们都知道:科技研发成果的绝大部分是以商业秘密的形式存在的,这些商业秘密,不但是企业最重要的价值,而且是企业发展的根基。了解了该知名科技公司的背景及保密需求,接下来让我们简单谈谈其实践的几项常规保密准则。

该公司的信息安全保护采用最严格的方法,分为三个方面,第一是制度设计,第二是管理授权的设计,第三是技术设计。在制度设计上,该公司有一整套的管理文件,并赋予该管理文件以最高权力,如果有工程师触犯相应的管理规定,就要承担非常严重的后果。在管理授权的设计方面,该公司建立了基于国际信息安全体系架构的流程和制度规范。举例来说,在“访问安全”和授权的控制上,该公司保证“按需知密”原则和“最小接触”原则,也就是说,所有的文档和技术根据其保密的分级分层来进行不同的授权,只有一个完全必要的人才能接触相关技术,而且这种接触是在相应的控制和监督下进行的。看似简单的流程控制制度,在实际的安排中往往会借助很多有关技术设计的手段。

该公司还有一个通用的保密原则是职能分工,有效分工是內部控制的基本方法之一,主要是将一件工作分开由不同的人来,做到互相监察,互相制衡。不少高科技公司经历过部分商业机密失窃或关键人员离职后,立即全盘皆输的困局。为避免类似惨况再发,许多企业开始将各种研发设计分项目进行,把一个产品分解,由多个项目组完成。这样,没有哪一个人包括这个业务领域的最高行政长官有权力拿到所有的资料。因此,泄密者也不可能拿到一个产品所有的资料,最多只能拿到一部分。该公司在分项目的基础上,再采用分地域完成的方式,将分解的软件交由处于全球不同地区的公司开发,然后组合起来,形成一个完整的产品。比如使一个产品一部分在印度开发,一部分在日本开发,一部分在美国开发,正好有时差,可以传递着来做一些事情。同时又保证没有哪一个环节可以拿到全部资料,这样在地域的安排上使得信息更加安全。

总之,健全信息安全与商业秘密保护体系,对组织的关键信息资产进行全面系统的保护及保持竞争优势具有重要意义,一旦信息系统受到侵袭,仍然可以确保业务持续开展,并将损失降到最低程度,促使业务伙伴和客户充满信心。要搞好保密,要从组织、制度、监察等多个环节下手,不是搞搞保密技术设备那么盲目。记住:技术是辅助管理和提高效率的手段。反观很多企业在保密管控方面强烈依赖技术工具,根本不重视甚至不知道信息安全保密的基本准则,真令人唏嘘。而这些安全保密工作的基本准则,不仅安全保密专业和涉密从业人员们需要掌握,全体工作人员也都需要了解。因此,在信息安全与商业保密相关的培训活动中,加入这些常规的安全保密准则,是让受众理解并接受安全保密理念的基础。

昆明亭长朗然科技有限公司创作了大量的标准化信息安全与保密培训课程内容,同时我们也为客户进行课程内容的量身定制创作服务。欢迎有商业秘密和信息安全培训相关需求的商业客户及商业伙伴联系我们,与我们洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898