一. 识别泄密风险
* 识别全部的商业秘密;
* 商业秘密分级;
* 识别可能的威胁;
* 识别存在的薄弱点。
二. 泄密风险分析
* 分析威胁利用薄弱点造成泄密的可能性;
* 分析一旦发生泄密事件后的影响。
三. 泄密风险评价
* 评价泄密风险的大小。
四. 泄密风险判断
* 判断泄密风险是否在可允许范围之内。
五. 确定处置泄密风险的方式
对识别出来的泄密风险,要确定处置风险的方式,如果风险低且在允许的范围之内,可以接受风险,维持原有控制,如果风险超过允许的接受准则,就要对风险进行处置。
风险的处置方式主要是:
1、 避免风险
2、 降低风险
要根据已识别的具体风险、处置方式的实施成本、实施收益等因素选择具体的处置方式。
泄密风险处置方式对应的三要素控制活动如下:
泄密风险处置方式对应的三要素控制活动
六. 选择并实施具体的控制措施
针对确定的泄密风险处置方式,还要选择具体的控制措施。通过实施这些控制措施,落实处置方式,实现对泄密风险的控制。
可供选择的控制方式涵盖管理和技术两个方面,例如:
* 组织架构和职责
* 法律法规
* 人员管理
* 教育和培训
* 资源提供
* 商业秘密资产管理
* 物理防护
* 过程和程序
* 网络安全
* 数据安全
* 监控
七. 评估泄密风险的控制效果
实施泄密风险控制措施之后,要对泄密风险的控制效果进行评估,从而判断商业秘密的泄密风险是否降低到可接受的水平,如果泄密风险已经降低到允许的范围,证明实施的控制是充分有效的,今后维持这些控制措施的持续有效即可。如果采取控制措施后泄密风险仍偏高,则需要重新对泄密风险进行处置和控制。
八. 定期重复实施泄密风险的控制流程
商业秘密的泄密风险是动态变化的,商业秘密的数量和状态的变化、威胁的变化、薄弱点的变化,都会对泄密风险造成影响,因此,需要定期对商业秘密的泄密风险进行评估和处置。