以泄密风险评估为基础实施商业秘密保护
科飞管理咨询公司 门洪利 俎全胜
2015年10月22日
目前,国内企业的商业秘密保护严重滞后于企业的创新发展,大部分企业的商业秘密处于“事前没有保护”、“事后官司打不赢”状态。还有一些企业非常重视商业秘密的保护,不断尝试各种手段,花重金采购了许多用于商业秘密保护的软硬件设施,也建立了一些商业秘密保护制度,但是实际效果却总不尽人意,感觉商业秘密保护工作还是处于虚无缥缈的状态,无法准确界定自己的商业秘密保护范围、不能判断实际的商业秘密保护效果,对商业秘密保护的有效性缺乏足够的信心,甚至由于局部商业秘密保护措施过严,形成部门壁垒,妨碍了正常业务流程的顺利运行。因此,每个企业在实施商业秘密保护时,既要防止保护不足导致的泄密风险过大,也要防止保护过度导致的成本上升和业务流程不畅。以泄密风险评估为基础实施商业秘密保护,是有效保护商业秘密,防止两种风险的唯一方法,能够使企业以最小的投入,获得最大的保护效果。
一、泄密风险评估是商业秘密保护的基础
之所以出现这种保护不足,或保护不当导致的过度保护和成本浪费,一是由于企业对商业秘密的重要性认识不足,不能预见商业秘密泄密所导致的严重后果,没有提前采取适当的预防性保护措施。更是由于企业不了解商业秘密保护的基本原理,没有按照风险管理的原则对商业秘密进行保护,不知道自己企业的实际泄密风险程度,不能准确判断存在的泄密漏洞,所编制的商业秘密保护制度和使用的软硬件设施不是针对企业的实际风险状态和具体风险因素所建立和实施的,存在很大的盲目性,更没有形成完整、有效的商业秘密保护体系,商业秘密保护存在巨大的隐患,使企业赖以生存和发展的核心商业秘密处于被泄密的风险当中。
商业秘密保护的实质就是泄密风险的防范与管理,各项商业秘密保护制度和措施的主要目的就是降低泄密风险,预防泄密事件的发生。如果不能准确了解自己企业所面临的泄密风险程度,不知道导致泄密风险的各项因素和漏洞,企业的商业秘密保护工作就会成为无的放矢,必然导致对商业秘密保护不足。
而且,在没有确定风险因素的情况下盲目采取保密措施,还有可能出现局部保护过度,整体保护漏洞百出的情况,不但不能取得预期的保护效果,还增加企业的保护成本,消耗企业的财富和资源,甚至影响企业内部的信息共享和传递,导致企业的运作效率降低。
泄密风险评估是确定企业泄密风险程度,分析泄密风险因素,发现泄密漏洞的有效方法,也是建立完整商业秘密保护机制的基础。在商业秘密保护方面,之所以出现保护不足导致的泄密损失和保护过度导致的成本浪费,关键原因是企业没有准确掌握商业秘密泄密风险的相关的信息,例如:没有完全识别全部的商业秘密资产;不能准确的判断全部商业秘密资产的价值;不了解存在的泄密漏洞和薄弱点;不知道商业秘密被泄密的可能性和影响等。通过泄密风险评估,可以获取商业秘密保护所必须的全部信息,有了这些信息,企业就能够充分了解商业秘密的价值、存在的问题和风险,进而可以有的放矢的采取措施,修补漏洞,加强薄弱点,达到用最小的成本,获得最有效的商业秘密保护。
通过泄密风险评估,企业既可以从宏观上判断所处的风险状态,也可以在微观上确定导致风险的各种因素和漏洞,为采取各种商业秘密保护措施提供方向和目标,为构建全面的商业秘密保护体系奠定基础。
二、每个企业有其独特的泄密风险
如同世界上没有完全相同的两个人一样,也没有完全相同的企业,每一个企业都具有自身的独特性。企业的独特性源自于其产品、工艺、流程和研发体系,也取决于企业的组织架构、管理体制、人员构成和基础设施。企业的这些独特性,也决定了每个企业有着各自独特的商业秘密,存在独特的泄密漏洞,面临独特的商业秘密泄密风险。
企业的商业秘密包括经营信息和技术信息,这些商业秘密信息往往不仅以单一的资产方式存在,更多是是以衍生资产的方式散布在企业的相关的生产和管理部门或岗位。商业秘密资产的存在形式和散布的程度与企业的组织架构、管理和经营模式、研发体制、生产方式、作业流程和IT应用程度密切相关。所以,即便是同行业生产相同产品的两家企业,其商业秘密资产必然存在较大的差异,而跨行业的企业,商业秘密资产更是完全不同。
商业秘密之所以被泄密或被侵害,是因为企业存在着泄密漏洞或薄弱点,这些漏洞既可能是管理上的漏洞,如职责不明确所导致的泄密;也可能是技术上的漏洞,如IT网络设置不当所导致的泄密;更有可能是人员有意无意导致的泄密。由于每个企业的管理方式,管理水平,IT应用水平,以及人员构成和管理上存在差异,所以每个企业存在着完全不同的泄密漏洞。
每个企业独特的商业秘密资产和泄密漏洞,构成了每个企业特有的商业秘密泄密风险。针对某项特定的泄密风险,不同的企业也将根据自身的经济条件、风险承受能力、管理状况、业务流程、以及企业文化等因素确定不同的风险处置方案,选择不同的风险控制措施。例如:对于入室盗窃商业秘密的风险,有的企业采取电子监控和自动报警,而有的企业采取人工值守的方式加以防范,还有的企业采取加固房间和防盗柜的方式。
所以,不同的企业有不同的泄密风险和风险因素,每个企业又会选择适合自己企业状况、有针对性的商业秘密保护措施,构建特定的商业秘密保护体系,以达到削减风险,保护商业秘密的目的。
三、商业秘密泄密风险因素分析
商业秘密泄密事件发生的可能性以及发生后对企业的影响,实质就是泄密风险的构成和大小,当各种因素构成了泄密风险,商业秘密就可能被泄露,风险越高,泄露的可能性越大,反之亦然。
商业秘密被泄露风险的高低,取决商业秘密的重要程度、商业秘密保护存在的漏洞或薄弱点以及商业秘密面临的威胁这三个要素。威胁是指能够对商业秘密造成泄密破坏的各种潜在原因,薄弱点是指商业秘密存在的能够被威胁所利用的弱点。这三个要素的此消彼长,决定了商业秘密是否存在泄密风险以及风险的大小。
例如在力拓商业间谍案中,中国钢铁企业矿石原料库存的周转天数、进口矿石平均成本、吨钢单位毛利、生铁的单位消耗等数据属于商业秘密,具有很高的价值,澳大利亚力拓公司的胡士泰等人属于威胁,利用中国钢铁企业、行业协会管理和制度上的漏洞和薄弱点,采取拉拢收买等手段,将上述中国钢铁企业的机密数据窃取到手。
泄密风险与三要素存在正相关的关系,表现为:商业秘密的重要度越高,吸引力就越大,就越容易受到各种威胁的攻击, 导致泄密风险增大。商业秘密保护的漏洞或薄弱点越多、程度越严重,就越容易被各种威胁所利用,导致泄密风险增大。商业秘密面临的威胁的数量越多、技术含量越高,就越容易攻破各种保护屏障,导致泄密风险增大。三要素的相互关系如下图:
图一:商业秘密泄密风险三要素的相互关系
四、如何评估企业的泄密风险
商业秘密泄密风险评估过程,实际上就是识别商业秘密资产及其重要程度,识别商业秘密保护存在的漏洞及其严重程度,识别商业秘密面临的威胁及其严重程度,并分析、计算威胁利用漏洞,窃取或损害商业秘密的发生概率以及后果。
通过商业秘密泄密风险评估,可以判断现有商业秘密保护机制的保护能力和面临的泄密风险,发现可能导致商业秘密泄密的风险因素和漏洞,获取减少或避免泄密风险、修补保护漏洞的措施建议。
泄密风险评估的一般流程如下:
图二:泄密风险评估的一般流程
商业秘密泄密风险评估有两种方法,一种是基于“商业秘密深度保护理论”的深度评估方法,另一种是基于“商业秘密基线保护理论”的基线评估方法。
深度评估方法是针对具体的商业秘密资产进行评估,可以发现每个重要商业秘密资产所面临的威胁和自身存在的保护漏洞,并分析判断出商业秘密资产所面临泄密风险的高低,进而可以采取有的放矢的措施来消除或降低泄密风险。
基线保护方法是科飞管理咨询公司以“商业秘密泄密和保护原理”为基础,依据相关国际标准、管理规范和全球优秀企业商业秘密保护最佳实践惯例,结合丰富的实践经验所研发的一种简便易行的商业秘密保护方法,该保护方法包含完整的保护基线、保护能力判断模型和风险分析计算模型,能够快速发现存在的泄密隐患,计算泄密风险,提供风险控制建议。在实际工作中,为了降低泄密风险评估的工作量,缩短评估的时间,一般采用基线评估方法进行泄密风险测评。
五、根据泄密风险建立个性化的商业秘密保护体系
通过泄密风险评估获取企业实际面临的风险数据,仅是了解企业对商业秘密保护的个性化需求的一种手段,而不是目的。我们的目的是建立并实施以泄密风险为基础,着重预防,全面保护的商业秘密保护体系,使商业秘密得到适当的保护,避免或减少泄密事件的发生。所建立的商业秘密保护体系,应充分考虑泄密风险与保护成本的平衡,考虑保护效果与业务流畅性的平衡,既要防止保护不足所导致的泄密风险,也要防止保护过度所导致的成本浪费,做到用最小的成本,获得最有效的商业秘密保护。
个性化的商业秘密保护体系是根据企业个性化的需求所建立的,每个企业有各自的体系特点和内容,不存在放之四海而皆准的通用商业秘密保护体系。但是,不同企业的商业秘密保护体系可以有相似的体系结构。这种体系结构一般包括:知识产权保护方针、商业秘密保护方针、商业秘密保护组织架构、流程、岗位职责、资源、风险管理、资产管理、根据泄密风险因素分析和保护能力等级形成因素分析结果确定的保护措施框架,以及保护框架内具体的商业秘密保护措施(程序、技术、硬件、软件、网络、物理环境)、对保护措施实施有效性的监督措施、泄密事件管理、不断完善商业秘密保护能力的措施、监控泄密风险变化并及时调整控制方法的措施等。
通过商业秘密保护体系的实施、运作、监控、改进,最终达到“不愿窃密、不敢窃密、不能窃密、窃密无用、提供证据、防止意外、符合法规”的保护效果。