原创：商密卫士

课程要点：

根据“商业秘密泄密原理”和“商业秘密保护原理”，商业秘密保护就是采取保密控制措施，对构成泄密风险的三个要素实施控制，即对商业秘密资产、威胁和漏洞实施控制，从而达到降低或消除泄密风险，保护商业秘密的目的。实际应用中，选择不同的要素进行控制，会产生不同的商业秘密保护效果，而且会对企业原有的业务流程和活动产生不同的影响。通过对三个要素逐个分析，就可以发现其中的选择规律。

     对商业秘密资产既可以采取“避免类”控制措施，也可以采取“减少类”措施。需要注意的是，对商业秘密资产进行控制，可能对企业的现有业务流程造成重大影响。因为对商业秘密资产施加控制就是改变其属性，而资产属性的变化会导致与现有业务流程的不匹配，导致业务流程不畅甚至中断，迫使企业根据变化的资产属性重新调整业务流程。

     “威胁”的来源主要包括外部竞争对手、外部业务关系单位和内部员工。外部竞争对手造成的威胁，企业没有能力采取措施将其消除或减少，属于不可控因素。外部业务关系单位造成的威胁，虽然不能消除，但是可以采取有效的控制措施降低发生的可能性。特定情况下，企业可以用规避的方式，彻底避免来自外部业务关系单位的窃密威胁。 来自内部员工的窃密威胁，是导致商业秘密泄密的主要因素。内部员工在实施侵犯商业秘密行为之前，企业无法识别哪个员工是窃密威胁，也就不能提前采取“避免类”措施将这种威胁消除，但是企业可以采取组合性的“减少类”控制措施，将来自内部员工的窃密威胁极大的降低。

     漏洞是企业自身在商业秘密保护方面存在的薄弱因素，比如：商业秘密保护组织不完善，缺乏明确的保密责任；商业秘密保护范围不明确；没有建立分级保护要求；没有定期实施泄密风险测评，对企业的泄密风险状态不了解；没有建立保密监督检查机制；涉密人员缺乏全周期保密管理；技术性软硬件设施不健全等等。由于漏洞是企业自身产生的，处于企业的掌控范围之内，因此企业有能力对所有存在的漏洞进行控制，甚至彻底消除漏洞。对漏洞进行控制的方法措施有很多，相比对资产和威胁的控制措施，数量要多许多。所以，从控制措施的数量看，各个企业保护商业秘密所采取的措施大多数都是控制漏洞的。同样需要注意的是，如果采取“避免类”措施彻底消除漏洞，也将对现有的业务流程造成重大影响，迫使企业重新调整业务流程。而采取“减少类”漏洞控制措施，一般情况下，对现有业务流程的影响不是太大。

        为了通过对泄密三要素的控制实现保护商业秘密的目的，首先应该实施泄密风险测评，从而确定自己企业特有的商业秘密资产、威胁和漏洞。然后根据三要素的控制特点，结合企业的流程和资源状况，选择适宜的控制措施，将商业秘密的泄密风险降低到可接受的水平。

获取商业秘密保护服务和知识，请访问：

商业秘密保护网：www.ipr007.com 

公众号：商业秘密保护-ipr007 

学习国家秘密和商业秘密保护课程，请访问：

保密教育平台：www.ipr007.cn

服务号：保密教育平台