近日����,南京市秦淮區(qū)人民法院公布了一起不正當(dāng)競(jìng)爭(zhēng)糾紛案�,認(rèn)定玩家侵犯了游戲公司的商業(yè)秘密����,并判決其賠償濟(jì)損失10萬元���。這是全國首例針對(duì)“內(nèi)測(cè)招募人員提前泄露游戲新版本內(nèi)容”行為的處罰判例,也是國內(nèi)首次將未公開的游戲角色�����、場(chǎng)景、動(dòng)作及相關(guān)組合認(rèn)定為商業(yè)秘密的案件���。商業(yè)秘密是企業(yè)的生命�����,在貿(mào)易全球化和供應(yīng)鏈互聯(lián)互通的影響下,商業(yè)秘密在市場(chǎng)競(jìng)爭(zhēng)中發(fā)揮著越來越重要的作用�����。隨著信息技術(shù)的快速發(fā)展,信息系統(tǒng)的廣泛應(yīng)用���,越來越多的企業(yè)將商業(yè)秘密數(shù)據(jù)存儲(chǔ)于企業(yè)信息系統(tǒng)中���,商業(yè)秘密數(shù)據(jù)泄露的風(fēng)險(xiǎn)越來越大�,商業(yè)秘密信息系統(tǒng)的安全已成為企業(yè)發(fā)展的重要保障��。本期從做好統(tǒng)籌規(guī)劃、推進(jìn)責(zé)任落實(shí)、完善制度體系3個(gè)方面為您介紹商業(yè)秘密信息系統(tǒng)的防護(hù)措施。做好統(tǒng)籌規(guī)劃��,建立商業(yè)秘密安全防護(hù)架構(gòu)
企業(yè)在進(jìn)行商業(yè)秘密信息系統(tǒng)防護(hù)前���,應(yīng)先明確商業(yè)秘密范圍和目錄,明確企業(yè)商業(yè)秘密安全防護(hù)目標(biāo)��。企業(yè)為實(shí)現(xiàn)商業(yè)秘密的安全防護(hù)目標(biāo)�����,應(yīng)以國家網(wǎng)絡(luò)安全法律法規(guī)標(biāo)準(zhǔn)和所在行業(yè)相關(guān)管理制度為基礎(chǔ)�����,建立企業(yè)商業(yè)秘密信息系統(tǒng)防護(hù)架構(gòu)。商業(yè)秘密信息系統(tǒng)安全防護(hù)一般包含有物理安全���、網(wǎng)絡(luò)安全�、服務(wù)器與應(yīng)用安全、終端安全���、移動(dòng)存儲(chǔ)介質(zhì)安全和信息導(dǎo)入導(dǎo)出安全等方面����。商業(yè)秘密數(shù)據(jù)安全應(yīng)與商業(yè)秘密信息系統(tǒng)安全同步規(guī)劃��、同步建設(shè)����,兩者相輔相成����、缺一不可�����。商業(yè)秘密的安全保護(hù)監(jiān)測(cè)�����、審計(jì)��、應(yīng)急響應(yīng)��,以及為實(shí)現(xiàn)商業(yè)秘密防護(hù)所需的制度、組織����、運(yùn)維��、風(fēng)險(xiǎn)評(píng)估等保障措施應(yīng)同步規(guī)劃��、同步建設(shè)。推進(jìn)責(zé)任落實(shí),明確商業(yè)秘密信息系統(tǒng)管理和運(yùn)維職責(zé)
企業(yè)應(yīng)設(shè)立商業(yè)秘密信息系統(tǒng)管理部門和運(yùn)維部門���,落實(shí)“業(yè)務(wù)工作誰主管�����,保密工作誰負(fù)責(zé)”的原則����,明確商業(yè)秘密信息系統(tǒng)管理和運(yùn)維部門職責(zé)���,包括:信息系統(tǒng)頂層規(guī)劃�����、統(tǒng)一建設(shè)和歸口管理��;建立制度體系文件��,落實(shí)安全保密要求�;信息設(shè)備運(yùn)行的日常管理�;配合保密工作機(jī)構(gòu)���,查處泄密事件和違規(guī)行為等�。
同時(shí),企業(yè)應(yīng)開展保密教育培訓(xùn)�,通過專家授課����、案例警示解讀等,提高員工的敬畏之心�����,避免泄密行為;開展信息系統(tǒng)保密安全技能培訓(xùn)�,使相關(guān)人員了解商業(yè)秘密信息系統(tǒng)管理要求,逐級(jí)壓實(shí)保護(hù)責(zé)任�,規(guī)范信息設(shè)備操作使用流程��,避免違規(guī)行為�����。完善制度體系����,梳理商業(yè)秘密信息系統(tǒng)管理制度體系文件
企業(yè)應(yīng)建立商業(yè)秘密信息系統(tǒng)安全保密管理制度體系�,包括信息安全策略���、管理制度、操作規(guī)程等�。制度體系是落實(shí)安全保密工作要求�����,實(shí)現(xiàn)商業(yè)秘密信息系統(tǒng)可管、可用���、可控����、可查、可審�����、可追溯的基礎(chǔ)���,是系統(tǒng)的管理準(zhǔn)則和控制流程���。安全策略針對(duì)安全問題提出對(duì)策和解決方案,管理制度應(yīng)當(dāng)保障安全策略提出的解決方案能夠正確執(zhí)行�����,操作規(guī)程是安全策略具體實(shí)現(xiàn)的操作步驟���。
制度體系應(yīng)結(jié)合崗位職責(zé)和業(yè)務(wù)特點(diǎn)��,有針對(duì)性地對(duì)全體系統(tǒng)管理人員和使用人員開展宣貫培訓(xùn)����,以確保策略制度規(guī)程可以有效落實(shí)�。
【摘編自《保密科學(xué)技術(shù)》2024年1月刊《商業(yè)秘密信息系統(tǒng)風(fēng)險(xiǎn)分析及防護(hù)建議》一文,作者:韓雪����、劉振慧���、羅雪萊】
