商業(yè)秘密信息系統(tǒng)防護措施(下)
本期從加強技術管控����、鞏固關鍵環(huán)節(jié)���、加大監(jiān)管及風險防控力度3個方面為您介紹商業(yè)秘密信息系統(tǒng)的防護措施。加強技術管控���,提升商業(yè)秘密信息系統(tǒng)技術防護能力
隨著網(wǎng)絡安全法���、數(shù)據(jù)安全法�����、密碼法、網(wǎng)絡安全等級保護管理辦法及各行業(yè)商業(yè)秘密管理辦法的發(fā)布實施��,企業(yè)商業(yè)秘密信息系統(tǒng)應與這些法律法規(guī)和標準進行對標建設,并結(jié)合企業(yè)工作實際��,建立完善的商業(yè)秘密信息系統(tǒng)的安全防護技術保障體系。此外�,企業(yè)應針對特殊新興技術的使用場景制定專門的安全保密方案和防護措施�,加強網(wǎng)絡安全保密防護能力��,降低商業(yè)秘密數(shù)據(jù)泄露的風險����。鞏固關鍵環(huán)節(jié),加強商業(yè)秘密數(shù)據(jù)和設備全生命周期管理
商業(yè)秘密信息系統(tǒng)的防護關鍵為保障商業(yè)秘密數(shù)據(jù)的安全��,商業(yè)秘密數(shù)據(jù)全生命周期可分為6個階段:數(shù)據(jù)采集、數(shù)據(jù)傳輸���、數(shù)據(jù)存儲����、數(shù)據(jù)處理、數(shù)據(jù)交換����、數(shù)據(jù)銷毀�。應梳理商業(yè)秘密數(shù)據(jù)資產(chǎn),形成商業(yè)秘密數(shù)據(jù)資產(chǎn)臺賬���;采取技術措施管控對商業(yè)秘密數(shù)據(jù)定密��、解密等操作�����,并具有相應審計措施�;商業(yè)秘密數(shù)據(jù)網(wǎng)絡傳輸時�����,應采取商用密碼加密等技術措施進行保護�,防止傳輸?shù)男畔⒈桓`?����。?/span>基于最小授權(quán)原則,根據(jù)企業(yè)自身實際情況對不同類別的商業(yè)秘密數(shù)據(jù)設置相應權(quán)限�;對商業(yè)秘密數(shù)據(jù)的外發(fā)行為進行審批�����、授權(quán)等控制;具備商業(yè)秘密數(shù)據(jù)的本地備份與恢復功能,建立數(shù)據(jù)備份與恢復策略���,明確數(shù)據(jù)備份和恢復的范圍、頻率��、工具�、過程��、日志記錄、數(shù)據(jù)保存時長等��;商業(yè)秘密數(shù)據(jù)銷毀后應該對處理數(shù)據(jù)的載體進行數(shù)據(jù)清除���、盤體銷毀。
需要流轉(zhuǎn)到境外的商業(yè)秘密應事前評估出境的合法性����、必要性�;評估商業(yè)秘密數(shù)據(jù)泄露�、損毀的風險���;評估境外接收方所在國家或地區(qū)的數(shù)據(jù)安全保護政策法規(guī)及網(wǎng)絡安全環(huán)境對出境數(shù)據(jù)安全的影響��;與境外接收方訂立數(shù)據(jù)出境相關合同或者其他具有法律效力的文件,并明確約定數(shù)據(jù)安全保護的責任義務�。通過數(shù)據(jù)加密存儲等相關技術���,確保商業(yè)秘密不被泄露或竊取�����。同時,企業(yè)應加強對商業(yè)秘密信息設備的全生命周期管理���,尤其應關注信息設備的維修和銷毀環(huán)節(jié)���。存儲商業(yè)秘密數(shù)據(jù)的終端硬盤等存儲介質(zhì)一般不允許送外維修���,如必須送外維修�����,應選擇相關管理部門批準的維修機構(gòu);硬盤等存儲介質(zhì)的銷毀應選擇相關管理部門批準的銷毀機構(gòu)���。加大監(jiān)管及風險防控力度�����,建立商業(yè)秘密監(jiān)測預警制度
應加大行業(yè)監(jiān)管力度�����,從行業(yè)層面搭建協(xié)同溝通平臺����,為行業(yè)內(nèi)所屬企業(yè)加強信息系統(tǒng)中商業(yè)秘密信息安全體系建設提供全面支撐。完善各企業(yè)保密協(xié)作模式��,定期組織開展溝通交流和定向調(diào)研等,及時交流各企業(yè)商業(yè)秘密信息系統(tǒng)保護工作中遇到的新情況�、新問題、新挑戰(zhàn)�����,推廣應用新方法�����、新技術�、新手段����,形成良性互動��、共同提升的局面�。同時�����,加強行業(yè)監(jiān)管,定期開展對所屬企業(yè)的保密檢查�,尤其關注商業(yè)秘密信息系統(tǒng)的安全管控是否到位���。
企業(yè)應建立商業(yè)秘密監(jiān)測預警制度,加強商業(yè)秘密信息系統(tǒng)安全信息收集�����、分析���,建立健全商業(yè)秘密信息系統(tǒng)安全風險評估和應急工作機制���,制定安全事件應急預案,并定期組織演練��。安全事件應急預案應按照事件發(fā)生后的危害程度����、影響范圍等因素對事件進行分級�,明確相應的應急處置措施�。一旦發(fā)生安全事件�����,立即啟動應急預案�,對事件進行調(diào)查評估��,采取技術措施和其他必要措施���,消除安全隱患���,防止危害擴大��。【摘編自《保密科學技術》2024年1月刊《商業(yè)秘密信息系統(tǒng)風險分析及防護建議》一文,作者:韓雪���、劉振慧���、羅雪萊】
