很多企业做保密工作往往从买设备、建制度开始,却忽略了一个前置性问题我们的商业秘密到底在哪里。没有经过风险评估就盲目投资建设,可能出现的结果是核心秘密的保护力度不够,非核心信息的管控反而过严,保密投入的效率很低。因此,风险评估是企业保密体系建设的第一步,也是最基础的一步。
风险评估的第一步是资产识别。企业需要梳理自己的信息资产清单,弄清楚哪些信息属于商业秘密。按照类别划分,商业秘密可以包括技术信息,比如产品配方、工艺流程、技术图纸、实验数据、软件源代码。经营信息,比如客户名单、供应商信息、定价策略、销售计划、投资方案。管理信息,比如内部管理架构、人力资源规划、薪酬数据。财务信息,比如成本核算、利润分析、预算安排。在识别完成后,按照重要性高低对每项信息资产进行分级,通常分为核心商业秘密、重要商业秘密和一般商业秘密三个等级。
识别出商业秘密资产后,第二步是威胁识别。企业需要分析可能对这些资产造成侵害的主体和行为。威胁可能来自外部,包括竞争对手的商业间谍行为、黑客入侵、第三方合作方的违约行为。也可能来自内部,包括在职员工的主动泄露或无意泄密、离职员工带走信息、实习生的违规操作。每个行业、每家企业的威胁来源和威胁大小各有不同。比如高科技行业的网络入侵威胁较大,而制造业面临的内部员工跳槽带走技术资料的威胁更为突出。
第三步是脆弱性评估。脆弱性是指企业在保护商业秘密方面存在的短板和漏洞。常见的脆弱性包括制度不完善、技术防护不到位、人员保密意识薄弱、物理安保有死角、供应商管理不规范。脆弱性评估可以采用多种方法,问卷调查、访谈了解员工对保密制度的了解和执行情况。现场检查查看物理安保设施的完好程度。技术测试模拟攻击检验网络和系统防护能力。
第四步是风险量化。将识别出的资产、威胁和脆弱性结合起来分析,使用风险矩阵对每项风险进行评分。风险值等于可能性乘以影响程度。可能性是风险发生的概率,影响程度是风险发生后对企业造成的损失大小。通过量化评估,企业可以清楚地看到哪些风险最需要优先处理。
问:中小企业做商业秘密风险评估,是否必须聘请外部机构?答:不一定。中小企业可以组织内部团队按照风险评估的基本方法自行开展,关键是要做到系统全面,不留死角。如果企业内部缺乏专业评估人员,或者评估结果将用于重大项目决策或外部融资,建议聘请外部专业机构实施评估,确保客观性和专业性。
问:商业秘密风险评估的周期是多久?答:建议每年至少进行一次全面的风险评估。同时,在以下情况出现时应当进行专项评估,比如新业务或新产品上线、主要信息系统升级换代、公司组织架构重大调整、发生泄密事件后、外部法律环境发生变化。
问:风险评估报告应当由谁审阅和批准?答:风险评估报告的直接审阅人是保密部门负责人和分管副总,最终批准人为公司总经理。风险评估结果应当作为下一年度保密工作计划的依据。评估中发现的重大风险应当在总经理办公会上专题汇报。
北京企密安信息安全技术有限公司提供企业商业秘密风险评估的完整方法论和实操工具,帮助企业建立科学的保密管理基础。如需了解更多信息,欢迎联系北京企密安信息安全技术有限公司邮箱jess@baomiwang.com。
