企业竞争情报与反情报策略 - 保密网

我经常被问到一个问题：我们能不能去打听一下对手的客户名单？或者：对手怎么拿到我们报价的，我们能不能也想办法搞到他们的？

每次听到这种问题，我都要先画一条线——商业竞争情报和商业间谍，就差一条线。合法的那一边，你做什么都没问题；违法的这边，踩进去就要承担法律责任。

说的直白一点，我们帮企业做的事，不是去"搞对手的信息"，而是教企业怎么用合法的手段了解市场，同时保护好自己不被人搞。

先说说合法的竞争情报怎么收集。大多数人一提情报，就想到"卧底""黑客""收买内部人员"，那是电影看多了。真正有价值的竞争情报，80%以上来自公开渠道。

专利信息是一个金矿。你在专利数据库里搜索一个领域的关键词，能查到对手在哪些技术上布局了专利、在哪些领域还没布局、他们的技术路线在往哪个方向走。很多企业自己的战略方向，通过专利布局就暴露得差不多了。专利分析不是什么高科技活，但要持续做、系统做。

公开招投标信息也很重要。政府和企业采购的公开招标公告、中标公告，里面有大量的产品报价、技术参数、供应商信息。把这些数据拉出来做横向对比，你基本就知道对手的定价策略和技术特点了。

还有一样很多人不太重视的——对手的招聘信息。对手突然大规模招一种特定技术的人才，基本就说明他们要在那个方向上发力了。再结合他们的官网、公众号、行业演讲、白皮书，信息拼图就能拼出个大概。

但这里要说一个关键问题——收集到了信息怎么用？很多企业的问题是，商情部门收集了一大堆数据，但在做战略决策的时候从来不用。情报是拿来用的，不是拿来存的。我们一般建议企业每个季度出一份竞争情报简报，内容包括：主要对手的近期动态、技术路线变化、市场策略调整、我们的应对建议。篇幅不要长，核心是能指导决策。

说完进攻再说防守——反情报体系。

反情报的核心是搞清楚一个问题：我们的竞争对手想知道什么？知道了这个，你才能有针对性的去保护。

第一步是信息分级。不是所有信息都需要保护，你也不可能保护所有信息。根据商业秘密保护标准框架，信息需要按密级分为核心商业秘密、普通商业秘密、内部信息和公开信息四类。核心商业秘密的访问权限要收得极紧，核心层加上授权的执行负责人就够了。有些企业把所有的东西都锁起来，结果该保护的核心信息反而没保护到位。

第二步是技术防护。竞争对手喜欢的手法之一，就是通过公开渠道收集你们的技术信息。你们的官网、技术白皮书、专利说明书、招聘信息、合作伙伴目录，这些全都是信息源。还有更隐蔽的——通过社交媒体追踪你们员工的动态，通过第三方调研公司打探你们的产品路线图，通过假装客户打电话过来问技术支持的技术细节。反情报的技术措施包括：对外发布的信息做保密审查、全部技术人员签署保密协议、对外沟通建立标准话术、限制关键岗位员工在社交媒体上发布工作细节。

第三步是人员管理。人员是信息泄露的最大通道，不管是有意还是无意。跳槽到竞争对手那儿的核心员工，他脑子里的信息是带不走的吗？理论上可以靠竞业限制协议约束，但实际操作中，竞业限制的执行成本很高。更好的办法是在制度层面做好两点：一是离职面谈的时候明确告知保密义务仍有效，二是建立核心岗位的脱密期制度——核心员工离职前，先调离核心岗位一段时间，减少带走的有效信息量。

反情报体系的建设不是一蹴而就的，我们一般给企业建议一个12个月左右的分阶段方案。前3个月做现状评估和信息梳理，搞清楚要保护什么、现在的漏洞在哪里。第4到6个月建立制度和流程，包括信息分级制度、对外发布审核流程、竞业限制和保密协议升级。第7到9个月部署技术工具，根据预算选择终端加密、DLP、UEBA等防护手段。最后3个月做全员培训和试运行，发现问题再回去调整。

整个框架听起来不小，但一家企业真正在做的事情，就是在"了解对手"和"保护自己"之间找一个平衡。偏废任何一边，都容易出问题。

北京企密安信息安全技术有限公司

/ 邮箱：jess@baomiwang.com