几年前帮一家中型制造企业做过一次商业秘密保护的内审,结果让我很震惊。这家企业自认为保密工作做得不错,签了保密协议、设了门禁、涉密区域有监控。但我们的内审发现,他们的研发部门用的公共服务器没有任何权限分级,技术人员从普通员工到总工能看到完全一样的文件。而且大部分员工离职的时候,公司不会做任何数据交接和检查,笔记本电脑直接交回来就完事了。这种状态,说句不好听的,商业秘密等于大门敞开。
商业秘密保护内审和风险排查,是很多企业容易忽视但极其重要的一项工作。我把它比喻成给公司做一次全面的健康体检,目的是发现漏洞、评估风险、制定改进方案。下面我把内审和风险排查的具体做法详细说一说。
商业秘密保护内审主要涵盖以下几个维度。
第一个维度是涉密资产盘点。很多企业自己都不知道自己到底有哪些商业秘密。内审的第一步就是要全面梳理企业的商业秘密资产。具体包括哪些呢?技术类的,比如配方、工艺、图纸、技术参数、实验数据、源代码;经营类的,比如客户名单、供应商信息、采购价格、营销策略、招投标方案。这些涉密资产要分类登记、明确密级、标注责任人。我建议企业建立一个涉密资产台账,每一项资产都要记录它的产生时间、保密层级、知悉范围、保管方式。
第二个维度是管理制度审查。要检查企业有没有建立完整的商业秘密管理制度。保密制度不能只是一个文件挂在墙上,要看它有没有落实到每个环节。比如员工入职的时候有没有签保密协议和知识产权归属协议;涉密区域的进出有没有登记制度;涉密电脑的使用有没有操作规范和日志记录;文件传输、打印、复制有没有审批流程;合作方接触涉密信息有没有签署保密协议。每一项制度都要实地检查是否真正执行到位了。
第三个维度是技术防护措施评估。这个维度主要看企业的技术手段有没有跟上。包括:涉密信息的访问权限是否实现了较小化原则,也就是每个人只能看到他工作必需的信息;网络传输有没有加密;涉密电脑有没有禁用USB接口或者进行管控;内部系统的日志审计功能是否开启;有没有数据防泄漏系统对异常数据外传进行监控和拦截。技术防护这一块,很多中小企业做得确实比较薄弱。
第四个维度是人员风险管理。人员是商业秘密保护中变量较大的因素。内审需要重点排查几个高风险节点:核心岗位员工是否签署了竞业限制协议,如果签了是否按时支付了补偿金;即将离职的员工或者有离职意向的员工,最近有没有异常的下载、打印行为;新入职的涉密岗位员工有没有做背景调查,确认其是否受到前东家的竞业限制约束。
风险排查工作可以按照以下几步来推进。
第一步是建立风险清单。把上述四个维度的排查结果汇总起来,按照风险等级分类。高风险的是那些已经发现漏洞且可能已经造成实际泄露的,中风险的是存在明显漏洞但还没有发现泄密事件的,低风险的是虽然有改善空间但基本可控的。第二步是制定整改计划,明确每一项风险的整改措施、责任人和完成时限。第三步是定期复查和持续改进,商业秘密保护不是一次性工作,企业的发展阶段变了、人员变了、技术变了,风险也会随之变化。
我再回答几个内审相关的常见问题。
问:企业规模比较小,有必要做商业秘密保护内审吗? 答:非常有必要。中小企业其实面临的风险更大,因为保密资源有限、管理不够规范。而且中小企业往往掌握的是在细分领域有竞争力的关键技术,一旦泄露可能危及企业生存。小规模的内审可以请外部专业机构帮忙,成本不高但效果很好。
问:内审发现问题后,要不要立即处理所有漏洞? 答:建议按照风险等级排序,优先处理高风险项。比如权限管理混乱、离职人员数据交接缺失这种最紧迫的排在前面。中低风险的在后续持续改进中逐步完善。
问:内审的频率怎么安排比较合理? 答:建议每年至少做一次全面的内审,每季度做一次重点抽查。如果企业发生了重大人员变动、业务转型或者新上核心项目,建议单独做一次专项排查。
企业商业秘密保护内审和风险排查,归根到底是要帮助企业建立起一套系统化、常态化、可执行的管理体系。商业秘密保护这件事,靠的不是某一个单一措施,而是一整套环环相扣的管理机制。与其等出了事再花大价钱去维权,不如每年花一点时间和精力做一次内审,把漏洞提前堵上。
