企业的"密点清单"怎么做——教你一步步梳理核心商业秘密资产
"密点"这个概念是做商业秘密保护最重要的基础工作。简单说,密点就是企业需要保护的核心商业秘密点的清单。没有密点清单,保密工作就是盲人摸象——你不知道要保护什么,也不知道保护得够不够。但很多企业不知道密点清单怎么做,或者做出来的清单太宽泛没有实际意义。我结合实践经验,写一个密点清单的实操方法。
第一步:明确梳理范围。密点清单的第一步不是列出所有"可能是秘密"的信息,而是先确定梳理的范围。一般建议从企业的核心业务线开始,按照业务类型逐条梳理。技术型企业重点梳理技术类密点(技术方案、源代码、配方、工艺参数),贸易型企业重点梳理经营类密点(客户名单、供应链信息、定价策略),服务型企业重点梳理服务类密点(服务流程、知识库、客户信息)。不要试图一次把所有部门的所有信息都梳理完,先做核心业务线。
第二步:信息资产的盘点。确定范围后,进入信息资产盘点阶段。盘点的方法就是"追根溯源":从企业的产品和服务出发,反向追溯支撑这些产品和服务的核心信息是什么。比如一款软件产品,它的核心信息资产包括:源代码、算法设计文档、数据库结构、API接口规范、用户界面设计稿、产品需求文档、测试数据。从最核心的产品出发,一层一层往下拆,不容易遗漏。
第三步:密点的识别。信息资产盘点完成后,需要从这些资产中识别出哪些属于"密点"。判断标准有三条:信息是否不为公众所知悉?信息是否具有商业价值?企业是否采取了合理的保密措施?三条全部满足,才算是一个有效的密点。如果某条信息只是企业内部普通资料,没有竞争价值或者没有采取保密措施,就不适合作为密点。
第四步:密点的分级。密点识别出来后,按照重要程度分级。建议分为三个级别:核心密点(泄露后将对企业造成毁灭性打击)、重要密点(泄露后将造成重大竞争劣势)、一般密点(泄露后会造成一定损失)。分级后,不同级别的密点采取不同的保护措施。核心密点需要最高等级的物理隔离和权限控制,一般密点采取基本的管理措施即可。
第五步:密点的登记。密点登记建议使用统一的表格模板。每项密点登记以下信息:密点编号、密点名称、所属部门、密点概述(用一两句话说清楚这个密点是什么)、密点级别、保管方式、访问权限、保管责任人、有效期。密点清单本身也应该作为保密文件管理,不得随意复制或外传。
第六步:密点的定期复评。商业秘密不是静态的。一项技术方案可能在某个阶段是核心密点,但当产品发布后,部分信息就不再具有秘密性。建议每半年对密点清单进行一次复评,确认每项密点是否仍然有效、密级是否需要调整、是否有新的密点需要加入、是否有不再需要保护的密点可以解除保护。密点的生命周期管理,比密点的初始识别更重要。
关于密点清单的落地,有几个实用建议。密点清单不要做得太复杂,二十到五十个核心密点比两百个没有重点的密点更有管理价值。密点清单做好后,不是锁在档案柜就算了,每个密点对应的保管责任人和访问权限要在日常工作中落地。
北京企密安信息安全技术有限公司 企业商业秘密保护咨询:010-63711822 / jess@baomiwang.com
