近日�,南京市秦淮區(qū)人民法院公布了一起不正當競爭糾紛案��,認定玩家侵犯了游戲公司的商業(yè)秘密����,并判決其賠償濟損失10萬元��。這是全國首例針對“內(nèi)測招募人員提前泄露游戲新版本內(nèi)容”行為的處罰判例�,也是國內(nèi)首次將未公開的游戲角色�、場景��、動作及相關組合認定為商業(yè)秘密的案件�����。商業(yè)秘密是企業(yè)的生命,在貿(mào)易全球化和供應鏈互聯(lián)互通的影響下����,商業(yè)秘密在市場競爭中發(fā)揮著越來越重要的作用。隨著信息技術的快速發(fā)展,信息系統(tǒng)的廣泛應用�,越來越多的企業(yè)將商業(yè)秘密數(shù)據(jù)存儲于企業(yè)信息系統(tǒng)中����,商業(yè)秘密數(shù)據(jù)泄露的風險越來越大��,商業(yè)秘密信息系統(tǒng)的安全已成為企業(yè)發(fā)展的重要保障���。本期從做好統(tǒng)籌規(guī)劃����、推進責任落實、完善制度體系3個方面為您介紹商業(yè)秘密信息系統(tǒng)的防護措施�����。做好統(tǒng)籌規(guī)劃,建立商業(yè)秘密安全防護架構
企業(yè)在進行商業(yè)秘密信息系統(tǒng)防護前�����,應先明確商業(yè)秘密范圍和目錄����,明確企業(yè)商業(yè)秘密安全防護目標�����。企業(yè)為實現(xiàn)商業(yè)秘密的安全防護目標,應以國家網(wǎng)絡安全法律法規(guī)標準和所在行業(yè)相關管理制度為基礎��,建立企業(yè)商業(yè)秘密信息系統(tǒng)防護架構����。商業(yè)秘密信息系統(tǒng)安全防護一般包含有物理安全���、網(wǎng)絡安全��、服務器與應用安全�����、終端安全、移動存儲介質(zhì)安全和信息導入導出安全等方面���。商業(yè)秘密數(shù)據(jù)安全應與商業(yè)秘密信息系統(tǒng)安全同步規(guī)劃、同步建設��,兩者相輔相成、缺一不可�����。商業(yè)秘密的安全保護監(jiān)測��、審計����、應急響應����,以及為實現(xiàn)商業(yè)秘密防護所需的制度��、組織、運維����、風險評估等保障措施應同步規(guī)劃�、同步建設。推進責任落實,明確商業(yè)秘密信息系統(tǒng)管理和運維職責
企業(yè)應設立商業(yè)秘密信息系統(tǒng)管理部門和運維部門,落實“業(yè)務工作誰主管�����,保密工作誰負責”的原則,明確商業(yè)秘密信息系統(tǒng)管理和運維部門職責���,包括:信息系統(tǒng)頂層規(guī)劃�、統(tǒng)一建設和歸口管理��;建立制度體系文件,落實安全保密要求����;信息設備運行的日常管理;配合保密工作機構�,查處泄密事件和違規(guī)行為等����。
同時,企業(yè)應開展保密教育培訓�����,通過專家授課、案例警示解讀等����,提高員工的敬畏之心��,避免泄密行為����;開展信息系統(tǒng)保密安全技能培訓����,使相關人員了解商業(yè)秘密信息系統(tǒng)管理要求,逐級壓實保護責任��,規(guī)范信息設備操作使用流程��,避免違規(guī)行為。完善制度體系,梳理商業(yè)秘密信息系統(tǒng)管理制度體系文件
企業(yè)應建立商業(yè)秘密信息系統(tǒng)安全保密管理制度體系�,包括信息安全策略��、管理制度�����、操作規(guī)程等����。制度體系是落實安全保密工作要求�,實現(xiàn)商業(yè)秘密信息系統(tǒng)可管��、可用��、可控��、可查�、可審����、可追溯的基礎��,是系統(tǒng)的管理準則和控制流程��。安全策略針對安全問題提出對策和解決方案���,管理制度應當保障安全策略提出的解決方案能夠正確執(zhí)行,操作規(guī)程是安全策略具體實現(xiàn)的操作步驟�。
制度體系應結合崗位職責和業(yè)務特點�,有針對性地對全體系統(tǒng)管理人員和使用人員開展宣貫培訓��,以確保策略制度規(guī)程可以有效落實����。
【摘編自《保密科學技術》2024年1月刊《商業(yè)秘密信息系統(tǒng)風險分析及防護建議》一文��,作者:韓雪�、劉振慧、羅雪萊】
