商業(yè)秘密信息系統(tǒng)防護措施(下)
本期從加強技術(shù)管控、鞏固關(guān)鍵環(huán)節(jié)����、加大監(jiān)管及風險防控力度3個方面為您介紹商業(yè)秘密信息系統(tǒng)的防護措施。加強技術(shù)管控�,提升商業(yè)秘密信息系統(tǒng)技術(shù)防護能力
隨著網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法�、密碼法、網(wǎng)絡(luò)安全等級保護管理辦法及各行業(yè)商業(yè)秘密管理辦法的發(fā)布實施��,企業(yè)商業(yè)秘密信息系統(tǒng)應(yīng)與這些法律法規(guī)和標準進行對標建設(shè)�,并結(jié)合企業(yè)工作實際,建立完善的商業(yè)秘密信息系統(tǒng)的安全防護技術(shù)保障體系�。此外,企業(yè)應(yīng)針對特殊新興技術(shù)的使用場景制定專門的安全保密方案和防護措施�����,加強網(wǎng)絡(luò)安全保密防護能力����,降低商業(yè)秘密數(shù)據(jù)泄露的風險。鞏固關(guān)鍵環(huán)節(jié)����,加強商業(yè)秘密數(shù)據(jù)和設(shè)備全生命周期管理
商業(yè)秘密信息系統(tǒng)的防護關(guān)鍵為保障商業(yè)秘密數(shù)據(jù)的安全,商業(yè)秘密數(shù)據(jù)全生命周期可分為6個階段:數(shù)據(jù)采集�、數(shù)據(jù)傳輸、數(shù)據(jù)存儲�、數(shù)據(jù)處理、數(shù)據(jù)交換����、數(shù)據(jù)銷毀。應(yīng)梳理商業(yè)秘密數(shù)據(jù)資產(chǎn),形成商業(yè)秘密數(shù)據(jù)資產(chǎn)臺賬����;采取技術(shù)措施管控對商業(yè)秘密數(shù)據(jù)定密、解密等操作���,并具有相應(yīng)審計措施�;商業(yè)秘密數(shù)據(jù)網(wǎng)絡(luò)傳輸時�,應(yīng)采取商用密碼加密等技術(shù)措施進行保護,防止傳輸?shù)男畔⒈桓`?���。?/span>基于最小授權(quán)原則��,根據(jù)企業(yè)自身實際情況對不同類別的商業(yè)秘密數(shù)據(jù)設(shè)置相應(yīng)權(quán)限����;對商業(yè)秘密數(shù)據(jù)的外發(fā)行為進行審批����、授權(quán)等控制�����;具備商業(yè)秘密數(shù)據(jù)的本地備份與恢復功能���,建立數(shù)據(jù)備份與恢復策略�,明確數(shù)據(jù)備份和恢復的范圍���、頻率���、工具、過程�����、日志記錄�、數(shù)據(jù)保存時長等;商業(yè)秘密數(shù)據(jù)銷毀后應(yīng)該對處理數(shù)據(jù)的載體進行數(shù)據(jù)清除��、盤體銷毀。
需要流轉(zhuǎn)到境外的商業(yè)秘密應(yīng)事前評估出境的合法性��、必要性����;評估商業(yè)秘密數(shù)據(jù)泄露���、損毀的風險���;評估境外接收方所在國家或地區(qū)的數(shù)據(jù)安全保護政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響;與境外接收方訂立數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件���,并明確約定數(shù)據(jù)安全保護的責任義務(wù)�����。通過數(shù)據(jù)加密存儲等相關(guān)技術(shù)�,確保商業(yè)秘密不被泄露或竊取����。同時,企業(yè)應(yīng)加強對商業(yè)秘密信息設(shè)備的全生命周期管理�����,尤其應(yīng)關(guān)注信息設(shè)備的維修和銷毀環(huán)節(jié)。存儲商業(yè)秘密數(shù)據(jù)的終端硬盤等存儲介質(zhì)一般不允許送外維修���,如必須送外維修�����,應(yīng)選擇相關(guān)管理部門批準的維修機構(gòu)����;硬盤等存儲介質(zhì)的銷毀應(yīng)選擇相關(guān)管理部門批準的銷毀機構(gòu)����。加大監(jiān)管及風險防控力度,建立商業(yè)秘密監(jiān)測預警制度
應(yīng)加大行業(yè)監(jiān)管力度�,從行業(yè)層面搭建協(xié)同溝通平臺,為行業(yè)內(nèi)所屬企業(yè)加強信息系統(tǒng)中商業(yè)秘密信息安全體系建設(shè)提供全面支撐���。完善各企業(yè)保密協(xié)作模式�����,定期組織開展溝通交流和定向調(diào)研等��,及時交流各企業(yè)商業(yè)秘密信息系統(tǒng)保護工作中遇到的新情況����、新問題、新挑戰(zhàn)�����,推廣應(yīng)用新方法�、新技術(shù)���、新手段���,形成良性互動、共同提升的局面����。同時,加強行業(yè)監(jiān)管���,定期開展對所屬企業(yè)的保密檢查���,尤其關(guān)注商業(yè)秘密信息系統(tǒng)的安全管控是否到位���。
企業(yè)應(yīng)建立商業(yè)秘密監(jiān)測預警制度,加強商業(yè)秘密信息系統(tǒng)安全信息收集�、分析,建立健全商業(yè)秘密信息系統(tǒng)安全風險評估和應(yīng)急工作機制��,制定安全事件應(yīng)急預案���,并定期組織演練���。安全事件應(yīng)急預案應(yīng)按照事件發(fā)生后的危害程度、影響范圍等因素對事件進行分級��,明確相應(yīng)的應(yīng)急處置措施����。一旦發(fā)生安全事件,立即啟動應(yīng)急預案��,對事件進行調(diào)查評估��,采取技術(shù)措施和其他必要措施����,消除安全隱患��,防止危害擴大����。【摘編自《保密科學技術(shù)》2024年1月刊《商業(yè)秘密信息系統(tǒng)風險分析及防護建議》一文�����,作者:韓雪����、劉振慧���、羅雪萊】
