本期从加强技术管控、巩固关键环节、加大监管及风险防控力度3个方面为您介绍商业秘密信息系统的防护措施。随着网络安全法、数据安全法、密码法、网络安全等级保护管理办法及各行业商业秘密管理办法的发布实施,企业商业秘密信息系统应与这些法律法规和标准进行对标建设,并结合企业工作实际,建立完善的商业秘密信息系统的安全防护技术保障体系。此外,企业应针对特殊新兴技术的使用场景制定专门的安全保密方案和防护措施,加强网络安全保密防护能力,降低商业秘密数据泄露的风险。巩固关键环节,加强商业秘密数据和设备全生命周期管理
商业秘密信息系统的防护关键为保障商业秘密数据的安全,商业秘密数据全生命周期可分为6个阶段:数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。应梳理商业秘密数据资产,形成商业秘密数据资产台账;采取技术措施管控对商业秘密数据定密、解密等操作,并具有相应审计措施;商业秘密数据网络传输时,应采取商用密码加密等技术措施进行保护,防止传输的信息被窃取;基于最小授权原则,根据企业自身实际情况对不同类别的商业秘密数据设置相应权限;对商业秘密数据的外发行为进行审批、授权等控制;具备商业秘密数据的本地备份与恢复功能,建立数据备份与恢复策略,明确数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等;商业秘密数据销毁后应该对处理数据的载体进行数据清除、盘体销毁。
需要流转到境外的商业秘密应事前评估出境的合法性、必要性;评估商业秘密数据泄露、损毁的风险;评估境外接收方所在国家或地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;与境外接收方订立数据出境相关合同或者其他具有法律效力的文件,并明确约定数据安全保护的责任义务。通过数据加密存储等相关技术,确保商业秘密不被泄露或窃取。同时,企业应加强对商业秘密信息设备的全生命周期管理,尤其应关注信息设备的维修和销毁环节。存储商业秘密数据的终端硬盘等存储介质一般不允许送外维修,如必须送外维修,应选择相关管理部门批准的维修机构;硬盘等存储介质的销毁应选择相关管理部门批准的销毁机构。应加大行业监管力度,从行业层面搭建协同沟通平台,为行业内所属企业加强信息系统中商业秘密信息安全体系建设提供全面支撑。完善各企业保密协作模式,定期组织开展沟通交流和定向调研等,及时交流各企业商业秘密信息系统保护工作中遇到的新情况、新问题、新挑战,推广应用新方法、新技术、新手段,形成良性互动、共同提升的局面。同时,加强行业监管,定期开展对所属企业的保密检查,尤其关注商业秘密信息系统的安全管控是否到位。
企业应建立商业秘密监测预警制度,加强商业秘密信息系统安全信息收集、分析,建立健全商业秘密信息系统安全风险评估和应急工作机制,制定安全事件应急预案,并定期组织演练。安全事件应急预案应按照事件发生后的危害程度、影响范围等因素对事件进行分级,明确相应的应急处置措施。一旦发生安全事件,立即启动应急预案,对事件进行调查评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大。【摘编自《保密科学技术》2024年1月刊《商业秘密信息系统风险分析及防护建议》一文,作者:韩雪、刘振慧、罗雪莱】