近日,南京市秦淮区人民法院公布了一起不正当竞争纠纷案,认定玩家侵犯了游戏公司的商业秘密,并判决其赔偿济损失10万元。这是全国首例针对“内测招募人员提前泄露游戏新版本内容”行为的处罚判例,也是国内首次将未公开的游戏角色、场景、动作及相关组合认定为商业秘密的案件。商业秘密是企业的生命,在贸易全球化和供应链互联互通的影响下,商业秘密在市场竞争中发挥着越来越重要的作用。随着信息技术的快速发展,信息系统的广泛应用,越来越多的企业将商业秘密数据存储于企业信息系统中,商业秘密数据泄露的风险越来越大,商业秘密信息系统的安全已成为企业发展的重要保障。本期从做好统筹规划、推进责任落实、完善制度体系3个方面为您介绍商业秘密信息系统的防护措施。
企业在进行商业秘密信息系统防护前,应先明确商业秘密范围和目录,明确企业商业秘密安全防护目标。企业为实现商业秘密的安全防护目标,应以国家网络安全法律法规标准和所在行业相关管理制度为基础,建立企业商业秘密信息系统防护架构。商业秘密信息系统安全防护一般包含有物理安全、网络安全、服务器与应用安全、终端安全、移动存储介质安全和信息导入导出安全等方面。商业秘密数据安全应与商业秘密信息系统安全同步规划、同步建设,两者相辅相成、缺一不可。商业秘密的安全保护监测、审计、应急响应,以及为实现商业秘密防护所需的制度、组织、运维、风险评估等保障措施应同步规划、同步建设。
企业应设立商业秘密信息系统管理部门和运维部门,落实“业务工作谁主管,保密工作谁负责”的原则,明确商业秘密信息系统管理和运维部门职责,包括:信息系统顶层规划、统一建设和归口管理;建立制度体系文件,落实安全保密要求;信息设备运行的日常管理;配合保密工作机构,查处泄密事件和违规行为等。
同时,企业应开展保密教育培训,通过专家授课、案例警示解读等,提高员工的敬畏之心,避免泄密行为;开展信息系统保密安全技能培训,使相关人员了解商业秘密信息系统管理要求,逐级压实保护责任,规范信息设备操作使用流程,避免违规行为。完善制度体系,梳理商业秘密信息系统管理制度体系文件
企业应建立商业秘密信息系统安全保密管理制度体系,包括信息安全策略、管理制度、操作规程等。制度体系是落实安全保密工作要求,实现商业秘密信息系统可管、可用、可控、可查、可审、可追溯的基础,是系统的管理准则和控制流程。安全策略针对安全问题提出对策和解决方案,管理制度应当保障安全策略提出的解决方案能够正确执行,操作规程是安全策略具体实现的操作步骤。
制度体系应结合岗位职责和业务特点,有针对性地对全体系统管理人员和使用人员开展宣贯培训,以确保策略制度规程可以有效落实。【摘编自《保密科学技术》2024年1月刊《商业秘密信息系统风险分析及防护建议》一文,作者:韩雪、刘振慧、罗雪莱】