【保密知行 ID:baomizhixing】北海
【反窃密攻防实验室 ID:TSCM-LAB】
专业物理信息安全服务提供商
专注于政府执法部门、企业机密安全、个人隐私保护
保密教育,反窃密实训服务提供商
写在前面:
这是之前企业机密培训的内容。篇幅较长,无论你是企业负责人,还是企业部门的负责人,或者项目负责人,尤其是涉密企业的工作人员,希望你们能抱着学习的心态看完这篇文章,即使无心看完,也请收藏。
企业防泄密,从来都不能靠某个人的主管臆断。万莫失之毫厘,谬之千里。
关于商业机密
一、商业秘密定义
1、根据《反不正当竞争法》第10条的规定,商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术秘密和经营秘密。商业秘密包含两项基本内容:一是技术秘密,如技术方案、方法、技巧、产品秘方、技术情报和资料等;一是经营秘密,如技术转让、质量控制策略、供货渠道、市场信息、经营手段等。
2、商业秘密应具有秘密性、价值性、实用性和独特性四个特征。所谓秘密性即技术信息或经营信息不为公众所知悉(即有关信息不为其所属领域的相关人员普遍知悉和容易获得,或者说通过公开途径和网络途径无法获知),主要是指商业秘密持有人必须有主观上的保密意愿和必须实际采取了保密措施;所谓价值性,是指某一技术信息或经营信息必须是有商业上的价值、能为持有者带来经济利益;实用性则是指技术信息或经营信息能在商业上制造或使用,并且能够产生积极的效果;独特性是指某一技术信息或经营信息与其他持有者的技术信息或经营信息相比较有显著的不同,具有独特的内容和价值。
二、商业秘密种类
商业秘密主要有两种存在形式,一种属于无形资产,保存在各种载体上,例如:纸张、计算机、软件、光盘、磁盘、磁带、u盘、相片、人的大脑等;另一种是有形的实物资产,例如:样品、设备、生产线、仪器仪表、试剂、原材料等。商业秘密一般可以分为两大类:即技术信息和经营信息。
1、技术信息:
是指符合商业秘密定义的非专利技术。例如:技术设计、应用实验、工艺流程、工业配方、化学配方、制作工艺、技术样品、质量控制、制作方法和计算机程序等信息。技术信息可以是有特定的完整的技术内容,构成一项产品、工艺、材料及其改进的技术方案,也可以是某一产品、工艺、材料等技术或产品中的部分技术要素。
北海技术信息包括:
1、技术方案;
2、工程设计;
3、技术水平;
4、技术潜力;
5、新技术前景预测;
6、替代技术的预测;
7、专利动向、新技术影响的预测等;
8、设计资料;
9、制造方法;
10、电路设计;
11、产品配方;
12、工艺配方;
13、工艺流程;
14、制作方法;
15、试验结果和试验记录;
16、技术指标;
17、图纸;
18、样品样机;
19、模型模具;
20、操作手册;
21、技术文档;
22、数据库;
23、计算机程序等;
24、涉及商业秘密的业务函电。
2、经营信息:
指符合商业秘密定义的有关经营管理方面的方法、经验和策略。例如:发展规划、竞争方案、管理诀窍、客户名单、货源情报、产销策略、财务状况、投融资计划、标书标底、谈判方案、财产担保及诉讼纠纷等方面的信息。
经营信息包括:
1 、经营战略;
2 、产品的市场占有情况及市场策略;
3 、产品的社会购买力情况;
4 、产品的区域性分布情况;
5 、产品长期的、中期的、短期的发展方向和趋势;
6 、定价政策;
7 、劳动报酬;
8 、产销策略;
9 、营销计划;
10 、流通渠道和机构等;
11 、管理诀窍;
12 、客户名单;
13 、采购资料;
14 、进货渠道;
15 、不公开的财务资源;
16 、招投标中的标底及标书内容等信息;
17 、需要保护的第三方商业秘密。
三、商业秘密泄密的主要途径:
商业秘密因其具有价值能给企业带来经济效益,在当前市场竞争愈加激烈的环境下,企业商业秘密的泄密风险也越来越高。要做好商业秘密的保护工作,首先要了解商业秘密的泄密途径。综合各种情况,当前企业商业秘密泄密的主要途径可以分为以下几个方面:
1.企业内部人员泄密。企业内部人员包括在职人员和离职、离岗人员,受不当利益的驱使和诱惑而向他人提供商业秘密,企业内部人员泄密是当前主要的泄密途径。
2.商业秘密信息管理不善。一些企业对部分商业秘密信息的管理外紧内松,容易给“内鬼”或“觊觎者”提供可乘之机。例如,在一些企业的内部网络上,应该保密的生产工艺、生产参数信手拈来;企业内部科研部门区域可以随便出入,而科研人员的实验数据或放置在开放的桌面上,或存在没有加密的计算机中。
3.接待外来人员采访、参观、考察、实习中疏忽大意。一些企业为了提高企业的公众形象而经常主动接受采访、参观考察等,这部分外来人员进入企业后的一些活动,其中有部分是有意识的窃密,一部分是无意识的泄密,这也是商业秘密失密的重要渠道。这样的实例很多,我国一些具有“独特工艺”的传统产品企业就是在接待参观和考察中,被外部人员用各种手段窃取了其商业秘密,使其产品优势逐渐丧失,企业遭受了巨大的损失,甚至倒闭。第二次世界大战以后,日本曾将一万多人派到美国学习新工艺和管理技术。据美国人后来称:这些日本人花费了25亿美元,就几乎把西方所有技术都搞到了手,这笔钱不过是美国每年研究经费的十分之一。
4.对外发布信息。对外发布信息主要包括科技论文和成果的公开发表和演讲、公开媒体的宣传报道、广告、商贸展览和新产品推介会,这也是企业在无意识中泄露了商业秘密。
5.供应商与客户。由于产品链的原因,企业经常需要把产品的做成部分、零部件、材料、生产设备或工艺的某些机密透露给供应商或客户,而这些供应商或客户往往也要与该企业的竞争对手或潜在的竞争对手从事商贸往来,在考虑了满足自身利益的前提下泄漏得知的商业秘密。
四、公司保护措施
(一)提升保密意识:
保密意识是商业秘密保护的灵魂,任何一件事情都是人在起主导作用,商业秘密的安全同样是人在起主导作用。要保证商业秘密的安全,就要看商业秘密的拥有者这个主体,其头脑中有没有“保密”的潜意识,并且把保密意识转化为实际的保密行为。
如果商业秘密的拥有者没有“保密”的意识,就不会确切的了解自己拥有哪些具体的商业秘密,不了解自己“商业秘密”宝贵的价值,看不见自己存在泄密渠道,对身边的窃密者视而不见,更不知道主动保护自己的商业秘密,即使他拥有充分的保护能力和技术手段,由于他的大脑没有保密的意识,也发不出具体的保护商业秘密的指令。
建立并持续保持敏锐的保密意识,是商业秘密保护的起源和动力,但绝不是全部,意识必须转化为行动,否则只是空想。保密意识应始终在主导着商业秘密保护的各个环节,才能明辨泄密隐患,杜绝泄密行为,采取保密措施,保证商业秘密的安全。
对个人而言,保密意识建立在个人的头脑当中。对企业而言,保密意识必须涵盖全体员工,甚至与之相关的供应商、合作伙伴或顾客,因为他们都可能存在泄密的渠道,要使他们成为企业保护商业秘密篱笆的一个组成部分。只要拥有了正确、全面、持续的保密意识,商业秘密保护就会成功一半。
(二)构建管理体系:
2010年4月29日新修订的《中华人民共和国保守秘密法》增加了监督管理一章,对于保密行政管理部门的职责进行了明确的规范,这些职责的明确和规范,对于保密行政管理部门履行职责是必须的。做为一般企业来讲,企业内存在的秘密较少,更多的是针对商业秘密的保护工作,企业内也有必要设立一个与商业秘密保护有关的行政管理部门来组织开展商业秘密的保护工作,其职责可以参照新修订的保密法中的相关规定来制定。
这次新修订的保密法对保密行政管理部门的职责大体规定了这样一些内容,保密行政管理部门要依法组织开展保密检查、保密宣传教育、保密技术防护、泄密案件查处、定密监督、保密审查、泄密事件处分监督,还有保密规章的制定权限和对各部门的保密工作的指导和监督。
1、保密规章制度的制定:建章立制是企业开展商业秘密保护工作的基础,因此制定通用的保密规章制度和组织相关部门制定专用的保密规章制度是保密行政管理部门的首要职责。
2、组织开展保密检查:通过保密检查来验证与商业秘密保护有关的各项规章制度和要求的执行情况,这是保密行政管理部门的一项经常化、系统化、制度化的工作职责。
3、组织开展保密宣传教育:可以利用企业内部各种沟通的渠道,将对有关的法律法规、商业秘密保护案例分析、本企业的保密规章制度的宣传教育培训与企业的日常经营管理结合在一起,不断提高员工的商业秘密保护意识。
4、组织开展保密技术防护:随着科技水平的不断发展,各种商业秘密的防护技术也应运而生。因此保密行政管理部门应统一牵头联系外部专门的机构,在企业内采用相应的防护技术并协调解决这些防护技术在应用中的问题。
5、其它日常性的与保密有关的工作职责:泄密事件报告的受理和查处、对泄密事件处分监督和随后采取纠正措施的验证、商业秘密定密的管理以及对各部门商业秘密保护工作的指导和监督。
(三)完善保密制度:
1、加强涉密文件的管理:
商业秘密保护中的涉密文件是指以一些文字、图表、音像及其他记录形式记载商业秘密内容的资料。包括公文、图纸、报表、函件、磁盘、胶片、照片、录音带等等,这些文件的存在形式是我们日常工作中常见的,因而往往会忽略对其保密的管理。但是这些文件中因记载着重要的商业秘密,我们通常采取下面的措施进行严格的管理。
(1)首先要建立涉密文件的管理制度,明确管理的职责和工作流程,这也是完善商业秘密保护制度的一项工作。
(2)按照建立的涉密文件管理制度中密级划分标准来进行商业秘密文件密级的划分及标志。对大多数企业而言,熟悉又简单的分类就是按照秘密层级分为的“绝密”、“机密”、“秘密”三个等级,通常在文件封面加盖“绝密”、“机密”、“秘密”字样的印章。对商业秘密事项做好标志工作,以便一目了然知道是哪一级秘密、保密期限多长,有利于管理和使用。
(3)商业秘密文件的收发管理。对涉密文件进行登记,注明每份文件的编号、制作份数、制作日期,同时做好收文和发文签收记录,防止涉密文件在收发过程中流失。
(4)商业秘密文件的保管。对涉密文件应采取一定物理性保管措施,指定专门的存放场所。例如,绝密级文件应当放在保险柜里,机密级文件应当存放在保险柜或铁制文件柜里,秘密级文件应当存放在专用的普通文件柜里,并确保文件的安全。对于一些涉及重大商业秘密的文件应尽可能将其关键部分进行分解,使每一涉密者只能接触到秘密的其中一部分。
(5)商业秘密文件的查阅复制。应当在涉密文件管理制度中对商业秘密文件的阅读权限进行规定。查阅涉密文件,应限制在最小范围内,并且是在安全区域内进行阅读。
(6)商业秘密文件的销毁。当涉密文件不再需要时,必须清退或销毁。应当在涉密文件管理制度中规定清退或销毁的审批权限和程序,并形成记录。通常做法是,使用碎纸机将纸质文档包括各种图纸、报表、记录、文件等彻底粉碎,而不能简单地一撕了之;彻底破碎废弃的磁盘、磁带,用过的复写纸、复印纸、传真纸等。
2、加强个人计算机保密管理:
随着办公自动化程度的提高,个人计算机的使用在企业中也日趋广泛。个人计算机的使用给企业管理带来便捷的同时,也带来了商业秘密保护方面的新的问题。因此,加强个人计算机的使用和安全管理,是商业秘密保护工作的不容忽视的一部分。
个人计算机设备使用人员不得私自改变计算机的安全配置,不得私自安装与工作无关的软件,不得私自以任何方式接入互联网,不得从事危害网络秩序、网络安全的活动。
计算机使用人员应养成保持系统桌面干净整洁、文件分类有序、定时清理垃圾文件和程序的良好习惯。
软盘、光盘、优盘、移动硬盘等存储设备的使用,先进行病毒检查,未感染病毒方可使用。
应根据风险评估的结果确定是否允许外来计算机进入公司。
(1)个人计算机使用人员应负责计算机设备的日常维护和保养,负责计算机设备的清洁卫生和防火防盗,长时间离开计算机应关闭计算机电源。
(2)个人计算机需要外部维护协作时,应首先与外部维护单位签定《服务协议》和《第三方服务保密协议》。外部维护单位人员上门服务,应由个人计算机管理部门的计算机设备维护人员陪同至维护地点,在设备使用人员确认后进行维护。个人计算机设备需送外部维护单位维护,送修前应采取安全可靠的方法对个人计算机设备中的敏感数据进行转移和删除。如无法清除,相关部门应派员全程监督计算机送修。
D、个人计算机的监管、检查管理。
(1)个人计算机的管理部门应负责监控个人计算机的运行状况,一旦发现个人计算机运行出现异常情况,有权在不事先通知个人计算机使用者的情况下随时中断或终止部分或全部网络服务。
商业秘密泄密事件中,许多泄密主要由少部分核心技术人员造成的。由于少部分核心技术人员掌握企业的大量商业秘密,也是竞争对手关注的对象,竞争对手通过金钱等各种手段从少部分核心技术人员处获取企业商业秘密。为了防止少部分核心技术人员泄密,企业可采取下列措施:
(1)对掌握和接触商业秘密关键岗位的人员身份、背景、资格等在入职前进行审查;
(2)在聘用合同中增加商业秘密保护的条款,或签署保密协议;
(3)开展商业秘密保护意识教育;
(4)开展商业秘密保护原理、商业秘密保护制度以及泄密事件教育;
(5)制定和告知商业秘密泄密的安全惩戒措施;
(6)商业秘密实行最小化管理;
(7)采用技术手段,防泄密、防监听、防盗窃等;
(8)采用加密技术手段;
(9)采用监控技术手段;
(10)制定商业秘密保护严格的管理制度,加以实施、改进和保持;
(11)与商业秘密关键岗位人员签署竞业限制协议,并给予补偿;
(12)工作中定期监督和审计商业秘密行为;
(13)岗位变动前及时收回商业秘密资产;
(14)对泄密事件采取法律手段等。
4、加强对涉密会议的管理:
会议是人们为了解决某个共同的问题或出于不同的目的聚集在一起进行讨论、交流的活动。目前公司的许多技术项目和经营信息均通过会议方式进行论证,会议已成为企业信息交流的平台,被各个企业普遍采用。然而在会议的交流中,会涉及到一些企业的商业秘密,因此对涉密会议的保护成为企业商业秘密保护管理工作的一个重要部分。如何对涉密会议进行管理,企业可采取下列措施:
(1)会议前需要识别本次会议是否涉密企业的商业秘密。当涉及企业商业秘密时,企业应规定涉密会议的要求,对本次会议涉及的秘密风险制定控制措施并落实执行。
(2)对参加涉密会议的人员进行会前资格审核,确保参会人员具备入会资格,对不符合资格的人员禁止进入会场。
(3)涉密会议前,应向参加涉密会议的人员告知本次会议的保密义务和保密要求,必要时可采取现场签署会议保密协议的方式进行管理,确保参会人员明确保密的要求和义务。
(4)对参会人员进行入会进出管理,包括参加涉密会议的人员现场登记和签到,发放出入证件。入会人员出入会场前应核对其证件,防止无关人员进入会场。
(5)对涉密会议参加人员所带物品进行管理,包括在会议期间禁止任何物品带入,如会议记录的本和笔、通信设备和摄录像器材等,并对涉密会议参加人员进入会场前进行物品扫描搜查,确保物品不得带入会场。
(6)对发放给入会人员的资料进行现场登记,每日进行检查。会议结束后及时回收涉密会议文件和资料,并记录。
(7)对会议使用的专用设备进行管理,包括屏蔽无线上网功能,禁止登陆互联网等,切断与外界的通信联系。对拷入专用设备的资料和材料,在会议结束后完全清除,进行清理桌面、内存,确保专用设备内不遗留文件和资料的痕迹。
(8)对会场的设备进行管理。入会前检查会场设施是否存在泄密的隐患,包括是否安装录音和录像等装置,并对影响泄密风险的装置及时拆除,撤离会场。
(9)涉密会议结束后应对会场进行及时检查,确保会议室无遗漏文件、资料存在。
(10)会议召开期间,对涉密会议室按安全区域进行管理,严禁无关的人员和设施进出会场,并按照服务人员进行区域看守。
(11)涉密会议现场服务人员应在会议前对其背景等进行核实和评价,确保符合要求的人员才能进行会议服务。
(12)在涉密会议现场安装信息干扰装置,确保该会议区域处于信号屏蔽状态。
知行信息以信息安全技术为主。主营产品:环境安全检测服务(窃听器、针孔摄像头检测、手机侦测定位仪、会议保密检测系统);反偷拍检测,反定位检测,GPS检测拆除,反窃密培训,保密教育培训,防泄密培训,个人隐私保护培训,车辆防定位检测防泄密产品系列(防窃听干扰器,反跟踪定位屏蔽器,防偷拍屏蔽器,通讯加密器);保密实训平台演示系列。保密教育、窃密情景演示反窃听检测
5、加强涉密载体销毁的管理:
涉密载体是指以文字、数据、符号、图形、图像、声音等方式记载商业秘密信息的纸介质、磁介质、光盘、U盘、胶片等各类物品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。
企业涉密载体包含直接存储介质和间接存储介质。间接存储介质中涉密信息不是以文字或者图形的形式直接存储,但是载体依然可以体现涉密信息。常见的包括实验模具、实验电路电子基板、各种磁头、科研演示材料,总之企业认为其中蕴藏商业秘密的非存储性质的所有有形实物载体。间接存储型涉密载体同样隶属于企业商业秘密保护范围。
为确保涉密载体能及时、方便、安全地销毁,防止在销毁过程中发生泄密事件,可按照下列方法对涉密载体进行销毁管理。
(1)制定和实施涉密载体销毁的管理办法,明确载体销毁管理的职责和工作流程,这也是完善商业秘密保护制度的一项工作。
(2)识别和整理需要销毁的涉密载体,根据涉密信息确定载体的密级,对涉密载体进行密级标识,并对载体进行编号控制。
(3)对需要销毁的涉密载体,集中交给指定的责任人,做好交接记录。责任人对销毁的涉密载体进行登记管理,建立台帐,记录载体的编号、数量、密级以及移交的部门和时间等。
(4)涉密载体销毁前,应进行封存保管,对保管的区域进行安全管理,防止涉密载体丢失。
(5)涉密载体在销毁前应报送权限人员审批,明确销毁的方式。
(6)涉密载体在销毁的运送途中应安排专人负责看护,必要时对运送进行全过程监控。
(7)需要由外单位对涉密载体销毁时,企业应选择保密局批准具有涉密载体回收销毁活动资质的单位,与其签署服务协议,明确双方的责任和安全要求,以及发生泄密事件的违约责任和惩处方式。
(8)涉密载体销毁过程应指定专人负责监督,必要时对销毁的过程进行全程视频录像,以保障整个销毁过程的安全性与公正性,并做好记录。
(9)由外单位负责涉密载体销毁工作的,销毁单位应在现场服务结束后提供书面报告。资料包括“涉密载体销毁服务报告”和销毁过程视频监控录像光盘。企业指定的责任人应对服务提供的报告进行确认和存档。
(10)对载体销毁的管理进行定期监督检查,对存在的问题进行分析,对相关管理制度进行持续改进。
6、加强对离职涉密人员的管理:
离职包括职员退休、离休、辞职或调离原单位。职员在离开原单位后,劳动关系虽然终结,但对于在雇佣期间所了解的商业秘密也应如同在职时一样履行其保密义务。因此,对离职涉密人员的保密管理,要全面具体。
A、清退资料:
完善调离手续,涉密人员离职时要交清各种资料,做好交接工作。离职人员应清退所有资料,包括图纸、数据、模型、实验记录、工作手册以及含有保密信息的个人工作日记。收回资料并予以销毁,无疑是防止商业秘密外泄的有效手段。
B、离职面谈:
企业在职员离职时通常只要求其将管理掌握的资料收还就算了事,往往忽略了商业秘密因其无形性极易随人员的流动而流失。因为即使交还资料后,对于那些处于管理决策或技术开发人才以及经营管理人员来说,凭其地位弄到复印件是不成问题的;即便不能,凭记忆或技术功底也能掌握原企业的商业秘密。因此,离职面谈作为对员工进行的最后一次保密教育,对防止商业秘密的外泄无疑会起到一张防护网的作用。
C、签订竞业禁止协议:
对于掌握企业重要商业秘密的离职人员,有必要与之签署竞业禁止协议,一方面可约束离职人员的泄密行为,同时在商业秘密侵权诉讼发生时便于举证。
六、泄密责任后果
根据刑法、反不正当竞争法的规定,侵犯商业秘密应当承担刑事、行政和民事的法律责任。
根据《中华人民共和国刑法》第二百一十九条的规定构成侵犯商业秘密罪,给权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金。对不构成犯罪的,给予停止违法行为,以及一万元以上二十万元以下罚款行政处罚。侵犯商业秘密的民事责任一般为停止实施侵犯他人商业秘密的侵权行为;公开赔礼道歉;赔偿损失,包括赔偿对侵权行为进行调查的费用。