每家企业都有需要保护的敏感信息,但往往并不清楚该信息在哪里。对此,第一步需要了解企业的业务结构,调查各部门和企业的整个业务流程,了解企业各部门需要的信息,以及应遵从的信息保护要求。以部门或业务流程为依托,找到企业所需要的信息及秘密信息。
从安全的观点来看,企业所有的秘密信息并不具有同样的重要程度。因而,要防范企业中的秘密信息丢失,首先要了解哪些 秘密信息是最重要的,或者可以理解为企业中的哪些信息对其业务来说是最重要的,且受到安全威胁的可能性也最大。通过确定 企业最重要的秘密信息,就可以在建立商业秘密保护策略时,按信息的重要程度规定不同的保密等级。
第二步是将各个部门的信息分成三个主要的类别 :最高限制级,如企业的财务报表、新产品研发资料等;敏感级,如企业的销售计划等,普通敏感级,如各供应商分布位量和产品运贵等。
第三步,就是确定每一类信息的具体类别、内容和管理者。这要求我们根据信息对企业业务的重要程度划分。例如,我们可以将供应商的基本资料作为限制级别的信息,同时明确这些基本资料中包含哪些具体内容,如原材料的供应价格等;然后,还要了解这些 限制级别的信息是由企业中哪个部门的哪个具体员工负责生成和维护的,也就是确定其操作的管理者。我们可以为这些数据建立一个具体的表格,用来详细说明数据的类别、内容和管理者。
第四步,了解企业中的秘密信息都驻留在什么位置及载体 当中。企业数据库中保存的秘密信息充其量只是整个企业秘密信息中的一小部分。尤其是在今天这个 web 2.0 大行其道的时期,各种移动存储设备在企业信息化应用环境中大范围使用,造成大量的秘密信息有可能驻留在笔记本电脑、智能手机、PDA和U益 等可移动存储设备,以及有可能保存在访问这些数据的应用程序、文件服务器和协同办公服务器之中,还有可能驻留在电子邮件服务器和 Web 服务器等位置。当然,秘密信息还可能以数据包的形式存在于企业内部网络传输介质、互联网传输通道和 Wi-Fi 电波当中,更有可能保存在企业或员工的网络博客、Wiki,以及社交网站及 Twitter 等网站之中。
对于如此众多的可以驻留企业秘密信息的位置和设备,我们该使用怎样的方法去发现这些秘密数据呢? 要回答这个问题并不容易,但这是必须详细完成的任务。 因此,对于大多数企业来说,必须花一定时间进行一次全面的 秘密信息发现之旅,以便企业能够将所有可能驻留秘密信息的位置和设备标识出来,并绘制一张相应的秘密信息驻留位置结构原理图。
秘密信息发现过程是一个相当烦琐的过程,也是一个长期的持续过程,它应当与数据的整个生命周期相对应,而不是一次性事件。因为信息在其整个生命周期当中并不总是一成不变的,它会随着其使用以不同类型、不同方式存在于不同的位置 和载体当中。
上一篇:第一节 公司商业秘密管理自查表
下一篇:第三节 信息集中化管理
