https://twcert2024.informationsecurity.com.tw/
https://www.informationsecurity.com.tw/seminar/2024_HighTech/

觀點

「營業秘密保護」 從職務區隔與資訊機密分級管理做起

2017 / 07 / 03
曾蕙瑜
「營業秘密保護」 從職務區隔與資訊機密分級管理做起
長久以來資訊安全的防護著重點都在網路安全與防毒防駭,然而近年來資訊安全的威脅最讓人憂心且衝擊最大的,卻是企業機敏資訊的盜取或外洩。由於商業競爭白熱化,許多企業不僅高薪挖角,更希望敵營人才帶槍投靠,因此企業內部營運規劃、核心產品研發資訊或是重要業務與技術人才資料,無一不是營業秘密犯罪事件的標的物。以國內高科技產業為例,則為受此困擾多年,並且近年來隨著涉案層級越高,資料防護的難度也隨之增高。

管控緊與鬆 一門學問
過去資訊安全管理制度,對於資料機密性保護的重點在避免未授權者存取資訊,但是授權者進行未授權行為,卻少有管控。換句話說,業務承辦人員或已授權人員對授權資訊具有極高的存取權,且少見監督行為,因此依職務之便,蒐集、儲存甚至傳輸授權業務資訊到企業外部,便成為常見的資安疑慮。此外,基於禮遇或協助各級主管決策的職場習慣,職務層級越高,可存取資訊授權程度越高越廣的狀況,普遍存在於各企業間。但諷刺的是經常重大營業秘密侵害的事件,往往是由高階管理階層主導或協同特定業務主管人員,如研發主管或資訊主管,將企業內部核心營運或研發資料,以不同方式提供敵營。

機敏資訊的界定
機敏資訊有效保護觀念,應從對職務區隔與行為授權的管制開始談起。首先應先了解何謂機敏資訊,一般會將下列法規相關資訊進行界定:

1. 營業秘密保護法
保護資訊類型可分為技術性與商業性資訊,該類資訊具有下列特性:
.具有新穎性/秘密性—非一般涉及該類資訊之人所知
.具經濟價值 — 因其秘密性而具有實際或潛在之經濟價值
.已採取合理保密措施

2. 智慧財產權法(包含專利法、商標法、著作權法與營業秘密法等)
資訊保護類型包含下列:
.文學、藝術及科學之著作。
.演藝人員之演出、錄音物以及廣播。
.人類之任何發明。
.科學上之發現。
.產業上之新型及新式樣。
.製造標章、商業標章及服務標章,以及商業名稱與營業標記。
.不公平競爭之防止。
.在產業、科學、文學及藝術領域中,由精神活動所產生之權利。

對於上述涉及營業祕密或智慧財產法規等之企業商業或研發資訊等,除界定其資訊類型外,應從其蒐集、傳輸、利用、儲存到報廢等的資訊生命週期可能經歷的流程、權責人員以及控制時機與重點加以釐清;並透過風險評估的方式進行可能取得或外流方式的管控需求與可能性。例如營業資訊可能由內部人員經電子郵件傳送或下載儲存至隨身碟,或是透過惡意程式從受害企業網路下載、竊取數位儲存裝置或筆電;甚或以金錢或職位引誘受害企業內員工未經授權進入管制區域、用手機拍攝機密資訊,再上傳到網路上等方式取得。對於這些可能資訊風險,現有管控措施有效性程度等加以評估後,選擇強化措施,以事前預防替代事後責任追究。

然而營業秘密保護該如何進行執行措施呢?  延伸閱讀:營業秘密保護」執行措施 參考方針

本文作者目前任職於台灣檢驗科技(www.sgs.com.tw)驗證暨企業優化事業群產品經理