「營業秘密保護」執行措施參考方針

2017 / 07 / 05

曾蕙瑜

上一回，我們從「營業秘密保護」從職務區隔與資訊機密分級管理做起來談，資料管控鬆與緊的學問和機敏資料的界定。這一篇，我們將從「營業秘密保護」執行措施參考方針來分享。

營業秘密保護執行措施
執行以營業祕密保護為主要目的之資料保護，可配合現有資訊安全管理制度所採用的機密資訊資產管控措施，進行有效機敏性資料保護與管控，可參考執行措施如下：

1. 定義營業秘密項目—機密等級的界定：
首先要定義企業中的營業秘密項目，這也是最難的部分，因為影響企業的業務資訊，有些來自流程中部分核心的關鍵資訊，如配方或製程；但是有些卻是日常行政作業的整合或分析資訊，如業務訂單或員工資訊。因此，界定營業秘密項目或是機密等級，應先確認其資料的可利用特性，確認部分或全部的資訊流程涉及的項目。接下來應配合機密等級的評估準則，定義其機密等級。

2. 機敏資訊標示：
機敏資訊標示是管理措施的依據，因此具有可識別性，但卻不易為外部所了解的標示規則與方式就相形重要。一般將機密等級文字標註在紙本文件與實體設備上，可以增加管理便利性，如機密等級文件與設備應放置上鎖櫃子與安全處所。但電子檔案或資料庫等則考量其檔案名稱如沿用機密等級標示方式，可能造成直接識別的風險時，則可考量透過命名規則規範機密等級資訊，如將特定檔案名稱列為機密資訊等，如營運計劃書、規格書、資料表結構等文件。

3. 存取權限設定與管制：
機敏資訊保護最重要的就是存取權限設定與管制，資訊安全管理制度強調職務區隔，要求在權限設定上依據其業務權責所需提供適當的授權。所以依據職權與職務所需來規劃權限是首要條件。首先，應將業務資訊分割成各權責單位分別管理的訊息，避免讓特定人員掌握完整資訊，進而確認該項業務資訊授權符合 “僅知原則” (Need to Know Basis)，例如將專案資訊切分為專案管理資訊—專案主管、研發資訊—研發主管、業務資訊—業務主管等，高階主管對於專案、研發或業務細節如無參與執行需求，則無需各項細節資訊。簡言之，避免機敏資訊外洩衝擊最好的辦法，就是確保無人或僅有極少數人擁有完整業務資訊，即使是高階主管亦然。
4. 機敏資訊管控措施：
依據存取權限控管原則執行資訊生命週期的各項控管措施，包含：
．機敏資訊存放於安全的資訊處理設備與處所
．內外部人員存取資訊處理設備與進出安全處理依據權限進行管制
．機敏資訊透過電子郵件或其他途徑傳輸內外部環境應加以管制，並留存稽核紀錄。
．機敏資訊存放於外部網路空間或企業外雲端硬碟應加以管制，定期稽核其安全性。

5. 內外部資訊處理人員安全認知與監督：
資訊安全與機敏資料保護是否得以落實，其關鍵在於內外部人員是否充分認知到企業內部政策要求，以及其自身的責任與義務。此外，對於委外或合作單位機敏資訊保護作業的要求與監督也責無旁貸，因此下列事項的落實執行至關重要：
．內部人員保密義務的告知、保密契約、競業禁止條款的簽訂。
．內外部人員資料保護相關認知與能力教育訓練，應符合政策要求與職責需求。
．對企業委外單位處理機敏資訊流程，應透過書面協議與定期監督進行管控。
．由企業提供資訊時，應對外部單位資料利用進行書面要求，並於必要時進行監控。

結論
營業秘密的保護，不僅是資訊安全的議題，更是企業保有競爭力與永續經營的關鍵。從營業秘密資訊的生命周期與業務詳細權責劃分著手，以分割完整資訊與職務區隔方式避免資訊完整掌握在特定人員手中，並以僅知原則與極小化資訊處理與揭露，減少經手或分享人員，進而降低機敏資訊外洩的風險。當然，有效的權限控管與安全控制措施，以及人員營業秘密保護責任認知的強化，更是企業確保營業秘密的不二良方。

本文作者目前任職於台灣檢驗科技(www.sgs.com.tw)驗證暨企業優化事業群產品經理

閱讀：「營業秘密保護」從職務區隔與資訊機密分級管理做起來