觀點

「營業秘密保護」執行措施 參考方針

2017 / 07 / 05
曾蕙瑜
「營業秘密保護」執行措施 參考方針
上一回,我們從「營業秘密保護」 從職務區隔與資訊機密分級管理做起來談,資料管控鬆與緊的學問和機敏資料的界定。這一篇,我們將從「營業秘密保護」執行措施 參考方針來分享。

營業秘密保護執行措施
執行以營業祕密保護為主要目的之資料保護,可配合現有資訊安全管理制度所採用的機密資訊資產管控措施,進行有效機敏性資料保護與管控,可參考執行措施如下:

1. 定義營業秘密項目—機密等級的界定:
首先要定義企業中的營業秘密項目,這也是最難的部分,因為影響企業的業務資訊,有些來自流程中部分核心的關鍵資訊,如配方或製程;但是有些卻是日常行政作業的整合或分析資訊,如業務訂單或員工資訊。因此,界定營業秘密項目或是機密等級,應先確認其資料的可利用特性,確認部分或全部的資訊流程涉及的項目。接下來應配合機密等級的評估準則,定義其機密等級。

2. 機敏資訊標示:
機敏資訊標示是管理措施的依據,因此具有可識別性,但卻不易為外部所了解的標示規則與方式就相形重要。一般將機密等級文字標註在紙本文件與實體設備上,可以增加管理便利性,如機密等級文件與設備應放置上鎖櫃子與安全處所。但電子檔案或資料庫等則考量其檔案名稱如沿用機密等級標示方式,可能造成直接識別的風險時,則可考量透過命名規則規範機密等級資訊,如將特定檔案名稱列為機密資訊等,如營運計劃書、規格書、資料表結構等文件。

3. 存取權限設定與管制:
機敏資訊保護最重要的就是存取權限設定與管制,資訊安全管理制度強調職務區隔,要求在權限設定上依據其業務權責所需提供適當的授權。所以依據職權與職務所需來規劃權限是首要條件。首先,應將業務資訊分割成各權責單位分別管理的訊息,避免讓特定人員掌握完整資訊,進而確認該項業務資訊授權符合 “僅知原則” (Need to Know Basis),例如將專案資訊切分為專案管理資訊—專案主管、研發資訊—研發主管、業務資訊—業務主管等,高階主管對於專案、研發或業務細節如無參與執行需求,則無需各項細節資訊。簡言之,避免機敏資訊外洩衝擊最好的辦法,就是確保無人或僅有極少數人擁有完整業務資訊,即使是高階主管亦然。
4. 機敏資訊管控措施:
依據存取權限控管原則執行資訊生命週期的各項控管措施,包含:
.機敏資訊存放於安全的資訊處理設備與處所
.內外部人員存取資訊處理設備與進出安全處理依據權限進行管制
.機敏資訊透過電子郵件或其他途徑傳輸內外部環境應加以管制,並留存稽核紀錄。
.機敏資訊存放於外部網路空間或企業外雲端硬碟應加以管制,定期稽核其安全性。

5. 內外部資訊處理人員安全認知與監督:
資訊安全與機敏資料保護是否得以落實,其關鍵在於內外部人員是否充分認知到企業內部政策要求,以及其自身的責任與義務。此外,對於委外或合作單位機敏資訊保護作業的要求與監督也責無旁貸,因此下列事項的落實執行至關重要:
.內部人員保密義務的告知、保密契約、競業禁止條款的簽訂 。
.內外部人員資料保護相關認知與能力教育訓練,應符合政策要求與職責需求。
.對企業委外單位處理機敏資訊流程,應透過書面協議與定期監督進行管控。
.由企業提供資訊時,應對外部單位資料利用進行書面要求,並於必要時進行監控 。

結論
營業秘密的保護,不僅是資訊安全的議題,更是企業保有競爭力與永續經營的關鍵。從營業秘密資訊的生命周期與業務詳細權責劃分著手,以分割完整資訊與職務區隔方式避免資訊完整掌握在特定人員手中,並以僅知原則與極小化資訊處理與揭露,減少經手或分享人員,進而降低機敏資訊外洩的風險。當然,有效的權限控管與安全控制措施,以及人員營業秘密保護責任認知的強化,更是企業確保營業秘密的不二良方。

本文作者目前任職於台灣檢驗科技(www.sgs.com.tw)驗證暨企業優化事業群產品經理

閱讀:「營業秘密保護」 從職務區隔與資訊機密分級管理做起來