公司信息安全管理，企业内部防泄密

    使你疲倦的不是远方的群山，而是你鞋里的一粒石子。让企业恐惧的不是强大的对手，而是自己的商业机密变成了对方手里的底牌——机密到底是怎样泄漏的？
“企业安全三分靠技术，七分靠管理，制定严格并且易于操作的管理制度是减少安全问题的基础。”
　　离职高峰潜伏的风险
　　年底将至，企业开始渐渐进入一年中的跳槽高峰期。
　　最近一份调查显示：85%的职员可以轻松地下载“有竞争力”的资料和信息，然后带到下一份工作中。尽管大部分工作者可以从现在的公司下载资料，但只有32%会为了增加在下一份工作中的竞争力而“出卖”资料。超过80%的人承认从工作中下载资料文档等回家使用，最常用的方式是使用USB传输数据。
　　对于企业来讲，那些即将离职的员工是很危险的。因为不论出于什么原因，他们都希望能够为自己以后的工作获取必要的资源。一位离职员工很坦然地说：“实际上，离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯，当然这些资料只是方便以后工作，而不是直接用来出售。”当然，也有些员工为了在应聘时博得新雇主的喜爱，而积极地回答雇主的疑问，而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。
　　当然，也不乏有员工故意泄露企业商业机密，为自己牟取利益。
　　在几年前，可口可乐曾出现过员工出卖公司资料的事件：总部设在纽约的百事可乐公司向可口可乐提供了一份邮件复印件。而该邮件是用可口可乐正式商业信封寄往百事的，寄信人“德克”自称为可口可乐高层雇员，并提供了“十分详细的机密信息”。可口可乐立即与联邦调查局取得联系，后者当即展开了秘密调查。此后，这个自称“德克”的泄密人又提供了另几份被确认为商业机密的可口可乐绝密文件，并提供了一份机密的可口可乐新产品样本。
　　几天后，一名联邦密探提出以150万美元向“德克”购买其他商业机密。后被证实这个机密为可口可乐正在开发的新产品样本。最后，3名嫌疑人得到了应有的惩罚，而可口可乐公司也重新审核了其资料保护的相关政策、程序及制度，以确保知识产权不受侵害。
　　那么，职员什么样的行为算泄露公司商业机密？企业该如何预防和应对雇员泄露公司商业机密呢？
　　到底什么才是“秘密”
　　对于企业来说，什么才是商业秘密？商业机密的范围很广，任何与社会竞争、经济利益相关的特定信息都可能构成商业机密。比如：产品配方、工艺程序、研发代码、研发材料、机器设备改进方案、图纸、客户资料、财务数据、商业计划书等。同时，商业机密是特指不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。
　　在许多企业中，商业机密的泄密事件每天都在发生。然而，对于这种信息流失，企业和员工却有可能是全然不知。比如：作为老板在工作会议中无意中就透露了商业机密，而不要忘了“说者无意，听者有心”，因此要避免“祸从口出”，首先就要从高层树立起保密意识，并且要身体力行，才有可能让你的员工有意识、审视和意识到自己的行为，是否已经是泄密了。
　　有位老板说：他曾经有一个员工，在离职时带走了自己设计的软件。因为他的理由是：软件是自己设计的，就应该是自己的所有权，如果公司要用，那么就要付费，否则就是侵权；还有的员工认为：客户是我开发的，我为什么没有权利带走他们的资料？于是，员工普遍理直气壮，而企业又有些束手无策。
　　然而，在法律上有一个关于“职务发明”的界定，而这类发明的所有者就是企业。职务发明指执行本单位(包括临时工作单位)的任务或者主要利用本单位的物质技术条件(是指本单位的资金、设备、零部件、原材料或者不对外公开的技术资料等)所完成的发明创造。那么，基于职位获得的客户资源，毋庸质疑的应该是企业资源。因此，企业就要想方设法地收集和存储这些资源，充分做好知识管理；而研制新产品的过程中，其实是保护最薄弱的时刻。因此，在企业里要相对封锁消息，让最少的人知道新产品的动向。然而，为什么会有员工泄露公司机密和出卖情报？不可否认，出卖情报有时可以成为赚钱的手段，跳槽的资本或者要价的砝码，甚至是报复的暗箭。
　　那么，又该如何看好企业的“机密库”？
　　看好企业的“机密库”
　　无论是当年秉承着“企业是家”文化的联想，还是百度这个近年来的最佳雇主，都曾因闪电裁员而备受争议。尽管这不能不称其为保护商业秘密的好方法，但确实会让人难以接受这种太过“冰冷”的方式。但不可否认，联想在裁员前先封掉其局域网中ID的做法，不失为一种办法。
　　随着科技程度的提高，一个小小的闪存、一封EMAIL、录音等手段都可能使机密瞬间不再是秘密，甚至随着知情人的增加，连追究与索赔都变得十分困难。
　　那么，如何防范员工的泄密问题呢？
　　第一，大量的泄密是通过计算机和拷贝，所以技术泄密的问题必须用技术的方法去解决。比如：安装防止拷贝的软件。既要设置专人的监管，也要通过技术性的监管。
　　第二，就是分割条块，稀释机密。企业不妨根据信息的价值，来确定保密的等级和涉秘的人群。由于一个项目的开发需要众多人的合作，如果部门之间完全没有秘密的时候，那么公司也就没有秘密了。因此，有一个重要的保密原则就是稀释核心机密，让需要的人只知道可以知道的东西。也就是说，把一定的事项方案和计划分成若干部分和环节，允许不同的人知道，但每一个人只知道自己的一部分，而谁都不清楚全部，也就是不把鸡蛋放在同一个篮子里的原则。
　　第三，绝密文件的使用需要有法人代表进行审批。同时，要建立严格授权制度，以及泄密的问责制度。对于企业来说，保密的重点不是已经成熟的技术，而应该是正在研发的技术和核心的新技术。因为这些技术还没有受到专利保护，一旦泄密的话，会成为被竞争对手打击你并战胜你的手段。信息安全不是一个部门的事情，而是需要在信息形成时期，就开始安全防护。根据机密的价值，设定保护的成本，以被保护商业秘密的价值，来确定适合的保护范围。同时，知道的人越少，当一旦有机密的泄露，也相对更容易界定责任和责任人。
　　第四，注重细节管理。确定关键岗位和关键部门实施重点防护。同时从内部流程制度建设上，完善保密程序。尤其对于研发、财务、信息系统等核心部门，更要注意其人员的素质水平，不仅要注意管理和激励，更要让他们感受到信任和责任感。同时，企业要关注员工的情绪和心理感受，以防止产生恶意的泄密现象。
　　第五，健全制度，依法维权。加强保密教育和培养保密意识，是企业不仅要做，并且是要根据企业的具体情况制定出保密制度。比如：与核心员工进行的竞业禁止协议的签订，电脑硬盘的管理，离职前的交接，客户信息的集中管理等。竞业禁止协议固然重要，然而企业的保密文化的建设、员工激励、对员工的信任，以及高管自身的职业操守的加强则更为重要。
　　道德与利益的博弈，无时无刻不存在。伟人曾经说过：“在安全战线上没有朋友。”对于企业来说，如何让离职员工，心中充满感恩而不是怨恨，甚至依然能和企业是朋友，的确需要一种文化的境界。