防守篇 保衛商業秘密

　　有關商業秘密的例子比比皆是，而泄露商業秘密又經常在不經意之中。在許多案件中，宣稱情報被偷的公司結果發現很多都是在公司內部沒有設立充分的保護和防備措施造成的。
　　因此，建立一套健全正規的反競爭隋報體系保護企業的關鍵情報迫在眉睫。
　　反競爭情報(defensive competitive intelligence)，是專門針對現實的或潛在的競爭對手對本企業所進行的競爭情報活動而展開的一種通過對本企業自身商業活動的監測與分析來對本企業的核心信息加以保護的活動。反競爭情報活動的實質就是企業通過正當的、合法的手段積極抵御競爭對手對本企業核心信息的情報搜集活動。因此，反競爭情報活動不僅包括研究企業自身的防御方式與途徑，還要充分分析競爭對手對本企業的競爭情報活動，以保護本企業各類核心秘密信息。
　　
　　基本構成
　　
　　體系建設是保證一項工作全面、持續進行的基礎。為了更好地開展反情報工作，使得企業反情報工作有條不紊、持續不斷地順利進行，需要企業從總體上進行規劃，全面地進行體系規劃。企業反情報體系的構成如圖2所示。
　　企業反情報組織是指為從事企業反情報工作而形成的企業內部組織。企業建立專門的反情報部門，配備專職的反情報人員是企業反情報組織建設的一種思路。但是，由于企業情報的泄密與企業的各種活動、企業員工的一舉一動息息相關，因此企業反情報的思想應該貫穿于企業運作的始終，而企業的所有員工，都應該成為企業反情報工作的一員。從這個角度說，企業反情報組織也是分散的。
　　
　　企業反情報流程指導企業反情報工作的具體展開。許多企業只忙于應付各種情報泄密導致的各種問題的解決，而缺乏從總體上對企業反情報工作的步驟進行把握，缺乏對企業反情報流程的通盤考慮。企業反情報流程的建設，將從操作上指導和規范企業反情報工作的進行。
　　
　　流程建設
　　
　　企業反情報流程是指導和規范企業反情報體系運作的基礎。美國的杰瑞·米勒(Jerry P.Miller)提出了類似情報循環的反情報模型——米勒模型，也是一個循環過程，它由以下步驟構成，如圖3所示。
　　定義保護需求也就是需要確定需要保護的關鍵信息。關鍵信息是有關企業的意圖、能力，活動的信息，競爭對手需要這些信息來做可能影響企業的決策。關鍵信息包括企業的定價方法、進貨渠道、關鍵客戶、產品配方、收購計劃、戰略規劃等。這些關鍵信息可能涉及有關關鍵人員、關鍵設備、關鍵設施、關鍵活動或關鍵作業。
　　確定關鍵信息可從檢查一項活動的整個過程開始。根據競爭對手現有的信息收集能力確定哪些指標可以被競爭對手獲得并加以利用，可能對企業產生不利影響。比如一件新產品的有關信息如果被競爭對手加以利用，是否會導致你的產品優勢被抵消?產品被克隆?被槍斃?或迫使你對產品重新進行重大設計?如是，它們就是關鍵信息。
　　一旦確定了關鍵信息，就可結合競爭對手的情況進行分析以確定它們可能暴露關鍵信息的程度。
　　評估競爭對手在這個階段，主要是評估競爭對手的意圖和競爭情報能力，評估競爭對手得到該信息以后可能對企業造成的傷害。也即分析它們對本企業的哪些情報有興趣，并在多大程度上企圖獲取，競爭對手的競爭隋報能力，摸清對手常用的情報源和情報收集手段。
　　評估自身弱點主要是針對競爭對手的情報收集手段和情報源應用，發現自身隋報保護的敏感部門和薄弱環節。企業最容易泄露信息的地方在哪里?通過哪些部門或哪些員工泄漏?員工了解這些問題嗎?應該保密的地方是否不必要地透露了過多的信息?
　　所有可能泄露關鍵信息的渠道都應被視為弱點，但并不是所有這些弱點都值得保護。在決定如何保護某一信息中的弱點或缺陷時，需要確定企業的信息有多么敏感?該信息有多高的價值?只有在競爭對手需要這種信息時才值得采取措施。由于競爭對手不同目標也不同，因此對一個競爭對手保密的東西同另一個競爭對手可能不必保密。如果根據難易程度將暴露某一信息給競爭對手的不同方法排隊，如果排在第2位的弱點難以采取措施，那么花錢對排在第5位的弱點采取措施便沒有任何意義。
　　
　　分析弱點時可能需要對企業整個作業或活動進行檢查，審查任何脆弱點以發現可能被競爭對手利用的關鍵信息的指標。審查可從競爭對手的角度來審查，即把自己放在競爭對手的角度，一步一步地檢查自己的活動或作業的所有環節。可分析競爭對手的行動方案以發現他們收集關鍵信息的途徑。然后確定自己的經營行動和競爭對手的利用能力之間的關聯度。另外要考慮的因素是信息的時間價值以及競爭對手在有效的時間內收集和利用該信息的能力。
　　制定對策并實施在明確競爭對手的意圖和能力、發現組織自身弱點的基礎上，有針對性地制定出破壞競爭對手情報收集的具體對策，并應用到實際工作中。假若競爭對手的競爭情報能力很弱，那么企業就可以把重點放在自身敏感部門和薄弱環節的改造上；而如果競爭對手有很強的競爭情報能力，利用豐富的人際網絡和其他手段“無孔不入”地搜集各種信息，那么企業就應當動用所有的反情報能力保護企業的關鍵信息，并有針對性地向競爭對手主動提供迷惑性信息，從而對其起到誤導的作用。在本階段，風險分析人員將前面的步驟(關鍵信息、威脅、弱點)整合，從中發現需要保護的地方。決策者根據前面的分析作出相應決策。決策時可將前面分析的風險排序，將對策的成本(可用金額表示，也可用對業務的沖擊表示等等)同資產的價值對照，而將得到的好處同采取措施降低的風險損失對照。如果對策的成本低于保護的資產的價值，或得到的好處低于風險造成的損失，則沒有必要采取保護措施。
　　效果分析分析具體的反情報對策是否正確、實施情況如何，從而能夠根據情況的變化不斷地改變對策。在評估組織自身弱點、制定對策和效果分析的過程中，企業可以換位思考：以競爭對手的角度對本企業的信息進行搜集，從而發現企業自身的弱點；在此基礎上制定對策并實施之后，再以競爭對手的角度對本企業進行信息搜集活動，對比兩次模擬競爭對手情報活動的差別，我們就能很好地把握企業反情報工作的效果。
　　結果傳遞本階段主要是將反情報的結果傳遞給決策者。正如情報產品如果不能及時到達、缺乏準確性就不值得付給報酬一樣，反情報的成果也需要傳遞給領導。當企業的決策者看到這些成果之后，也許能提出更多的反情報需求。
　　
　　保護信息安全方面的一些建議
　　
　　前面我們談到，應盡可能延緩競爭對手得到企業的關鍵信息，但是應怎樣延緩呢?下面我們提供一些具體建議。
　　獲得高層管理者對信息安全的支持。
　　不要浪費資源保護不值得保護的信息。
　　確定什么信息需要保護，需要保護多長時間。
　　對于十分敏感的信息，應人工傳遞或采用加密技術傳遞。
　　對于涉及敏感信息的廢紙或處理的資料，應用粉碎機或其他方法處理使其沒有閱讀的可能。
　　重要的公司信息資料，不管是印刷品還是電子產品，都不能留在無人看管的旅館房間里。
　　電子郵件或聲音郵件的密碼必須嚴格保密并經常更換。
　　所有敏感的資料都不能留在會議室里，會后所有黑板或白板都必須擦干凈。
　　如果可能，對所有接觸敏感信息的人的背景都應該有所了解。
　　凡是可能接觸到企業專有信息的人，不管是員工、供應商還是其他人，都應簽署保密協議。
　　不滿的員工可能對企業構成最大的威脅，應注意處理同這類員工的關系。
　　由于監聽技術的發展，不管是固定電話還是移動電話的電話交談都很容易被截聽，如有必要，可安裝反截聽裝置。
　　對企業的物質資產、信息資產和脆弱性應該有充分地了解。
　　如果可能，所有對外公關的材料和其他公開資料，在發布之前應盡可能先讓信息經理審查一下。
　　在正式舉行新聞發布會之前，利用OPSEC法將擬發布的信息審查一遍，以判斷將信息發布出去的好處是否能抵消競爭對手得到后而使企業可能付出的代價。
　　企業為履行某些義務或由于商業交往的需要可以讓參觀人員看他們的某些設施，但參觀人員所看的東西應是對競爭對手沒有什么戰略價值的東西。參觀時要有人陪同，不要讓參觀人員隨意走動。
　　工程師和研究人員在學術會議上提供的技術文件也可能泄露秘密。應對企業人員在會議上提供的資料進行審查，以確保戰略規劃或其他保密信息沒有被泄露出去。
　　非公司員工，包括供應商、銷售商、郵遞員、印刷商、銀行和其他機構的人員都可能了解企業的某些保密信息。盡管可以同他們簽訂保密協定，但更重要的是讓他們都了解保守秘密的重要性。
　　員工絕不要在公眾場所討論保密信息。
　　所有的招工廣告都應經過一定的審查，以確定其中哪些內容是否特別重要，應該保密。有些時候打非署名廣告或通過獵頭公司招聘效果可能更好。
　　公司內的網絡應嚴防非授權人員使用，并應隨時檢查“防火墻”的可靠性。
　　法律訴訟常導致信息的泄露，從而使競爭對手得到好處。企業應特別考慮起訴某人或被某人起訴時，可能造成的信息泄露。潛在的泄露可能需要企業在法庭外“私了”一些案子。
　　應同所有的員工簽訂保密協定，其中應包括對公司無傷害原則，即公司的員工以后不管到哪兒工作，不能做任何可能對公司造成傷害的