管理會計工具及應用案例

申亞楠　溫素彬　郭春明

【摘 要】 風險管控是管理會計的重要職能，而商業秘密泄露的風險管控是風險管控的重要內容之一。當前企業關于商業秘密泄露的風險管控更多的是從技術角度進行，而忽視了管理會計的重要作用。文章研究了商業秘密泄露的方式，從環境、技術、設備、人員四個因素分析了導致泄露的原因；從制度基礎、業務安全、技術防護三個維度的十一個方面，建立了商業秘密防泄漏風險系統管控模型。進而，探討了WHHX公司的商業秘密泄露風險管控實踐。

【關鍵詞】 商業秘密； 泄露風險； 管控模型

【中圖分類號】 F275 【文獻標識碼】 A 【文章編號】 1004-5937（2016）20-0132-04

商業秘密既包括技術信息，又包括經營信息，這些信息是公司核心競爭力的載體，一旦泄漏，可能對企業造成重大損失，甚至是致命威脅。普華永道2016年《全球信息安全現狀調研報告》顯示，信息安全預算正在不斷增加。全球檢測到并上報的安全漏洞數量較2014年報告呈上升之勢，增長率38%，2015年，中國內地和香港企業檢測到的信息安全事件平均數量約上升5倍[1]。目前，多數企業的商業秘密防泄漏管控聚焦于數據加密、虛擬專用網、身份認證、入侵檢測、數據防泄漏系統等技術手段，對管理手段重視不夠。本文從管理與技術的雙重視角對商業秘密泄漏風險管控進行研究，并建立風險管控模型。

一、商業秘密泄露的方式

商業秘密具有信息所固有的“收集——傳輸——使用——儲存——維護——銷毀”這樣一個生命周期。前四個階段屬于信息的活動階段，泄漏風險較大。根據每個階段信息泄漏的方式不同，一般可能通過以下三種不同的數據泄漏方式：①網絡方式：主要包括網頁、電子郵件（如Foxmail）、即時通訊、網絡硬盤、FTP、P2P、論壇等；②存儲方式：主要包括文件服務器、Web服務器、數據庫、郵件服務器等；③終端方式：主要包括各種移動外設如U盤、藍牙、CD等方式，電子郵件終端、筆記本，打印/傳真等。

除此之外，還有一些信息泄露方式易被忽視。例如：拍照、竊聽這樣的物理安全問題；第三方（如設計方、施工方、制造方等）合作過程中泄密，員工離職轉崗過程泄密等組織管理問題；口頭傳播，書面文檔復制與傳播，外來人員參觀、考察接待，學術交流，新產品推介，廢舊涉密載體處置等需要從提高員工安全意識抓起的問題；等等。

二、商業秘密泄露的致因

從商業秘密泄漏的動機來看，主要分為主動泄密和被動泄密，其中被動泄密一般是由于安全意識薄弱，機器中了木馬和病毒，在不知情的情況下產生的信息泄漏；而主動泄密則一般是為了利益，內部人員主動將機密數據竊取的行為。從造成商業信息泄露的因素來看，可以分為環境因素、人員因素、技術因素和設備因素。

1.環境因素。多數企業在快速發展過程中，信息安全管理落后，商業秘密管理缺乏統一的保密體系規劃和防泄漏機制，企業安全責任不明確，績效考核體制不健全，懲戒措施和審計機制缺失。

2.技術因素。從軟件來看，防火墻、IDS或防病毒軟件不能對內網中的所有網絡行為進行實時監測和控制，員工訪問的某些互聯網可能被安裝間諜軟件；另外，信息系統設計時沒有以風險評估為基礎，存在業務流程描述錯誤或遺漏、前期測試不充分、數據訪問權限設置不清晰、信息資產安全等級不明確以及信息資產沒有保護措施等情況。

3.設備因素。這主要集中在物理安全方面，包括物理安全邊界不明確、非授權的物理訪問、設備或存儲介質缺乏安全措施、設施設備的非授權使用或移動、鏈路傳輸的信號被竊取等。

4.人員因素。人員是商業秘密防泄漏管理中最薄弱的環節，但也是抵御信息安全威脅最強大的武器，從高層、中層到基層不同類別的人員對保密事故的影響不盡相同，在崗位設置上不相容職務分離是風險控制的關鍵。

三、商業秘密泄露風險的系統管控工具：三維模型

從對商業秘密的源頭管理、數據流管理和系統化設計三個方面著手，可以實現對商業秘密泄露風險的系統管控，實現商業秘密生產周期的各個階段在策略、設計以及運行等各個層面的安全保障。本文基于制度基礎、業務安全、技術防護三個維度，建立了商業秘密防泄漏風險管控工具：三維模型，如圖1所示。

商業秘密的制度基礎包括實現業務安全的保密策略、保密組織體系、保密績效考核以及保密審計四個方面，包括管理政策、執行規定和流程、具體規范和標準、信息安全記錄要求等內容，健全的制度體系是技術手段、業務安全實施效果的重要保障；業務安全則應該從人力資源管理、技術秘密與經營秘密的內容保護、物理區域安全等方面實施管理；技術防范主要從網絡、終端、應用、權限四個方面進行安全管理，技術防范措施是實現業務安全的重要基礎。

三維模型架構下的商業秘密管理，可以實現從源頭上清理所有不合規的數據訪問權限，分配與崗位職責相對應的數據訪問權限；在數據的傳遞、使用、發布過程中，有全面的標準規范和流程制度保障數據安全，同時培養員工的數據安全意識；建立基于業務需求的、不斷完善的循環體系，實現數據安全保護管理的系統化、自動化。

以下就商業秘密泄露管控的幾個重要方面進行闡述：

（一）商業秘密管理的組織機構建設

建立商業秘密保護的組織機構，明確崗位職責是有效實施保密制度和措施的基礎。一般的，企業應該建立商業秘密保護領導責任制度，規定信息安全管理責任的最終問責機制；建立商業秘密管理組織制度，規定具體實施信息安全管理的組織架構（例如保密委員會、保密辦公室）、職能、人員構成、預算、匯報路線、崗位權責規范、核心工作機制等內容。

（二）商業秘密分級、分類保護

商業秘密內涵豐富，為了保證對之保護的效率和效果，企業要遵循“信息識別——信息分級——信息保護”的思路，把主要資源向高密級信息傾斜。企業要對涉密技術信息和經營信息進行界定、評級，制定分類保護策略；對商業秘密的密級、期限、脫密等基礎性內容進行界定；對于保密信息的全生命周期進行規范，包括采集、登記保管、安全、加密、發布、分發傳遞、打印、復制、查閱、外借、銷毀以及涉密會議等。

（三）商業秘密保護的人力資源管理

英國工商部聯合普華永道在英國進行的信息安全漏洞調查數據顯示：有80%的大規模企業（員工>250人）和42%的小規模企業（員工≤250人）認為信息安全事件與內部人員有關。企業的信息資產都是通過人來管理和控制的，對人的管理實際是商業秘密保護中最重要，也是難度最大的工作。企業應對員工入職前、在職中、崗位變動或離職實行保密的生命周期管理，并且注重公司保密文化的養成。

1.入職環節的涉密人員管理。人力資源部門應重視對候選人員的背景檢查，尤其當選用的職位涉及到對保密信息的訪問時，應按照相關法律法規、道德規范和對應的業務要求、被訪問信息的類別和察覺的風險來執行背景驗證檢查，減少招聘風險。

員工入職后，企業要和員工簽訂保密協議，這不僅是保護商業秘密的最好方法之一，也往往是執法機關判斷保密措施是否合理的一項重要因素。企業與核心技術人員及高管人員還要簽訂競業禁止協議。需要強調的是，競業禁止只是對涉密人員擇業的一種限制，不能簡單地等同于保密義務。競業禁止期滿或被認定無效，只意味受限制人員不再受擇業方向限制，并不意味免除了保密義務。

2.在職中的涉密人員管理。企業應識別公司重點涉密人員，進行重點監控和員工信用等級評估，定期實施崗位輪換，對其保密狀態進行定期評估，建立定期約談機制。

3.保密培訓。商業秘密保護要想取得實效，企業所有員工，上至高級管理層，下至普通職員都應該充分意識到信息安全對企業的重要性，對于不同的培訓對象，制定不同的教育和培訓類型，讓他們充分了解和遵守企業制定的安全策略、標準、規程和指導方針。

4.保密文化。信息安全管理是一個自上而下的管理活動，是全員的責任，要求企業中的每一個人、每一個崗位、每一項工作都要關注信息安全，倡導建立基于信任與合作的、以人為本的信息安全文化，以此來提高員工信息安全意識，支配和規范員工的信息安全行為。

5.崗位變動或離職。公司應明確規定需對轉崗或離任研發人員的涉密保護情況進行稽核檢查，應根據人員的崗位執行適當的涉密離任審計；并由法務人員向離職員工出具離職后律師函。

6.對外來人員的管理。企業商業秘密經常涉及被許可人、供應商、客戶、制造商、銷售代理商，以及向公司提供產品或服務的建筑師、工程師、顧問、承包人、分包人等第三人。公司對外部單位或人員聘用之前，要對外部組織進行安全評估，簽署保密協議，進行保密培訓，對外來員工在企業工作期間的權限進行控制。

（四）商業秘密的主要技術防護

商業秘密保護與企業的信息化工作緊密結合，利用外部法律、內控制度和信息技術手段系統化地推進[2]。網絡層是整個信息化的傳輸基礎，網絡安全是信息安全防御的第一層，包括內外網絡接口、內部網絡安全域劃分。安全域劃分是把一個大規模復雜系統的安全問題，化解為更小區域的安全問題，是實現大規模復雜信息系統安全等級保護的有效方法。防火墻技術、入侵檢測系統（Intrusion Detection System，IDS） 則可以主動有效地檢測并攔截針對系統漏洞的各種攻擊，屏蔽各種木馬和病毒；另外，公司應統一規劃對路由器、交換機、防火墻等網絡設備的配置管理，并對網絡訪問進行準入控制。

數據是安全技術的核心，數據可能是文件形式，也可能是郵件形式，數據的存放地可能在本機也可能在遠程服務器，企業在數據安全保護方面可以考慮實施以下技術：

1.虛擬桌面技術能夠在“云”中為用戶提供遠程的計算機桌面服務，實現公司重要涉密信息的集中管理。但是虛擬桌面系統不能解決員工通過郵件、即時通訊工具以及其他網絡傳播方式導致的研發信息泄漏問題，不能解決通過打印或者拍照等方式引發的信息泄漏問題，不能解決超級管理員賬號的管理問題，所以企業可以考慮同時部署數據防信息泄露（DLP）方案、實施文檔安全管理和數字水印技術產品，以及系統管理員管理平臺，等等。

2.數據防泄露防護方案（DLP）

數據泄露防護（Data Leakage Prevention，DLP）是通過一定的技術手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業。數據防泄漏解決方案可以通過DLP來制定策略、檢測網絡流量、準確地檢測事件并能夠主動阻止不適當的數據傳輸。另外，DLP還可以幫助公司執行某些政策來阻止包含機密數據的網絡傳輸以及制止向USB、iPod等驅動復制任何數據，同時能夠自動化其他執行行為，如通知發件人、對電子郵件路由加密等，以確保敏感數據沒有被暴露在文件系統中。總之，DLP可以實現“外部威脅防得住，敏感信息出不去，違規行為賴不掉”的管控效果。

3.文檔安全管理。企業在上述商業秘密防護系統之外，可以并行實施文檔管理系統以實現對公司各種重要項目文檔的分發、保管、傳播等功能。成熟的文檔管理系統應該能夠實現自動加密功能，只有裝有指定的保密終端的設備才能打開；同時具有控制打印次數、下載等功能，具有良好的權限控制功能。

最后一個層面是終端安全管理，企業要求確保計算機終端都是安全的，而且符合安全策略定義的配置。企業可以考慮禁用guest（來賓）賬號，提高操作系統密碼復雜性要求，通過分權管理加強對管理員賬號的管控，部署專用服務器并定義策略進行補丁分發，用戶桌面上配置DLP終端等措施加固終端安全。

（五）保密審計

保密審計主要是監控來自網絡內部和外部的用戶活動，發現系統或用戶行為中的入侵或異常現象，檢測系統中現有和潛在的威脅，對安全活動的信息進行識別、記錄、存儲和分析。保密審計的內容可以包括上網審計、郵件審計、操作日志審計、終端審計、USB審計、權限審計、文印審計、病毒審計、文檔審計、應用權限審計等。通過保密審計可以極大地加強公司的商業秘密防泄漏監控能力和對事件的響應水平，提升公司的保密管理水平；及時發現內部用戶的違規操作、用戶網絡中的異常、外部用戶竊取企業數據的企圖。

四、WHHX商業秘密泄露風險管控實踐

WHHX公司是中國唯一擁有MDI、ADI、IPDI制造技術知識產權的企業，是全球產能最大、質量最好、成本最低的MDI供應商。WHHX的涉密信息主要包括試驗記錄、工藝軟件包、PID與PFD圖、施工圖、生產準備文件、工藝操作說明等。公司對這些商業秘密，以及相應的涉密區域、涉密人員等進行安全等級劃分，實施不同等級的安全保護。

組織架構上，WHHX成立了“保密委員會”，下設制度流程梳理分委會、涉密人員管理分委會、信息化安全分委會、保密審計分委會、信息披露分委會、泄密事故調查分委會，明確界定了各分委會的成員組成以及工作職責，這些職責涵蓋了“商業秘密泄漏風險管控模型”中的三個維度十一個方面，覆蓋了研發體系、工程建設、生產體系、經營信息、市場營銷五個領域的信息安全。其中，泄密事故調查分委會為非常設機構，如機密級以上資料出現泄密；或有重要涉密人員違反公司規定，造成商業秘密泄露；或出現核心人員離職，可能會對公司造成重大影響，由保密委員會臨時指派分委會主席。

WHHX平衡成本與效率，遵循“適度安全”原則，建立了商業秘密泄露風險管控信息系統，包括安全組織、安全流程、安全策略、安全工具、安全運維五個層次，涵蓋身份管理、數據安全、桌面安全、基礎設施保護、基礎設施管理、IT安全治理與合規六個部分。如圖2所示。

“身份管理”負責管理用戶身份的生命周期以及身份與業務應用服務之間的關系，例如集中化的賬號管理、身份集中認證管理、集中授權管理等。“數據安全”包括信息泄漏保護，數據權限管理，數據加密，郵件安全。“桌面安全”實現對終端計算機資產集中管理、遠程監控、訪問管理和限制、可信軟件或補丁分發；對于涉密等級比較高的員工，實施了無盤工作站。“基礎設施保護與管理”在ITIL（IT Infrastructure Library，信息技術基礎構架庫）框架指導下，對終端、存儲、服務器、網絡進行系統架構和管理。“IT安全治理與合規”基于遠程監控、數據防泄漏系統、物理監控系統、門禁系統，以及身份管理、服務器、操作系統、數據庫等日志進行保密審計；基于公司各項保密制度進行合規性審計。

【參考文獻】

[1] 普華永道.全球信息安全現狀調研報告（2016）[R].2016.

[2] 李小山.商業秘密保護與信息安全[J].中國信息安全，2014（3）：102-104.