構建企業安全長效保密責任體系探討

路明鴿 張海龍

（中國航空工業集團公司西安航空計算技術研究所，陜西 西安710065）

0 引言

隨著大數據、云計算、物聯網、人工智能等高新技術的迅猛發展，信息化浪潮席卷全球。在人們享受高新技術帶來的便利的同時，企業之間利用“互聯網”等信息化手段竊取機密，進行不正當競爭的現象也愈演愈烈。企業的保密管理面臨巨大挑戰，如何在信息化浪潮中對自身核心技術、研發項目、客戶檔案、投標數據等重要涉密信息進行保密管理，構建安全長效的保密責任體系，是目前每個企業需要思考的重要課題。

1 企業安全保密管理的現狀

1.1 互聯網等高新技術保密占比越來越重

目前，經濟全球化速度加快，企業要尋求發展，占據更大的市場份額，對愈加便利、高效的高新技術的研發推廣與使用越來越頻繁。以互聯網為例，目前企業之間所有的經濟往來基本都是通過網絡來進行。項目的溝通與聯系要通過手機或是微信、QQ等第三方通信手段，線上資金劃轉方便快捷，也成為企業越來越青睞的轉賬手段，項目的研發要利用計算機、互聯網等高新技術進行數據分析，相關內容要進行電子存儲，最后產品的宣傳更是要利用互聯網等電子通信技術于網絡平臺、電視、手機等各類宣傳渠道進行大范圍的推廣。可以說，企業的生產經營活動已經完全離不開互聯網、云計算等高新技術。甚至對于部分企業而言，本身就是基于互聯網來開展生產經營活動的。以軟件開發企業為例，整個企業的建立基礎就是對軟件開發技術的研發、使用、推廣，整體研發過程都是基于對物聯網、云計算、大數據等高新技術的廣泛使用。因此，互聯網等高新技術的保密管理在企業安全保密管理的占比越來越重。

1.2 信息保密與國家利益、個人利益息息相關

企業的安全保密行為已經不單單是自身的商業經濟行為，改革開放以來，企業成為市場最重要的經濟主體，其科研、生產、經營活動已經不是簡單的商業行為，而是與國家利益、個人利益息息相關。從廣義來說，企業的生產經營涉及人們生活衣、食、住、行等方方面面；從狹義來講，部分軍工企業等的科研項目涉及電子工業、核工業、武器工業等國防支柱產業。如果是軍工企業信息泄密，經濟方面的損失已經不是最應該考慮的方面，這已經不是簡單的企業泄密行為，而是直接損害了國家利益、嚴重危害國家安全甚至是人類安全。如銀行、通信等公司的泄密行為，這些公司掌握著人們的個人信息、金融信息，這些信息的泄露會直接侵害個人利益，如個人信息的泄露會為詐騙等不法團伙的行為提供侵害點，不法團伙可以根據個人的手機號，身份證信息，有針對性地開展詐騙活動，增加騙局的成功率，而金融信息的泄露可能直接導致經濟方面的損失。以上行為都會對社會造成極大的不良影響。

2 企業構建安全保密責任體系存在問題

2.1 對安全保密的重要性缺乏正確認識

作為企業，獲取更高的經濟利益是最終極目標，因此，企業大部分的管理行為都是圍繞提高工作效率、降低產業成本、擴大生產規模等經濟領域中，對保密管理工作的重視度不夠。一是領導層對安全保密重要性缺乏認識。市場上企業類型繁雜多樣，領導層的學歷、素質也是參差不齊，尤其是對安全保密等非經濟類、非行政類管理行為，更是沒有充分的認識，部分企業甚至沒有建立安全保密責任體系，而是走形式，提出幾點保密要求，也不進行嚴密的責任劃分或是檢查監督行為。二是企業員工對安全保密不夠重視。部分企業員工完全沒有安全保密意識，將企業信息通過不加密的互聯網進行傳輸、轉發，將科研項目信息直接拷貝進U盤，脫離安全保密環境，到安全性較低的公共網絡中進行辦公，這些都是嚴重缺乏保密意識的行為。

2.2 安全保密技術層面存在漏洞

對企業而言，即便是有了較強的安全保密意識，但是隨著高新技術的發展，竊取信息的手段越來越復雜高超，從技術層面來講，企業自身未必有足夠的能力來應對高科技的機密竊取行為。一些涉及計算機或軟件開發的企業可能具備相應的技術的能力，設計安裝網絡防火墻，或有針對性地對計算機設備進行防護管理，為機密研發行為設計獨立的局域網等。然而大部分企業對高新技術的使用、防護能力是缺失的，市場上雖然有第三方的技術顧問公司，提供專門的高新技術安全防護服務，但是一般收費不低，而企業從利益方面考慮可能就直接放棄此方面的支出，依舊通過傳統的對人的、對設備的保密管理來進行安全保密，造成技術層面的出現泄密漏洞。

3 構建企業安全長效保密責任體系的有效途徑

3.1 提升整體安全保密意識

從總體來看，企業整體安全保密意識的提升是建立安全長效保密責任體系的基礎。首先，要對領導層及員工進行保密學習教育。對保密法以及保密制度開展相關的學習，掌握基礎性的安全保密知識，提升整體安全保密意識。充分認識到安全保密的重要性，明確保密行為與每個人都息息相關，尤其是對涉及國家支柱產業的企業，要明確企業秘密不僅僅是商業秘密，而是與國家利益、個人利益直接掛鉤，是國家安全體系的重要組成部分。其次，是要針對企業的特點，進行有針對的安全保密知識學習。例如，對高新技術企業，互聯網的加密、外接儲備設備的應用、溝通聯系手段的選擇要進行重點的保密防護，企業員工需要使用加密過的通信手段或是內部的局域網進行溝通聯系、使用U盤、移動硬盤的外接儲備設備時，只可以在指定的計算機上使用，不可以帶離內部使用區域等。

3.2 明確保密體系主體責任

建立企業安全長效保密責任體系時，要明確主體責任。即在建章立制的過程中，首先要明確各個項目的保密主體責任。對企業而言，每個生產、經營、科研行為都有具體的項目，即便是小企業，每個訂單也可以看作是一個獨立的項目，每個項目都應當明確保密主體責任，一般應由項目的負責人承擔相應主體責任，對整個項目涉及的人員、設備、技術方面進行保密管理。規模較小的企業，可由企業負責人直接進行保密管理。其次，要明確各個環節的保密主體責任。一些大項目，可能涉及許多環節，從事前溝通，明確項目內容，到事中開展具體研發、生產行為，至最后對產品的宣傳、推廣，每個環節都應當明確主體責任，并要細化責任分工。如此，在出現泄密漏洞時，能夠直接找到泄密的關鍵點以及負責人，可以用最快的速度開展補救、追查、追責等行為，最大限度地彌補損失，并找到承擔后果的人員或是第三方，以完整的證據來開展后續的投訴等行為。

3.3 完善保密管理技術防護體系

要使企業的安全保密管理體系更加安全、更加長效，需要從技術層面進行把控。首先是網絡信息安全，應根據企業實際情況對互聯網傳輸進行加密，建立防火墻，設立內部局域網，即便是企業規模較小，也一定要高度重視互聯網安全，一些基礎性的技術防護手段，如設立防火墻，絕大多數的企業還是能夠做到的。其次是設備方面的安全保密管理。尤其是對電腦計算機、大型軟件設備的保密管理，要及時更新病毒庫，根據實際情況安裝專業性的殺毒軟件。強化移動設備的使用管理，對U盤、移動硬盤的設備進行數據加密處理，并對接入的設備進行嚴格的管控，將設備的保密管理責任落實到人，誰使用，誰管理。最后，是要定期開展漏洞篩查。技術手段是不斷更新的，要利用最先進的技術手段對涉密互聯網、機器設備等進行定期篩查，查找病毒漏洞，及時更新殺毒軟件，加護防火墻，保證企業安全保密管理體系更安全長效，保障企業生產經營活動正常進行，營造良好的市場競爭氛圍。