央企数据防泄漏的几点思考_国务院_国有资产

央企数据防泄漏的几点思考

2012/11/28 12:49:17

2010年3月25日国务院国有资产监督管理委员会（简称国资委）发布《中央企业商业秘密保护暂行规定》。国资委要求各中央企业要高度重视商业秘密保护工作，加快研究制订相关实施细则,切实保障企业利益不受侵害，促进企业又好又快发展。

在这一背景下，如何做好企业信息安全管理工作，就成为当前央企保密工作者必须思考的问题。

实践中，很多中央企业既有国家秘密，又有商业秘密，在确定一项涉密信息到底属于国家秘密还是商业秘密时可能发生困惑与混淆。因此准确区分国家秘密和商业秘密是保护好商业秘密的基本和前提。国家秘密和商业秘密是两个不同的概念，各自有完整的法律体系规范和约束，其区别主要表现在以下五方面：

一是两者的法律性质不同。国家秘密属于公权范畴，其法律依据主要是保密法，其权利主体是国家，只有国家才能决定国家秘密的使用和处置，同时排除其他任何组织、团体或个人非法接触、使用、披露和转让；商业秘密属于私权范畴，法律依据主要是《民法通则》、《反不正当竞争法》，其权利主体是该技术、经营信息的创造者或其他合法所有人、使用人。
二是两者确定的程序不同。国家秘密必须依照法定程序确定，按照法律的规定划分密级并标志密级标识；而商业秘密的确定则无统一的法定程序，要视权利人的意见而定。
三是国家秘密不能自由转让，而商业秘密原则上可以进入市场自由转让。能否进入市场进行自由转让是区分国家秘密和商业秘密的重要标志。
四是两者对保密措施的要求不同。对于国家秘密，法律一般根据其密级规定了严格的保密措施，密级越高，保密措施越严格；而对于商业秘密，法律并不要求权利人采取何种保密措施，而由权利人自行决定如何进行保密。
五是泄密的法律后果不同。泄露国家秘密应当承担法律责任主要是刑事责任和行政责任；而侵犯商业秘密主要承担民事责任，情节严重的情况下才承担行政责任直至刑事责任。

特别注意：同一信息不能同时确定为国家秘密和商业秘密

实践中有时会存在这种情形：中央企业的重大经济技术信息同时具有国家秘密和商业秘密的特征，对这样的技术或经营信息到底是按照商业秘密保护还是按照国家秘密保护，抑或按照商业秘密和国家秘密进行双重保护，存在交叉说和并行说两种代表性意见。交叉说认为，中央企业采取了保密措施的技术信息和经营信息，如果关系国家安全和利益的，既是商业秘密，又是国家秘密，可实行双重保护。并行说认为，同一秘密事项或信息，不能既是商业秘密又是国家秘密，这些信息若符合国家秘密特征，则应认定为国家秘密，依照保密法给予保护。

山丽网安作为为广大企业用户服务的信息安全厂商，加强央企数据防泄漏工作强烈要求安全防护要着重教育引导、健全机制和强化措施等方面下功夫。

加强教育引导，增强防范意识

一是加强教育，提高全员保密意识。保密工作需要从企业每名员工做起，做好对员工的教育等工作。通过教育，使员工树立“无保密即无保护”的观念，强化员工保密责任感，提高保密和维权意识，在企业形成人人注重保密的良好氛围。二是加强宣传，提高员工的鉴密能力。通过宣传，使员工对商业秘密的特征有一个初步的认识，能够区分哪些是秘密，哪些不是秘密，增强保密的针对性，同时重点加强对涉密人员的教育，提高企业各类人员保密意识。

建立保密机制，健全相关制度

通过建立和实施保密管理机制，保证企业商业秘密得到有效保护。山丽网安防水墙数据防泄漏系统5.0帮助企业管理，建立秘密管理体系。按照层级管理，分级负责的模式，建立办公环境加密，解密需审批的等级保护网络。自企业顶端管理、二级单位部门到基层工作单元三级保护，形成健全的保密机制。

采取数据防泄漏安全体系防护策略，加强数据安全防范

首先，加强企业数据机密确认，划定保密范围。按照保密法规，根据企业开发、受让或通过其他合法渠道取得或掌握的未进入公知领域的技术秘密、经营秘密、交易秘密等拟定“保密等级”。有业务部门根据各自业务特点，对照“保密等级”提出具体的操作需求或者解密申请。按照山丽防水墙5.0审批流指定相应的保密设置。

其次，加强对员工的管理，加强办公过程中的秘密保护。以文件加密为技术手段，上网行为管理等管理模块规范员工行为。通过加密、认证等措施，提高机密信息的安全性。对外发文件和外部存储设备使用严格把关，加强对涉密技术、文件的保管，注重对废旧资料等涉密载体的管理，防止企业信息泄露。

企业数据防泄漏已经上升到国家信息安全的战略高度，山丽网安作为信息安全行业元老级严格遵循国家颁布的行业规则及行业应用规范，并且为客户提供完善符合国家标准的安全服务。

*（本文部分内容节选自中航工业经理部张福君、孙伟撰写的<<中央企业商业秘密保护的几点思考>>一文）

关键词：数据防泄漏信息安全山丽网安