首页 >  威科专题 > 专题查看

 

 

返回本专题首页

误解之七丨企业商业秘密管理就是信息系统的安全管理

企业一般都会重视信息系统的安全,也重视系统中的数据保护,为此许多企业会对信息系统安全进行大投入,信息系统安全的管理人员也往往是IT人士。信息系统安全与数据保护当然是应当重视的,但一些企业以为企业的信息安全工作就是信息系统安全工作,甚至认为信息系统安全管理就是企业商业秘密管理,这二种认识显然都是误解,信息系统安全管理是企业信息安全管理的一个组成部分,但信息系统安全工作绝对不能等同于商业秘密管理。

信息系统安全与信息安全不能划等号

重视信息系统的安全当然是值得肯定的,因为随着计算机技术、信息技术的发展,企业的信息大多可以以数据的形式在信息系统之中存储、使用,这样信息系统的安全就成为了企业安全的重中之重。

但是企业的信息是多样化的,以不同的载体所承载,并不一定全部以数据的形式存在于信息系统之中。

如纸质合同原件,就是以纸作为载体的,在信息系统中只可能以扫描件的形式存储或存储合同草稿,而不可能以原件的形式存储。

即便信息系统是安全的,由于信息存储形式与传播方式的关系,存于信息系统中的信息也不一定安全。

如一些技术信息,通常会表现为“金点子”,通过会议传播或其他传播方式,被接触者存于大脑之中,此时即便是将上述信息存储于信息系统之中,且信息系统是安全的,也不一定能够保证上述信息不会流失。

再如在司法实践中侵犯 “客户名单”的案件占了侵犯经营信息案件的绝大多数,对于“客户名单”这类经营信息,如果侵权的员工存心侵权,其可能根本不需要进入信息系统中下载数据,只需要在日常工作时对客户情况进行一些记录、归纳、总结,可能就能形成一个较为完整的“客户名单”信息。

尽管信息系统承载了企业绝大多数的信息,但其不是唯一的载体,也不是说由信息系统承载的信息就必然是安全的。因此信息系统安全与信息安全是不能划等号的,信息系统的安全只是信息安全的一个组成部分。

对信息系统的管理只是商业秘密管理的一个组成部分

信息系统的安全措施对于企业外部主体的防护作用可能是有效的,外部主体要突破企业的“严防死守”较为困难,当然也存在突破技术控制措施侵入系统、破坏系统等情况,但这种情况较少。

对于内部员工而言,情况可能完全不同,实务中涉及侵犯信息的侵权主体一般都包括员工与前员工,最好的信息系统安全措施也可能防不住内部的人。

既然单纯的防守防不住,显然就需要维权,维权就需要企业能够明确其对信息享有的商业秘密权利,这些均需要通过企业的商业秘密管理予以实现,管理就需要有管理机构与职责的分配,还需要员工的参与,所以商业秘密管理就是一项系统工程,而对信息系统的管理只是其中的一个组成部分,只是一项或多项控制措施。

实务中许多企业明明非常重视信息系统的安全工作,投入也不少,技术手段也足够先进,但往往是效果不好,最为突出的一个现象就是防不住员工跳槽窃取企业的信息,许多企业对此是力不从心,究其原因,就是在于企业没有认识到信息系统的管理只是商业秘密管理的一个组成部分,没有做好企业的商业秘密管理这项工作。

重视信息系统安全是没有错的,IT人士主管信息系统的安全也没有错,错的是将信息系统的安全等同于信息安全,将信息系统的管理等同于商业秘密管理。所以在实务中不能只重视信息系统的安全,还必须重视企业商业秘密管理的建设工作,否则信息安全是没有保障的。