上海商业秘密律师网北京 2014-12-23(中国商业电讯)--2010年4月26日,为防止“力拓案”再现,国务 院国资委网站发布 《中央企业商业秘密保护暂行规定》,要求中央企业将商业秘密保护工作纳入风险管理。2012年5月,国务院国资委再次发布《中央企业商业秘密信息系统安全技术指引》(下面简称技术指引或指引),标志着央企商业秘密保护从宏观要求进入落地阶段。该指引明确规定中央企业必须建立相应的信息安全支撑体系对本单位的商业秘密信息系统进行安全保护,其核心继续直指承载着各类央企商业秘密的敏感数据的安全问题,防止信息泄露成为央企商业秘密保护建设的关键和核心。
目前,经过多年的合并重组,央企总数已经从国资委最初成立时的近200家削减为目前的112家,这些央企总部基本都已经设立了保密委、保密办、保密工作领导小组等相关机构,负责保密相关的工作,但传统上,这些相关工作更为关注的是国家秘密,商业秘密相对而言并没有得到足够的重视。
对此,业内专家,中国软件通用产品事业部副总经理王文宇先生指出,在目前112家央企中,除了11大军工集团因为业务原因,涉及国家秘密较多外,其余百余家央企只在小范围内涉及一定的国家秘密,而国家秘密的保护,更多的遵循国家保密局等相关管理机构的标准和规范,组建了独立的、与外界物理隔离的涉密网。王文宇先生表示,大部分央企的大部分业务并没有运行在独立的涉密网内,而且因为兼顾效率的原因,也不适合大规模的采用物理隔离的方式进行信息保护,这就是目前央企对商业秘密保护遇到的一个现实的难题和挑战。而技术指引的出台,就是为了在兼顾业务和安全的前提下,规范和指导各级央企进行切实有效的商业秘密保护工作。
据了解,指引共计6大类,近200项具体要求,其核心是数据安全保护,还包括网络安全、服务器与应用安全、终端安全、移动介质安全以及制度的安全,以期建立一个相对完善的防护体系。指引出台初期,个别央企信息主管表达过重复建设的担心,对此,王文宇先生首先分析了目前几个主要的信息安全建设标准,他谈到,目前我们信息安全建设体系,主要遵从两个标准和规范,一个是国家保密局主导的,保护涉及国家秘密信息系统的分级保护标准和规范,一个是公安部主导的,保护非涉及国家秘密信息系统的等级保护标准和规范。分级保护主要通过建立物理隔离的涉密网,并辅助一系列安全软硬件和严格的制度,在基本实现信息保护的同时,也带来了一系列负面问题,典型的比如工作效率降低,审批工作的增大等,主要适用于对信息安全有极高要求的军工企业。等级保护为更为广泛意义上的信息系统建立了相对完整的安全保护体系,但是在数据安全方面,主要强调了数据备份安全,对数据特别是大量的非结构化数据的泄密问题,并没有明确的要求。而技术指引正是在参考了分级保护和等级保护的相关要求的基础上提出的,并突出了机密性这个数据安全的核心需求。同时,王文宇先生强调,央企商密建设过程是一个安全增强过程,肯定不是重复建设,在网络安全、终端安全等传统等保覆盖的范围内,更多的是利旧(即利用现有的软硬件设备,通过安全策略的调整达到安全增强的目标),新建的核心和重点主要在数据安全本身。整体而言,我们提出的思路是商保达标、等保合规的二合一解决方案。
央企是我国经济建设的的中坚力量,一直以来在我国的国民经济建设和发展中发挥着主力军的作用。这些年,企业信息化建设得到了长足的发展,越来越多的敏感内容以电子信息的形式存在,潜在的风险也越来越大,事实上也发生了不少信息泄露事件,给企业经营、甚至国计民生带来了很大的影响。强化央企商密保护建设,实现对重要经营信息和技术信息等商业秘密的有效保护的必要性和重要性越来越凸显出来。