商業(yè)秘密信息系統(tǒng)防護(hù)措施(下)
日期:09-10
點(diǎn)擊:351
屬于:精品文章
本期從加強(qiáng)技術(shù)管控����、鞏固關(guān)鍵環(huán)節(jié)��、加大監(jiān)管及風(fēng)險(xiǎn)防控力度3個(gè)方面為您介紹商業(yè)秘密信息系統(tǒng)的防護(hù)措施。加強(qiáng)技術(shù)管控�����,提升商業(yè)秘密信息系統(tǒng)技術(shù)防護(hù)能力
隨著網(wǎng)絡(luò)安全法���、數(shù)據(jù)安全法��、密碼法����、網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法及各行業(yè)商業(yè)秘密管理辦法的發(fā)布實(shí)施���,企業(yè)商業(yè)秘密信息系統(tǒng)應(yīng)與這些法律法規(guī)和標(biāo)準(zhǔn)進(jìn)行對(duì)標(biāo)建設(shè)�����,并結(jié)合企業(yè)工作實(shí)際,建立完善的商業(yè)秘密信息系統(tǒng)的安全防護(hù)技術(shù)保障體系�。此外,企業(yè)應(yīng)針對(duì)特殊新興技術(shù)的使用場(chǎng)景制定專門的安全保密方案和防護(hù)措施�,加強(qiáng)網(wǎng)絡(luò)安全保密防護(hù)能力,降低商業(yè)秘密數(shù)據(jù)泄露的風(fēng)險(xiǎn)��。鞏固關(guān)鍵環(huán)節(jié),加強(qiáng)商業(yè)秘密數(shù)據(jù)和設(shè)備全生命周期管理
商業(yè)秘密信息系統(tǒng)的防護(hù)關(guān)鍵為保障商業(yè)秘密數(shù)據(jù)的安全�,商業(yè)秘密數(shù)據(jù)全生命周期可分為6個(gè)階段:數(shù)據(jù)采集、數(shù)據(jù)傳輸�、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理��、數(shù)據(jù)交換���、數(shù)據(jù)銷毀��。應(yīng)梳理商業(yè)秘密數(shù)據(jù)資產(chǎn),形成商業(yè)秘密數(shù)據(jù)資產(chǎn)臺(tái)賬��;采取技術(shù)措施管控對(duì)商業(yè)秘密數(shù)據(jù)定密����、解密等操作���,并具有相應(yīng)審計(jì)措施�;商業(yè)秘密數(shù)據(jù)網(wǎng)絡(luò)傳輸時(shí)�����,應(yīng)采取商用密碼加密等技術(shù)措施進(jìn)行保護(hù),防止傳輸?shù)男畔⒈桓`?����?����;基于最小授權(quán)原則�,根據(jù)企業(yè)自身實(shí)際情況對(duì)不同類別的商業(yè)秘密數(shù)據(jù)設(shè)置相應(yīng)權(quán)限;對(duì)商業(yè)秘密數(shù)據(jù)的外發(fā)行為進(jìn)行審批�����、授權(quán)等控制���;具備商業(yè)秘密數(shù)據(jù)的本地備份與恢復(fù)功能��,建立數(shù)據(jù)備份與恢復(fù)策略����,明確數(shù)據(jù)備份和恢復(fù)的范圍����、頻率、工具��、過(guò)程��、日志記錄�、數(shù)據(jù)保存時(shí)長(zhǎng)等;商業(yè)秘密數(shù)據(jù)銷毀后應(yīng)該對(duì)處理數(shù)據(jù)的載體進(jìn)行數(shù)據(jù)清除���、盤體銷毀�����。
需要流轉(zhuǎn)到境外的商業(yè)秘密應(yīng)事前評(píng)估出境的合法性�、必要性���;評(píng)估商業(yè)秘密數(shù)據(jù)泄露�����、損毀的風(fēng)險(xiǎn)�;評(píng)估境外接收方所在國(guó)家或地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響����;與境外接收方訂立數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件���,并明確約定數(shù)據(jù)安全保護(hù)的責(zé)任義務(wù)。通過(guò)數(shù)據(jù)加密存儲(chǔ)等相關(guān)技術(shù)�,確保商業(yè)秘密不被泄露或竊取。同時(shí)����,企業(yè)應(yīng)加強(qiáng)對(duì)商業(yè)秘密信息設(shè)備的全生命周期管理,尤其應(yīng)關(guān)注信息設(shè)備的維修和銷毀環(huán)節(jié)��。存儲(chǔ)商業(yè)秘密數(shù)據(jù)的終端硬盤等存儲(chǔ)介質(zhì)一般不允許送外維修��,如必須送外維修��,應(yīng)選擇相關(guān)管理部門批準(zhǔn)的維修機(jī)構(gòu)��;硬盤等存儲(chǔ)介質(zhì)的銷毀應(yīng)選擇相關(guān)管理部門批準(zhǔn)的銷毀機(jī)構(gòu)����。加大監(jiān)管及風(fēng)險(xiǎn)防控力度,建立商業(yè)秘密監(jiān)測(cè)預(yù)警制度
應(yīng)加大行業(yè)監(jiān)管力度��,從行業(yè)層面搭建協(xié)同溝通平臺(tái)��,為行業(yè)內(nèi)所屬企業(yè)加強(qiáng)信息系統(tǒng)中商業(yè)秘密信息安全體系建設(shè)提供全面支撐����。完善各企業(yè)保密協(xié)作模式�����,定期組織開(kāi)展溝通交流和定向調(diào)研等,及時(shí)交流各企業(yè)商業(yè)秘密信息系統(tǒng)保護(hù)工作中遇到的新情況����、新問(wèn)題、新挑戰(zhàn)�,推廣應(yīng)用新方法、新技術(shù)��、新手段�,形成良性互動(dòng)、共同提升的局面�����。同時(shí)����,加強(qiáng)行業(yè)監(jiān)管,定期開(kāi)展對(duì)所屬企業(yè)的保密檢查���,尤其關(guān)注商業(yè)秘密信息系統(tǒng)的安全管控是否到位����。
企業(yè)應(yīng)建立商業(yè)秘密監(jiān)測(cè)預(yù)警制度,加強(qiáng)商業(yè)秘密信息系統(tǒng)安全信息收集����、分析,建立健全商業(yè)秘密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制�����,制定安全事件應(yīng)急預(yù)案����,并定期組織演練。安全事件應(yīng)急預(yù)案應(yīng)按照事件發(fā)生后的危害程度�����、影響范圍等因素對(duì)事件進(jìn)行分級(jí)�����,明確相應(yīng)的應(yīng)急處置措施�����。一旦發(fā)生安全事件,立即啟動(dòng)應(yīng)急預(yù)案���,對(duì)事件進(jìn)行調(diào)查評(píng)估����,采取技術(shù)措施和其他必要措施��,消除安全隱患�����,防止危害擴(kuò)大�。【摘編自《保密科學(xué)技術(shù)》2024年1月刊《商業(yè)秘密信息系統(tǒng)風(fēng)險(xiǎn)分析及防護(hù)建議》一文�,作者:韓雪、劉振慧�、羅雪萊】
