防守篇 保衛(wèi)商業(yè)秘密

　　有關(guān)商業(yè)秘密的例子比比皆是，而泄露商業(yè)秘密又經(jīng)常在不經(jīng)意之中。在許多案件中，宣稱情報(bào)被偷的公司結(jié)果發(fā)現(xiàn)很多都是在公司內(nèi)部沒(méi)有設(shè)立充分的保護(hù)和防備措施造成的。
　　因此，建立一套健全正規(guī)的反競(jìng)爭(zhēng)隋報(bào)體系保護(hù)企業(yè)的關(guān)鍵情報(bào)迫在眉睫。
　　反競(jìng)爭(zhēng)情報(bào)(defensive competitive intelligence)，是專門針對(duì)現(xiàn)實(shí)的或潛在的競(jìng)爭(zhēng)對(duì)手對(duì)本企業(yè)所進(jìn)行的競(jìng)爭(zhēng)情報(bào)活動(dòng)而展開的一種通過(guò)對(duì)本企業(yè)自身商業(yè)活動(dòng)的監(jiān)測(cè)與分析來(lái)對(duì)本企業(yè)的核心信息加以保護(hù)的活動(dòng)。反競(jìng)爭(zhēng)情報(bào)活動(dòng)的實(shí)質(zhì)就是企業(yè)通過(guò)正當(dāng)?shù)?、合法的手段積極抵御競(jìng)爭(zhēng)對(duì)手對(duì)本企業(yè)核心信息的情報(bào)搜集活動(dòng)。因此，反競(jìng)爭(zhēng)情報(bào)活動(dòng)不僅包括研究企業(yè)自身的防御方式與途徑，還要充分分析競(jìng)爭(zhēng)對(duì)手對(duì)本企業(yè)的競(jìng)爭(zhēng)情報(bào)活動(dòng)，以保護(hù)本企業(yè)各類核心秘密信息。
　　
　　基本構(gòu)成
　　
　　體系建設(shè)是保證一項(xiàng)工作全面、持續(xù)進(jìn)行的基礎(chǔ)。為了更好地開展反情報(bào)工作，使得企業(yè)反情報(bào)工作有條不紊、持續(xù)不斷地順利進(jìn)行，需要企業(yè)從總體上進(jìn)行規(guī)劃，全面地進(jìn)行體系規(guī)劃。企業(yè)反情報(bào)體系的構(gòu)成如圖2所示。
　　企業(yè)反情報(bào)組織是指為從事企業(yè)反情報(bào)工作而形成的企業(yè)內(nèi)部組織。企業(yè)建立專門的反情報(bào)部門，配備專職的反情報(bào)人員是企業(yè)反情報(bào)組織建設(shè)的一種思路。但是，由于企業(yè)情報(bào)的泄密與企業(yè)的各種活動(dòng)、企業(yè)員工的一舉一動(dòng)息息相關(guān)，因此企業(yè)反情報(bào)的思想應(yīng)該貫穿于企業(yè)運(yùn)作的始終，而企業(yè)的所有員工，都應(yīng)該成為企業(yè)反情報(bào)工作的一員。從這個(gè)角度說(shuō)，企業(yè)反情報(bào)組織也是分散的。
　　
　　企業(yè)反情報(bào)流程指導(dǎo)企業(yè)反情報(bào)工作的具體展開。許多企業(yè)只忙于應(yīng)付各種情報(bào)泄密導(dǎo)致的各種問(wèn)題的解決，而缺乏從總體上對(duì)企業(yè)反情報(bào)工作的步驟進(jìn)行把握，缺乏對(duì)企業(yè)反情報(bào)流程的通盤考慮。企業(yè)反情報(bào)流程的建設(shè)，將從操作上指導(dǎo)和規(guī)范企業(yè)反情報(bào)工作的進(jìn)行。
　　
　　流程建設(shè)
　　
　　企業(yè)反情報(bào)流程是指導(dǎo)和規(guī)范企業(yè)反情報(bào)體系運(yùn)作的基礎(chǔ)。美國(guó)的杰瑞·米勒(Jerry P.Miller)提出了類似情報(bào)循環(huán)的反情報(bào)模型——米勒模型，也是一個(gè)循環(huán)過(guò)程，它由以下步驟構(gòu)成，如圖3所示。
　　定義保護(hù)需求也就是需要確定需要保護(hù)的關(guān)鍵信息。關(guān)鍵信息是有關(guān)企業(yè)的意圖、能力，活動(dòng)的信息，競(jìng)爭(zhēng)對(duì)手需要這些信息來(lái)做可能影響企業(yè)的決策。關(guān)鍵信息包括企業(yè)的定價(jià)方法、進(jìn)貨渠道、關(guān)鍵客戶、產(chǎn)品配方、收購(gòu)計(jì)劃、戰(zhàn)略規(guī)劃等。這些關(guān)鍵信息可能涉及有關(guān)關(guān)鍵人員、關(guān)鍵設(shè)備、關(guān)鍵設(shè)施、關(guān)鍵活動(dòng)或關(guān)鍵作業(yè)。
　　確定關(guān)鍵信息可從檢查一項(xiàng)活動(dòng)的整個(gè)過(guò)程開始。根據(jù)競(jìng)爭(zhēng)對(duì)手現(xiàn)有的信息收集能力確定哪些指標(biāo)可以被競(jìng)爭(zhēng)對(duì)手獲得并加以利用，可能對(duì)企業(yè)產(chǎn)生不利影響。比如一件新產(chǎn)品的有關(guān)信息如果被競(jìng)爭(zhēng)對(duì)手加以利用，是否會(huì)導(dǎo)致你的產(chǎn)品優(yōu)勢(shì)被抵消?產(chǎn)品被克隆?被槍斃?或迫使你對(duì)產(chǎn)品重新進(jìn)行重大設(shè)計(jì)?如是，它們就是關(guān)鍵信息。
　　一旦確定了關(guān)鍵信息，就可結(jié)合競(jìng)爭(zhēng)對(duì)手的情況進(jìn)行分析以確定它們可能暴露關(guān)鍵信息的程度。
　　評(píng)估競(jìng)爭(zhēng)對(duì)手在這個(gè)階段，主要是評(píng)估競(jìng)爭(zhēng)對(duì)手的意圖和競(jìng)爭(zhēng)情報(bào)能力，評(píng)估競(jìng)爭(zhēng)對(duì)手得到該信息以后可能對(duì)企業(yè)造成的傷害。也即分析它們對(duì)本企業(yè)的哪些情報(bào)有興趣，并在多大程度上企圖獲取，競(jìng)爭(zhēng)對(duì)手的競(jìng)爭(zhēng)隋報(bào)能力，摸清對(duì)手常用的情報(bào)源和情報(bào)收集手段。
　　評(píng)估自身弱點(diǎn)主要是針對(duì)競(jìng)爭(zhēng)對(duì)手的情報(bào)收集手段和情報(bào)源應(yīng)用，發(fā)現(xiàn)自身隋報(bào)保護(hù)的敏感部門和薄弱環(huán)節(jié)。企業(yè)最容易泄露信息的地方在哪里?通過(guò)哪些部門或哪些員工泄漏?員工了解這些問(wèn)題嗎?應(yīng)該保密的地方是否不必要地透露了過(guò)多的信息?
　　所有可能泄露關(guān)鍵信息的渠道都應(yīng)被視為弱點(diǎn)，但并不是所有這些弱點(diǎn)都值得保護(hù)。在決定如何保護(hù)某一信息中的弱點(diǎn)或缺陷時(shí)，需要確定企業(yè)的信息有多么敏感?該信息有多高的價(jià)值?只有在競(jìng)爭(zhēng)對(duì)手需要這種信息時(shí)才值得采取措施。由于競(jìng)爭(zhēng)對(duì)手不同目標(biāo)也不同，因此對(duì)一個(gè)競(jìng)爭(zhēng)對(duì)手保密的東西同另一個(gè)競(jìng)爭(zhēng)對(duì)手可能不必保密。如果根據(jù)難易程度將暴露某一信息給競(jìng)爭(zhēng)對(duì)手的不同方法排隊(duì)，如果排在第2位的弱點(diǎn)難以采取措施，那么花錢對(duì)排在第5位的弱點(diǎn)采取措施便沒(méi)有任何意義。
　　
　　分析弱點(diǎn)時(shí)可能需要對(duì)企業(yè)整個(gè)作業(yè)或活動(dòng)進(jìn)行檢查，審查任何脆弱點(diǎn)以發(fā)現(xiàn)可能被競(jìng)爭(zhēng)對(duì)手利用的關(guān)鍵信息的指標(biāo)。審查可從競(jìng)爭(zhēng)對(duì)手的角度來(lái)審查，即把自己放在競(jìng)爭(zhēng)對(duì)手的角度，一步一步地檢查自己的活動(dòng)或作業(yè)的所有環(huán)節(jié)?？煞治龈?jìng)爭(zhēng)對(duì)手的行動(dòng)方案以發(fā)現(xiàn)他們收集關(guān)鍵信息的途徑。然后確定自己的經(jīng)營(yíng)行動(dòng)和競(jìng)爭(zhēng)對(duì)手的利用能力之間的關(guān)聯(lián)度。另外要考慮的因素是信息的時(shí)間價(jià)值以及競(jìng)爭(zhēng)對(duì)手在有效的時(shí)間內(nèi)收集和利用該信息的能力。
　　制定對(duì)策并實(shí)施在明確競(jìng)爭(zhēng)對(duì)手的意圖和能力、發(fā)現(xiàn)組織自身弱點(diǎn)的基礎(chǔ)上，有針對(duì)性地制定出破壞競(jìng)爭(zhēng)對(duì)手情報(bào)收集的具體對(duì)策，并應(yīng)用到實(shí)際工作中。假若競(jìng)爭(zhēng)對(duì)手的競(jìng)爭(zhēng)情報(bào)能力很弱，那么企業(yè)就可以把重點(diǎn)放在自身敏感部門和薄弱環(huán)節(jié)的改造上；而如果競(jìng)爭(zhēng)對(duì)手有很強(qiáng)的競(jìng)爭(zhēng)情報(bào)能力，利用豐富的人際網(wǎng)絡(luò)和其他手段“無(wú)孔不入”地搜集各種信息，那么企業(yè)就應(yīng)當(dāng)動(dòng)用所有的反情報(bào)能力保護(hù)企業(yè)的關(guān)鍵信息，并有針對(duì)性地向競(jìng)爭(zhēng)對(duì)手主動(dòng)提供迷惑性信息，從而對(duì)其起到誤導(dǎo)的作用。在本階段，風(fēng)險(xiǎn)分析人員將前面的步驟(關(guān)鍵信息、威脅、弱點(diǎn))整合，從中發(fā)現(xiàn)需要保護(hù)的地方。決策者根據(jù)前面的分析作出相應(yīng)決策。決策時(shí)可將前面分析的風(fēng)險(xiǎn)排序，將對(duì)策的成本(可用金額表示，也可用對(duì)業(yè)務(wù)的沖擊表示等等)同資產(chǎn)的價(jià)值對(duì)照，而將得到的好處同采取措施降低的風(fēng)險(xiǎn)損失對(duì)照。如果對(duì)策的成本低于保護(hù)的資產(chǎn)的價(jià)值，或得到的好處低于風(fēng)險(xiǎn)造成的損失，則沒(méi)有必要采取保護(hù)措施。
　　效果分析分析具體的反情報(bào)對(duì)策是否正確、實(shí)施情況如何，從而能夠根據(jù)情況的變化不斷地改變對(duì)策。在評(píng)估組織自身弱點(diǎn)、制定對(duì)策和效果分析的過(guò)程中，企業(yè)可以換位思考：以競(jìng)爭(zhēng)對(duì)手的角度對(duì)本企業(yè)的信息進(jìn)行搜集，從而發(fā)現(xiàn)企業(yè)自身的弱點(diǎn)；在此基礎(chǔ)上制定對(duì)策并實(shí)施之后，再以競(jìng)爭(zhēng)對(duì)手的角度對(duì)本企業(yè)進(jìn)行信息搜集活動(dòng)，對(duì)比兩次模擬競(jìng)爭(zhēng)對(duì)手情報(bào)活動(dòng)的差別，我們就能很好地把握企業(yè)反情報(bào)工作的效果。
　　結(jié)果傳遞本階段主要是將反情報(bào)的結(jié)果傳遞給決策者。正如情報(bào)產(chǎn)品如果不能及時(shí)到達(dá)、缺乏準(zhǔn)確性就不值得付給報(bào)酬一樣，反情報(bào)的成果也需要傳遞給領(lǐng)導(dǎo)。當(dāng)企業(yè)的決策者看到這些成果之后，也許能提出更多的反情報(bào)需求。
　　
　　保護(hù)信息安全方面的一些建議
　　
　　前面我們談到，應(yīng)盡可能延緩競(jìng)爭(zhēng)對(duì)手得到企業(yè)的關(guān)鍵信息，但是應(yīng)怎樣延緩呢?下面我們提供一些具體建議。
　　獲得高層管理者對(duì)信息安全的支持。
　　不要浪費(fèi)資源保護(hù)不值得保護(hù)的信息。
　　確定什么信息需要保護(hù)，需要保護(hù)多長(zhǎng)時(shí)間。
　　對(duì)于十分敏感的信息，應(yīng)人工傳遞或采用加密技術(shù)傳遞。
　　對(duì)于涉及敏感信息的廢紙或處理的資料，應(yīng)用粉碎機(jī)或其他方法處理使其沒(méi)有閱讀的可能。
　　重要的公司信息資料，不管是印刷品還是電子產(chǎn)品，都不能留在無(wú)人看管的旅館房間里。
　　電子郵件或聲音郵件的密碼必須嚴(yán)格保密并經(jīng)常更換。
　　所有敏感的資料都不能留在會(huì)議室里，會(huì)后所有黑板或白板都必須擦干凈。
　　如果可能，對(duì)所有接觸敏感信息的人的背景都應(yīng)該有所了解。
　　凡是可能接觸到企業(yè)專有信息的人，不管是員工、供應(yīng)商還是其他人，都應(yīng)簽署保密協(xié)議。
　　不滿的員工可能對(duì)企業(yè)構(gòu)成最大的威脅，應(yīng)注意處理同這類員工的關(guān)系。
　　由于監(jiān)聽技術(shù)的發(fā)展，不管是固定電話還是移動(dòng)電話的電話交談都很容易被截聽，如有必要，可安裝反截聽裝置。
　　對(duì)企業(yè)的物質(zhì)資產(chǎn)、信息資產(chǎn)和脆弱性應(yīng)該有充分地了解。
　　如果可能，所有對(duì)外公關(guān)的材料和其他公開資料，在發(fā)布之前應(yīng)盡可能先讓信息經(jīng)理審查一下。
　　在正式舉行新聞發(fā)布會(huì)之前，利用OPSEC法將擬發(fā)布的信息審查一遍，以判斷將信息發(fā)布出去的好處是否能抵消競(jìng)爭(zhēng)對(duì)手得到后而使企業(yè)可能付出的代價(jià)。
　　企業(yè)為履行某些義務(wù)或由于商業(yè)交往的需要可以讓參觀人員看他們的某些設(shè)施，但參觀人員所看的東西應(yīng)是對(duì)競(jìng)爭(zhēng)對(duì)手沒(méi)有什么戰(zhàn)略價(jià)值的東西。參觀時(shí)要有人陪同，不要讓參觀人員隨意走動(dòng)。
　　工程師和研究人員在學(xué)術(shù)會(huì)議上提供的技術(shù)文件也可能泄露秘密。應(yīng)對(duì)企業(yè)人員在會(huì)議上提供的資料進(jìn)行審查，以確保戰(zhàn)略規(guī)劃或其他保密信息沒(méi)有被泄露出去。
　　非公司員工，包括供應(yīng)商、銷售商、郵遞員、印刷商、銀行和其他機(jī)構(gòu)的人員都可能了解企業(yè)的某些保密信息。盡管可以同他們簽訂保密協(xié)定，但更重要的是讓他們都了解保守秘密的重要性。
　　員工絕不要在公眾場(chǎng)所討論保密信息。
　　所有的招工廣告都應(yīng)經(jīng)過(guò)一定的審查，以確定其中哪些內(nèi)容是否特別重要，應(yīng)該保密。有些時(shí)候打非署名廣告或通過(guò)獵頭公司招聘效果可能更好。
　　公司內(nèi)的網(wǎng)絡(luò)應(yīng)嚴(yán)防非授權(quán)人員使用，并應(yīng)隨時(shí)檢查“防火墻”的可靠性。
　　法律訴訟常導(dǎo)致信息的泄露，從而使競(jìng)爭(zhēng)對(duì)手得到好處。企業(yè)應(yīng)特別考慮起訴某人或被某人起訴時(shí)，可能造成的信息泄露。潛在的泄露可能需要企業(yè)在法庭外“私了”一些案子。
　　應(yīng)同所有的員工簽訂保密協(xié)定，其中應(yīng)包括對(duì)公司無(wú)傷害原則，即公司的員工以后不管到哪兒工作，不能做任何可能對(duì)公司造成傷害的