近年來由於產業競爭激烈,企業挖角與資料洩漏的新聞事件時有所聞,而現代企業中的重要機敏資料都已經電子化,風險也不斷增高,資料保護儼然成為企業風險管理上最重要的議題。
許多擁有特殊Know-How的企業深知技術開發不易,因此以非常嚴謹的角度尋求資安工具的保護,如加密軟體、DLP資料外洩防護、檔案監控軟體、員工通訊監控設備等,或是尋求管理顧問諮詢、請律師制訂內部契約等。中華數位企業資料保護研究小組推出的營業秘密管理諮詢服務,在2013年協助生技業、製造業、傳統產業等不同領域的企業,提供相關諮詢與輔導服務,並就服務的經驗,歸納出企業在做營業秘密管理時常見的五大迷思:
1.老闆認為營業秘密法就可以保護企業的機密資料,無須付出管理成本
營業秘密法所保護的機敏資料,其必須具備「秘密性」、「經濟價值」、「合理保護措施」等要件,並非所有的企業資料都是由法律保護。企業至少應完成「營業秘密盤點」、「機敏資料標示」、「檔案分級控管」等內部作業,並辦理員工宣導,才是符合法律對營業秘密資料的「秘密性」、「合理保護措施」等要件,而「經濟價值」也會藉由盤點與宣導的方式進行營業秘密的價值宣示,在法律上也具備一定的參考價值。
2. 內控、稽核部門以為要達成機密資料的保護,就必須全面性監視員工
為了保護企業機密資料而全面性監視員工,將有可能侵害到員工的隱私。員工的隱私屬於憲法所保障的人格權,任職時所簽署的保密合約並不能無限上綱的剝奪員工隱私。針對重要的機密資料,企業應當採取侵害員工隱私最少的方式來達到監控、稽核之目的,且相關作法應由員工(或工會)同意並公告程序,以尊重員工的隱私權益,也能夠強化企業與員工間的信任關係。
3.管理部門認為機密資料的保護,只要找到適合的檔案加密工具就足夠
機敏資料的保護,除了加密工具(或是監視工具)外,實務方面還可考量到管理制度,如管理委員會、管理規章、安全教育與宣導;人員管理,如保密條款、智慧財產歸屬條款、監控與稽核、離職程序;資料管理,如機敏資料盤點標示、檔案分級控管、檔案權限管理。資源充足的企業,可以結合ISO27001的控制措施來強化資料安全。上述實務管理,執行的面向越多,越能讓高階主管與員工能夠建立起保護公司機密的共識,絕對比單純的導入資安加密工具更具管理效果。
4. 資訊部門認為高階主管是無法管理的,資料外洩是必然的風險
高階主管是一般企業最頭痛的資料外洩管道,不但競業禁止條款難以發揮效果(因為挖角方可以高額費用進行挖角),且公司大部分的資料保密程序到高階主管都等於全部例外,因為他們經常「出差」且「在外辦公」,機密資料的攜出是例行公事。高階主管實際上是機密資料外洩的高風險單位,因為他們實質掌握公司的重要營業機密。這類人員為了兼顧生產力所以開放許多權限,在過去是難以管理的,但近年來雲端工具的盛行,事實上已經為此類人員提供一套完善的資料管理機制,不但可以有資料同步功能滿足出差需求,且資料是以加密狀態儲存,所有的動作都是可以稽核的。
5. 資訊部門認為資料加密工具的使用,目標是加密公司的全部機敏資訊
資料加密工具的使用近年來非常盛行,但事實上要加密企業內部的所有機密資料,是不可能的,也沒有企業可以做到,加密過多的資料會造成員工生產力降低的反效果。而且許多的重要Know-How,包括技術與營運機制等,並非以電子檔形式儲存。資料加密工具的使用,主要是處理企業內風險最高的資料類別或系統,降低企業整體的資料風險即可。全面性的檔案加密,會導致系統運作問題、生產力變差,是資訊部門應該小心考量的問題。