近兩年來在兩岸三地積極地教育營業秘密保護法的中華數位,已累積不少實務經驗,也從中發現,多數的案例最後都不易被問罪,無法如同台積電28奈米製程遭竊取案,在短時間內即可調查終結,並予以起訴。中華數位企業資料保護研究小組專案顧問吳毅勛觀察,主要原因仍舊是企業通常在出事之後才會驚覺自身對於營業秘密的管理實在過於欠缺。
他進一步提到,營業秘密保護法屬於法律層面的議題,必須符合條文定義的特性與要件,包含定義營業秘密資料類型、僅有少數高層管理允許存取,並且已針對標的文件施以管理與保護措施。因此營運管理者必須先建立風險意識,各個部門才會重視外洩問題。
|
▲ 中華數位企業資料保護研究小組專案顧問吳毅勛認為,對於雲端服務的應用,須先行掌握保護標的資料與範圍,之後員工的儲存與傳輸機制,皆必須在可控管的前題下開放執行,非允許的SaaS則嚴加阻擋,才能具備風險控管能力。 |
可惜台灣企業以營業秘密法提告的勝訴率大約不到四成,吳毅勛觀察,主要問題並非事實不存在,大多是無法提出具證據力的資料。畢竟營業秘密法有其專業性,並非IT領域可完全掌握。「營業秘密法所指的管理與保護措施,並非為資安領域思考邏輯。多數資安建置要求具備保護措施,營業秘密要建立的則是專業水準的控管,難度更高。」
吳毅勛舉例,第一步應實施的盤點工作,找到營業秘密資料的範圍、等級,才能擬定管理辦法。且初期盤點不建議由企業戶自行處理,必須交由專業顧問團隊來執行,才有能力依據法律思維清楚定義營業秘密。其次是找到儲存位置後,擬定保護管理辦法,諸如調閱、備份、傳輸模式等,最後才是評估市場上可輔助執行的工作。過程中需要組織全體同仁的配合,且可能在工作流程中需建置控管工具,例如Log分析、DLP等機制,若非由營運管理者監督推動,恐無法順利達成目標。
欲有效達到降低資料外洩風險性,除了符合營業秘密法要件,吳毅勛認為,最終關鍵還是在於持續不斷地強化員工對資安的觀念,進而內化到日常工作細節,再搭配工具輔助監看,才得以發揮整體效益。尤其是為了提升生產力、降低IT支出,近年來企業已逐步開放讓員工採用雲端服務,IT管理者必須有能力向營運階層提出利弊得失的分析,並且擬定資料保護的因應辦法。持續對決策階層、對內部同仁溝通,從根本思維扭轉,才可能提升整體資安素養。