近期資安事件頻傳,營業祕密外洩的風險也越來越高,所以許多公司開始透過 ISO 27001資訊安全標準或是 TIPS 智財管理制度來建立或優化公司的資安/營業秘密管理辦法,甚至,除了辦法準則之外,還希望利用資訊系統進一步妥善管理防護。那麼到底應該怎麼開始規劃呢?
從法律定義來看營業秘密可以是方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,只要符合機密性、有經濟價值以及經合理保護,都可以是法律保障的標的。但是從資訊管理角度來看,上述這些內含營業秘密的資訊,可能存在於不同部門,並以不同的資訊形態存在。例如: 方法可能是紀錄在SOP標準作業流程文件檔案當中,而製程、配方可能是內建於機台的參數檔,又程式或是設計則可能是某個專用的系統的特殊檔案(如PDM系統中的3D檔案)。要將公司內符合營業秘密定義的標的逐一清查出來,絕對是個不亞於知識盤點的大工程。而要將這些清查出來的營業秘密集中管理,難度一定更大。新聚能建議採用以下步驟,將可讓系統規劃事半功倍。
一、用類別方式進行營業秘密盤點:
由於稍具規模的公司,每天新增的文件或機密資訊可能會數以千計,逐一盤點勢不可行,但如果先用部門別(產/銷/人/發/財)、工作流程(採購/銷售/新產品開發…)或是資訊型態(軟體/硬體/資料…)等類別劃分,則應該可以掌握各部門日常作業大致會產出的文件或資訊,就可先在此層次定義出可能的機密性、敏感性或是相關資安洩漏風險。(想知道如何進行營業秘密盤點,可以參考之前發布的 「企業做好營業秘密盤點的工作要點」一文) ,而這個流程也可以考慮跟 ISO27001的資訊資產風險評估表整併。
二、找出高風險且缺乏妥善管理的機密資訊/文件類別 優化其管理機制:
上述步驟,其實就是盤點出公司營業秘密管理的現狀(AS-IS)。根據經驗,企業早已對大多數的高風險或高價值的機密資訊進行相對應的管理機制。例如: 重要的財務、人資資訊,是用專門的ERP與HRIS系統進行管理,而研發單位所產出的2D/3D機構或是電路產品設計檔案,可能還需要用專用的機器連線採能操作,所產出的設計檔案也無法另存於指定範圍之外的儲存媒介。
但盤點結果還是可以讓公司發現,會有某些文件/資訊類別的管理防護機制不符合其機密等級,而這就可考慮採用更佳資訊化方案來提高其資安防護等級。而研究紀錄簿的管理就是蠻常見的例子 : 目前多數企業的研究紀錄仍是採用紙本方式運作。由於是用紙筆紀錄,所以通常只有發明人以及共同見證人才會知道發明的內容,雖然許多研究紀錄簿管理辦法規定發明人主管要定期檢查,但由於研發部門工作相當繁雜,這個規定也時常被忽略。所以當發明人離職,研究紀錄簿被歸檔,內容從此就不見天日。如果此員工之後到其他公司將營業祕密外洩(如申請專利)時,原東家可能完全不知道或是不容易舉證。所以近期有越來越多企業開始採用電子化的方式進行研究紀錄簿管理。研究紀錄簿電子化之後,不但可以用電子簽核來執行共同見證、主管定期檢核查閱的流程,還可以將研究紀錄跟研發專案等資訊整合,確認專案的資金來源是源自於自行研發或是客戶委託(客戶有支付開發費用),智財權歸屬的界定,以及是否有保密限制。如此,研究紀錄中若有重要的成果,希望進一步的權利化登記,就可以檢核相關資訊進行完整的評估,以避免因為申請專利而洩漏負有保密義務的重要技術秘密。而此研究紀錄對應的專案工時資訊,或是相關投入的成本資訊,也可以作為此營業秘密的價值評估依據。
三、降低因資訊化而產生的工作負荷
透過前兩個步驟,應該就可將公司重要的機密資訊/營業秘密確認, 並將其管理機制調整至符合其機密等級的方式。那麼公司需要跟台積電一樣建立專門的營業祕密登錄系統嗎 ?
我們認為問題不在於系統,而是公司內部是否已有相關的流程。因為就連台積電在推動營業秘密登錄系統之初,也是由副法務長領軍,設置登錄獎勵機制以及不斷地內部宣傳培訓,才讓登錄系統的使用量逐年提高。若公司過去不曾執行過營業秘密提案登錄的制度,也沒有規劃搭配的權責人員與獎勵機制,貿然導入營業秘密登錄系統可能不容易順利運作。因為資訊化適合的場景是將已有的流程簡化/自動化、而非是在導入新的作業流程之初。
那如果公司確實還沒有營業秘密登錄的流程機制,是否就要開始制定了呢?
我們認為與其制定新的程序,倒不如從既有管理程序當中找出適合的流程進行改良擴充,例如營業祕密登錄機制,就跟內部的作業改善提案單類似,公司就可以用這個已經習慣的流程加以改良;或者,也可以利用研究紀錄簿來管理,將電子化的研究紀錄簿轉變成電子化的工作日誌,這樣就比較符合員工的工作習慣。
為了讓使用者更容易採用或是遵循新的資訊化方案,也可以從作業流程角度來分析最適合的切入點。例如: 透過Web文件管理系統進行機密文件分級,需經過1. 文件新增 及2. 檔案上傳 3. 儲存 等至少三個步驟。 但是如果採用 Microsoft Purview 資訊保護的標籤功能,就可以在Office檔案建立時,就可按照分類規則套用標籤,可節省使用者兩個額外步驟,就比較容易被使用者接受。
由於企業當前面臨各種資安、營業秘密、智財管理法遵合規要求,管理成本急遽上升,透過適當的資訊化方案整合,確實可以有效提高資安、營業秘密管理的法遵合規程度,並提高同仁配合意願。新聚能也很樂意以法遵與資訊化的專長,提供客戶適切的服務規劃,歡迎有興趣的朋友來信諮詢。