【營業秘密開講】EP10─營業秘密管理跟ISO27001不一樣

我們在上一集,介紹到了營業秘密管理會產出的各種報表之運用情境。

很多人以為企業只要導入資訊安全系統,就有不需要營業秘密管理系統了?No不一樣啦!

這集我們要來釐清:營業秘密管理vs. ISO 27001,兩者之間的差異到底在哪?又該如何落實?精彩內容全都在這集,不要再錯過!

  1. 介紹ISO 27001資訊安全管理
  2. ISO 27001 vs.智財管理的差異
  3. 公司治理評鑑指標2.24 vs. 2.27的差異
  4. 導入ISO27001,還是需要營業秘密管理系統嗎?0
  5. 營業秘密商品化決策資訊

營業秘密管控這幾年議題不斷升高,主要也是隨著人才全球化的流通,這無形之中也造成企業的創新技術對外流失,但是在企業事後獲知內部的營業秘密被人員帶走,常見問題就是舉證不容易,其中最大爭議是:

1.員工會認為這是我就職前個人的知識或經驗,所以並非新東家的營業秘密範圍。

2.大家在任職期間沒有確實落實要求保密管理機制,甚至在人員離職的時候也沒有好好進行面談再說「再見」,這些情境都可能引發企業在跟員工或是合作廠商進行營業秘密主張不容易的問題。

但是這或許不是營業秘密主張不容易,而是企業的營業秘密管理有沒有切實落實的問題。其中,也有廠商以為我們公司已經有導入ISO27001就認為營業秘密管理已經做到管理了,這個觀念我們就在這集要來跟大家好好的探討。

今天要來探討營業秘密管理與ISO 27001的資訊安全的差異,很多人都以為企業只要導入ISO 27001,就算有達成營業秘密保護了,這個觀念其實是不對的。所以透過這集的討論,也要直接跟大家釐清:ISO 27001跟營業秘密管理,兩者不同的地方。企業導入ISO 27001系統後,還是需要建立營業秘密管理系統,兩者應該相輔相成運行。



介紹ISO 27001資訊安全管理

如果單純從資訊系統來看,資訊安全管控範圍非常大,舉凡如門禁系統、文管系統甚至mail系統都是屬於資訊安全的管控系統。

簡單的說,ISO 27001資訊安全管理,主要將企業的各式資訊、資料,建立安全的保護管理措施。但是各系統的管制程序及章程辦法,還是需要由各別專門的業務管理單位來制訂與執行,並非全是交由資訊單位處理。

資訊單位需要負協助各系統間的整合運作,例如:人事資料傳遞的安全規範,跨系統間要進行人員帳號的權限驗證等,這些跟資料的介接或存取控制管理相關的業務,就會需要資訊單位協同處理。

也就是說,資訊單位的資安管控,是就組織的整體資訊安全進行規劃跟管控的,但是各系統的管理制度與落實,回歸各業務單位。

一般而言是這樣的,不過公司可以依據業務職掌範圍來訂定管理方法。


ISO 27001 vs.智財管理的差異

我們先就ISO系統層面來探討,ISO27001跟營業秘密甚至智財管理,到底哪裡不同?

解析ISO27000體系

先跟大家科普一下ISO系統哦!ISO27000是ISO體系中,針對「資訊安全管理系統」的一個系列標準。在這個系列下,包含有:ISO 27000 是針對「資訊安全管理系統」的概觀與詞彙說明等。ISO 27001,尾數是1的,是系統的「要求事項」,也就是企業要導入甚麼系統標的,就要符合相關系統的1的要求。所以我們會說ISO27001、ISO14001、ISO9001等等,因為企業要取得導入系統的驗證,就要滿足相關各系列標準下,尾數1的系統要求事項。

其他,以ISO27000「資訊安全管理系統」的系列標準中有以下:

ISO27001 — 資訊安全管理系統-要求事項
ISO/IEC 27002 — 資訊安全管理-作業規範
ISO/IEC 27003 — 資訊安全管理-實作指引
ISO/IEC 27004 — 資訊安全管理系統-測量
現在發布已經有26個系列,大家如果有興趣可以到標準檢驗局-國家標準(CNS)的網站查詢,就有相關的ISO27000系列資料可以參考。

解析ISO中的智慧財產管理

那ISO系統有智慧財產管理嗎?

當然有啊!企業的智財管理,跟企業的創新能力最具有關聯。

以在ISO系列中的創新管理,也就是ISO 56000系列中,ISO 56005就是專門提供保護創新技術的「智慧財產管理指南」。

不過現在ISO 56001也就是創新管理的要求還沒有出來,所以還不能做驗證。不過ISO 56005智慧財產權管理指南已經正式發佈了,大家還是可以了解相關具體的管理措施及方法。

所以就ISO系統來看,資訊安全跟智財管理本質上就不一樣哦!


公司治理評鑑指標2.24 vs. 2.27的差異

國內金管會在2020年的公司治理評鑑指標也將智財管理制度納入董事會的風險管控執掌內,如果誤觸智財權爭訟議題,非常容易讓公司的經營管理遭受阻礙,所以金管會在推動永續經營政策時,就將智財管理制度納入考量,強化組織的智財保護能力。

    –公司治理評鑑指標2.27

公司治理評鑑指標2.27項是在談「公司是否制訂與營運目標連結之智慧財產管理計畫,並於公司網站或年報揭露執行情形,且至少一年一次向董事會報告」,也就是要求上市上櫃公司要制定智慧財產權管理計畫。

同時2.27項的評鑑指標也是一個加分項,如果有導入台灣智慧財產管理系統(TIPS)、ISO 56005或類似之智慧財產管理系統標準,並經第三方驗證,這個項目是可以總分加1分的。

但現在這個ISO 56005是個指南,他不是ISO 56001的要求啊,可以驗證嗎?

ISO 56005是不可以驗證的,所以現在企業都是透過TIPS通過驗證,申請公司治理評鑑總分+1的。

    –公司治理評鑑指標2.24

導入ISO 27001也落入公司治理評鑑指標嗎?

沒錯哦!公司治理評鑑指標2.24就是在要求「公司是否建置資通安全風險管理架構,訂定資通安全政策、具體管理方案及投入資通安全管理之資源,並揭露於公司網站或年報」同時,這也是一題加分項,因此有導入ISO27001並通過第三方驗證,也是可以取得總分+1的項目哦!

所以2.24和2.27這兩項都是屬於董事會的風險管控執掌,因為都是2開頭的公司治理評鑑指標項目,是屬於「強化董事會結構與運作」的項目。

所以根據ISO系統來看,ISO 27001是資訊安全管理,ISO 56005是智慧財產管理。

從公司治理評鑑指標來看,資訊安全管理是2.24的規範;智財管理是2.27的規範,這也都是不一樣的。

其實,我們TIPS的規範架構也是遵循ISO系統的架構,之前也有跟大家大概介紹過,ISO的系統的架構原則都一樣,只有第8單元會根據各導入系統不同,而有所不同。
27001是資訊安全管理第8單元,是在談資訊安全「運作之規劃及控制」、「資訊安全風險評鑑」、以及「資訊安全風險處理」。但是TIPS第8單元是在談智財的「取得」、「保護」、「維護」、「運用」,這兩者完全不同。



導入ISO27001,還是需要營業秘密管理系統嗎?

那為什麼會有廠商朋友提到,我公司已經有導入ISO27001了,還需要導入營業秘密管理系統嗎?

其實這兩個系統並非各自獨立運行的!
我們也可以從另一方面來思考,導入27001了,還需要導入專利管理系統嗎?或是商標管理系統嗎?

當然要啊!這兩者是無關的。專利的提案、評估、申請、甚至維護與運用都要經過審查的,是有專門專業的人員或是系統來處理的,這個部分一般的資訊單位或是其他資訊系統是無法取代使用的。而且,專利有繳費問題,也有年限管理的問題,也有各國制度差異的問題等等,都是需要管理的。

所以營業秘密也一樣,專利需要經過審查,營業秘密也同樣需要經過審查。專利需要定期評估盤點狀態,營業秘密也需要定期盤點,才能讓接觸的人了解營業秘密的等級和範圍,營業秘密的保護是否需要考慮用其他的智財權來保護,或是當我們跟別人合作的時候,需要跟別人講清楚,雙方簽訂保密協議。甚至透過營業秘密的定期盤點,我們才能評估無形資產的價值,有多少營業秘密案件,價值有多少等。

我想這樣講大家就很清楚了,這就是營業秘密的管理!營業秘密不是僅僅用資訊系統來提供資訊安全的保護作用而已,營業秘密還需要經過提案、評估、維護、以及運用的。這個制度流程不是資訊安全的議題,而是貴公司對於營業秘密管理制度的問題。

資訊系統只是輔助的工具,如果您使用的是一般組織內的flow系統,或是文件管理系統來客製進行管理營業秘密的產出,這就會落入難以落實營業秘密的管理有效性問題。

我們企業現在對於營業秘密的落實,大多都以為營業秘密管理就是機密文件的管理,但這最終對於營業秘密的利用還是不足的,只會形成束諸高閣的營業秘密智力成果,當發生營業秘密被帶出去的時候,會難以主張,因為機密文件主要是強調文件等級的標示與辨識,對於營業秘密的管理還是不夠主動與積極。
建議大家營業秘密成果是大家努力很多年的創新結晶,還是需要「專門、專業的營業秘密管理系統」來協助作業,是落實營業秘密管理的第一步。



落實營業秘密管理的致勝法寶

我常見到,許多廠商來找我們導入TIPS制度,我們顧問通常會進行一個初步診斷,常見的問題是他們公司不見得每年都會申請商標或是專利,所以在進行驗證時,就會有點困難。
但是,廠商都會告訴我們他們公司每年都會有營業秘密產出,這個部分絕對是正確的,否則為什麼會有研發部門,但是我們再進一步詢問,每年的營業秘密產出大概多少?累積到目前大概有多少案量?等等,其實一般企業都是不清楚的。

為什麼呢?為什麼組織會知道自己有營業秘密產出,卻無法掌握營業秘密的數量?

其實這就像您公司如果只用一般的資訊系統來標註營業秘密,或是記錄營業秘密,長期下來就很容易落入反正他就是一般的重要機密文件,可是我們的營業秘密保護標的在法律層面上需要考慮營業秘密的三性,其中最重要的就是營業秘密的價值評估,營業秘密要保護的是具有價值的「技術」或「商情」喔。
標示或是紀錄都只是「合理保護措施」的一種,他不能代表這就是營業秘密的管理。
而且,我們的智財智力成果最後是要能夠價值再利用的,如果只是標示或是紀錄,如何進行營業秘密的運用呢?
國內現在營業秘密管理議題不斷被討論,如何落實管理也是一個非常重要的議題。

新穎公司為了因應市場的需求,今年也推出了營業秘密管理系統ESS,這是一個專門、專業的營業秘密管理系統,我們也是想藉由服務各大廠商的管理經驗,透過資訊系統的實作導入各企業,非常適合現在組織內如果還沒有營業秘密管理制度的廠商,可以用最快速、最省成本的方式,導入營業秘密管理制度,cp值是非常高的。

組織內最多的智力成果就是營業秘密,但是這個管理制度卻是非常少企業有透過資訊系統來強化落實,我們都知道,連台積電都需要一個專門的營業秘密管理系統落實公司的營業秘密成果,各企業是不是也需要思考內部需不需要採用專門、專業的營業秘密管理系統協助制度的導入呢!


總結

今天我們從ISO系統的角度來跟我們分析ISO27001資訊安全管理與營業秘密管理的不同,智財管理是ISO56005,現在是個管理指南,驗證要求56001還沒有出來。
另外,資訊安全在我們的公司治理評鑑指標是2.24項;智財管理制度是再2.27項,這兩項都是屬於董事會的風險管控執掌,取得相關的系統驗證,公司治理評鑑總分都可以+1。

最後,企業營業秘密管理的議題不斷升高,建議還是要導入一個專門、專業的管理系統來輔助企業落實營業秘密才是上策,新穎公司的營業秘密管理系統ESS您絕對值得參考。


下集主要將探討:企業營業秘密管理常見的問題。