我們在上一集, 介紹到了營業秘密員工管理。
你知道嗎?只要是涉及到營業秘密的各種空間與場所,你也都應該通通一併納入管理!所以今天我們要來探討:營業秘密的環境及設備管理,營業秘密你到底該怎麼管?
最近我一直在研究歸納近幾年來有關營業秘密糾紛案件的洩密來源,發現企業的營業秘密管理缺口,大多是由「內容管理」、「人員管理」、「環境及設備相關管理」發生的缺口哦!這裡頭的管理議題,就非常的重要,企業常見會有那些問題呢?
我們這個系列主要就是為了要協助企業能夠建立內部的自我保護,同時也要能聚焦到潛在可能會洩密來源,補強管理缺口、同時降低營業秘密外洩風險;對外當然也要能夠因應訴訟的前置準備,運用日常的營業秘密管理紀錄,轉換為訴訟所需的證據,並能利用於初步案情釐清的「營業秘密釋明事項表」,達到企業您保護營業秘密的期待。
我們這集持續要來跟大家探討,營業秘密管理構面,最後的一個構面-環境及設備相關管理,這個構面是最基本也相對單純的環境及設備相關管理,現在企業內部大家做的怎麼樣?貴公司又做好了嗎?
環境及設備相關管理
我們企業對於環境及設備相關管理大概可以分為哪些呢?
企業的環境及設備相關管理,可以分為「區域控管」、「監視控管」、「資訊設備與涉密物品控管」以及「網路安全控管」等等。
這部分我覺得企業都已經投入做很多了齁?
很多企業在這一方面都已經做的很完善了,您只要一進去企業的大門,就可以感受到:
企業有明確的管制區域,門口都有保全或接待人員管理外部人員不可以隨意進出,要刷卡或者陪同者同行;管制區域內,也裝設監視器,紀錄進出的人員有誰;
對資料的安全性,也有網路安全控管,例如:不能隨便連公司的網路、內網要與外網分開,資訊設備每三個月要更新密碼、不能自行安裝軟體等等。這些都是跟環境及設備管理有關。
能不能先跟我們說明,為什麼營業秘密的管理會跟這些「環境及設備相關管理」有關呢?
請問「營業秘密是不是無實際形體的智慧財產權?」
答案是正確的喔,那既然營業秘密是無實際形體的,如果有人要傳遞這個無形體的營業秘密,是不是就需要有一個「載體」或者「媒介」來呈載這個秘密知識,才有可能辦的到
所以這個載體或者媒介:就可以是紙本,或是電子檔案,才能將這個知識或資訊進行表達、運用或傳遞,透過交流,才能夠產生經濟價值跟效益。
營業秘密的紙本/電子檔管理
企業的這些營業秘密,在實務上,是散落在不同的場域、單位,甚至不同型態之中的。
需要透過適當的管理與控制,來有效保護這些營業秘密。包含劃分誰可以接觸這些資訊,相關人員的權責及職掌範圍。簡單的說,就是針對營業秘密相關的物或資訊,進行有制度、有組織性的管理。更直接一點的說,就是要做到「資安控管」哦!
資訊安全控管可不只是資訊系統的管控哦!資安控管還要包含承載營業秘密的載體的管理,例如:存放營業秘密的位置或是區域的管理,如果載體是紙本,就有「紙本文件的管理」,例如:在文件封面標示「機密等級」,在存放這些文件的「置物櫃/抽屜/保險箱管理」要上鎖管理,如果是電子型態,同樣的要有「電子檔案的管理」,例如檔案要設密碼,存放電子檔案的「電腦設備管理」:要有存取紀錄、以及存放這些紙本文件跟電腦的「區域空間管理」:要有監視器等等,這些都是資安管理的範疇。
例如檔案要設密碼,存放電子檔案的「電腦設備管理」:要有存取紀錄、以及存放這些紙本文件跟電腦的「區域空間管理」:要有監視器等等,這些都是資安管理的範疇。
所以「環境及設備的相關管理」都是屬於資安控管的範疇。
營業秘密的載體是非常多元性的,包含紙本、電子檔,使用的場域、空間,這些會接觸到營業秘密資訊的實體,都要進行管制。所以企業必須先盤點營業秘密的範圍,才能進一步規劃哪些「環境及設備要進行管理」。
企業內外部人員的管理機制
外部人員怎麼管制
另外,我再提醒一個觀念,這個「資安控管」範圍,也包括會接觸到這些營業秘密資訊「非屬組織內部」的載體跟人員的管制,這些通通都要記得納入哦!
所以我們外部人員到企業拜訪或是教育訓練等,都要有場域進出的管制,或是路線的安排等等。
舉個例子,也要注意,會不會有人上廁所故意迷路,就跑進管制區域,看到很新奇的製造流程,或是製作成品的手機樣品,就直接拍照還打卡,這可不行喔
所以管制區域內一定要設立門禁喔,看你是要刷卡,刷指紋,刷掌紋、刷靜脈還是要刷臉,都可以喔,除了管制人員進出外,
也要紀錄人員進出的記錄,可不能因為迷路後就有權隨意進出。一定要經過授權,甚至規範要有專人陪同才能進出的。
這樣滴水不漏的資安環境設計跟良善的管理機制宣導,一般是不會發生的啦。
另外場域控管除了門禁刷卡設備外,也要記得安裝監視設備喔,就像您開場所講的,這些管制區域的進出紀錄,都是當營業秘密外洩時要調查的資料,是原告訴訟時要提出的證據哦!
不過,依據我們輔導過多家企業的經驗,其實企業普遍都已落實,做的很完善了。
常常我們要到場進行企業的教育訓練,手機或是Notebook都要進行貼紙封口,非常不錯..
這是對外部人員,警衛或是櫃台就會協助進行電腦、手機等等的紀錄媒體攜入進行封口管制。
內部人員怎麼管制
但是,對於內部人員呢?針對這些紀錄媒體、資訊設備或相關物品等等的攜出入,會怎麼管制呢?
這部分會依據公司的設備管制作業方法。例如:限制電腦不能使用USB及雲端硬碟,限制檔案外寄。另外,在公司的管制區域內,禁止攜帶個人智慧型手機或攝影設備,外部的訪客也不能帶喔,違反者當場就要要求交出拍攝或是錄製的相關資料,並且保存所有行為紀錄,這是非常重要的哦!
其實,我們的客戶都是大型公司,所以相關資安管控措施都相當成熟,不過,實際上,還是有很多企業有努力的空間的。
另外,保管營業秘密資訊的場域也要與一般場所明確劃分喔,也就是要能清楚的區隔或是辨識,才能提醒員工注意所接觸的資料是屬於營業秘密。
我們會建議在保管營業秘密的管制區域,在明顯的位置張貼或是設置「未經授權禁止進入」或是「管制區域非請勿入」等等的警語標示。
一般人看到這種可辨識的警語,就不會進入了,但是對於故意的有企圖的人,企業要透過架設監視器,在有侵權糾紛的時候,做為證據力的提出!
營業秘密場域的標示界定
另外,這些管制區域的劃分到底要如何界定呢?
建議先進行「營業秘密範圍的盤點」,再建立「營業秘密的管理機制」,確定有哪些文件、檔案,要怎麼保存保管,哪些檔案櫃、辦公區、電腦要被管制。這部分如果要有更清楚的作業規範,可以再深入跟您的顧問討論哦!
您剛剛也提到哦!營業秘密是一個無形體的智慧財產權,所以必須透過特定的媒介加以表現。但是他會流通出去,就一定跟「人」有關,「人」在資安控管非常重要哦!
營業秘密管理構面中,其中一個構面就是「人員管理」。所以「資安控管」在人員的進出管制是非常重要的,一般企業也會裝設保全系統或是配置保全人員,依照規範的授權層級範圍進行人員身分或是攜帶物品甚至停留時間的管控,這些都是必要的措施哦!
這部分企業「應該具備的管理機制」,應該已經非常普遍了,有甚麼需要注意嗎?
針對一般性的營業秘密,它的保管場所建議是要上鎖的。如果有人要求進入,都是需要出示相關的授權證明,並且一定要落實登記制度,以確認出入人員的身分以及停留時間。
這些進出入的紀錄非常重要哦!這都是接觸到我們營業秘密的相關紀錄,可以用簽名紀錄,也可以利用保全系統或是監視錄影器等等,只要能確認進出入的證據就可以了。
營業秘密檔案保管機制
不過這些都是針對場域性的營業秘密接觸的場景。但有許多營業秘密是電子檔案形式或是書面文件,這部分的保全措施,是不是也有相關的作法?
營業秘密如果是電子型態的檔案,就可以依據公司的資訊安全規範制度來管制,包含如:帳號建立、密碼定期更新以及權限的管理,這是非常基本的管理機制。另外也會針對不同等級的檔案,設計檔案管理權限,例如:下載、複製、列印等等,都是需要被規範管理的。
這部分公司如果有資訊安全管理制度,應該都已經規範的相當好了齁,但是比較容易被忽略的是,在營業秘密的管制規範中,會特別要求「機密的識別」,也就是提供可明確識別機密等級的標示,確保員工在接觸到這份文件時,可以採取適當的保密措施。
同時對於機密管制措施,要有分級保管機制,設定不同機密等級接觸權限、保管人是誰、保密期限、以及接觸過的使用人員,都要留下紀錄。接觸過營業秘密的任何人、事、時、地、物都要有紀錄保存。
其實,我們還是要提醒大家,營業秘密最容易外洩的情境,就是要離職的員工。在職人員外洩的情況真的相對少,大多是不知到這是營業秘密範圍,因為無心之過所造成的疏失。非良善的離職人員要離開之際,真的要好好盤點清楚該員工所接觸過的相關營業秘密資訊。所以,一般我們會建議員工在離職時,主管要通報人事、資訊、保全、法制等相關單位,調查員工在提出離職到實際離職的這段時間是否有接觸營業秘密資訊的使用、複製、攜出的紀錄,甚至要回溯盤點在離職前三個月甚至半年內,所有接觸過的營業秘密資料。
在離職前,主管要與員工好好的說明,釐清接觸過的營業秘密清單,無論是口頭或是書面,告知必須負的保密義務及責任,雙方確認完成後簽名,這樣才能真正保護我們的營業秘密資訊。
不過啊,這營業秘密制度設計不好,真的可能會弄到我們人仰馬翻呢,我們也見過有企業,將營業秘密制度,設計到連:提案技術經主管簽核是否可申請專利,都要經過總經理核可才能作業,結果搞到總經理每天都在核可-營業秘密權限,推動根本窒礙難行
那怎麼辦呢?其實就是調整囉!建立營業秘密的分級制度很重要,制度要完善沒錯,但是還是要可落實,我們也真的覺得那家顧問公司太誇張了,沒考慮過廠商能不能執行。
所以找專業的顧問輔導還是非常重要齁,如果您覺得公司現行的制度太過形式化,也可以評估直接利用我們公司所推出的「專門、專業的營業秘密管理系統-ess」來輔助您建立營業秘密管理制度哦!而且我們在導入系統之際,也會針對貴公司的制度進行雙方溝通,更能有效率推動營業秘密落實機制哦!直接導入「專門、專業的營業秘密管理系統-ess」強化貴公司在營業秘密管理效率,確實值得您評估。
總結
今天我們深入解析,環境及設備相關管理構面相關管理要點。
營業秘密對創新研發的企業非常重要,企業沒有專利是有可能,如果沒有營業秘密我想您的投資人應該也會覺得非常奇怪。
但是營業秘密的保護不可不慎,因為他被外洩了以後,就不再具備保護要件了,這不僅攸關我們企業在市場的獨佔競爭力以外,更是攸關我們投資大眾的利益,我們投資大眾自己也不得不一起來監督企業落實營業秘密的決心哦!
下集主要將探討:營業秘密如何進行管理?還需要考量內容管理、人員管理、環境及設備相關管理!