没收到验证邮件?请确认邮箱是否正确或 重新发送邮件
#文章仅代表作者观点,未经作者许可,禁止转载,文章不代表IPRdaily立场#
来源:IPRdaily中文网(IPRdaily.cn)
作者:华泰君 深圳市华夏泰和科技有限公司
原标题:商业秘密:不得不说的“秘密”
自20世纪90年代互联网进入中国,短短20年之间,发展到今日,已成为与水、电一样的基础设施,是当代生活不可分割的一部分。
信息技术毫无疑问是人类社会中一次生产力的变革,商业秘密与信息安全可以视为其重要的生产力组成。
而回首商业秘密与信息安全紧密跟随着互联网发展速度的这些年,经历了许许多多的坎坷:从刚开始的可有可无到高度重视;从“老三样”(防火墙、入侵检测及防病毒)独领风骚到上网行为管理、文档加密等初露锋芒;从全面引入ISO27001管理体系、发布等级保护标准再到如今已是国家战略、有法可依;从刚开始的密码破解到网络隔离,再到如今已是云端漫步、态势感知。
信息安全:喷发期
商业秘密与信息安全发展的黄金时期除了有网络通信技术大力发展的支撑作用,还有两个明显的高潮点。
第一个高潮点是由统一威胁管理(United Threat Management, 简称UTM)引爆的。这项产品技术最早由Fortinet公司在2002年提出,2004 年9月美国著名的IDC提出将防病毒、入侵检测和防火墙安全设备命名为UTM,很多人称为多功能防火墙、多功能安全网关。概念提出来短短几年内,在当时行内炒得非常火热,2009年UTM的市场确实增长迅速,但由于UTM自身在设计上由于安全功能高度集成带来的诸如性能瓶颈、易用性与稳定性差、各种功能不均衡、风险集中等问题,自2010年开始其市场竞争力就逐步消沉,行业权威观点认为“UTM安全设备只适合中小型企业使用”,从而催生了下一代防火墙(Next Generation Firewall,简称NGFW)的诞生。同时,基于互联网的应用需求,各种主机、Web应用、数据库防护产品也得到了大力的推动。
另一个高潮点是由国家政策与行业标准引爆的。根据信息安全产业“十二五”规划,到2015年我国信息安全产业规模将突破670亿元,保持年均30%以上的增速。2010年前后,借助国家刚刚开始推动等级保护、ISO 27001的东风,安全咨询与安全服务得到了大力发展,行业内兴起了一股ISO 27001认证浪潮,与当年ISO 9000的火爆如出一辙,众多的服务机构如雨后春笋一样,信息安全也从单纯的技术产品走向了技术、管理齐步走的全新局面,整个行业一片欣欣向荣的形势,权威的市场分析也对信息安全的预期保持乐观。
信息安全:沉沦期
在商业秘密与信息安全总体看好的时期,行业内开始充斥着一大批“买办”型、“炒作”型企业,行业的供方体量激增,竞争环境开始恶化,政策性、概念化的信息安全技术及管理平台层出无穷,技术型企业生存空间被不断压缩,信息安全技术产品的更新换代基本上处于停滞状态。
盲目的扩张发展完全忽略了国内的信息化建设基础薄弱与互联网技术处于转型期等实际现状,而此时由于云计算前景的不确定性,以及实体产业随着高房价引发金融投机等影响而逐步“空心化”,真实的信息安全需求并未刺激起来,从而带有政策需求属性的等级保护工程就成为了最大的宣泄口。等级保护从政府机构单位开始,向国企推进,而这两个“客体”本身就带有“权钱交易”的“天然属性”,也就导致大部分的等级保护项目沦为“形式工程”与“政绩工程”,甚至行内人士都心照不宣的是”目前已投入使用的国产安全产品鱼龙混杂,大部分为关系输出型产品,很多国产防火墙形同虚设,缺省配置三五年不更新,甚至是使用‘bypass’的策略在运行,安全审计类产品甚至出现不逢检查不开机的情况,开机后也是‘货不对板’,什么都审计不了”。
商业秘密与信息安全技术产品的“形式主义”也加速了咨询服务领域的“堕落”,信息安全管理(治理)方面更是虚多实少,过于推崇“人治”,重口号轻行动、重汇报轻落地、重形式轻内容。业主方往往不看重最终效益,但需要挂上研究课题的“光鲜外衣”,整个行业充斥着数不胜数的“官方报告”、“拼凑方案”,引标(标准)据策(政策)、理论浮夸,动辄“奠定基础”、“开创先河”、“填补空白”,缺乏实干精神及行之有效的策略措施,明显脱离现代化管理之道。
信息安全:振作期
幸运的是,国家层面在“十三五”之初就推出了《网络安全法》,对网络安全发展方向进行了重新定义,并正式提出自主可控战略,大力推动国产化,立足关键基础设施的保护,努力实现网络安全核心技术的有效突破,并加大力度对早期的信息安全工程进行检测检查、努力纠错,大大促进了技术型企业的快速发展、纠正了行业的不正之风。以医疗卫生行业的“防统方”大检查为例:随着2016、2017两年的检查力度不断加大,各地卫生机构前几年购置的“傀儡”设备逐步被清理掉,行业内真正能起到“防统方”效果的产品厂家也“浮出水面”、得到了快速发展,而随着真正的“防统方”系统的部署及不断调试完善,参与医药回扣灰色链条的医护人员纷纷落网,医疗行风建设成效得到了体现。
另外,中央网信办“四个意识”不强问题得到明显改观,崭新的管理班子将更坚定地贯彻落实习近平总书记重要指示和落实中央网信工作重大决策部署,网络安全蓬勃发展的新面貌有望得到保持及深化。
信息安全:创新期
到现在,商业秘密与信息安全不再只是为了安全而设立,更是为了企业的创新保护与商业竞争。一个组织的信息安全管理工作,应以组织的核心业务战略为导入,识别出真正的信息安全需求,再结合本组织的文化与管理思想,分阶段、分重点逐步实施,同时严格选取科学有效的技术措施手段进行部署,并在实施过程中不断稽核、调优,方能确保信息安全落到实处。
1、商业秘密与信息安全现状前置调研:
针对组织的经营现状,开展调研诊断分析工作,一方面挖掘出组织在其经营活动中存在的各类商业秘密保护和信息安全问题;一方面对组织信息化依赖程度及资产价值进行评估,确定信息安全保障的核心对象,以及信息安全的投入适配程度。
2、商业秘密与信息安全综合解决方案制定:
以商业秘密与信息安全现状前置调研结果为基础,探讨确定组织后续的商业秘密与信息安全保障重点工作及大体推动周期计划。
3、商业秘密与信息安全管控措施落实:
以商业秘密与信息安全综合解决方案为工作指导及约束要求,逐步开展组织在核心秘密保护和信息安全管理、技术与人员等方面的工作。梳理及规范组织经营活动的各项业务流程与制度,及时进行工作策划指导与相关的意识和技能培训。
4、定期稽核审计及策略更新:
制定相应的核心商业秘密保护和信息安全审计检查表,定期开展稽核审计工作,进行策略更新,实现有效的核心秘密和信息安全风险管理及执行监督,形成管理闭环。
总之,相比于国家资本资源集中区域的蠢蠢欲动,代表我国经济活跃度的中小企业,其自身的商业秘密与信息安全动机更“接地气”,更能体现企业在自我保护与市场竞争中的诉求,对商业秘密与信息安全实施的“性价比”及工作效率影响也更敏感、更直接。
而中小企业实施商业秘密与信息安全管理,除了可以满足自身信息技术发展需要和国家政策相关要求,妥善规避政府监管处罚风险,还能有效促进企业的品牌可信度,提高企业对商业秘密保护的统一组织、协调及决策能力,降低信息安全事件的发生机率,同时能不断提升员工的信息安全意识,增强其责任感,减少人为原因造成的不必要的损失,最大程度保护企业的核心技术等无形资产的安全,为业务拓展保驾护航,提升企业的竞争能力。
来源:IPRdaily中文网(IPRdaily.cn)
作者:华泰君 深圳市华夏泰和科技有限公司
编辑:IPRdaily赵珍 校对:IPRdaily纵横君
推荐阅读
“投稿”请投邮箱“iprdaily@163.com”
「关于IPRdaily」
IPRdaily成立于2014年,是全球影响力的知识产权媒体+产业服务平台,致力于连接全球知识产权人,用户汇聚了中国、美国、德国、俄罗斯、以色列、澳大利亚、新加坡、日本、韩国等15个国家和地区的高科技公司、成长型科技企业IP高管、研发人员、法务、政府机构、律所、事务所、科研院校等全球近50多万产业用户(国内25万+海外30万);同时拥有近百万条高质量的技术资源+专利资源,通过媒体构建全球知识产权资产信息第一入口。2016年获启赋资本领投和天使汇跟投的Pre-A轮融资。
(英文官网:iprdaily.com 中文官网:iprdaily.cn)
本文来自IPRdaily.cn 中文网并经IPRdaily.cn中文网编辑。转载此文章须经权利人同意,并附上出处与作者信息。文章不代表IPRdaily.cn立场,如若转载,请注明出处:“http://www.iprdaily.cn/”
共发表文章4篇文章不错,犒劳下辛苦的作者吧
- 我也说两句
- 还可以输入140个字
