[摘要]据美国媒体报道，名列《财富》全球1000强的大公司，平均每年发生2.45次的商业间谍事件，损失总数高达450亿美元。全面开辰保密工作保护商业秘密安全，应成为企业的首要工作。
　　[关键词]信息安全；保密意识；保密制度；保密培训
　　[中图分类号]G35 [文献标识码]A [文章编号]1005-6432(2010)35-0117-02
　　
　　2009年8月12日上海市检察机关以涉嫌侵犯商业秘密罪、非国家工作人员受贿罪，对澳大利亚力拓公司上海办事处胡士泰等4人作出批捕决定，力拓商业谍案这一真实版《潜伏》的内幕被揭开。在胡士泰的个人电脑里，国安人员发现了数十家与力拓签有长协合同的中国钢铁企业资料，涉及企业详细的采购计划、原料库存的周转天数、炼钢配比、生产安排、进口矿的平均成本、毛利率、生铁的单位消耗等数据，还有一些大型钢企每月的钢铁产量和销售情况，甚至还有中方铁矿石谈判组的内部会议纪要。业内人士称，以上信息可以推算出中方对铁矿石的需求量和依存度，在谈判过程中，力拓可以依据这些信息来掌控价格的降幅。仅仅一两个百分点的价格变化，事关企业数十亿乃至上百亿的盈亏。在情报界，间谍机构往往可以从一国钢铁生产与消耗数据，推算出该国的国民经济建设情况，甚至军舰、飞机等大型武器系统的生产情况。
　　从所有泄密事件的分析来看，当前企业保密工作中普遍存在三个方面的泄密隐患：相关工作人员信息保密意识淡薄，企业缺乏健全的保密管理体制，欠缺专业的保密安全技术投入和对员工的培训。为此，对于企业信息安全(保密)工作的开展，笔者建议应从以下几个方面着手。
　　
　　1　树立企业保密意识
　　
　　企业的保密工作开展已经迫在眉睫。保密工作首要任务是增强企业员工的信息安全(保密).意识。首先要以《保密法》为主要内容对员工进行宣传教育，增强保密观念，提高员工保密意识、责任意识。
　　
　　2　企业保密制度不可忽视
　　
　　日本的许多公司设有反情报机构，更有着严格的保密制度。比如在接待外宾参观时，企业有规定的路线和项目，不得擅自更改，陪同人员也设置为2名，互相监督，防止泄密。日本液晶显示技术的骨干企业夏普公司已经将2008年秋天投产的天理和三重工厂作为秘密工厂不但禁止外部人员进入，即使本厂内部人员，只要不是负责这段工序的，未经许可也禁止进入生产现场。而且，只要能够让外人了解到制造工序的技术，一概不申请专利，实施彻底的保密主义。
　　根据《中华人民共和国反不正当竞争法》的规定，法律对商业秘密予以司法保护的重要前提是权利人必须对自己的商业秘密采取主动、全面和有效的保密工作，具体界定出商业秘密的范围、等级、权属和禁止性义务，并应以规范的合同方式约定双方的权利和保密义务。事实上，为防止竞争对手窃取自身核心机密，大企业都有更完善的防御措施。全球多数知名公司都制定了严格的有关职业道德和商业行为的规章制度。
　　因此，企业首先要根据自身业务建立安全(保密)制度并不断完善相应的规章，做到制度管人、以制度约束人，确保每一个环节不出纰漏。如《公司知识产权与保密规定》、《关于公司员工退、离(辞)职有关题目的规定》、《公司计算机使用及电子邮箱、网络治理规定》、《关于公司局域网的治理办法》、《研究报告四级质量控制体系治理规定》等。要使企业的保密工作做到“有制度可依，有制度必行，执行必严，违反必究”。
　　
　　3　加强保密队伍建设
　　
　　企业保密队伍建设要以领导干部和涉密人员为重点，积极开展面向企业各层面的保密教育，不断提高全体员工的保密素质。
　　第一，开展领导干部保密教育。为做好信息安全治理工作，加强对信息安全、保密工作的治理，企业首先要对企业主要部门如财务部、人力资源部、项目部、客户服务部、办公室等涉密职能部门的领导(特别是新上任的领导干部)进行保密法律知识的宣传教育，切实强化领导保密责任。因为企业领导者无意间泄露公司机密对企业造成的伤害也是不可估量的，毕竟他们所掌握的信息比普通雇员要多许多。
　　第二，开展涉密人员保密教育。根据不同部门、不同层次、不同对象、不同岗位的特点和要求，对企业涉密人员进行保密形势教育、保密法制教育、保密制度教育。
　　第三，开展全员保密宣传教育。企业可采取多媒体、网络、挂图、知识问答等多种形式，广泛开展经常性的保密宣传教育活动，以增强保密意识，共筑安全防线，促进企业持续和谐发展。
　　
　　4　推进员工保密培训
　　
　　　企业中的员工，按照保密管理可以分为三类：刚进入公司的新员工、在岗的老员工和即将离岗员工。企业要针对不同类型的员工开展有效地保密培训。
　　第一，新员工进职培训。首先，新员工的筛选，要考虑是否符合职位的信息安全需要，要仔细验证新员工提供的证明材料及文凭是否真实。其次，与新员工签署的劳动合同中要明确信息安全责任，使新员工从一开始就了解组织对信息安全的要求，这样容易在员工心目中形成较深的印象。再次，对新员工进行岗前教育与培训，使员工在较短的时间内熟悉组织的信息安全政策与程序。
　　第二，在职老员工培训。“安全工作是一个长抓不懈的工作”，因此，对于在职的老员工也要有相应的措施。首先，对要接触到敏感与机密信息的员工，要与之签署保密协议，要让员工知道敏感与机密信息对组织的重要性，以及违反保密协议要承担的责任。其次，公司要定期组织企业信息安全培训，加强公司员工的企业安全意识，增强员工的企业责任心。最后要完善沟通渠道，鼓励员工把对组织的不满通过正常途径及时地表达出来，并做妥善处理，把危险的动机(对组织心怀不满的员工，他们常常是信息安全事件的策划者与发起者。员工的报复性行为会对组织的信息安全造成极大的损害)消灭在萌芽中。
　　第三，给离职员工进行培训。离职员工离职的原因有很多，不同的离职原因对于公司的安全隐患程度不同，对于离职者的管理更要全面、更要加强力度。进一步细化员工离职的交接程序，进一步严格劳动合同的治理。
　　首先，是工作的交接。工作的交接过程要在部门经理或主管监督下执行，交接内容要形成书面报告双方签字认可，内容涵盖员工工作说明书中的所有工作以及涉及公司网络安全的账号与密码等。其次，对于接触敏感与机密信息的员工，按原来签订的保密协议进行约束，涉密人员和高级管理人员应签订一定期限的同业禁入协议，规定离职后几年内不得从事与原单位相应的工作等。最后，员工离职后要及时通知(书面或者电子)各分公司及公司的客户，声明某某同志自哪天离职，自即日起该同志的任何行为与本公司无关等字样。
　　
　　5　学习借鉴先进经验
　　
　　微软、西门子等公司从硬件设备上防止员工拷贝公司资料，他们大部分的员工电脑是不能安装软驱和移动硬盘接口的，这在跨国公司内是非常普遍的做法。IBM公司规定每个员工只有三次查阅同一文档的机会，并且这三次查看的时间、地点、原因都会被严格的记录下来。保密不仅仅是苹果公司的沟通战略，而且已融入到公司文化中。从事保密项目的员工必须多次刷卡，通过多道安全门，最后输入一串密码才能进入工作区。工作场所通常安装有监视摄像头，部分从事产品测试的员工在工作时必须用黑斗篷盖住产品，揭开斗篷时要开启红色警告灯，提醒所有人必须格外谨慎。其他企业不妨多向大企业学习其先进的保密工作经