新形势下我国企业的情报保护模式及其协同,本文主要内容关键词为:新形势下论文,情报论文,模式论文,我国论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
当前,在企业国际化和竞争全球化背景下,我国企业的情报保护面临严峻的形势,一是国外竞争对手(及其代理者)加强了情报搜集活动,危害了我国企业的情报安全;二是以国家为主体或者受外国操纵的敌对势力(及其代理者)不断进行情报刺探,既危害了我国企业(多是具有战略意义的国有大企业、高技术企业)的情报安全,又在一定程度上危害了国家安全;三是敌对势力、竞争对手与我国企业的内奸(特别是高层内奸)内外勾结,泄露国家机密和重大商业秘密,使我国某些行业、产业在与国外企业的竞价谈判中处于不利地位,使企业和国家蒙受巨大损失。最典型的莫过于铁矿石进口中的情报泄密,自2004年中国取代日本主持与国外三大铁矿石公司谈判以来,铁矿石价格一路飙升,最高上涨200%以上[1],已使铁矿石三巨头攫取暴利7000亿元[2],终于在2009年7月5日,力拓商业间谍门事发,震动了中国经济界乃至政治高层。这不仅是一般意义上的情报泄密,同时又与我国企业高管的经济腐败密切相关;最后,合作伙伴、咨询公司、广告商、银行等所谓“第三方”也在合作过程中有意无意地泄露敏感情报,给我国企业的情报保护带来前所未有的压力。
在我国现有的企业体制中,涉及情报保护的部门主要有两个:一是保密工作部门,二是信息部门。从而涉及企业情报保护的有保密工作和反竞争情报工作。保密工作就是对包括商业秘密、工作秘密等的企业敏感情报加以保护,防止泄密;企业反竞争情报工作则是探明来自各方的情报刺探,并反制这种情报刺探。很明显,二者之间有内在联系,它们的目标一致,都是为了保护企业的敏感情报,维护企业的情报安全。
1 我国企业情报保护的实现模式
由于我国企业情报保护体系(保密工作体系和反竞争情报体系)由两大部分构成,则其实现模式也由此而生,即分别形成保密工作取向的企业情报保护模式和反竞争情报取向的企业情报保护模式。
1.1 保密工作取向的企业情报保护模式
美国人曾提出OPSEC安全保障策略,意在确定竞争对手如何及时获得对他们有价值的关键信息。这些信息能够揭示一个企业运作和活动中的敏感性或专有性[3]。OPSEC方法是西方国家目前比较流行的一种保密方法,具体步骤为:确定关键信息、威胁分析、弱点分析、风险评估、采取对策。在借鉴OPSEC方法的基础上,笔者经过系统思考,在此提出新的情报保护模式,见图1。
图1 保密工作取向的企业情报保护模式
可以看出,这是一个以保密工作流程为轴心的模式,涉及企业保密工作的领导、组织、管理,涉密诸方面,保密制度、必要的协议及相关法规等。这一模式可以解释为:企业情报保护工作是在正确的领导、组织和管理下,充分依托和利用企业内外的制度、法规,针对不同的涉密方面,考虑到主要工作环节而加以实施的。
1.1.1 保密工作流程
第一是明确涉密的范围、类型和等级。主要内容有:确定保密的具体范围;划分密级(一般为核心秘密、重要秘密、秘密);明确各项涉密资料的保密期限[4],等等。
第二是分析漏洞和薄弱环节。即对自身保密工作的弱点有客观清醒的认识,找出最有可能泄密的地方,以便知道自己需要优先保护什么。换言之,要明确企业在哪些部门,哪些工作环节存在保护的漏洞,找出容易泄密的地方。在进行分析的时候,既要全面,又要把握重点。全面就是要对涉密的各个方面进行分析,重点则是围绕涉密的关键岗位、关键人员、重要渠道、重点项目、重要活动等进行分析。
第三是制定防范策略。针对分析出来的薄弱环节和漏洞制定出防范策略。防范策略的制定有两个基本要求:一是要及时,即及时堵塞漏洞;二是要切实可行,即有针对性,或要求特殊性而非一般性。
第四是实施保护。制定出防范策略之后,还要把防范策略应用到实处。需要指出的是,在我国企业的保密工作中,制度的建设问题不大,领导的重视也显而易见,防范策略的制定也有针对性,但问题常常出在执行上,即采取行动实施保护上。也就是说我们最值得提出的是执行力的问题,或者是执行不力的问题。在保密工作中,好的规章制度和策略不能停留在文本上,或者是在执行中变形或走样,许多企业在没有发生重大泄密案件前,或者没有得到警醒和教训前,总是对可能的泄密视而不见,麻木不仁,对必要的执行敷衍塞责,非要等到“亡羊”之后才去“补牢”,近期国内企业(其中还有一家军工企业)几起重大的情报泄密案无不反映了这种情况。
1.1.2 涉密的诸方面
涉密人员:就是能够接触企业商业秘密和敏感情报的人员。涉密人员是保密工作的能动者和执行者,是涉密的诸方面中最关键的因素。因此,企业应把好涉密人员的选拔、流动、考核关,把秘密交给政治上可靠、责任心强、有能力、懂技术的人来管,并且在日常工作中做好涉密人员的保密教育,并与之签订保密协议和竞业禁止协议。
涉密载体:即以文字、数据、符号、图形、图像、声音等方式记载在一定物质材料上所形成的各种企业保密资料,是保密工作和泄密防范的对象。对涉密载体来说,关键是要做到规范管理。要加强技术资料、科研成果、招投标信息和各类档案材料的管理,严格按照审批程序和规章制度办理。在对外宣传企业技术攻关、开发工艺成果时,要落实保密制度,严格审批程序,关键数据要禁止任何可能的透漏。
涉密渠道:即有可能泄密的所有场合、通道,比如涉密会议、人际交往、计算机网络,等等。当前,除了注意传统的泄密渠道外,尤其要重视计算机网络的泄密问题。
涉密岗位:即能够产生、传播和接收商业秘密和敏感情报的所有工作岗位。对涉密岗位的管理要与涉密人员联系、对应起来进行。
1.1.3 企业保密工作的领导、组织、管理
领导就是建立起保密工作的领导机制,比如国内一些大企业形成了主要领导直接抓、分管领导重点抓、其他领导配合抓、单位(部门)领导具体抓的领导机制[5]。组织就是建立保密委员会,其中既有专职人员,又有兼职人员,做到保密组织健全。管理就是依托规章制度进行保密工作的规范执行,重点是做好保密宣传教育和保密执法的检查,严防泄密,严肃查处泄密事件。这些工作做好了,有助于形成有领导、有组织,有部署、有检查、有落实的良好局面。
1.1.4 保密制度、必要的协议及相关法规
保密制度就是使企业保密工作规范、有序进行的各种规章制度,比如《公文管理制度》、《档案管理制度》《保密要害部门管理办法》、《涉密人员管理、定密、涉密载体使用管理办法》、《计算机信息系统保密管理规定》、《重大涉密活动及涉外保密管理规定》、《涉密会议管理规定》,等等。此外,还要准备好保密条款或协议、竞业限制条款或协议,作为制度建设的重要补充。最后,企业内部的各种保密制度还要与国家的相关法规(比如《保密法》、《反不正当竞争法》、《安全法》,等等)相配合,形成内外结合的完整体系。
1.2 反竞争情报取向的企业情报保护模式
菲茨帕特里克(William M.Fitzpatrick)和伯克(Donald R.burke)曾提出一种FOG-PACT系统,即七阶段反竞争情报计划,关键步骤是:第一阶段F——FBI和ANSIR计划,即一个经济间谍的早期预警网络;第二阶段O——外来者带来的安全问题;第三阶段G——把因政府归档造成的竞争情报损失减到最小;第四阶段P——人事安全问题,即最弱的链条;第五阶段A——对公司安全进行审计;第六阶段C——计算机安全;第七阶段T——电信安全[6]。米勒G提出了反竞争情报的五步骤模型:确定保护需求、竞争对手的评估、自身弱点的评估、制定对策、分析监控、发布过程[3]。国内郭乐音提出了四步骤的反竞争情报运行模式:定义反竞争情报的需要、评估竞争对手竞争情报能力、评估自身薄弱环节和制定反竞争情报对策[7]。在合理吸收上述成果的基础上,本文提出如下反竞争情报取向的企业情报保护模式,见图2。
图2 反竞争情报取向的企业情报保护模式
这一模式可以解释为:企业情报保护是在正确的反竞争情报领导、组织和管理下,充分依托和利用企业内外的制度、职业规范和法规,针对来自不同方向的情报刺探,考虑到主要的工作环节而展开实施的。
1.2.1 反竞争情报流程
首先定义保护需求。即明确哪些是不能外泄的敏感情报。从理论上说,企业所有的研发活动和经营性活动都可能提出情报保护的需求,企业所有的工作岗位都会产生需要保护的敏感情报。一般而言,越是重大的研发活动和经营性活动,产生的情报越需要保护;越是关键的岗位,产生的情报也越加敏感。
其次是对外部情报刺探的评估。在该阶段,焦点是辨别竞争对手、第三方、敌对势力及其代理人的情报刺探的能力,包括他们的信息搜集能力、信息加工处理能力以及情报分析研究能力等。也就是说,要搞清楚它们的情报刺探的方向是哪里、重点是什么、强度有多大、频度有多高,等等。将来自各方情报刺探威胁辨认清楚,这对企业有重点地进行情报保护,将起到事半功倍的效果。此阶段要求对搜集来的有关各方面的情报刺探的信息进行分析、研究和确认,于是信息搜集的完整性就显得至关重要。
第三是对自身弱点的评估或审计。也就是对企业的所有经营管理活动进行全面的分析和检查,看哪里存在情报保护的明显漏洞,或者是有情报保护的薄弱环节。那么如何判明自身的弱点呢?可推荐的方法有三个:一是与重大活动开展、重大项目实施相联系,当此之时,大家群情激奋,兴高采烈,甚至忘乎所以,产生麻痹心理,从而露出破绽;二是与关键岗位相联系,一般而言,关键岗位产生关键性情报,需要重点保护,那么企业不妨对自己进行如下提问:我对关键岗位上产生的情报的敏感性有多高的认识?保护力度足够吗?这些问题回答清楚了,则有无弱点和漏洞就自然找到了;三是把自己放在外部情报刺探者的位置,想象一下从他们的角度如何寻找企业的情报保护弱点并乘虚而入。
第四是风险评估。风险评估能够保证合理性,也就是说,可以合理估计来自外部的情报刺探(加上前述自身的弱点)对企业造成的影响,并且对后来的纠正活动进行投资收益分析,主要包括外部情报刺探者得到情报会产生什么影响,企业会有怎样的损失,如何补救,等等。风险评估也可以帮助判断外部情报刺探活动在哪些方面会更有威胁,从而有助于修正对来自各方的情报刺探的能力评价。这是反竞争情报取向的企业情报保护的一个重要步骤,以往国内学者在进行相关研究时常常认识不到或忽略了这个问题。
第五是制定对策。在进行风险评估后,接着就需要有针对性地制定对策,或弥补对薄弱环节的保护,或加强对重点项目和关键岗位的保护。王知津先生特别推荐通过模拟对手搜集情报的方法帮助制定相应的保护对策,做到“从对手的角度看问题”。这种制定对策的思路无疑是新颖而独到的。
第六是实施保护。就是对上一阶段得出的情报产品(对策、方案等)加以应用、实施,发挥其作用,实现反竞争情报的价值。反竞争情报的成果一旦完成,就需要及时传递给上司,使他们清楚企业在情报保护上面临的现实问题,也给他们明确所应当采取的措施,以便形成决策,获得有力的支持和必要的资源。
1.2.2 相关制度及法规
首先是有关反竞争情报工作的制度、条例,在实践中,常常包含于竞争情报工作的制度、条例中。其次是反竞争情报的职业规范,尽管一般情况下企业不制订专门的反竞争情报规范,但已有的或通行的竞争情报职业规范完全可以适用。外部可以利用、依托的法规主要是反不正当竞争法、安全法等。
1.2.3 竞争对手及其代理者、敌对势力及其代理者、第三方
这是反竞争情报的防范、监控对象。传统上主要对竞争对手的情报刺探进行防范,这种情况现在依然没有改变。但是,鉴于敌对势力及其代理者愈来愈猖獗的情报刺探,严重危害企业安全和国家安全,则当前也要重视对其进行反竞争情报的防范。最后,由于第三方也与企业有或多或少的利益纠葛,有的还存在交易关系,则其情报刺探也无法避免,并且还有在合作中经常无意泄露情报的情况发生,因此,反竞争情报的监测也要把第三方纳入视野,尤其是在条件许可的情况下。
1.2.4 反竞争情报的领导、组织、管理
情形与上述保密工作类似,这里不再赘述。
不管哪种取向的企业情报保护模式,就一个具体的企业而言,不是说经过了上述四个环节或六个环节,则情报保护工作就完结了,而是说,即使一轮结束,但如果没有达到情报保护的目标,则要回头从发生问题的环节重新做起。即便达到了情报保护目标,也不过只是阶段性的,企业情报保护工作则是循环往复、永无止境的。
2 两种模式的间接联系
过去,我国企业情报保护的两种模式之间没有直接联系,只有间接联系,从反竞争情报的角度看,表现为反竞争情报成果向保密工作部门的传递、应用,其过程见图3。
图3 反竞争情报成果的间接传递、应用
也就是说,反竞争情报的成果经过“发布”环节,以情报报告的形式上传到企业的CIO那里,然后是由CIO汇报给企业的CEO,最后由CEO通报给保密工作部门的领导,最后应用于保密工作部门,保密工作部门根据反竞争情报的研究成果改进工作,这是比较常见的做法。另外一种情况是,企业的CIO分管企业保密工作,则在CIO把反竞争情报成果汇报给CEO后,再由CEO反馈给CIO,最后由CIO通报、应用到保密工作部门。还有一种情况是,CIO和CEO都是企业保密委员会成员兼领导,尽管这个委员会不是一个独立的组织,具有一定的非正式色彩,但面对反竞争情报成果中反映出来的严重情况,需立即召开专门的保密工作委员会会议,研究对策,形成决策性建议,连同反竞争情报成果一同下发给保密工作部门,加以执行。无论哪一种情况,都可以看做是两种模式之间的间接联系,这种间接联系表现为一种“弱联系”。
反竞争情报小组和保密工作部门之间,或者反竞争情报工作和保密工作之间的间接联系或弱联系,表明两个模式之间的协同也比较弱,这不仅浪费了有限的资源,也使企业情报保护达不到理想的效果。从信息(情报)传递的角度看,经过的环节越多,失真的可能性越大;从信息(情报)效用的角度看,经过的环节越多,花费的时间就越长,信息(情报)失效的可能性越大。在目前竞争激烈、瞬息万变的市场竞争环境中,企业就会丧失情报保护的先机,陷入被动和危险的境地。因此,企业的反竞争情报工作和保密工作,不仅要建立间接的联系,而且要建立起直接的联系,不仅要建立弱联系,还要建立起“强联系”,不仅要建立松散的联系,还要建立起紧密的联系,从而为有效的工作协同奠定基础。
3 两种模式之间的协同
在间接联系和直接联系的基础上,反竞争情报和保密工作采取协同行动的主要思路或方案有以下两个。
(1)机构合并,部门内协同。机构合并是指把反竞争情报小组和企业保密工作部门(尤其是其日常工作委员会)加以合并,成立一个新的机构,使二者之间的工作协同变成一个部门内的协同,这是两种模式的协同中最紧密、最有效的一种协同。所成立的新机构可以放在企业的信息部门中,作为企业竞争情报体系的一个子系统。这等于是立足于原来的反竞争情报,以反竞争情报小组为基础,吸纳企业保密工作,扩展反竞争情报的职责和功能。尽管部门内协同方便有效,但是降低了原来的保密工作的层级,客观上降低了情报保护的重要性,尤其是这种协同需要进行大的变革,牵涉面太广,问题复杂,实施的难度比较大,加上合并后如何处理与原来的保密工作委员会之间的关系等都是无法预料的问题,实践上也没有见到这样的协同。
(2)直接联系,部门间协同。这种协同就是立足于各自的机构或工作,不打乱原来的隶属关系,而是通过在反竞争情报小组和保密工作部门之间建立起直接联系,按照“内外有别、突出重点、资源节约、整体优化”的原则进行的部门之间的工作协同。这种协同涉及的因素少,调整的关系相对简单,实施起来比较容易,应当成为今后相当长一段时间内我国企业情报保护中两个主体之间工作协同的主要形式(见图4)。尽管不合并或者建立新机构,但是要保证协同的有效性,真正起到保护企业敏感情报的目的,仍然需要在“组织”上进行相应的安排,比如可以在两个机构之间建立起跨组织的联系小组,承担起日常情报保护工作的沟通、联系职责,成员由两个机构的员工充任,为便于协同,成员中最好有各自的主管,甚至高级主管(比如CIO)参与,他们都是兼职,不脱离原来的工作岗位。联系小组负责协同制度的制定和协同内容的确定,经常性的工作是信息通报。
两个部门之间建立直接联系,两种工作进行协同,有效保护企业的敏感情报,并不意味着原来的间接联系就失去存在意义,或者干脆由此取消间接联系,事实上,两者可以并行不悖地进行。间接联系的各环节主要体现了职责上的要求,而基于直接联系的协同主要体现了功能上的互补,二者重复。具体说来,凡属一般性的敌情刺探,可以同时进行直接联系和间接联系。当反竞争情报发现了严重、紧急的情报刺探时,可以在第一时间直接联系,通过联系小组通报给保密工作部门,保密工作部门立即调整、改进工作,加强防范;在直接联系的同时,还要上报给企业CIO,经历间接联系的过程。当保密工作根据反竞争情报的成果调整、改进工作需要利用较多的资源时或处理复杂的关系时,则最好等待间接联系,根据上级通报来实施。上述内容仅仅是立足于反竞争情报成果之于保密工作的传递、利用角度的协同,同样,立足于保密工作成果之于反竞争情报的传递、应用的协同也可以如此理解和实施。
图4 兼有协同行动的反竞争情报的传递、应用
4 两种模式协同的主要内容
企业保密工作和反竞争情报之间的协同不能仅停留在观念上,而是要进行实实在在的合作,有非常具体的内容。笔者认为,协同的主要内容如下:
(1)进行职责、任务的重新分工。原则要求两者的工作环节不能重复,充分考虑各自的传统和优势。基于此,保密工作主内,反竞争情报工作主外,也就是说,在取向上,保密工作是眼光向内,着眼于本企业内部,反竞争情报工作是眼光向外,着眼于企业外部。反竞争情报工作要退出某些工作领地,让位给保密工作,比如“定义保护需求”、“自身弱点的评估或审计”、“制定对策”、“实施保护”等环节由于其工作性质和内容与保密工作基本相同,就交由保密工作来承担,自己则保留“对外部情报刺探的评估”以及由此带来的“风险评估”两个工作环节。
(2)密切联系,有效配合。保密工作所确定的情报保护范围、重点(以重要性、敏感性预先确定),要告知反竞争情报小组,让反竞争情报围绕这一范围、重点探明来自各方的情报刺探,并进行风险性大小的评估。保密工作以内部审查或审计确定存在漏洞和薄弱环节,并与反竞争情报侦测的敌情刺探结果进行比对、印证,从而在一定范围、一定程度上加以修正,或者发现新的漏洞和薄弱环节,最终加以弥补或加强,防止情报泄密。反竞争情报要及时把探明的情报刺探的主体、强度、方式、路径、预警信号等通报给保密工作部门,让保密工作部门做好防范,并改进、调整防范的范围和重点,等等。
二者密切联系,相互配合,确定企业当前某类情报保护的紧迫性,明确某类情报泄密风险的潜在性或现实性,从而按照轻重缓急安排情报保护工作。总之,建立了两种模式之间实现直接联系和有效协同,加上原来的间接联系,则企业实现多快好省的情报保护就值得期待。
收稿日期:2010-06-04