论文部分内容阅读
有关商业秘密的例子比比皆是,而泄露商业秘密又经常在不经意之中。在许多案件中,宣称情报被偷的公司结果发现很多都是在公司内部没有设立充分的保护和防备措施造成的。
因此,建立一套健全正规的反竞争隋报体系保护企业的关键情报迫在眉睫。
反竞争情报(defensive competitive intelligence),是专门针对现实的或潜在的竞争对手对本企业所进行的竞争情报活动而展开的一种通过对本企业自身商业活动的监测与分析来对本企业的核心信息加以保护的活动。反竞争情报活动的实质就是企业通过正当的、合法的手段积极抵御竞争对手对本企业核心信息的情报搜集活动。因此,反竞争情报活动不仅包括研究企业自身的防御方式与途径,还要充分分析竞争对手对本企业的竞争情报活动,以保护本企业各类核心秘密信息。
基本构成
体系建设是保证一项工作全面、持续进行的基础。为了更好地开展反情报工作,使得企业反情报工作有条不紊、持续不断地顺利进行,需要企业从总体上进行规划,全面地进行体系规划。企业反情报体系的构成如图2所示。
企业反情报组织是指为从事企业反情报工作而形成的企业内部组织。企业建立专门的反情报部门,配备专职的反情报人员是企业反情报组织建设的一种思路。但是,由于企业情报的泄密与企业的各种活动、企业员工的一举一动息息相关,因此企业反情报的思想应该贯穿于企业运作的始终,而企业的所有员工,都应该成为企业反情报工作的一员。从这个角度说,企业反情报组织也是分散的。
企业反情报流程指导企业反情报工作的具体展开。许多企业只忙于应付各种情报泄密导致的各种问题的解决,而缺乏从总体上对企业反情报工作的步骤进行把握,缺乏对企业反情报流程的通盘考虑。企业反情报流程的建设,将从操作上指导和规范企业反情报工作的进行。
流程建设
企业反情报流程是指导和规范企业反情报体系运作的基础。美国的杰瑞·米勒(Jerry P.Miller)提出了类似情报循环的反情报模型——米勒模型,也是一个循环过程,它由以下步骤构成,如图3所示。
定义保护需求也就是需要确定需要保护的关键信息。关键信息是有关企业的意图、能力,活动的信息,竞争对手需要这些信息来做可能影响企业的决策。关键信息包括企业的定价方法、进货渠道、关键客户、产品配方、收购计划、战略规划等。这些关键信息可能涉及有关关键人员、关键设备、关键设施、关键活动或关键作业。
确定关键信息可从检查一项活动的整个过程开始。根据竞争对手现有的信息收集能力确定哪些指标可以被竞争对手获得并加以利用,可能对企业产生不利影响。比如一件新产品的有关信息如果被竞争对手加以利用,是否会导致你的产品优势被抵消?产品被克隆?被枪毙?或迫使你对产品重新进行重大设计?如是,它们就是关键信息。
一旦确定了关键信息,就可结合竞争对手的情况进行分析以确定它们可能暴露关键信息的程度。
评估竞争对手在这个阶段,主要是评估竞争对手的意图和竞争情报能力,评估竞争对手得到该信息以后可能对企业造成的伤害。也即分析它们对本企业的哪些情报有兴趣,并在多大程度上企图获取,竞争对手的竞争隋报能力,摸清对手常用的情报源和情报收集手段。
评估自身弱点主要是针对竞争对手的情报收集手段和情报源应用,发现自身隋报保护的敏感部门和薄弱环节。企业最容易泄露信息的地方在哪里?通过哪些部门或哪些员工泄漏?员工了解这些问题吗?应该保密的地方是否不必要地透露了过多的信息?
所有可能泄露关键信息的渠道都应被视为弱点,但并不是所有这些弱点都值得保护。在决定如何保护某一信息中的弱点或缺陷时,需要确定企业的信息有多么敏感?该信息有多高的价值?只有在竞争对手需要这种信息时才值得采取措施。由于竞争对手不同目标也不同,因此对一个竞争对手保密的东西同另一个竞争对手可能不必保密。如果根据难易程度将暴露某一信息给竞争对手的不同方法排队,如果排在第2位的弱点难以采取措施,那么花钱对排在第5位的弱点采取措施便没有任何意义。
分析弱点时可能需要对企业整个作业或活动进行检查,审查任何脆弱点以发现可能被竞争对手利用的关键信息的指标。审查可从竞争对手的角度来审查,即把自己放在竞争对手的角度,一步一步地检查自己的活动或作业的所有环节。可分析竞争对手的行动方案以发现他们收集关键信息的途径。然后确定自己的经营行动和竞争对手的利用能力之间的关联度。另外要考虑的因素是信息的时间价值以及竞争对手在有效的时间内收集和利用该信息的能力。
制定对策并实施在明确竞争对手的意图和能力、发现组织自身弱点的基础上,有针对性地制定出破坏竞争对手情报收集的具体对策,并应用到实际工作中。假若竞争对手的竞争情报能力很弱,那么企业就可以把重点放在自身敏感部门和薄弱环节的改造上;而如果竞争对手有很强的竞争情报能力,利用丰富的人际网络和其他手段“无孔不入”地搜集各种信息,那么企业就应当动用所有的反情报能力保护企业的关键信息,并有针对性地向竞争对手主动提供迷惑性信息,从而对其起到误导的作用。在本阶段,风险分析人员将前面的步骤(关键信息、威胁、弱点)整合,从中发现需要保护的地方。决策者根据前面的分析作出相应决策。决策时可将前面分析的风险排序,将对策的成本(可用金额表示,也可用对业务的冲击表示等等)同资产的价值对照,而将得到的好处同采取措施降低的风险损失对照。如果对策的成本低于保护的资产的价值,或得到的好处低于风险造成的损失,则没有必要采取保护措施。
效果分析分析具体的反情报对策是否正确、实施情况如何,从而能够根据情况的变化不断地改变对策。在评估组织自身弱点、制定对策和效果分析的过程中,企业可以换位思考:以竞争对手的角度对本企业的信息进行搜集,从而发现企业自身的弱点;在此基础上制定对策并实施之后,再以竞争对手的角度对本企业进行信息搜集活动,对比两次模拟竞争对手情报活动的差别,我们就能很好地把握企业反情报工作的效果。
结果传递本阶段主要是将反情报的结果传递给决策者。正如情报产品如果不能及时到达、缺乏准确性就不值得付给报酬一样,反情报的成果也需要传递给领导。当企业的决策者看到这些成果之后,也许能提出更多的反情报需求。
保护信息安全方面的一些建议
前面我们谈到,应尽可能延缓竞争对手得到企业的关键信息,但是应怎样延缓呢?下面我们提供一些具体建议。
获得高层管理者对信息安全的支持。
不要浪费资源保护不值得保护的信息。
确定什么信息需要保护,需要保护多长时间。
对于十分敏感的信息,应人工传递或采用加密技术传递。
对于涉及敏感信息的废纸或处理的资料,应用粉碎机或其他方法处理使其没有阅读的可能。
重要的公司信息资料,不管是印刷品还是电子产品,都不能留在无人看管的旅馆房间里。
电子邮件或声音邮件的密码必须严格保密并经常更换。
所有敏感的资料都不能留在会议室里,会后所有黑板或白板都必须擦干净。
如果可能,对所有接触敏感信息的人的背景都应该有所了解。
凡是可能接触到企业专有信息的人,不管是员工、供应商还是其他人,都应签署保密协议。
不满的员工可能对企业构成最大的威胁,应注意处理同这类员工的关系。
由于监听技术的发展,不管是固定电话还是移动电话的电话交谈都很容易被截听,如有必要,可安装反截听装置。
对企业的物质资产、信息资产和脆弱性应该有充分地了解。
如果可能,所有对外公关的材料和其他公开资料,在发布之前应尽可能先让信息经理审查一下。
在正式举行新闻发布会之前,利用OPSEC法将拟发布的信息审查一遍,以判断将信息发布出去的好处是否能抵消竞争对手得到后而使企业可能付出的代价。
企业为履行某些义务或由于商业交往的需要可以让参观人员看他们的某些设施,但参观人员所看的东西应是对竞争对手没有什么战略价值的东西。参观时要有人陪同,不要让参观人员随意走动。
工程师和研究人员在学术会议上提供的技术文件也可能泄露秘密。应对企业人员在会议上提供的资料进行审查,以确保战略规划或其他保密信息没有被泄露出去。
非公司员工,包括供应商、销售商、邮递员、印刷商、银行和其他机构的人员都可能了解企业的某些保密信息。尽管可以同他们签订保密协定,但更重要的是让他们都了解保守秘密的重要性。
员工绝不要在公众场所讨论保密信息。
所有的招工广告都应经过一定的审查,以确定其中哪些内容是否特别重要,应该保密。有些时候打非署名广告或通过猎头公司招聘效果可能更好。
公司内的网络应严防非授权人员使用,并应随时检查“防火墙”的可靠性。
法律诉讼常导致信息的泄露,从而使竞争对手得到好处。企业应特别考虑起诉某人或被某人起诉时,可能造成的信息泄露。潜在的泄露可能需要企业在法庭外“私了”一些案子。
应同所有的员工签订保密协定,其中应包括对公司无伤害原则,即公司的员工以后不管到哪儿工作,不能做任何可能对公司造成伤害的事。
因此,建立一套健全正规的反竞争隋报体系保护企业的关键情报迫在眉睫。
反竞争情报(defensive competitive intelligence),是专门针对现实的或潜在的竞争对手对本企业所进行的竞争情报活动而展开的一种通过对本企业自身商业活动的监测与分析来对本企业的核心信息加以保护的活动。反竞争情报活动的实质就是企业通过正当的、合法的手段积极抵御竞争对手对本企业核心信息的情报搜集活动。因此,反竞争情报活动不仅包括研究企业自身的防御方式与途径,还要充分分析竞争对手对本企业的竞争情报活动,以保护本企业各类核心秘密信息。
基本构成
体系建设是保证一项工作全面、持续进行的基础。为了更好地开展反情报工作,使得企业反情报工作有条不紊、持续不断地顺利进行,需要企业从总体上进行规划,全面地进行体系规划。企业反情报体系的构成如图2所示。
企业反情报组织是指为从事企业反情报工作而形成的企业内部组织。企业建立专门的反情报部门,配备专职的反情报人员是企业反情报组织建设的一种思路。但是,由于企业情报的泄密与企业的各种活动、企业员工的一举一动息息相关,因此企业反情报的思想应该贯穿于企业运作的始终,而企业的所有员工,都应该成为企业反情报工作的一员。从这个角度说,企业反情报组织也是分散的。
企业反情报流程指导企业反情报工作的具体展开。许多企业只忙于应付各种情报泄密导致的各种问题的解决,而缺乏从总体上对企业反情报工作的步骤进行把握,缺乏对企业反情报流程的通盘考虑。企业反情报流程的建设,将从操作上指导和规范企业反情报工作的进行。
流程建设
企业反情报流程是指导和规范企业反情报体系运作的基础。美国的杰瑞·米勒(Jerry P.Miller)提出了类似情报循环的反情报模型——米勒模型,也是一个循环过程,它由以下步骤构成,如图3所示。
定义保护需求也就是需要确定需要保护的关键信息。关键信息是有关企业的意图、能力,活动的信息,竞争对手需要这些信息来做可能影响企业的决策。关键信息包括企业的定价方法、进货渠道、关键客户、产品配方、收购计划、战略规划等。这些关键信息可能涉及有关关键人员、关键设备、关键设施、关键活动或关键作业。
确定关键信息可从检查一项活动的整个过程开始。根据竞争对手现有的信息收集能力确定哪些指标可以被竞争对手获得并加以利用,可能对企业产生不利影响。比如一件新产品的有关信息如果被竞争对手加以利用,是否会导致你的产品优势被抵消?产品被克隆?被枪毙?或迫使你对产品重新进行重大设计?如是,它们就是关键信息。
一旦确定了关键信息,就可结合竞争对手的情况进行分析以确定它们可能暴露关键信息的程度。
评估竞争对手在这个阶段,主要是评估竞争对手的意图和竞争情报能力,评估竞争对手得到该信息以后可能对企业造成的伤害。也即分析它们对本企业的哪些情报有兴趣,并在多大程度上企图获取,竞争对手的竞争隋报能力,摸清对手常用的情报源和情报收集手段。
评估自身弱点主要是针对竞争对手的情报收集手段和情报源应用,发现自身隋报保护的敏感部门和薄弱环节。企业最容易泄露信息的地方在哪里?通过哪些部门或哪些员工泄漏?员工了解这些问题吗?应该保密的地方是否不必要地透露了过多的信息?
所有可能泄露关键信息的渠道都应被视为弱点,但并不是所有这些弱点都值得保护。在决定如何保护某一信息中的弱点或缺陷时,需要确定企业的信息有多么敏感?该信息有多高的价值?只有在竞争对手需要这种信息时才值得采取措施。由于竞争对手不同目标也不同,因此对一个竞争对手保密的东西同另一个竞争对手可能不必保密。如果根据难易程度将暴露某一信息给竞争对手的不同方法排队,如果排在第2位的弱点难以采取措施,那么花钱对排在第5位的弱点采取措施便没有任何意义。
分析弱点时可能需要对企业整个作业或活动进行检查,审查任何脆弱点以发现可能被竞争对手利用的关键信息的指标。审查可从竞争对手的角度来审查,即把自己放在竞争对手的角度,一步一步地检查自己的活动或作业的所有环节。可分析竞争对手的行动方案以发现他们收集关键信息的途径。然后确定自己的经营行动和竞争对手的利用能力之间的关联度。另外要考虑的因素是信息的时间价值以及竞争对手在有效的时间内收集和利用该信息的能力。
制定对策并实施在明确竞争对手的意图和能力、发现组织自身弱点的基础上,有针对性地制定出破坏竞争对手情报收集的具体对策,并应用到实际工作中。假若竞争对手的竞争情报能力很弱,那么企业就可以把重点放在自身敏感部门和薄弱环节的改造上;而如果竞争对手有很强的竞争情报能力,利用丰富的人际网络和其他手段“无孔不入”地搜集各种信息,那么企业就应当动用所有的反情报能力保护企业的关键信息,并有针对性地向竞争对手主动提供迷惑性信息,从而对其起到误导的作用。在本阶段,风险分析人员将前面的步骤(关键信息、威胁、弱点)整合,从中发现需要保护的地方。决策者根据前面的分析作出相应决策。决策时可将前面分析的风险排序,将对策的成本(可用金额表示,也可用对业务的冲击表示等等)同资产的价值对照,而将得到的好处同采取措施降低的风险损失对照。如果对策的成本低于保护的资产的价值,或得到的好处低于风险造成的损失,则没有必要采取保护措施。
效果分析分析具体的反情报对策是否正确、实施情况如何,从而能够根据情况的变化不断地改变对策。在评估组织自身弱点、制定对策和效果分析的过程中,企业可以换位思考:以竞争对手的角度对本企业的信息进行搜集,从而发现企业自身的弱点;在此基础上制定对策并实施之后,再以竞争对手的角度对本企业进行信息搜集活动,对比两次模拟竞争对手情报活动的差别,我们就能很好地把握企业反情报工作的效果。
结果传递本阶段主要是将反情报的结果传递给决策者。正如情报产品如果不能及时到达、缺乏准确性就不值得付给报酬一样,反情报的成果也需要传递给领导。当企业的决策者看到这些成果之后,也许能提出更多的反情报需求。
保护信息安全方面的一些建议
前面我们谈到,应尽可能延缓竞争对手得到企业的关键信息,但是应怎样延缓呢?下面我们提供一些具体建议。
获得高层管理者对信息安全的支持。
不要浪费资源保护不值得保护的信息。
确定什么信息需要保护,需要保护多长时间。
对于十分敏感的信息,应人工传递或采用加密技术传递。
对于涉及敏感信息的废纸或处理的资料,应用粉碎机或其他方法处理使其没有阅读的可能。
重要的公司信息资料,不管是印刷品还是电子产品,都不能留在无人看管的旅馆房间里。
电子邮件或声音邮件的密码必须严格保密并经常更换。
所有敏感的资料都不能留在会议室里,会后所有黑板或白板都必须擦干净。
如果可能,对所有接触敏感信息的人的背景都应该有所了解。
凡是可能接触到企业专有信息的人,不管是员工、供应商还是其他人,都应签署保密协议。
不满的员工可能对企业构成最大的威胁,应注意处理同这类员工的关系。
由于监听技术的发展,不管是固定电话还是移动电话的电话交谈都很容易被截听,如有必要,可安装反截听装置。
对企业的物质资产、信息资产和脆弱性应该有充分地了解。
如果可能,所有对外公关的材料和其他公开资料,在发布之前应尽可能先让信息经理审查一下。
在正式举行新闻发布会之前,利用OPSEC法将拟发布的信息审查一遍,以判断将信息发布出去的好处是否能抵消竞争对手得到后而使企业可能付出的代价。
企业为履行某些义务或由于商业交往的需要可以让参观人员看他们的某些设施,但参观人员所看的东西应是对竞争对手没有什么战略价值的东西。参观时要有人陪同,不要让参观人员随意走动。
工程师和研究人员在学术会议上提供的技术文件也可能泄露秘密。应对企业人员在会议上提供的资料进行审查,以确保战略规划或其他保密信息没有被泄露出去。
非公司员工,包括供应商、销售商、邮递员、印刷商、银行和其他机构的人员都可能了解企业的某些保密信息。尽管可以同他们签订保密协定,但更重要的是让他们都了解保守秘密的重要性。
员工绝不要在公众场所讨论保密信息。
所有的招工广告都应经过一定的审查,以确定其中哪些内容是否特别重要,应该保密。有些时候打非署名广告或通过猎头公司招聘效果可能更好。
公司内的网络应严防非授权人员使用,并应随时检查“防火墙”的可靠性。
法律诉讼常导致信息的泄露,从而使竞争对手得到好处。企业应特别考虑起诉某人或被某人起诉时,可能造成的信息泄露。潜在的泄露可能需要企业在法庭外“私了”一些案子。
应同所有的员工签订保密协定,其中应包括对公司无伤害原则,即公司的员工以后不管到哪儿工作,不能做任何可能对公司造成伤害的事。