前几天交流时的关于“为什么做IT行业的人都这么恨自己的工作”的一个答案:“因为工作前他们以为自己只用处理机器的问题,入行后却发现,他们需要处理人的问题。”
商业机密,这个词一听起来就让商人感觉不可忽视,无论是概念上还是体会上,因为商业机密直接贯穿着企业成败的始终:也许是驱动公司流转每一个环节的“火种”、也许是在决定企业命运走向时的核心、又也许是几世人功成名就的中流砥柱……总而言之,尽一切可能的保护它是每一家企业最基本的共识,但在具体的制度、策略、措施上却是纷繁不一,对于苹果这类重量级企业而言,只有最高级别的保护方法,晚上才能睡得着觉。
本文旨在通过详述苹果公司严密的信息安全方法,为艾地思企业用户提供借鉴思路,从而整合精华,详解艾地思Exchange企业邮箱为用户定制的防护方略。下面我们开始,史蒂夫·乔布斯是如何保密的?
企业内部:“我不能告诉你, 告诉你了我就得杀了你”
Brain Hoshi:在苹果工作了几年后我可以说,为了在平淡的市场里创造出具有革命性的创新产品,苹果已经将保密融为根深蒂固的企业文化。大家都知道公司的安全团队几乎无时不刻地在监察你的动向,轻微的违规都将直接导致职业的中止,所以整个团队都在坚持保守机密。在苹果,只要你遵守这些基本的守则,没有什么可以 “恐惧”的。
回到1977年,苹果还只是一家初创企业时,大厅就有一处标语:“言多必失。”
Ø 苹果的工业设计部门,只有少数高管和本部门的人可以进入。员工的badge只能刷进和工作相关的几幢楼,其他楼进不去;
Ø 工业设计部门的人出差,是不能透露出差地点的,对家人也不行,因为担心由此被人猜到出差的目的(如跟当地的某个设计公司合作);
Ø 员工离职,除了立即擦除个人设备上的公司信息,解除其在公司的权限,还需要跟律师面谈,再次签订各种保密协议。
——来自《乔布斯传·神一样的传奇》
此外,如果有员工要进行新产品(如最新iPhone、iPad)测试,新产品外都封装这伪装的外壳(让人不知道产品原型),伪装的外壳是不能被拆掉的;
在产品要上市前几个星期,苹果的总法律顾问都不知道产品是什么样。任何时候在苹果进行会议,只要有样机在内,样机旁必须准备一大块黑布,只要有人进会议室,即使是撰写产品专利的律师,也要立即把产品遮住,直到确认这人可以知道。
供应链及其余环节:富士康、第三方合作的保密制度
富士康的保密制度,已经有很多报道,全程监控、三道安检:
第一道:从车间开始的每个楼层都有保全,出入门必须经过金属探测的安检门(和机场那种类似);
第二道:整个生产区封闭,出门时保全会抽查;
第三道:出入厂区大门时还会再次进行抽查;
据一名富士康的员工所说,“送一次包装盒最多被扫描过六道卡”,此外还有,
§ 禁用USB等移动设备,如果必须使用,要申请到许可;
§ 每件成品或半成品上都有2D码,随时可以查到具体在什么厂区,哪个流水线,哪台机生产的;
§ 发往外部的邮件要接受部门最高主管和信息安全部门双重审核;
§ 在新品试产期,进车间的所有人员都要签一系列保密协议,并且还要得到苹果公司本部该产品的最高职级负责人授权,且只有他才能授权;
精要:苹果公司保护商业机密的方针
苹果公司保密方法的精要只有两点,就是“权限”和“第三方监管”。
在权限层面,艾地思Exchange企业邮箱本身就融入了权限的设计思想,无论在各个员工账户职级对应触及、获取、使用企业机密信息的权限上,还是在权限防护的技术上都有IRM功能和服务器技术对应,而且在数年前就已实现针对当下移动办公的信息保护策略,在员工出差、离职、移动设备遗失或被盗等情况都有相应的措施可防止机密外泄
在第三方监管层面,艾地思安全部门可以根据企业用户的实际情况建立强制的安全规则,对邮件内容的操作上进行截屏控制、剪贴板控制、打印控制、水印管理等,对邮件传输进行多次多层级的加密防护,直接消除员工有意、无意造成的泄密渠道和空间。
总结:保护商业机密,人是关键
上面的防护措施是技术层面的,在技术层面可以解决泄密的潜在漏洞和风险,但要完全保证商业机密的安全,却是不够的,有意泄密可以通过技术层面去解决,而无意泄密则通过艾地思Exchange企业邮箱在设定的安全准则上引导出企业管理方式的改进,具体在意识教育和机密数据、信息管理的流程上,在此,我们总结了近年来艾地思在建立信息安全文化上的实战经验(包含法律、管理两方面建议),供企业用户借鉴、参看:
1、 公司在招聘人才时要细致辨识员工的价值观,漠视、不尊重知识产权的人今后有很高的几率会无意泄密;
2、 员工入、离职后一定要签订相关保密协议,和触及公司机密的员工一定要签订竞业禁止协议。可能一些老板觉得“一张纸”的意义不大,但合同除了证据的作用之外,实际还具有心理威慑的作用。
3、 通过职级体系(详见艾地思微信文章:《企业邮箱安全科普⑥管理模式升级向导——微软、阿里、Google的职级体系》)对机密的信息和数据进行分级管控;
4、 公司为员工付出提供足够的物质奖励和精神激励,使员工有强烈归属感和使命感,企业和员工从来就不是对立关系。员工离职时,要有相应的补偿机制,以仁德为主,好聚好散,在实际中,不少商业秘密泄露的行为都是离职员工的恶意报复。
(编辑:朱杉杉)
