ISOIEC270022005协议下企业竞争情报安全管理体系构建研究.docVIP

ISOIEC270022005协议下企业竞争情报安全管理体系构建研究 　　[摘要]拓展竞争情报安全的概念外延，在分析国内外竞争情报保护模型的基础上，针对其对建立竞争情报安全管理体系指导性不强的特点，以作为企业信息安全国际标准的ISO／IEC27002：2005协议为参照，构建并系统地阐述企业竞争情报安全管理体系。该体系将对企业的竞争情报保护工作具有重要的指导作用。 　　[关键词]竞争情报安全管理　ISO-CISMS　IS0／1EC27002：2005协议 　　[分类号]G350 　　 　　随着知识经济时代的到来，情报活动作为企业收集、分析有关经营环境、竞争者和本身的相关、准确、及时、前瞻性的情报以强化竞争优势的手段被频繁使用，导致企业竞争情报安全风险日益凸显。数据显示，各类经济情报活动每年给美国造成的损失达几千亿美元，使德国损失近5万个工作岗位。我国也有类似的惨痛教训，景泰蓝、宣纸、“金星”钢笔抛光技术等国宝级机密皆因保护不力而外泄。事实上，在当今激烈竞争的市场环境中，缺乏对竞争情报重要性的认识或保护不力的企业迟早会被淘汰出局。因此，如何有效地抵御对手的竞争情报活动，防止竞争性情报被对手获取，日渐成为企业和学术界关注的焦点。由于企业是一个开放式系统，竞争情报保护又涉及众多主体、客体(情报源、传播渠道与设施等)、环节和复杂内外部环境，因而其安全问题绝非仅是技术性或方法论问题，而是一项系统性工程，必须从策略、过程、实施控制、技术、资源和环境以及应急与处理机制等诸多方面进行规范和保护，以保障其必威体育官网网址性(eonfidentiality)、完整性(integrity)和可用性(availability)，即构建竞争情报安全管理体系。 　　 　　1　国内外研究现状 　　 　　竞争情报简称cI(competitive intelligence)，是关于竞争环境、竞争对手和竞争策略的信息和研究，是给组织竞争地位带来重大影响的外部威胁、机会或优势的情报及这些情报的获取、监控、分析、前瞻和预警过程。它是一种过程，包括对竞争信息的收集和分析；也是一种产品，包括由此形成的情报和谋略。本文所指竞争情报仅是狭义的竞争情报，指代企业内部的关键性情报，包括竞争对手、客户及合作伙伴情报、市场情报和技术情报等。 　　关于竞争情报安全，国内外许多学者已有一些研究。JerryP，Miller提出情报保护需历经定义保护需求、评估竞争对手、评估自身弱点、制定实施对策、分析监控、结果传递等6个步骤；John A，Nolan提出Phoenix商业情报保护模型，认为竞争情报活动是一个由任务、定义保护需求、评估弱点、制定对策、分析和发布6个环节构成的循环过程；美国军方受越战战例启发提出OPSEC模型，认为要对公开信息进行严格核查，以防零散公开信息被对手甄别、聚类分析并得到关键情报；有些文献介绍了反情报技术，如DNSBL等。国内对竞争情报安全也有一些研究，文献[7]对Phoe-nix模型进行了修正，提出工作步骤应包括保护技术、保护策略；文献[8]、[9]分别从知识流视角和基于博弈论构建了情报保护的动态监控与博弈模型；文献[10]利用人一机系统理论提出安全规避措施；有些文献则分别从制度、技术、法律、企业文化等视角进行了分析或策略构建。还有一些学者研究了竞争情报的泄密途径，文献[11]指出计算机的泄密渠道包括电磁波辐射、计算机网络、计算机存储、工作人员被策反和计算机系统被监控等。文献[12]分析了企业内部的情报泄密途径，包括企业网站、内部员工与第三方、有哪些信誉好的足球投注网站引擎、病毒和黑客攻击等；有些文献认为还有公开出版物、离职员工、业务伙伴、商业间谍、反求工程及其他灰色或非法途径等渠道。 　　 　　 　　 　　 　　 　　 　　 　　从文献研究看，目前的竞争情报安全管理主要集中在泄密渠道、工作模式、安全技术、策略机制等领域，对竞争情报安全问题或阐述得比较笼统，或分析得不够深入，或角度单一，对企业如何建立竞争情报安全管理体系，实现竞争情报全面安全管理的理解不深、指导性不强。本文将以作为企业信息安全国际标准的ISO／IEC27002：2005协议为参照，以实现竞争情报的全面管理为目标，构建并系统地阐述企业竞争情报安全管理体系及其内涵。 　　 　　2　竞争情报安全管理体系的构建基础 　　 　　IS0／IEC27002：2005源自于1993年英国贸工部编写的信息安全管理文本“信息安全管理实用规则”，此后该文本于1995年被转化为国家标准(BS7799-1)，2000年被ISO／IEC组织采纳为国际标准，2005年推出修订版本ISO／IECl7799：2005，2007年被更名为ISO／IEC27002：2005(内容不变)，并与由BS7799-2标准演化而成的I