
導讀:以下文字摘自會計師事務所、財務管理顧問公司「勤業眾信」出版之《創業時代:財會管理的必修課》一書。勤業眾信與其他會計師、財管顧問公司不同的是,他們針對許多新創公司提供服務,提供他們在審計、稅法、風險、財務、管理等方面的諮詢。(以下文字經編輯略為刪修。)
新創公司之所以被稱為新創公司 ,就是它有別人不會的「技術」,這是新創公司最重要的資產。但常見新創公司急於拓展業務 ,卻忘了對「技術」加以保護管理。試想,如果新創公司在成功拓展事業版圖後半年,滿街都出現相同類型的山寨公司,新創團隊情何以堪?
以下舉出案例,說明未妥善管理營業秘密會造成何種程度上的損失。

- 綜觀上述案例可得知營業機密保護的重要性,究竟一新創公司該如何針對公司的技術、營業機密或方針進行保護呢?
技術文件、公司營運方針或是其他營業機密,甚至隱私權資料,不論是電子檔案或是紙本資訊,都應經完整的保護。資料自產生或取得後,便開始踏入「資料生命週期的循環」,一路從資料的 儲存、使用、共享到歸檔,最終進到銷毀,這環環相扣的循環過程中,各個環節都有需要注意的事項。

(一)資料的產生及取得
資料無論其等級為機敏或一般,在產生或取得時,都需先針對資料的原始型態進行定義, 確認資料會以何種格式與規則呈現。依據這些資料的用途、特性及要求,去進一步的分類及定義重要等級。亦需進行資料品質管理作業,確保資料的品質,不會因其他外部因素而受到竄改或汙染。
(二)資料的儲存
資料的儲存也需一併進行管理,如資料儲存的安全標準,或是資料存放載體(USB 或硬碟等)載具管理機制。更重要的是,用什麼技術去進行控制,例如利用存取控制技術,去限制能夠接觸到資料的人,或是用加密方式去儲存資料並監控資料的儲存環境。
(三)資料的使用
針對可使用這些資料的人員,需依每個人的業務特性,設置不同的存取權限,適度的進行管控,例如若非業務需求,相關機敏資料可能需要設置隱碼或遮蔽等規則,定義資料使用的安全標準,並根據可能會發生的資料外洩情境,規劃妥適的應變計畫。
(四)資料的共享
資料大多會利用網路或是其他媒體與其他人進行交換及分享。針對共享的機制,組織需明訂與交換方之間該使用怎樣的方式進行資料傳輸,定義明確的資料傳輸安全標準,並搭配相關的傳輸媒介管理機制(如加密機制、針對存取的環境的安全性設定及控制)。
(五)資料的歸檔
當資料使用完畢後,應將相關的資料進行歸檔,並綜合上述相關資料安全標準進行管控, 如:資料的儲存、使用及傳遞進行相對應的技術控制,確保能存取資訊人員經適當授權、 檔案保存方式是否以加密方式進行納管、針對已經歸檔資料,是否有相對應的監控機制, 且需定期進行資料的備份及回存測試,確保資料可用性。
(六)資料的銷毀
當資料的使用期限已到,或經評估後決議要將其銷毀時,組織應針對保存資料存放載具或媒介,進行實體的破壞,或是其他損毀方式,得以確保資料能夠完全刪除到無法恢復的狀態,並留存相關銷毀紀錄以茲證明。
- 除了針對資料生命週期進行管理外,新創公司應如何落實配套措施去進行營業秘密的保護呢?
在事前的預防,勤業眾信規劃了五大步驟,可用以強化組織針對營業秘密保護。
(一)現況診斷與規劃
針對公司現有營運狀況與流程進行瞭解,並確認公司現有管控強度是否足夠,另針對機敏資料進行分類分級,確認保護標的。另建立適當的管理組織,以釐清管理權責,利於推行營業秘密保護管理制度,且以最適合組織的方式進行後續管理制度佈署規劃。
(二)營業秘密保護教育訓練
透過教育訓練向全體同仁宣導營業秘密該如何判定,其重要性為何,另外該如何保護這些營業秘密等。
(三)企業資訊保護制度
建立企業資訊保護制度,首先需設計資訊分級管理機制,規劃各級資料的控管措施以及保密機制。其二,針對能夠接觸到該資訊的人員,設計相關的人員保密機制,並評估是否需設置競業禁止機制。確保人員之相關權責遵循必要性與最小化原則。其三,確保資訊系統安全控管機制能符合相關的安全標準,以完善資訊保護的框架。
(四)資料保護控制與證據留存設計
設計資料安全控管機制,即資料在其生命週期內流轉時,所應遵循的規範,另針對資料傳輸的媒介與儲存的載體,亦應設計相對應的保護方案。除此之外,針對相關證據留存的機制與自動化稽核平台,也需妥善設計與規劃,確保相關資料存取都有留下記錄佐證。 並針對現有的資訊系統進行安全檢測,確保資訊系統的安全性,同時針對異常行為進行監控、分析與威脅預警。
(五)資訊外洩緊急應變
資訊外洩首要考量的是當事件發生時,該如何去止血,如何去應變。我們將協助規劃事件應變通報機制,針對可能發生的相關情境規劃應變流程,提供事件應變演練計劃讓組織可據以操演,確保事件發生時,相關人員能即時應變處理。
在事後舉證部分,本事務所有專業團隊可提供相關之鑑識分析服務,協助組織在不幸發生事件時,能夠將相關證據保存並進行分析。
- 資訊外洩調查與數位鑑識
勤業眾信有全台唯一非公務機關取得認證的數位鑑識實驗室。鑑識團隊提供數位證據封存、保全及保存專業、資安事件暨駭客入侵鑑識服務以及符合國際司法程序 eDiscovery 證據蒐集與訟訴支援服務,並提供數位證據鑑定報告出具服務。

透過保密與法規宣導,讓所有同仁對營業秘密保護有一定程度上了解,再循序漸進,建立資訊分級制度,確立保護標的,並將資源依等級按比重分配,作最妥適的利用。有了控管資源,就可依 之建立企業資訊保密制度,確保資訊在企業中的使用與儲存等作業,可以獲得保障,並需定期演練,使所有同仁熟悉因應程序,且時時關切外部潛在威脅,持續改善企業環境,才得以永續經營。

網路新創公司蓬勃發展,但開公司不能單靠熱血和創意!創業者與企業管理者需要知道的 Know-How,實則都與「法務和財務」相連,管理也是一門專業,趕緊來練財法務基本功!

[kktix]kktix.com/tickets_widget?slug=financial-and-legal1030[/kktix]
(圖片來源:xJason.Rogersx, CC Licensed)



