商業(yè)秘密是企業(yè)重要的資產(chǎn)，決定了現(xiàn)代企業(yè)的競爭優(yōu)勢和持續(xù)發(fā)展能力。有的企業(yè)沒有任何的商業(yè)秘密保護(hù)概念，導(dǎo)致自己的商業(yè)秘密被輕易泄密，投巨資研發(fā)或畢生心血積累的商業(yè)秘密毀于一旦，企業(yè)發(fā)展受阻或夭折；還有的企業(yè)對商業(yè)秘密很重視，也采取了一些保密措施，配備了許多防竊密設(shè)施，但最終商業(yè)秘密還是被泄露了，同樣導(dǎo)致企業(yè)不能正常發(fā)展。到底是什么因素決定了商業(yè)秘密能否被泄露以及泄密的可能性？哪些措施能杜絕或降低泄密事件的發(fā)生？如何以最低的成本保證商業(yè)秘密的安全？
        要真正的保護(hù)商業(yè)秘密，就有必要了解商業(yè)秘密的泄密和保護(hù)原理，分析商業(yè)秘密泄密的影響因素，有的放矢的采取控制措施，防止泄密。
泄密事件的發(fā)生以及發(fā)生的可能性，實質(zhì)就是泄密風(fēng)險的構(gòu)成和大小，當(dāng)各種因素構(gòu)成了泄密風(fēng)險，商業(yè)秘密就可能被泄露，風(fēng)險越高，泄露的可能性越大，反之亦然。
商業(yè)秘密的泄密風(fēng)險，由三個要素構(gòu)成，這三個要素的此消彼長，決定了商業(yè)秘密是否存在泄密風(fēng)險以及風(fēng)險的大小。同樣，根據(jù)三個因素的現(xiàn)實狀況，采取準(zhǔn)確的控制措施，可以用最少的成本，將泄密的風(fēng)險控制到最小。
一、商業(yè)秘密泄密三要素
1. 三要素
        商業(yè)秘密被泄露的風(fēng)險，取決商業(yè)秘密的價值、商業(yè)秘密存在的薄弱點、對商業(yè)秘密的威脅這三個要素。詳見圖一。
商業(yè)秘密的價值越高，吸引力就越大，就越容易受到各種威脅的攻擊。
威脅是指能夠?qū)ι虡I(yè)秘密造成泄密破壞的各種潛在原因。
薄弱點是指商業(yè)秘密存在的能夠被威脅所利用的弱點。
        實例:力拓商業(yè)間諜案中，中國鋼鐵企業(yè)礦石原料庫存的周轉(zhuǎn)天數(shù)、進(jìn)口礦石平均成本、噸鋼單位毛利、生鐵的單位消耗等數(shù)據(jù)屬于商業(yè)秘密，具有很高的價值，澳大利亞力拓公司的胡士泰等人屬于威脅，利用中國鋼鐵企業(yè)、行業(yè)協(xié)會管理和制度上的薄弱點，采取拉攏收買等手段，將上述中國鋼鐵企業(yè)的機(jī)密數(shù)據(jù)竊取到手，并在與中方的談判中，利用這些寶貴的數(shù)據(jù)，迫使中國鋼企在近乎訛詐的進(jìn)口鐵礦石價格上多付出7000多億元人民幣的沉重代價，相當(dāng)于全國鋼鐵行業(yè)同期利潤總和的一倍多，澳大利亞GDP的10%。

圖一：商業(yè)秘密泄密風(fēng)險三要素構(gòu)成

2. 三要素的相互關(guān)系
         商業(yè)秘密具有價值，威脅利用商業(yè)秘密存在的薄弱點，對商業(yè)秘密造成損害，導(dǎo)致商業(yè)秘密失密（詳見圖二）。

圖二：商業(yè)秘密泄密風(fēng)險三要素的相互關(guān)系

3. 泄密風(fēng)險隨三要素的變化規(guī)律：
             泄密風(fēng)險與三要素存在正相關(guān)的函數(shù)關(guān)系，三要素的作用越大，風(fēng)險就越大，反之亦然；

R=F(Vs,Vv,Vt)
R：泄密風(fēng)險
Vs=商業(yè)秘密價值
Vv=薄弱點
Vt=威脅

             缺少任何一個要素，就不存在商業(yè)秘密泄密的風(fēng)險。
             理解：

如果商業(yè)秘密沒有價值，自然也就不會成為商業(yè)秘密，就不存在泄密的風(fēng)險。
如果沒有薄弱點，就沒有威脅可以利用的漏洞，威脅就不可能對商業(yè)秘密造成傷害，也就不會出現(xiàn)泄密。
如果沒有威脅，天下太平，商業(yè)秘密不會受到破壞，自然不會出現(xiàn)泄密。

4. 三要素舉例

二、 商業(yè)秘密保護(hù)原理
        因為泄密風(fēng)險取決于商業(yè)秘密的價值、薄弱點、威脅三個要素，只要控制了這三個要素，就可以降低泄密的風(fēng)險，所以商業(yè)秘密保護(hù)，實質(zhì)就是控制影響泄密風(fēng)險的商業(yè)秘密的價值、薄弱點、威脅這三要素。

圖三：商業(yè)秘密泄密風(fēng)險三要素作用示意圖

1、 降低商業(yè)秘密的價值
       將商業(yè)秘密的價值降低，使其對威脅的吸引力變小，而且一旦泄密，造成的負(fù)面影響也小，最終導(dǎo)致泄密風(fēng)險減少。

圖四：降低商業(yè)秘密價值示意圖

降低商業(yè)秘密價值的方法舉例：
數(shù)據(jù)加密
技術(shù)替代
轉(zhuǎn)化為專利
該方法的實施是有限的，因為絕大多數(shù)商業(yè)秘密有其自身的使用價值，不可能被降低。

2、 減少威脅
       各種威脅是導(dǎo)致商業(yè)秘密泄密的主動因素，將威脅減少，意味著對商業(yè)秘密的破壞因素或強(qiáng)度減少了，商業(yè)秘密的泄密風(fēng)險自然也就降低了。

圖五：減少威脅示意圖

降低威脅的方法舉例：
通過網(wǎng)絡(luò)隔離，避免黑客攻擊導(dǎo)致的泄密
通過對人員的甄別，減少商業(yè)間諜的混入
通過標(biāo)準(zhǔn)化的操作流程，避免人員失誤導(dǎo)致的泄密
減少威脅的實施也是有限的，能夠減少的威脅性質(zhì)多屬于無意識的失誤，對于主動性的威脅，很難避免和減少。

3、 減少薄弱點

       薄弱點的存在，是商業(yè)秘密被泄露的必要條件，如果沒有薄弱點，商業(yè)秘密就不會暴露，再多的威脅也不會導(dǎo)致商業(yè)秘密的泄密。因此，減少薄弱點，也可以降低商業(yè)秘密的泄密風(fēng)險。

圖六：減少薄弱點示意圖

降低薄弱點的方法舉例：
加強(qiáng)物理隔離，可以防止入室盜竊的威脅
安裝使用反病毒軟件，可以防止惡意軟件的威脅
實施員工培訓(xùn)，可以防止操作失誤的威脅
薄弱點是一個企業(yè)自身存在的，屬于企業(yè)可控的范疇，實施減少薄弱點的控制，是企業(yè)內(nèi)部自身的活動。因此，在所有降低泄密風(fēng)險的控制方法中，降低薄弱點的方法最具有可操作性，應(yīng)用也最廣泛。

4、 綜合應(yīng)用
       在實踐中，一般將上述三種保護(hù)商業(yè)秘密，降低泄密風(fēng)險的方法綜合應(yīng)用，以減少薄弱點為主要控制手段，輔以降低商業(yè)秘密價值，減少威脅，達(dá)到全面控制泄密風(fēng)險的目的。

圖七：同時減少商業(yè)秘密風(fēng)險三要素示意圖

三、 商業(yè)秘密保護(hù)方法
         根據(jù)商業(yè)秘密的泄密和保護(hù)原理，我們可以采取兩種不同的方法對商業(yè)秘密實施保護(hù)，一種方法是“深度保護(hù)”方法（Detailed Protection Approach）”，另一種是“基線保護(hù)方法（Baseline Protection Approach）”。