不仅在关键的商业活动期间，企业日常经营活动中的泄密事件也会令企业付出代价。张连起曾为某大型国企集团做过咨询服务，该企业的产品实行上网竞价，细分成本数据对其价格策略至关重要。

    然而，令其备受困扰的是，竞争对手总能报出比他们的底线价格更低的价格。后来检查发现，问题的关键在于这家企业的ERP系统对接触信息的人员和权限控制不严，很多重要的财务数据可以为一般的财会人员看到，这就造成了公司关键产品成本的详细信息外泄，所以才总被对手占得先机。

    不过，企业保密甚至高度机密信息外泄，并非总是商业间谍或得内鬼所为。在摩托罗拉、佳能等多家跨国公司工作过的财务经理胡明认为，企业重要的商业信息外流，有很多原因。

    IT从业人员的流动性很强，跳槽员工会将积累的知识经验全部带走，与原来的同事保持联络，说者无意，听者有心，会造成信息泄露。

    很多大型跨国公司还是有一些比较健全的制度来保护其信息安全，胡明工作过的两家跨国公司就有所不同。

    在摩托罗拉，有专门的信息安全官，而且推行了POPI项目，翻译成中文的意思就是保护公司专有信息。信息都要确定保密级别，明确公开范围，并定期抽调各部门的人员组成小组检查，违规员工将被警告甚至通报批评，多次犯错会影响绩效考评。

    胡明认为，这套制度会让大家脑中绷紧一根弦，意识到涉及保密级别的信息不能轻易对外披露或吐露。

    而佳能中国则走了另外一条信息防漏路线。在佳能，外面的客人必须要在与办公区域相对隔离的会议室接待，而公司内部的会议则必须要在办公区内举行。

    不过，多年的从业经验让胡明感觉，再好的制度也可能被人有意无意的打破。

    人不是流水线上的产品，虽然控制，但是岗位轮换和员工私下里的讨论就会引起信息共享程度超过了组织的控制，胡明说，一般，公司的老员工都会对全盘性的信息多少有些掌握，这是无法避免和阻止的。

    不过，为了防止保密级别高的信息在各部门之间私下流动，一些大公司选择了信息屏蔽的做法。比如，上市公司业绩只是公开一个笼统的数据，真正敏感的、具体详细的财务信息只有很少人能够确切掌握。有些具体项目的信息还会采用不同会计口径公布。

    但胡明认为，由于公司业绩同员工个人福利、收入增加等切身利益关系密切，公司披露给他们一些总体的财务情况是必要的，但只提供非精确的信息又可以保护公司的利益。

    而这种做法通常用来防范财务信息向会计或财务以外的部门不当传递，对至少掌握部分确切信息的财会人员，就未必能奏效。

    所以，胡明觉得任何一种控制都不是绝对有效的，而过度控制和缺乏控制一样是有害的。很多时候，让员工有信息安全的意识和获得信任关系的激励胜过任何一种制度防范。

    公司安全大bug：网管

    网络管理员，MIS人员，企业领导人往往会挑选一些经过熟人推荐的人选。

    谁在窥视老板的邮件

    公司的邮件，进出都有备份，但我可没这么多闲功夫天天看。这位网上绰号汤包的年轻人抱怨说。他是一家台湾企业的MIS人员，也就是负责管理公司信息系统的人。

    如今的企业里，像汤包这样的技术人员经常都要面临诸如此类的日常工作--比如进行公司资料管理、信息安全政策的拟定，协调公司内部的信息沟通等。而对员工的电脑、邮件（也包括老板的）的检查同样是网管及MIS人员的职责范围。

    这时，关键点出现了--网管及MIS人员，成了对企业信息安全最为重要的环节。窥视老板的邮件、拷贝关键文件……掌握少数几位高管才能知道的商业机密，似乎在汤包们来说，仅仅是手到擒来，小菜一碟的事情。

    疑人不用，用人不疑，因为不管换任何一位MIS都有可能会泄密。汤包认为除非公司真的花大钱做一套很严密的保密系统，但这样一定会对企业运作带来许多不便。

    而按照网管、MIS人员的职责分，他们本来就有权利去检查和监控使用者的电脑、甚至是邮件。这正应了那句信息安全领域里流传的格言--安全是相对的，不安全是绝对的。也就是说，安全就好像上保险，上了保险也不能阻止意外的发生。

    台湾盈晟科技的总经理许之坚多年来一直活跃在IT业界，可谓是资深人士，他对企业信息安全管理更有切身体会，信息安全的风险无处不在，而且无法预期。有可能一个操作员在无意间就把公司重要讯息发出去并且造成公司致命的危机。

    而潜在的隐患到底在哪里？在于企业各阶层的操作人员及主管对信息安全的认识有不同程度上的差异所致。许之坚认为在目前亚洲的企业当中，高管对信息安全的认识还非常有限，在这样差异明显的信息流通中，风险便变得无可避免了，关键在于老板对整个讯息安全的认知有多少。

    搜狐网的网络安全顾问周霖也不同意安全隐患的责任主要担负在网管和MIS人员身上，他们不是天生有权可以看任何资料的，包括EMAIL，相反，同样要经过公司授权或是高层授权才可以。他认为对企业内部电脑及网络进行监控，是技术人员正常的作业范围，至于保密，有聘用合同可以对技术人员进行约束。

    确实，网管与MIS人员是企业信息安全中极为关键的人物，而且遍查国内外案例，因泄露公司机密被公开曝光的犯案者也寥寥无几，看来，公司的电脑网络技术人员并非泄密的高发人群？

    来自台湾的许之坚就说，在商业竞争中，对手窃取公司信息最常见手法便是从买通中层主管、信息管理人员下手。

    一语道破天机，之所以被曝光的网管泄密案件不多，或许仅仅因为他们的职位相对较低，而且涉案时往往犯案的中高层人员是媒体关注的焦点，记者在查阅相关资料时，便在网上某论坛上发现一些关于MIS人员职责的讨论……

    说句真话啦，如果真的有权去看某些重要的资料，比如机密EMAIL之类的，我倒是没见有哪个MIS不会将这种重要信件转一份到自己信箱去的。--Overcertified

    做网管也得认清自己的本分，把好自己的分寸，不然私自看这些资料久了，不定哪天就惹祸上身。--Huckly

    ……

    不知道作为企业的高层，了解到这些公司的技术人员如此行为，会作何感想？

    因而就有了在招聘某些能接触到企业机密信息的职位时，比如网络管理员，MIS人员……企业主往往会挑选一些经过熟人推荐的人选，以求可靠和安全。  就像财务、研发、市场都会是老板的自己人一样，在台湾，这种现象也非常普遍。许之坚说，不过，能力还是要列为重点的考量标准，只是在人情和能力之间，该如何平衡，就成为了选人的关键。