原创：商密卫士 俎全胜

（图片来源网络，如有侵权请联系我们删除）

    我们知道，国家秘密的密级确定是法定的，国家秘密的保护要求和保护措施也是法定的。涉密企业按法律法规的要求对国家秘密进行定密，不考虑企业在保护（保密）方面的能力和特点，定密后，对涉密载体按确定的密级根据相关法律法规实施保护。而商业秘密却没有相关的法律法规给予规范。企业需要自己来确定需要保护的商业秘密范围，对商业秘密进行分级、定密，确定保护要求并实施保护。

    那企业在对商业秘密进行分级、确定保护要求时是否能采取类似这种国家秘密定密和保护的方式呢？理论上是可以的，但在具体实践过程中，采取商业秘密的分级与保护综合考量的方式更为适宜。

    所谓商业秘密分级与保护综合考量就是说，确定商业秘密分级和保护要求时需要考虑自身的保护能力和保护特点。

    首先说一下商业秘密的分级，也就是说商业秘密分几级，每一级如何确定。商业秘密分级的目的是为了实施分级保护，根据涉密信息敏感程度不同，实施不同的保护策略和保护措施，对重要信息进行优先保护。一方面，商业秘密的分级要考虑企业商业秘密资产的特点、商业秘密重要度差异；另一方面，还要考虑我们的保护能力（既包括管理的，又包括物理的、逻辑的技术防护手段）的特点及其可分级程度；当然，我们还要考虑商业秘密分级的差异化管理对业务便捷程度的影响及商业秘密保护的可控性。只有当我们商业秘密保护能力的可分级程度足以满足商业秘密的任何分级时，我们商业秘密分级考虑的重点才是商业秘密的特点及重要性差异。当我们的保护能力可分级程度不足以满足商业秘密的分级时，我们可以考虑通过管理的差异化来弥补商业秘密的分级，但这种弥补是有限的。商业秘密的分级不宜太多，因为分级的差异化管理对业务便捷程度会带来负面的影响，过多的分级也会导致商业秘密保护体系的复杂、培训的难度，使商业秘密保护的可控性变差。

    再说一下保护要求。当我们考虑上述因素完成了商业秘密分级后，下一步就是对应商业秘密的密级确定其分级保护要求（是分级保护要求，而不是保密措施）。注意，商业秘密的密级和分级保护要求是一一对应的。如果策略允许，我们可以允许同一密级不同类别的商业秘密（如研发信息和工艺技术信息）在某一方面有不同的保护要求，也允许不同密级的商业秘密在某些方面采用同一保护要求。但不同密级的商业秘密采用完全相同（或相似）保护要求就说明商业秘密的分级有问题。

    有的企业，在确定商业秘密的分级时，过多考虑商业秘密的知悉范围的不同或知悉人员的层次或多寡，导致分级过多，其不同密级的保护要求就是数据加密的方式或密钥的不同。虽然看起来对技术防护的差异性要求不大，但从资产管理、定密、标识、人员培训、制度编制等管理方面增加了负担。究其原因就是错误的把对保护措施的差异理解成对保密要求的差异。

    综上所述，在确定商业秘密的分级时，应根据商业秘密重要度，考虑企业的保护能力及可分级程度，还要考虑分级的差异化管理对业务便捷程度的影响。一旦确定了商业秘密的分级，就要确定一一对应的保护要求。

获取商业秘密保护服务和知识，请访问：

商业秘密保护网：www.ipr007.com 

公众号：商业秘密保护-ipr007 

学习国家秘密和商业秘密保护课程，请访问：

保密教育平台：www.ipr007.cn

服务号：保密教育平台