如何降低信息共享的风险

　　应用管理流程中的三个重要组成部分：方针、流程、绩效(Policy，Process, Performance)，我们构建了一个实用的框架，指导我们如何在信息共享中受益，如何降低信息被滥用的风险。

　　方针

　　信息分类——保护机密数据的基础是一流的方法，这些方法也被军事部门用来保护各种机密信息；按照数据的机密性(机密等级)把数据进行分类，只允许那些有访问权限的人获知数据信息。例如，对于一家负责零配件设计的零配件供应商来说，他们只需要了解零配件的物理外形(安装点和安装条件)以及电子接口特征，而不需要掌握整个产品的设计信息。

　　可利用/可交互信息——将原始数据进行提取、分析，转化为可利用/可交互的信息。结构性合同是一个很好的例子。企业依靠诸如最小限度承诺、提前期保证(不同的提前期对应不同的价格)、产能保证(弹性越高，价格就高)等结构性合同条款来表达未来的需求信息，而不是简单地共享需求预测信息。

　　第三方账户——这一策略的成功实施需要一个独立于两家企业之外的第三方参与。由合作双方建立一个第三方账户，当任何一方违反协议时，账户上的资金就被用于重建双方的信任关系，解决导致问题发生的原因。例如，可用于培训双方的团队精神、重组不合理的流程或者应用新的技术。这能够极大地增强双方的信任程度。

　　流程

　　各种方针都需要一系列的流程和控制系统支持，才能预防、发现、纠正机密信息被意外、故意滥用的行为，诸如： 实体安全——控制办公场所人员的进入，接待人员必须知道哪些人可以进入生产、办公设施，哪些人不能，对在敏感区域走动的陌生人要进行盘查，机密性文件要妥善保管，不要放在外面等等。

　　责任分离——例如，实物库存的管理和库存信息维护分别由不同的人员负责。

　　培训和测试——就保护机密信息的工作程序和重要性，对员工进行培训。对培训效果进行检测，保证员工按照正确的步骤与合作伙伴共享信息。

　　日志——记录所有数据访问人员的活动信息，包括什么人在什么时候进入什么区域、或者获取什么信息等。

　　核查——对您们的企业和贸易伙伴进行核查，确保安全设施的有效。一些企业还安装了计算机辅助“持续核查”系统。

　　一些特别敏感的数据信息的保护可能需要具有结构性和组织性的安全措施。例如， 一些工程技术组织利用一种被称为"clean room"的方法，把那些掌握高度敏感的设计信息的人员进行分离，限制他们与组织内其他人员的交流和沟通，防止合作伙伴的设计信息在组织内部泄漏。

　　绩效

　　方针和流程决策必须在保证效果的基础上进行权衡：

　　信息共享的商业价值

　　信息共享风险控制的成本
 
　　危及信息安全的后果

　　技术在信息共享过程中的应用

　　一些有用的技术可以帮助我们实施上述策略和流程方法。基于角色的访问控制模型(Role-based access controls (RBAC))使信息分类控制策略得以实施——根据具体用户对特殊信息的需要设置数据访问权限。数字权限管理(Digital Rights Management)系统甚至可以对文件进行全程跟踪保护。

　　尽管您的文件发送给企业外部的其他组织，系统依然可以对它们进行保护，限制特殊群体的访问，以及某些活动(例如，限制文件打印、剪切和粘贴、转发等)。私人网络和商用网络都已经采取必要的措施来保护贸易伙伴之间的机密数据；例如，ANS网络使汽车OEMs和供应商能够安全地交换那些经过数字加密的机密的设计文件和交易信息。

　　高层管理者的论战

　　要想在“信息共享”和“信息安全”之间做出适当的权衡，实现企业信息共享的最大价值并非易事。两者都不乏支持者。一些企业把负责数据保护工作的职位提高到C-level的级别，由专门的首席信息安全官负责。另一方面，高层供应链管理者很可能更倾向于“信息共享”的做法。是保护还是共享？这些决策应该做出合理的权衡。我认为，一个能够最大限度地进行信息共享的供应链就好比一个经过充分整合的企业，与那些崇尚信息保护的供应链相比，能够获得更大的竞争优势。