IT 單位在營業秘密制度中所扮演的角色，應該是協助落實管理政策，並透過資訊系統專家的角度，協助管理單位去設計可執行的資訊安全規範與資訊作業程序，以確保可以落實公司制訂的管理要求。從職能分工的角度，公司的營業秘密管理規範，管理單位如法務、稽核、人資等，應該要先確定管理需求與目的，並協同資訊單位去落實預先制訂的管理目標。而資訊人員的使命，就是透過系統分析與資訊流程建置角色，把員工的日常工作流程合理化及標準化，並結合權限管理，讓管理政策與系統工具整合為一套管理制度，這樣才能真正的降低企業執行成本，簡化員工學習過程，同時能夠有效的降低資料外洩風險。資訊人員在營業秘密管理制度中扮演著核心命脈的角色，企業在保護營業秘密日常營運作業，就是倚靠資訊人員的良善設計。以下介紹資訊人員應該在營業秘密制度中，建議必要執行的任務：

1. 營業秘密盤點表所指定機敏資料範圍，應有檔案自動化備份系統，以落實公司智慧資產盤點與集中管制的政策

一般企業會設置如文管系統、ERP、KM等中央集中的檔案儲存系統或檔案伺服器，來集中存放重要的公司機敏資料，這算是符合營業秘密規範的最低系統投資。從營業秘密輔導實務中發現，一般員工在日常業務處理時，均會留存大量機敏資料在個人電腦端，以利增加日常作業效率。如在PC個人電腦端儲存大量機敏資料，可能會有極高的安全風險，如研發中心、技術Presale人員、高階主管、PM人員等，其PC個人電腦端的大量機敏檔案，如果企業無法協助落實常態且自動化排程的備份，發生可能性極高風險包括如員工惡意刪除檔案、檔案遭竊、檔案遺失或毀損等，所以必須透過一套自動化的資訊系統，來有效、自動化的備份PC端的大量機敏檔案。目前雲端技術以及檔案同步工具繁多且成本低廉，企業挑選合適工具，來達成檔案自動化備份的目的，以落實公司智慧資產盤點、集中管制的政策。

2. 制訂雲端檔案工具使用政策，以落實資料傳輸監控與管制政策 

企業機敏資料的傳輸政策不明，是資料雲端應用世代的常見管理漏洞，因為現代人可使用的消費性雲端備份與資料交換工具太過便利，如Dropbox、Evernote、Onedrive、Google Drive等，且可透過智慧型手機的APP不限時間與空間隨時讀取，導致企業機敏資料不受控管連接到外部雲端空間的情形時常可見。

此一議題，如果公司沒有以明確且合理的管理政策去約束員工使用消費性雲端檔案同步工具，會導致公司大量機敏資料散落在第三方雲端服務商及員工的私有終端裝置中，員工在職期間資料無法管理，離職後風險更大。且從過去法院判決的觀察，公司在默許員工使用第三方雲端服務的情況下，就算員工將機密或敏感資料上傳雲端空間，甚至利用雲端檔案工具對外傳送，企業也難以將使用雲端服務與侵害營業秘密行為互相連結，且員工往往辯稱行為目的為在家辦公或定期備份，法院在原告舉證不足及保護勞工的慣例下（且員工在家加班也確實符合臺灣的勞動環境），也通常選擇採信員工的說法，如此更凸顯此部分管理政策不當所造成的企業營運風險。

因為一味考量資訊安全，禁止員工使用雲端與行動化科技，對企業在面對快速商業競爭環境，可能會喪失機動與靈活性，企業應當以更正面但審慎的態度去擁抱雲端檔案管理工具，最低限度最少包括應該盤點所使用的消費性雲端檔案工具，在職期間所有使用的非IT提供第三方服務，如果涉及公務機敏資料的使用，應該需要提交帳號與使用申請，且要求在離職前應該完成機敏資料刪除作業。更完善的作法，則是公司可以透過公司帳號申請方式，讓員工使用公務的帳號去處理公務雲端服務，離職時只要把帳號還給公司就可以。當然，適合100台電腦以上較有規模的企業，最嚴謹的管理機制，則是應該由公司直接建置企業儲存雲，可以同時兼具資料備份、大檔傳輸、加密傳輸、接收端安全認證等，這些都已經是非常成熟且在歐美非常盛行的工具了。

3. 檔案內部分享，應設定檔案存取權限 

機敏資料的使用風險，長期以來有一大部份是由內部員工的不當使用或外洩所導致，所以企業內部機敏資料的存取控制與監控管理，將有助於提升機敏資料的全面管理品質，並可有效降低資料外洩的風險。

機敏資料存放的系統，最低限度應要求所有使用資料的人員，必須以個人的帳號登入，在登入系統後，系統應僅提供該員權限範圍內的資料使用。 而更常見的作法包括，可以參考以下範例來設定資料權限：

• 個人備份專用資料夾：資料夾僅有員工本人、部門直屬主管有權限進行使用。
• 內部協同作業資料夾：部門內部的許多工作小組，應設置小組專用的使用權限。
• 部門共用資料夾：部門所有員工均有權限使用與內部分享。
• 公司共用資料夾：公司所有員工均有權限使用與內部分享。
  

部份企業由於機敏資料價值過高，容易成為有心人士竊取機密的目標，於是企業可能選擇以更嚴謹的資料保護技術，譬如檔案加密或DRM權限管理技術，如此可以保護任何一個檔案在生命週期中，只要加密後，任何人使用均需要身分認證才可存取必要權限，來有效保障資料的機密性。但是加密或DRM技術的先天問題會導致機敏資料的使用效率變差，包括如供應商、設備維修商、業務窗口等資料交換會變成問題，甚至不同部門的資料交換也可能有限制，所以管理與技術配套會非常麻煩。如果企業正在評估加密與DRM技術，建議最少要評估3套以上不同技術的工具，且評估週期應最少6個月以上，配套管理程序應尋找顧問的協助。特別補充，會大規模導入DRM或加密技術的企業，絕對是少數個案，因為企業的常態資料管理，可以利用很多工具來達成一樣效果，全面使用加密、DRM技術，會造成的資料利用效率變差的反效果，可能比資料保護的效益落差更大。

4. 資訊系統應配置相關監控政策與稽核政策

機敏資料的保護程序中，最常導入的進階技術，除了第3點所提的加密、權限管理外，導入檔案監控工具，是IT人員最常選擇的方案。監控工具方面，對外電子郵件的備份政策，保留期限對外最少5年以上，內部郵件涉及研發管理的，也應該最低5年標準。電子郵件系統，除了是最基礎的監控標的外，從企業內部控制與美國沙賓法案的精神，也是企業的管理義務。目前實務上，許多企業已經將外部郵件的備份週期提升到永久，以符合公司長遠的商業利益。

檔案監控記錄部分，除了電子郵件外，最常見的即是檔案伺服器的紀錄，如果從中央控管點把機敏存取的紀錄全部紀錄，將會是非常有力的管理機制。而部分公司會採取導入PC端的檔案存取監控軟體，這樣的作法比較適合高價值的員工屬性，因為此類投資成本非常高，可能每位員工需花費5000-10000元，所以當然會挑選比較有價值的員工導入此類工具。而需特別注意的議題也包括，監控員工需先公告企業員工資訊安全監控政策，在企業環境保護營業秘密與憲法對於員工秘密通訊的隱秘保障權衡下，員工無法有隱私權之合理期待，但考量勞僱關係和諧，所以企業仍應以較為嚴謹的管理政策去制訂監控範圍、稽核程序、調閱流程等，並適時向員工溝通，以確保從最嚴謹的角度出發去保護員工隱私不被任意侵犯，且讓員工安心使用各類公務系統。