企业保密常见认识误区:技术就够了管理不重要
有一种观点在技术背景较强的企业中比较常见:保密的本质是技术问题,只要部署了足够先进的安全产品,问题就解决了。防火墙、入侵检测、数据防泄露、加密软件、终端管理,这些技术工具确实可以解决很多具体问题。但如果认为光靠技术就能做好保密,忽视管理层面的建设,那么再先进的技术工具也无法发挥应有的作用。
技术和管理在保密工作中是什么关系?一个比较恰当的比喻是:技术是锁,管理是看门人。一把再好的锁,如果没有人去检查门有没有关好、钥匙有没有管理好、有没有人从窗户爬进去,这把锁并不能保障安全。同样的道理,部署了数据防泄露系统,但如果企业内部没有文件定密和分类的管理标准,系统不知道哪些是敏感数据,无从拦截。部署了权限管理系统,但如果企业内部没有明确的岗位权限矩阵,系统不知道谁该有什么权限,权限设置只能凭感觉。
技术工具的效力依赖于管理制度为其提供规则和输入。没有管理制度的技术工具就像没有目标的武器。很多企业购买了先进的安全产品,但因为缺乏配套的制度和流程,产品长期处于默认配置状态,很多功能没有被启用或配置不当。有的企业买了加密软件,但因为使用起来影响工作效率而逐渐被弃用。有的企业部署了行为审计系统,但没有人定期审阅审计日志,系统产生的海量数据变成了无人问津的数字垃圾。
另一个技术手段难以独立解决的问题是人的行为。技术可以限制员工不能做什么,但不能告诉员工应该做什么,更不能让员工理解为什么要这样做。一个员工通过即时通讯工具发送文件给客户,这是正常的工作行为,技术系统难以判断这次发送是否涉及不应外传的敏感信息。如果员工有足够的保密意识,会主动确认文件是否可发;如果员工缺乏意识,再好的技术也拦不住他的合理工作需求。
管理层面的保密工作涵盖的范畴远比技术广泛。组织层面需要建立保密工作领导机制和责任制,明确谁对保密工作负责。制度层面需要制定各项保密管理规定和操作流程。人员层面需要开展持续的保密教育和培训。检查层面需要定期组织保密检查和风险评估。改进层面需要对发现的问题进行整改和复盘。这些工作,不是任何一个技术产品能够替代的。
技术和管理在保密工作中是相互促进的关系。好的管理制度可以帮助技术工具发挥更大效用,好的技术工具也可以帮助管理制度更有效地执行。例如,通过制度明确了各类信息的密级和知悉范围后,技术工具中的访问控制策略就有了精确的配置依据。反过来,审计系统发现的风险行为和访问异常,也可以作为改进制度的依据,形成制度和技术的正向循环。
还有一种常见的情况是技术工具选型与企业管理现状不匹配。有的小型企业购买了适合大型企业的复杂安全系统,系统功能过于庞大,需要专门的人员进行维护,而企业根本没有这样的运维能力。系统上线后问题不断,反而比上线前更加混乱。保密工作的技术投入应该与管理能力和实际需求相匹配,不是越贵、越复杂越好。
从资源配置的角度看,把有限的保密投入全部放在技术上而忽略管理,整体的保密效能会大打折扣。一个合理投入的企业,应该将技术投入和制度建设结合起来,同步推进。技术投入要做,但管理投入同样不能忽视。这两者就像马车的两个轮子,缺少任何一个都跑不远。
北京企密安在为客户提供保密咨询服务时,始终坚持"技术与管理并重"的理念。在帮助企业规划保密建设时,会先评估现有的管理基础和技术条件,再制定适合的方案。有的企业管理基础较好但技术手段落后,优先解决技术短板。有的企业采购了技术系统但管理没跟上,重点完善制度和流程。企业的情况各不相同,但技术和管理必须咬合的方向是不变的。北京企密安 010-63711822 baomiwang.com,帮助企业实现技术与管理协同发展的保密体系建设。
技术很重要,但技术不是全部。保密工作是一个系统工程,涉及技术、管理、制度、人员等多个层面。只有把技术工具和管理体系有机结合起来,才能构筑真正有效的保密防线。把全部期望寄托在技术产品上,最终会发现投入了很多却没有达到应有的保护效果。
FAQ
问:我们公司已经部署了加密系统和行为审计系统,还需要做管理方面的工作吗? 答:需要。技术系统需要配套的管理制度才能有效运行,比如加密系统需要明确哪些文件需要加密、加密密钥如何管理。行为审计系统需要有人定期审阅日志并处理异常。建议检查技术系统当前的配置是否与实际管理制度匹配。
问:小企业在保密上应该如何平衡技术和管理的投入? 答:建议管理先行、技术跟进。先梳理出核心信息资产和保密需求,制定基本的保密管理规定,然后选择最需要的技术工具。不必求大求全,关键是把现有工具用好、把基本制度执行好。
