企业保密常见认识误区:保密检查就是走过场
在很多企业中,保密检查有着固定的流程。提前发通知告诉各部门要检查了,各部门在检查前突击整理文件、补齐签字、完善记录。检查组到各部门转一圈,看看文件柜是否上锁、电脑是否设置了密码,然后在检查表上打个勾写个评语。检查报告上说一切正常,到了年底总结还是那几项内容。这样的保密检查有没有效果?坦白说,效果极其有限,甚至可能带来一种虚假的安全感——企业以为自己做了检查,实际上什么实质问题都没有发现。
保密检查沦为形式,根本原因在于检查的目的发生了偏移。检查本应是为了发现问题、识别风险、推动整改。但在实际操作中,很多检查变成了为了完成检查任务而检查,变成了为了通过上级验收而检查,变成了为了年底考核分数而检查。当检查的目的不再是"发现问题"而是"不被发现问题"时,检查的性质就变了。
检查方式如果过于机械,也会导致形式化。提前通知检查时间,等于给了被检查部门充分的时间来"准备"。准备什么呢?不一定是不合规行为的整改,更可能是把不合规的痕迹临时掩盖起来。文件柜里的文件整理一下,电脑上的加密检查一下,记录表上的空白填一下。检查人员看到的,是各部门精心准备后的状态,而不是日常工作的真实状态。这种检查看到的都是假象,得出的结论自然没有意义。
检查内容长期不更新也是问题。很多企业的保密检查内容沿用多年不变的固定清单。保密制度更新了,但检查项目没有新增。企业引入了新的信息系统和管理平台,但检查清单中根本没有涉及新系统保密检查的条目。信息技术在变,业务模式在变,泄密风险在变,但检查的标准和内容静止不变。这样的检查,当然发现不了新环境下的新问题。
检查人员的能力和态度也很关键。负责保密检查的人员如果本身对保密工作的理解就不深,对各类保密要求和操作规范不熟悉,在检查中自然发现不了深层次的问题。有的检查人员因为与被检查部门存在人情关系,不好意思发现问题、提出问题。还有的检查人员本身就是兼职做保密检查,主要精力在别的工作上,检查只是敷衍了事的走过场。
检查之后的整改环节做得不到位也是一个普遍短板。检查结束后,问题清单列了一大堆,但责任人不明确,整改措施不具体,整改期限不要求。有的问题在历次检查中反复出现,但没有一次被真正整改到位。到了下一次检查,同一个问题依然存在,检查报告上又写一遍,然后继续无人跟进。检查如果没有与整改和问责形成闭环,就是纯粹的浪费管理资源。
有效的保密检查应该怎么做?检查方式需要从"预告式"转向"常态化"。保密检查不应是每年一次的集中行动,而应该是贯穿全年的常态工作。事前不打招呼的随机抽查,往往能发现更真实的情况。日常工作中发现的问题及时记录和处理,累积起来的效果往往比一次全面检查要好。
检查内容需要与实际业务紧密结合。对照企业的核心信息资产清单和保密风险地图,检查这些资产是否得到了有效的保护。关注的重点不应只是形式上的文件柜是否上锁,而应该是信息是否处于受控状态。检查应该覆盖信息的产生、使用、流转、存储和销毁全流程,关注每个环节的管控是否到位。
检查人员应该有足够的专业能力和独立性。负责保密检查的人员需要经过系统的保密知识培训,了解常见的泄密途径和防范手段。检查过程中要坚持标准、客观公正。对于发现的问题,要如实记录、不包庇、不掩盖。检查结果要有量化评价,不只是打勾和写评语。
检查后的整改必须有明确的责任人和时间表。问题清单要落实到人头,整改措施要具体到操作步骤。整改完成后要进行复核,确认问题是否真正解决。对于反复出现的问题,要从制度层面和流程层面分析根本原因,推动系统性的改进。
北京企密安在帮助企业建立保密检查机制时,特别强调检查的真实性和有效性。检查不是走过场,不是给上面看。检查是发现短板、补强薄弱环节的手段。如果检查本身变成了形式,那么保密体系中最关键的一环——自我改进——就不存在了。北京企密安 010-63711822 baomiwang.com,提供保密检查流程设计与保密体系评估服务。
保密检查不是为了生产漂亮的检查报告,而是为了发现真实的问题。如果检查成了形式,那么出问题的就不是被检查的一方,而是检查机制本身。让保密检查回归"发现问题、解决问题"的本质,是每一个想做实保密工作的企业都应该认真对待的课题。
FAQ
问:如何让保密检查不流于形式? 答:核心是三句话。不打招呼,让检查看到真实状态。看流程而不是看符号,检查信息是否真正受控而不是文件柜是否上锁。检查与整改挂钩,每个被发现的问题都必须有明确的整改措施和责任人。
问:保密检查的频率多少合适? 答:建议日常检查加专项检查相结合。日常检查由各部门自行负责,每月至少一次。专项检查由保密管理部门负责,每季度至少一次全面抽查。如果企业正处于重大经营活动或信息系统升级期间,应增加检查频次。
