涉密岗位的确定与调整,是企业保密管理体系中承上启下的关键环节。岗位定得宽则管理成本居高不下,定得窄则秘密保护存在盲区。岗位调整失当,则可能导致秘密信息随人员流动而失控。本文系统梳理涉密岗位的分类标准、确定依据以及岗位调整的操作规范,帮助企业建立科学、动态、可控的涉密岗位管理机制。
一、涉密岗位的分类与分级
涉密岗位的分类应当以岗位所接触秘密信息的性质和生命周期为分类轴心,而非以人员薪酬或行政级别为依据。通常可以将涉密岗位分为三个类别:核心涉密岗位、重要涉密岗位和一般涉密岗位。核心涉密岗位是指直接接触企业高级别商业机密、核心技术方案、未公开重大决策的岗位,例如研发总工程师、核心算法团队负责人、企业战略规划部门主要负责人等。重要涉密岗位是指日常工作中必须接触大量商业秘密但知识密度较低的岗位,例如售后服务处理人员、财务核算人员、人力资源薪资管理人员等。一般涉密岗位是指偶发接触涉密信息但对秘密整体性不构成直接威胁的岗位,例如行政部门文件收发人员、部分信息系统运维工程师等。在每个类别内部,企业还可以根据秘密信息的密级进一步细分为若干等级,实行分级授权、分级管理。
二、岗位是否涉密的判定方法
判定一个岗位是否涉密,不是看这个职位的行政级别多高,而是要看该岗位在日常工作中接触秘密信息的频次、深度和不可替代性。具体来说,企业可以建立起独立的涉密岗位评估体系,从以下四个维度对每个岗位进行量化评分:第一个维度是接触频次,即该岗位每个工作周期内接触涉密信息的平均次数。第二个维度是接触深度,即该岗位能够接触到的涉密信息的完整程度,是仅接触局部还是能够看到全貌。第三个维度是秘密影响力,即该岗位人员如果发生泄密行为,对企业造成的最大潜在损失。第四个维度是替代难度,即该岗位的工作是否可以被其他岗位在不接触秘密信息的情况下完成。综合这四个维度的评分结果,企业可以划定出涉密岗位的准入分数门槛。
三、涉密岗位的调整流程
涉密岗位的调整分为两种情况:人员岗位变动后的涉密级别调整和岗位本身涉密等级的重新认定。人员岗位变动时的操作流程应当包含以下步骤:首先由人事部门发起岗位变动申请,同步通知保密管理部门。保密管理部门对岗位变动的保密影响进行评估,评估内容包括新岗位的涉密等级、原岗位是否存在遗留秘密信息、人员是否需要经历脱密期。经保密管理部门评估并出具书面意见后,IT部门执行权限变更操作,回收原岗位的所有涉密系统权限,按新岗位等级开通相应权限。文件管理部门监督涉密文件的交接与清理,确保原岗位存储的涉密文件全部移交或销毁。最后,涉密人员在变动确认书上签字确认。
四、解密工作的操作要点
岗位的解密同样需要严格的流程控制。以下情形可以启动解密评估:岗位职责发生重大变化,不再涉及涉密信息处理;该岗位所管理的秘密信息已过保密期限并完成公开化审批;岗位所在业务线已出售或剥离,涉密资料已全部移交或销毁;岗位因组织架构调整被撤销。解密评估由保密管理部门牵头,联合用人部门和法务部门共同进行。评估结果须以书面形式记录,内容包括解密原因、风险评估、遗留文件处理方案、涉密人员后续保密义务说明等。解密后的岗位应当同步更新岗位说明书,删除与密级相关的描述。需要特别注意的是,岗位解密不代表人员保密义务的自动解除。涉密人员在原岗位上接触过的秘密信息,保密义务的持续时间仍然按照原保密协议执行,解密只是意味着该岗位不再产生新的秘密接触。
FAQ
问:同一个岗位,不同的在位人员,涉密等级是否应当一致?
答:原则上应当一致,因为涉密等级是针对岗位本身的风险评估结果,不是针对人员。但在实际操作中,如果某个人员因为工作年限较短、尚未接触到核心环节,企业可以设置一个初始授权等级,待人员达到相应资历后再全面开放。这种做法需要在制度层面有明确依据,不能因人设级。
问:岗位已解密,但解密前已接触的秘密信息还需要继续保密吗?
答:需要。岗位解密只代表今后不再接触新的涉密信息,已经接触过的秘密信息仍然受保密协议约束,保密期限按照原协议执行。如果该秘密信息已经过了保密期限并公开,则保密义务自动解除。
问:业务线剥离出售,原有涉密岗位应当如何处理?
答:首先应当对剥离业务线中涉密岗位的全部文件进行盘点,区分哪些涉密信息随业务转移、哪些需留下。随业务转移的涉密信息应当由接收方签署保密承接协议,涉密人员的保密义务应当在劳动合同变更中明确约定转移后的延续方案。留在原企业的涉密信息应当集中清理销毁或归档封存。
涉密岗位的动态管理能力,直接反映了一个企业保密体系的成熟度。岗位确定要科学、岗位调整要规范、岗位解密要留痕,三者共同构成涉密岗位管理的完整闭环。
北京企密安信息安全技术有限公司 010-63711822 / jess@baomiwang.com
