我去年服务过一家做工业传感器的客户,老板姓周,技术出身,公司一百多人。他找到我的时候非常焦虑——团队里一个核心工程师跳槽去了竞争对手,带走了他们三代产品的电路设计方案。报警够不上,法务看了也说证据不足。周总说,我要做保密体系,但完全不知道从哪下手。
这种场景我遇到过很多次。大部分企业的第一反应是买设备装监控签协议,乱打一气。钱花了,人跑了,数据照样丢。秘密保护不是堆工具,是从0到1搭一个能运转的体系。我们内部有一套成熟的分阶段路径,从M1到M6,六步走完。
先说M1,调研诊断。这一步是做体检。你得搞清楚家底——企业有哪些类型的商业秘密,分布在哪些部门,流转路径是什么,谁在接触。没有这一步,后面所有的制度都是拍脑袋。我通常会带着清单去现场,按部门访谈,看流程文档,查IT资产,识别核心秘密载体。比如那个工业传感器客户,调研完才发现他们最大的风险不在研发部,在生产部的BOM表管理——每个工人都能看到原料配方和供应商信息。
M2是定密分类。很多企业的问题是想保护的太多,等于什么也没保护。定密的核心是要回答三个问题:这个东西值不值得保护?有没有被保护的法定条件?公司能不能持续维持保护措施?满足这三条,才能进定密名单。然后按价值分三级——绝密、机密、秘密。后面我再专门讲定密实操,这里先不展开。
M3是方案设计。根据调研报告和定密清单,设计保密管理体系的全景方案。包括组织架构怎么设,岗位职责怎么分,物理环境怎么改造,信息系统怎么加固,制度流程怎么编。方案一定要适配,不能抄模板。每个企业的业务模式、人员规模、行业属性都不一样,一个做生物医药的和一个做精密制造的,保密侧重点完全不同。
M4是制度建设。这个阶段是把方案变成可执行的制度文件。很多企业喜欢搞几十页的保密管理办法,员工翻两页就扔一边了。我要求的制度必须包含三样东西:岗位保密责任清单、保密事项操作流程图、违规判定标准表。员工拿到之后,看一眼就知道自己该干什么不该干什么。
M5是整改实施。制度和设备到位了,但得落地。物理环境的改造,比如涉密区域的物理隔离、门禁、监控;信息系统的加固,比如权限分级、数据加密、日志审计;人员的培训考核,每个人要签保密承诺书,要考试,要定期回炉。我见过太多企业买了设备不接线,建了系统不开审计,制度印了不发,等于白做。
M6是评估验收。体系建完不是终点,是起点。验收分两块:一是自查,看看控制措施有没有跑偏;二是模拟攻击或第三方测评,检验实际防护效果。之后进入持续运行和年审阶段,每年回头看,发现问题就整改,形成闭环。
周总那个项目走了五个月,从M1走到M6。第三个月的时候他跟我说,以前觉得保密是门卫大叔干的事,现在才知道是系统科学。M1到M6听起来简单,每一步都有很多坑。想知道哪个阶段最容易翻车的话,我下回接着聊。
北京企密安信息安全技术有限公司
/ 邮箱:jess@baomiwang.com
