我服务过的企业里,十家有九家都有保密制度,但能说清楚制度内容的核心员工不到三成。这不是员工的问题,是制度本身的问题。你写一本六十页的《商业秘密管理总纲》,印刷精美,发到每个人桌上。员工翻开第一页,两章就看不下去了,从此这本制度成为桌上垫外卖的摆设。
我管这种制度叫"墙上制度"——看起来很完整,实际上没人用。真正有用的制度应该是"手上工具",员工日常工作中需要的时候能掏出来看一眼,看完就知道了怎么做。
那怎么把制度从墙上拽到手上?说几个实操方法。
第一个,岗位职责清单化。不要说"各部门应妥善保管涉密资料"这种大而化之的话。你得告诉每个岗位具体怎么做。比如研发工程师的保密清单里应该写:离开工位锁屏、涉密文件存在加密分区、外部协作文件必须脱敏、离职前移交所有涉密材料。每一条都能对着执行,做不到就是违规。我把这个思路叫"一岗一单",每个岗位一张A4纸的保密责任清单,贴在工位上或者集成到OA待办里。
第二个,审批流程线上化。保密制度里常见的条款是"涉密信息对外提供需经审批"。但什么叫审批?口头说一句"老板同意了"算不算?我有个客户的真实案例——销售经理把客户报价方案发给了意向客户,客户转头用这个方案压价了另一家供应商。事后追责,销售经理说"我请示过总监",总监说"我没批准发文件只说了可以继续跟进"。口说无凭。
正确的做法是:所有涉密操作——带走涉密文件、对外发送资料、接入外部设备、访问高密级系统——都走线上审批流程。申请人在系统里填事由、选密级、指定知悉范围,审批人签,系统留痕。出了事,谁批的谁签的清清楚楚。现在市面上的OA产品基本都能实现这种功能,不需要企业自己开发。
第三个,违规判定标准化。很多企业的违规条款写得非常模糊,"情节严重的给予纪律处分"。什么叫情节严重?三次违规算不算?造成什么后果算严重?没有标准,HR和法务每次都是一案一议,执行起来很难服众。
我的做法是把违规行为按性质和后果分成三个梯次。第一梯次是一般违规,比如下班没锁屏、涉密文件没有标注密级,口头警示加保密教育。第二梯次是较重违规,比如违规下载涉密文件、未经审批对外发送资料,记过加扣绩效。第三梯次是严重违规,比如窃取倒卖商业秘密、故意泄露核心秘密,直接解除合同并追究法律责任。三个梯次,每种行为提前写清楚对应哪一级,制度执行起来没有模糊空间。
还有一个容易被忽略的点——制度的表达方式。我见过一家公司的保密制度全篇都是"不得""严禁""禁止",员工看了就有抵触情绪。为什么不换个方式?写"你可以这样做:要——离开前锁好涉密文件;不要——把涉密文件放在桌面过夜"。正向引导加反向禁止,员工接受度会高很多。
我之前帮一个客户做了制度改版,把六十页的管理总纲浓缩成三份材料:一本十八页的员工保密手册、一页A4纸的岗位保密卡、一张OA审批流程图。施行三个月后保密违规率下降了六成。员工不是不想遵守制度,是制度得做成他们能用的样子。
北京企密安信息安全技术有限公司
/ 邮箱:jess@baomiwang.com
