六月是企业做年中复盘的高峰期。业务部门复盘业绩、财务部门复盘预算、人力部门复盘人才,但有多少企业会在年中复盘一下保密工作做得好不好?翻一下上半年有哪些做得好的、有哪些漏洞需要补,比等到年底才总结要有效得多。我整理了一份年中保密工作复盘的检查清单,供保密管理负责人参考。
第一块:制度执行情况复盘。上半年有没有新的保密制度出台?原来的制度有多少真正落地了?执行率是多少?最简单的检查方法:随机抽两个部门问几个人,看他们知不知道公司最新的保密规定、有没有参加过保密培训、日常工作中有没有按照制度操作。如果大部分人答不上来,说明制度只是纸面上的东西。
第二块:人员管理复盘。上半年新入职了多少人?这些人都按流程签了保密承诺书和参加了入职保密培训吗?上半年有多少人离职?离职时都做了保密提醒和资产回收吗?有没有发现离职员工带走公司数据的情况?涉密人员的心理评估做了吗?全员保密培训覆盖率达标了吗?员工保密意识和半年相比有没有提升?
第三块:技术防护复盘。公司的防病毒软件、防火墙、入侵检测系统这些基础防护设施,上半年有没有出现安全事件?系统补丁更新是否及时?数据备份策略是否按计划执行?有没有新增了需要保护的核心资产?这些资产的保护措施到位了吗?上半年有没有进行过环境安全检测?如果有的话,检测报告中的问题整改了多少?
第四块:事件管理复盘。上半年有没有发生过泄密事件或安全事件?不管大小,所有的都列出来。每起事件的起因是什么、处理过程是什么、结果是什么、整改措施是什么。没有发生泄密事件不代表没有风险,也可能是没有被发现。统计一下上半年的安全告警数量和处理率,这个数字比"有没有出事"更能反映安全运营的真实水平。
第五块:培训效果复盘。上半年做了几场保密培训?参加率和合格率各是多少?培训内容是否覆盖了最新的风险类型(AI泄密、远程办公、供应链攻击)?员工对保密培训的满意度怎么样?有没有拿到培训后的行为改变数据?培训效果最直接的衡量指标不是考试分数,而是培训后员工的保密违规行为有没有减少。
第六块:外部合规复盘。上半年有没有新的法律法规出台影响到企业的保密义务?数据出境安全评估有新要求吗?合作的第三方供应商有没有发生过安全事件?客户或合作伙伴对企业提了哪些新的信息安全要求?行业监管机构有没有出台新的标准或指引?外部环境变了,企业的保密措施也需要同步调整。
下半年的改进方向建议:以问题为导向,根据上半年的复盘结果制定下半年的行动计划。把发现的问题按优先级排列:高风险问题在下个季度内完成整改,中风险问题在半年内完成,低风险问题纳入下年度计划。每年做两次复盘(年中加年终),比一次做全年的问题诊断要准确得多。最后提醒一句:复盘不是走形式,复盘后发现的问题必须有人负责、有跟踪、有结果确认,否则复盘了一百次也没有用。
北京企密安信息安全技术有限公司
企业保密体系建设咨询:010-63711822 / jess@baomiwang.com
