小公司到底要不要设一个专门的保密岗位,这个问题我问过不少中小企业老板,答案基本分成两派。一派认为没必要,公司总共才几十号人,花一个薪资专门做保密太奢侈。另一派觉得必须设,否则没人牵头,保密工作永远推不动。两边都有道理,但实际怎么选取决于公司所处的阶段和业务的敏感程度。
先说说保密的实际工作量。对于一个三十到五十人的科技类公司,真正的保密工作主要包括制度起草和更新、入职离职的保密手续办理、权限配置和定期检查、安全培训组织、泄密事件调查处理。这些工作加起来每个月的耗时量大概在二十到三十个小时,差不多是半个全职人力。如果公司只有十几个人,这个工作量会降到十个小时以内。
从这个角度看,大多数小公司确实不需要设置独立的保密岗位。比较好的做法是让行政主管、人力资源或者技术负责人兼任,把保密工作纳入他们的岗位职责中。这样零成本增加一个专职编制,但有人对保密这件事持续负责。我比较推荐的做法是让行政或人力兼任,因为他们本来就和员工有日常接触,办理入职离职、签协议这些事本身就在他们职责范围内,保密只是把流程做得更规范一些。
什么时候需要设专职的保密岗位。我总结了几个判断标准。一是公司员工超过八十人,业务线开始细分,信息流动量大了以后,兼职很难抽出足够时间做系统化的保密管理。二是公司处理的涉密信息级别较高,比如涉及军工、金融、医疗、政府项目,合规要求本身就要求有专人负责。三是公司之前出过泄密事件,证明现有的兼职管理模式有漏洞,需要专人去止损和重建制度。四是公司正在准备融资或被并购尽调,投资方对内部管理规范程度有要求,设专岗是一个加分项。
如果决定不设专岗,需要注意几个问题。兼职的人要把保密任务排进工作计划,不能说忙起来就放一边。建议在季度KPI中给保密工作设一个小指标,比如完成一次内部培训、更新一次权限配置。这样可以保证兼职的人不会把保密彻底忘掉。同时要给兼职的人一定的决策权限,遇到有人违规时他能直接处理,不用每次都往上请示,否则保密就变成了一个没人管得动的摆设。
如果决定设专岗,建议从小做起。起步阶段招一个一年经验左右的专员就够用了,不一定要找在保密行业内很资深的专家。因为小公司的保密工作主要是执行而不是制度设计,能把日常手续跑通、把培训做起来、把检查做好,这就是合格的。真正需要专业能力的时候可以找外部顾问,按需付费,性价比比养一个全年的专家岗高很多。
另外还有一种折中的做法,就是和一个外部的保密服务公司合作,按月或按次付费。服务内容包括制度模板、员工培训、定期巡检、应急响应。小公司付一年一万到两万的费用就能获得比较专业的保密服务支持,比自己招一个人更划算。等公司到了一定规模再内部培养专职保密人员,这样成本平滑过渡,管理经验也在持续积累。
不管选哪种方式,核心是让公司里有一个人对保密这件事负责。相比纠结要不要设一个全职岗位,更重要的是确定谁把这个责任扛起来。小公司的保密不在于编制有多少,而在于有没有人持续关注这件事。哪怕每周只花两小时,只要人明确、责任明确、动作持续,小公司的保密就能做得比那些有专岗但不干活的大公司好得多。
