保密工作在很多企业里被定位成"既要又要还要"的苦差事。员工觉得保密就是给我添麻烦,领导觉得保密就是出了事才想起来的事,中间层觉得保密就是填表签字开会。这种状态持续下去,保密就永远是被动的、防御的甚至对抗的。怎么扭转这个局面?靠激励。不是靠扣钱威胁,而是靠让保密这件事变得"值得做""愿意做"甚至"做着有成就感"。
我接触过一家做数据安全服务的民营企业,他们的保密激励方案很有意思。核心逻辑就一条:发现漏洞奖比隐瞒漏洞罚的金额高。具体来说,员工发现并报告一个数据泄露隐患,经过评估后按隐患等级给予现金奖励,较高可达单次五千元。而隐瞒不报的处罚虽然也有,但设定在一个合理的范围内,不会过度惩罚以至于人人自危。这套机制运行两年后,隐患发现率提升了三倍多,而且很多隐患是在管理层完全不知道的角落被一线员工主动报上来的。
这个案例揭示了一个重要原理:激励机制最关键的不是金额大小,而是方向设计。如果制度只惩罚不奖励,员工就会把保密看作一个"少做少错"的避雷区,看到问题也假装没看到。如果制度同时奖励主动行为,员工的态度就会从"避雷"变成"排雷"。方向对了,保护机制就自己运转起来了。
我总结了几类在实际落地中效果不错的激励方式,供各个不同规模的企业参考。第一类叫"保密积分",适用于全员参与。每个季度给员工设定基础的保密行为积分目标,比如准时完成保密培训加十分,主动上报隐患加三十分,参加保密宣传活动加十五分。积分可以在公司内部商城兑换小礼品或者兑换额外的调休时间。别看礼品不大,但积分带来的社交认可和成就感,比钱本身更能持续激发行为。
第二类叫"保密贡献榜",适用于技术研发类岗位。这类员工的特点是对自身专业能力有自豪感,所以单纯的金钱激励不如让他们"被看到"。每两个月公布一次保密贡献榜,把主动发现安全漏洞、提出流程优化建议的员工名字和成果列出来,在内部技术论坛置顶展示。很多技术人员看到自己的名字上榜,会比发了奖金还高兴。
第三类叫"保密免检权",适用于高保密意识的中高层员工。对于连续两年保密考核优秀的员工和团队,可以给予一定范围内的"保密免检"特权。比如他们负责的项目在常规保密检查中可以走快速通道,省去繁琐的逐项核查流程。这既是对他们保密能力的认可,也给了其他员工一个可见的目标——我也要做到那个级别。当然免检不等于不管,定期抽查还是要有的,但这个姿态本身就是一种高级的心理激励。
第四类叫"保密建议奖励基金",适用于全员开放式创新。很多保密流程的优化点子,总部管理层根本想不到,但一线员工每天都在和流程打交道,他们最清楚哪些环节是无效的、哪些是冗余的、哪些是有漏洞的。设立一个专项基金,员工提出的保密流程改进建议被采纳后,按照改进效果发放奖金。这个做法的额外好处是,员工参与提建议的过程本身就是一次深度保密教育。
还有一点值得注意:激励机制不能搞成"全员有奖"的平均主义。某央企的保密奖励方案一开始是年终统一发一个小红包,每人一样。结果发现大家根本不在乎,该怎么做还是怎么做。后来改成按行为区分奖励等级,主动发现重大隐患的给高额奖金和全公司通报表扬,按时完成培训的给基础积分。做了区分之后,大家对保密的关注度明显提升了,因为每个人都知道,做与不做,结果是不一样的。
激励机制的最终目标不是让员工为了奖励去做保密,而是让保密行为成为员工自我认同的一部分。当一个员工因为主动排查了数据风险而获得奖励,他的内心会给自己一个暗示:我是一个对信息安全负责任的人。这种自我认同带来的行为惯性,比任何奖惩制度都要持久。这大概就是"从要我保密到我要保密"最真实的转变路径——让做好保密这件事,成为每个人值得骄傲的事。
