部门合并是企业组织架构调整中的常见动作,涉及两个或多个部门整合为一个新部门。这种整合不仅仅是人员的合并和办公场地的调整,更重要的是信息资产的整合和保密管理体系的统一。不同部门在合并之前,各自拥有不同的保密制度和信息管理流程,保密级别和知悉范围也可能存在差异。如何把这些不同体系的保密信息平滑、安全地整合到一起,是部门合并中必须认真对待的问题。
部门合并中的保密交接,核心难点在于三个方面:一是保密标准的统一,二是信息资产的全面盘查,三是人员知悉范围的重新划定。北京企密安信息安全技术有限公司结合多起企业组织架构调整中的保密管理案例,对部门合并中的保密交接要求进行了系统梳理。
核心难点,保密标准的统一。合并之前,不同部门的保密制度可能存在差异。比如A部门对客户信息分为公开、内部和保密三个级别,而B部门对客户信息分为公开、内部、保密和绝密四个级别。合并后,需要统一为一个标准。统一的原则是就高不就低,即采用更严格的保密标准。当然,如果原标准中有些分类过于宽泛或不够合理,也可以在新标准中做出调整,但总体方向应当是提高保密标准的严格程度。保密标准的统一需要由保密管理部门主导,两个部门的负责人共同参与,形成书面的保密标准统一方案。
第二个难点,信息资产的全面盘查。合并前,两个部门的信息资产各自处于相对独立的管理状态。合并过程中,需要对两个部门的所有信息资产进行全面盘查,包括文件资料、数据库、系统账号、密钥证书、合同档案、客户信息、技术文档、知识产权等。盘查的目的是摸清家底,明确哪些信息属于保密信息、密级是多少、知悉范围是哪些、存储位置在哪里。盘查结果形成信息资产清单,作为合并后保密管理的基础。
第三个难点,人员知悉范围的重新划定。合并后,新部门的员工可能需要在更大范围内共享工作信息,但有些信息根据原保密要求,仅限于原部门的部分人员知悉。合并后,这些信息的知悉范围是否扩大到整个新部门,需要逐项评估。一般来说,低密级的信息可以扩大知悉范围,高密级的信息则需要严格控制,仅限有必要知悉的人员。评估结果应当由保密管理部门确认,并更新到每个人的知悉范围内。
第四个难点,系统权限的整合。两个部门的IT系统在合并前可能是各自独立的,权限管理各有一套。合并后,需要统一到同一个权限管理体系中。这个过程中需要注意以下几点:一是账号的去重和统一,避免同一个人拥有多个账号;二是权限的重新授予,按照新部门的岗位职责重新设定权限;三是历史数据的迁移和访问控制,确保迁移后只有授权人员可以访问;四是权限审计,检查是否存在权限过大或权限冲突的情况。权限整合往往是最耗时的工作,建议提前制定详细的权限迁移计划。
第五个难点,物理信息的整合。如果两个部门原来在不同的办公场所,合并后可能需要搬到同一层楼或同一个开放区域。物理整合涉及文件柜、保险柜、档案室等保密设施的使用,需要重新规划保密区域的划分、门禁权限的设定和监控覆盖的范围。对于纸质保密文件的搬运,需要安排专人押运,途中不得停留或转交他人。搬运完成后,需要立即核对文件数量,确保没有遗漏。
第六个难点,保密文化的融合。不同部门在日常管理中形成了各自的保密文化和工作习惯。有的部门保密意识较强,日常保密习惯执行得很好;有的部门保密意识相对弱一些。合并后,需要通过统一培训和考核来弥合这种差距。培训内容应当包括新部门的保密制度、保密流程和保密责任。建议在合并后的首个月内完成全员保密培训。
部门合并期间有一个容易被忽视的问题,就是信息泄露的风险会显著上升。原因是组织架构调整本身会带来不确定性,员工对未来的焦虑可能导致其提前保存个人认为重要的资料。同时,合并过程中信息频繁流动,交接链条较长,被截获或误传的概率增大。因此,在部门合并期间,企业应当加强信息访问的审计密度,密切监控异常访问行为。
对于合并中涉及的重叠岗位或冗余人员,如果涉及裁员,还需要特别注意裁员过程中的保密管理。被裁减的员工在办理离职手续时,要按照离职保密交接流程执行,确保其在离开前完成所有保密交接事项,不得因为合并事务繁忙而简化或省略保密交接环节。
部门合并完成后,保密管理部门应当组织一次合并后的保密审计,全面检查保密标准执行情况、信息资产管理情况、权限管理情况。审计结果形成报告,提交企业管理层。对于审计中发现的问题,应当限期整改。
问:部门合并中,原来属于不同密级的信息放在同一个服务器上,如何保证高密级信息不被低密级人员看到?
答:从技术角度,可以通过以下几种方式实现隔离:一是在同一台服务器上对高密级文件夹设置独立的访问控制列表,只有授权人员能够访问;二是将高密级信息迁移到独立的存储区域,通过网段隔离或防火墙规则限制访问;三是使用加密技术,对高密级文件进行加密存储,只有持有解密密钥的人才能读取。从管理角度,需要明确各密级信息的安全负责人,定期检查访问权限设置是否合规。
问:部门合并后,原来的保密联络人岗位取消了,保密工作由谁负责?
答:部门合并后,应当重新指定新部门的保密负责人,并向保密管理部门备案。保密负责人可以是一名专职人员,也可以由部门负责人兼任,但必须明确其保密管理职责和考核标准。在保密负责人尚未确定之前,原两个部门的保密联络人应当继续履行保密管理职责,直到新保密负责人正式上岗。保密负责人的空缺期不应超过一个月。
如需了解更多关于部门合并中的保密交接方案,欢迎联系
