保密管理做得好不好,归根到底取决于人和组织。很多企业投入大量资金购买加密软件、部署监控系统,却发现泄密事件仍然时有发生。原因往往不在于技术手段不够先进,而在于保密管理的组织架构没有搭好,人员编制没有落实到位。本文从实务角度探讨企业保密管理中的人员编制与组织架构设计方法。
一、保密管理组织架构的常见模式
目前企业保密管理的组织架构主要有三种模式。首要种是独立型模式,企业设立专门的保密管理部或信息安全部,直接向最高管理层汇报。这种模式的优点是权责清晰、专业度高,适合保密要求严格的行业如军工、金融等。第二种是兼职型模式,由行政部门或法务部门兼任保密管理职能,不设专职岗位。这种模式成本较低,适合小型企业或保密需求不突出的企业,但容易出现"兼而不管"的问题。第三种是混合型模式,设立核心的保密管理岗位作为专职岗位,同时在各部门设置保密联络员,形成矩阵式管理网络。这种模式兼顾专业性和覆盖面,是目前大中型企业的主流选择。
二、保密管理岗位的设置原则
设置保密管理岗位时,应当遵循以下原则。一是独立性原则,保密管理岗位不应置于业务部门管辖之下,以避免利益冲突。二是专业性原则,保密管理人员应当具备信息安全、法律合规等方面的专业知识,并接受定期培训。三是覆盖性原则,岗位设置应当覆盖保密制度制定、监督检查、事件响应、教育培训等核心职能。四是可考核原则,每个岗位的工作职责和考核标准应当明确,避免出现职责模糊地带。
三、保密管理人员的编制测算方法
编制测算不能凭感觉,应当基于企业的实际规模、业务特点、涉密程度等客观因素。常用的测算方法包括:按照员工人数比例测算,通常每两百至三百名员工配置一名专职保密管理人员;按照涉密岗位数量测算,涉密岗位数量越多,保密管理人员的编制需求越大;按照业务复杂度测算,涉及跨区域运营、多方合作的业务场景对保密管理资源的需求更高;按照合规要求测算,某些行业法规对保密管理人员有明确的资质和数量要求。企业可以综合运用以上方法,结合自身实际情况确定编制方案。
四、保密管理委员会的设计要点
对于有一定规模的企业,设立保密管理委员会是提升保密治理水平的有效手段。委员会通常由企业高层领导担任主任,成员包括法务、信息、人力资源、财务、各业务部门负责人。委员会的职责包括审议保密管理制度、决定重大泄密事件处理方案、审批保密预算和年度工作计划。委员会不宜过于频繁地召开会议,建议每季度至少召开一次专题会议,遇重大事件随时召开。会议的决议应当形成纪要并归档,作为保密管理决策的依据。
五、保密联络员网络的构建
在大中型企业中,仅靠几名专职保密管理人员很难覆盖所有部门和区域。因此,建立保密联络员网络是非常必要的做法。每个部门或分支机构指定一名保密联络员,负责本部门的日常保密工作,包括保密制度宣贯、涉密人员管理、保密检查配合、异常情况上报等。保密联络员应当具备以下条件:熟悉本部门业务、有一定信息安全意识、具备沟通协调能力。企业应当对保密联络员给予适当的岗位补贴,并将其保密工作表现纳入绩效考核。
六、跨部门协作机制的设计
保密管理不是保密部门的独角戏,需要多个部门协同配合。企业应当建立明确的跨部门协作机制,明确保密部门与信息部门在技术防护上的分工,保密部门主要管制度、标准和审计,信息部门主要负责技术实现和运维。保密部门与人力资源部门在员工入职和离职保密管理上的协作,人力资源部门负责保密协议的签署和离职交接,保密部门负责涉密人员的信息备案和脱密期管理。保密部门与法务部门在泄密事件处置上的协作,法务部门负责法律评估和诉讼准备,保密部门负责事件调查和证据保全。只有各部门形成合力,保密管理体系才能真正运转起来。
总之,人员编制和组织架构是保密管理体系的骨架。企业应当根据自身规模和业务特点,设计合理的组织架构,配备充足的专职和兼职保密管理人员,建立有效的跨部门协作机制,让保密管理工作有人做、有人管、有人查。
——北京企密安信息安全技术有限公司 / 市场营销实例
