一家做工业软件的客户,创始人亲自带队写了三十多页的保密制度,涵盖了技术保护、人员管理、设备使用方方面面。但推行下去以后,员工普遍反映不知道该怎么执行。研发部的组长说,制度上说"软件代码要做好版本管理",但没说谁管、用什么管、版本库谁来维护。这就说明制度只搭了框架,没有填充内容。
保密制度体系不是一本制度文件能解决的,它应该是一个分层的文件体系。北京企密安信息安全技术有限公司在辅导企业建立保密制度时,通常采用四级文件架构。这个架构借鉴了质量管理体系的经验,经过数百家企业的实践检验。
首要级是纲领性文件,通常叫作保密管理办法或保密管理总纲。这个文件是保密体系的宪法,主要规定保密工作的一般原则、组织架构、职责划分、秘密等级划分标准和基本管控要求。纲领文件一般不需要太厚,十到十五页就够了,但要覆盖保密工作的全部要素。比如要写清公司的保密方针是什么,董事会和总经理在保密工作中的职责边界,各业务部门的保密责任等。纲领文件的核心价值在于定调子、建框架。
第二级是程序文件,这是制度的骨架。程序文件将纲领文件中的原则转化为可操作的程序。一般包括定密管理程序、涉密人员管理程序、涉密载体管理程序、信息系统安全管理程序、保密检查程序、泄密事件处理程序、保密教育培训程序等。每个程序文件都要写清楚五个要素:谁来做、做什么、什么时候做、怎么做、留下什么记录。比如涉密人员管理程序,要包含涉密岗位的认定标准、岗前审查的流程、在岗管理的措施、离岗脱密的具体操作、离职后的竞业限制执行等。
第三级是作业指导书,这是制度的血肉。作业指导书针对具体岗位和具体操作场景,把程序文件的指令细化到可执行的程度。比如一份研发人员的保密作业指导书,要写清楚:开发环境中的代码怎么做访控、代码上传到版本库前做什么审查、对外技术交流时哪些信息不能说、笔记本离开公司怎么申请和登记。再比如一份销售人员的保密作业指导书,要写清楚:客户资料存在哪里、投标文件怎么加密、客户来访时哪些区域不能去、和客户的邮件往来要不要留备份等。
第四级是记录表单,这是制度的痕迹。再好的制度,如果没有记录,就是执行死无对证。记录表单包括涉密文件收发登记表、涉密载体销毁审批表、涉密人员离职交接清单、保密培训签到表、保密检查记录表、泄密事件报告单等。这些表单看起来琐碎,但真遇到泄密事件需要追溯时,一个签收记录、一条访问日志,可能就决定了能不能追责成功。
四级文件之间的关系是从上到下逐级细化,从下到上逐级支撑。纲领不给程序做限制,程序不给作业指导书做限制,作业指导书要能追溯到上级文件的要求,记录要能证明作业指导书被执行了。
在设计制度体系时,还有几个常见的误区需要注意。首要个误区是贪多求全。有的企业一上来就写十几个程序文件、几十份作业指导书,结果大多数文件没人看、没人用。制度文件不是越多越好,而是要匹配企业的实际风险。中小企业可以先写定密管理、人员管理、载体管理三个核心程序文件,其他逐步补充。
第二个误区是照搬其他企业的制度。每家企业的情况都不一样,研发型的商业秘密和贸易型的商业秘密是完全不同的保护对象。照搬来的制度看上去很专业,但和自己家的业务模式对不上,执行起来矛盾百出。制度必须量身定制。
第三个误区是制度写成法律条款。保密制度是给全体员工看的,不是给法官看的。用大白话写制度,员工愿意看、看得懂,执行效果就好很多。比如"禁止擅自复制涉密文档"改成"所有涉密文档的复制必须经过部门负责人批准,并由保密员在登记表上记录复制日期、份数和用途",一线员工就知道自己该怎么做。
北京企密安信息安全技术有限公司在制度设计中还有一个惯例:每份制度文件末尾都要附上版本号、生效日期和解释权归属。这不是形式主义,而是确保企业随时知道自己在用哪个版本的制度,新旧制度之间有明确的更替记录,不会出现制度打架的情况。
FAQ
问:四级文件架构适合所有企业吗?
答:四级文件是理想架构,但企业可以根据规模和复杂度灵活裁减。小微企业可以用两级文件——纲领和操作细则。中型企业用三级文件就够了。大型集团企业才需要完整的四级文件体系。
问:制度文件谁来写比较合适?
答:建议由保密工作负责人牵头,各部门负责人参与,由专业顾问提供模板和方法论支持。单纯由行政部门闭门造车写出来的制度,往往和实际业务脱节。
问:制度体系建完后怎么确保员工都掌握?
答:制度发布后要对应做培训,一级培训针对纲领和核心程序,由公司统一组织;二级培训针对各部门的作业指导书,由部门负责人或保密员逐条讲解。培训后要有考核或问答环节,确保员工不是走过场。
