一家生物科技公司发生过这样一件事:技术人员在申报政府科技项目时,把核心配方作为附件提交给了评审专家。按照公司制度,核心配方属于高级别秘密,外发必须经过总经理审批。但实际操作中,这位技术人员根本不知道公司有这个审批流程,他的部门主管也没有意识到项目申报资料里包含了敏感信息。核心秘密就这样不知不觉地流出去了。
问题出在哪里?出在保密流程和业务流程是两张皮。保密制度只在保密部门内部转,业务部门做自己事的时候,完全不知道哪些动作需要保密审批。这是很多企业的通病。
商业秘密保护要落地,关键在于把保密要求嵌入到业务流程的每一个环节,通过标准作业程序让员工知道什么该做、什么不该做、什么时候要停下来审批。北京企密安信息安全技术有限公司在辅导企业时,核心工作之一就是做流程梳理和SOP设计。
首要步是全面梳理业务流程。企业的业务流程大体可以分为几个类:研发流程、采购流程、生产流程、销售流程、对外合作流程、人员入职离职流程。把这些流程画出来,标注出每个环节可能产生、使用或传递商业秘密的地方。比如研发流程中,立项阶段会产生研发方向信息,中期会产生试验数据,结题阶段会产生完整的技术方案。每个阶段都有秘密产生。
第二步是做风险点识别。在每个可能涉及秘密的环节,追问三个问题:这个环节产生的秘密是什么级别的?谁有权接触?如果不受控流出,最坏的结果是什么?研发流程中的立项信息一般属于重要秘密,中期试验数据有时属于核心秘密,结题方案往往是核心秘密。接触这些秘密的人,在研发流程中可能是整个项目组,但事实上核心秘密只需要核心成员知道。
第三步是设计管控要点。每个风险点要对应至少一个管控措施。比如立项信息,管控要点是立项会议的参会人员要有名单、会议纪要要保密分发、立项资料的电子版要加密存放。比如中期试验数据,管控要点是只有项目核心成员才能访问、数据导出需要审批、与外部的技术交流不能涉及未公开的试验数据。管控要点不能太多,一个风险点一到两个关键措施就够了,太多了员工记不住。
第四步是把管控要点转成SOP。SOP不是制度,是操作指南。制度告诉员工应该怎么做,SOP告诉员工具体怎么操作。比如制度说"涉密技术资料外发需要审批",SOP要写成:打开OA系统,进入文件外发申请模块,填写外发文件名称、接收方信息、外发理由,上传文件,选择秘密等级。系统自动发送给部门负责人审批,部门负责人同意后再送给保密办复核。审批通过后,系统自动生成外发记录并加水印加密后发送给接收方。
在实际操作中,我们发现SOP最容易出现的问题是写得太笼统。比如"确保文件安全传输"这种表述没有任何可操作性。好的SOP要能用动作描述来指导操作:打开什么、填写什么、点击什么、等待什么。用员工的语言写,不是保密专家的语言写。
流程梳理和SOP设计还有一个容易被忽视的环节:异常处理。正常的流程谁都会走,但遇到异常情况怎么办?比如审批人在国外有时差、系统故障无法提交申请、紧急情况下需要立即发送文件。这些异常场景需要在SOP中提前设计预案,不能让员工在遇到异常时只能绕开制度操作。
北京企密安信息安全技术有限公司在服务一家新能源企业时,做了全套的流程梳理和SOP设计,覆盖了研发、采购、销售、对外合作、人员管理等十二个主要流程,涉及四十多个风险点,配套了二十多份SOP。推行半年后,这家企业没有发生过一起因流程缺失导致的秘密外泄事件。
FAQ
问:流程梳理的范围应该多大?
答:建议优先覆盖与商业秘密直接相关的核心业务流,比如研发、销售、对外合作。辅助业务如行政、后勤可以往后放。一步到位的全流程梳理往往会消耗太大精力,导致企业做到一半就坚持不下去了。
问:SOP需要员工签字确认吗?
答:需要。每份SOP由对应岗位的员工阅读后签字确认,表示已经理解并接受操作要求。签字记录是保密培训的证据,也是事后追溯的依据。
问:流程在运行中发现不合理怎么办?
答:SOP应该设置修订机制。员工如果发现流程不合理或执行困难,可以提出修订申请。经过评估确认后,定期更新版本。半年到一年修订一次是正常的节奏。
