商业秘密保护体系从零搭建的五个阶段 - 保密网

上个月，一家做生物检测的初创企业找到我。创始人说，他们的核心检测方法还没来得及申请专利，就被一个离职合伙人在外面开了同样的公司。问题出在哪里？公司从成立那天起，就没想过商业秘密也是需要保护的核心资产。这种情况在初创企业中太普遍了。

从零搭建商业秘密保护体系，看起来是一大堆复杂的工作，但如果拆解成五个阶段来推进，每步完成一个目标，企业就不会觉得无从下手。

首要阶段叫摸底定盘。这个阶段的核心任务是搞清楚企业到底有哪些秘密资产。很多老板觉得秘密就是配方、图纸、代码，但实际上经营秘密同样值钱。做摸底的时候，我们会要求企业把所有部门过一遍，研发、生产、销售、采购、财务、人事，每个部门列出他们认为不能公开的资料清单。然后企业高层和顾问一起做分级，把秘密分为核心秘密、重要秘密和一般秘密三级。一般秘密占六七成，核心秘密通常不超过十个。分级以后，企业就有了一张自己的秘密地图。

第二阶段是制度搭骨架。骨架的核心有四根柱子：定密制度、涉密人员管理制度、涉密载体管理制度和保密检查制度。定密制度解决什么算秘密、谁来定、怎么定、怎么解密的规则；人员管理制度解决涉密岗位怎么设、人员怎么审、怎么管、离职怎么清的问题；载体管理制度解决纸质文件和电子文件从产生到销毁全生命周期的管控；保密检查制度则是监督的监督。北京企密安信息安全技术有限公司在设计制度时，特别强调一个原则：制度要用大白话写，让一线员工看得懂。不要写"涉密载体应妥善保管"，要写"涉密文件用完后必须锁入保密柜，柜子钥匙由部门保密员保管，离开工位前必须落锁"。

第三阶段是组织和人。很多企业建了制度却没人执行，因为不知道谁负责。我们要做三件事：确定保密工作负责人，一般由公司副总或股东兼任；在各业务部门设立兼职保密员，负责本部门的保密日常管理；组建定密小组，由技术、业务、法务、保密人员组成，定期审议秘密资产的定级和变更。同时启动人员背景审查工作，涉密岗位的人员入职要做背景调查，在岗期间要做行为风险评估，离职要做保密提醒和清退检查。

第四阶段是技术和管理手段落地。制度写了，人定了，接下来要配工具。物理层面：保密区域要有门禁、监控、登记表和碎纸机，涉密会议要管控手机和外来设备。电子层面：按秘密等级做访控，核心秘密要实行最小权限原则，只有需要知道的人才能访问。敏感文件的流转要留痕、收发要登记、打印要审批。还有一个容易被忽略的点：外来访问人员的管理。要把访客全程有人陪同、不得单独进入敏感区域、使用会议室期间不得拍照等要求写进制度并执行。

第五阶段是启动运行加磨合。体系最怕建立后放在柜子里吃灰。启动运行要有仪式感，比如召开保密体系启动会，由公司最高负责人宣布体系正式运行。然后试运行三个月，期间做好问题记录。运行中一定有制度跟实际对不上的地方，这很正常，三个月内收集解决的问题越多，体系越成熟。试运行结束后做一次全面评估，对制度做首要次修订。这之后，体系就进入了日常运营状态。

北京企密安信息安全技术有限公司辅导的一家精密制造企业，就是按这五个阶段一步步走过来的。创始人后来说，以前觉得保密就是公司出个规定、全体员工签字就行了，现在才知道，缺少任何一环，体系就是个空架子。五个阶段走完，他心里才真正踏实。

FAQ

问：初创企业阶段就做五个阶段，会不会太早了？
答：不早。商业秘密保护的一个核心原则是预防为主。一旦发生泄密事件再去补救，成本和损失都大得多。初创阶段可以先做首要阶段和第二阶段的基础工作，投入不大但效果明显。

问：五个阶段可以压缩时间吗？
答：每个阶段都有必须完成的核心工作，不能省略，但时间可以调整。如果企业紧迫，可以在专业顾问指导下同步推进部分工作，比如首要阶段和第二阶段可以并行进行。

问：现有员工不接受保密管理怎么办？
答：保密管理不是对人的不信任，而是对企业的资产负责。我们在推进过程中会通过专题培训和案例教育，帮助员工理解保密制度既是保护企业，也是保护员工个人不承担违规责任。