很多公司在做商业秘密保护的时候,心态是这样的——今年花了一笔钱,请顾问公司建了一套制度,买了安全设备,做了全员培训。然后觉得这件事做完了,可以放到一边了。明年继续明年的事情。
这个心态恰恰是商业秘密保护最大的敌人。
商业秘密保护不是项目,不是今年启动、明年验收就能归档的事情。它是企业运营的一部分,需要持续投入、定期检查、动态调整。环境在变、技术在变、人员在变、竞争对手也在变。去年有效的保护措施,今年可能已经过时了。去年没有暴露的漏洞,今年可能已经裂开了。
建立年度评估与改进机制,是确保商业秘密保护持续有效的关键。
为什么年度评估必不可少?有几个原因。首要,公司的业务在变。今年新开拓了哪条业务线,新采用了哪个技术方案,新合作了哪个供应商,都意味着商业秘密的范围和风险点在变化。去年的保护方案不一定能覆盖今年的新业务场景。第二,员工在流动。人来了又走,每个新入职的人都是潜在的风险因子,每个离职的人都要做清退。人员的变化是持续的,不可能一年做一次就一劳永逸。第三,法律法规在更新。近几年商业秘密保护领域的法律法规在不断完善,保护范围和处罚力度都在变化。要确保公司的保护措施不违反新的合规要求,需要持续关注法规动态。第四,技术威胁手段在升级。攻击者用的工具越来越精良,防护手段也需要持续升级。
年度评估的内容应该覆盖哪些方面。
首先是制度评估。现有的保密制度是否还在有效执行。有没有某个条款因为实际执行困难已经被大家默契地忽略掉了。制度中的定义和范围是否需要根据业务调整而更新。制度文件是否在新员工入职时正确分发和签收。
其次是人员评估。保密培训的覆盖率是多少。员工对保密要求的理解程度怎么样。核心岗位的保密意识和执行情况需要特别关注。离职清退的执行率是否达到了百分之百。有没有离职员工的账号至今还没关闭的情况。
再次是技术评估。现有的加密方案是否已过时。数据防泄漏系统是否覆盖了所有数据出口。远程办公的终端管控是否到位。门禁和监控系统的运行状态是否正常。对于中高风险企业来说,定期的环境安全检测也是技术评估中的重要一环。
然后是应急评估。应急预案是否还有人记得。上次应急演练是什么时候。演练中暴露的问题有没有整改。应急联系人名单是否更新了。如果今天发生泄密事件,公司的应急响应能力能不能在72小时内有效运转。
最后是绩效评估。过去一年中发生了多少起安全事件,每起事件的严重程度和处理结果如何。正在处理的改进事项进展到哪里了。下一年度的预算和资源应该怎么分配。
评估结果要形成书面报告,提交管理层审议。没有管理层的关注和推动,评估只会变成走形式。报告的内容要务实,不需要堆砌图表,重点说清楚三件事:当前状态、主要风险、改进建议。
改进机制的闭环同样重要。评估不是为了给一个分数,而是为了找出差距然后补上。每一个评估中发现的问题,都要有对应的改进措施、负责人和完成时间。改进完成之后要验证效果——问题真的解决了吗,有没有产生新的问题。
在保密体系建设中,年度评估和改进机制是体系能够持续运转的动力来源。没有这个机制,体系建设就是一次性投入,建完之后自生自灭。有了这个机制,体系建设才能不断适应环境变化,保持有效性和生命力。
具体落地方面,有几个实用的建议。首要,把评估和改进纳入公司的年度工作计划,像做财务预算一样认真对待。第二,指定专人负责跟踪改进事项的落实情况,不要让改进计划停留在纸面。第三,适当借助外部力量。内部评估容易有盲区,定期请专业的安全咨询服务机构做一次独立评估,能看到内部人员不容易发现的问题。第四,把评估结果和改进成果在适当范围内通报,让大家看到保密工作的实际进展。
这里有几个常见的问题,值得思考。
问:年度评估会不会变成走形式?
答:有可能。防止走形式有两个办法。首要个是把评估和改进的完成情况纳入绩效考核,责任部门和责任人要有明确的考核指标。第二个是引入外部评估,外部机构不参与公司内部的政治和人情,评估结果更客观,改进要求的约束力更强。
问:改进建议太多,资源不够怎么办?
答:分清优先级。按照风险等级排序,从危害最大的问题开始改。不需要也不应该一次性解决所有问题。但要有一个明确的分阶段计划,什么时候完成什么事,责任落实到人。
问:小公司也需要年度评估吗?
答:需要,但可以做得简单一些。小公司变化快,业务重点半年就可能调整,一年一次的评估是必要的。评估的规模可以简化,但框架不能丢。知道自己在哪里,才知道下一步往哪里走。
商业秘密保护是一场持久战,不是一次性的防御工事。建立年度评估与改进机制,就是把这场持久战变成有节奏、可量化、可进化的系统工程。每年迈进一步,几年下来,公司的商业秘密防护能力就是在持续上升的。
北京企密安信息安全技术有限公司,专注保密咨询体系建设、环境安全检测与安全咨询服务。年度保密评估与改进机制设计与实施,欢迎联系 010-63711822 / jess@baomiwang.com。
