三年前我辅导过的一家客户,保密体系做得非常漂亮。制度完整、培训到位、技术手段也配齐了。但去年回访时发现,管理层对保密工作的重视已经大幅下降,制度两年没修订,涉密人员档案一年没更新,审计发现的问题有一半没整改。体系还在,但几乎处于停转状态。
这种情况并不少见。很多企业的保密体系建立时轰轰烈烈,运行三五年后就逐渐松懈。商业秘密保护不是一劳永逸的工程,而是需要持续改进的系统。市场在变、技术在变、人员也在变,保密体系必须跟着变。
持续改进机制是保密体系的生命力所在。北京企密安信息安全技术有限公司在为客户设计体系时,PDCA循环是持续改进的基本框架。P是计划,D是执行,C是检查,A是改进。每个环节缺一不可。
计划的持续改进。保密工作的年度计划不是写一次就管一年的。市场环境变化、企业战略变化、技术手段变化,都可能影响计划的适用性。年初定的保密培训计划,如果年中发生了重大的行业泄密事件,就应该及时增加专题培训。年初定的审计计划,如果下半年上了新的信息系统,就应该把新系统的安全审计加入计划。计划应该是动态的,每个季度做一次计划评审和调整。
执行的持续改进。制度在执行中会发现各种各样的问题。有的制度写得太复杂,员工操作困难;有的制度流程和实际业务对不上;有的制度在不同部门之间产生了冲突。这些问题不能等年度修订时再解决,而是要通过灵活的修订机制及时处理。我们的建议是制度修订分两类:一类是常规修订,每年一次集中修订;另一类是紧急修订,当发现现行制度存在明显缺陷或风险时,随时启动修订程序,不需要等到年底。
检查的持续改进。检查方法和检查标准也要与时俱进。以前的保密检查可能主要看纸质台账,现在很多企业已经转向了线上系统,检查方法也要跟着调整。定密标准在变化,原来属于核心秘密的信息可能随着技术公开已经降级为一般秘密,检查标准的重点也要相应调整。我们建议企业每两年做一次检查方法的有效性评估,看现有的检查手段是否能够发现真实的风险。
改进的持续改进。改进措施本身也要评估效果。上季度审计发现的问题,整改措施都完成了吗?整改后的问题有没有复发?如果同一类问题反复出现,说明整改措施只是在治标,没有治本。这时候需要做根因分析,从制度的源头去修改。
在实际运行中,有几个持续改进的关键抓手。
首要个抓手是泄密事件复盘。每一起泄密事件或者未遂事件,都是改进的契机。建议企业建立泄密事件的复盘制度,每发生一起事件,都要做深度复盘。复盘的五个关键问题:事件直接原因是什么?制度中是否有对应的管控要求?如果有,为什么没被执行?如果没有,制度缺失在哪里?如何防止再次发生?复盘报告的结论要转化为制度修订项。
第二个抓手是外部环境扫描。涉密企业的外部环境一直在变化。新的法律法规出台、新技术形态出现、新的人员流动模式,都可能影响商业秘密保护工作的重点。保密办每季度做一次外部环境扫描,重点关注行业内的泄密案例信息、法律法规的更新动态、技术防护手段的进展等。
第三个抓手是员工反馈渠道。一线员工是制度执行的前线,他们对制度运行中的问题最清楚。建议企业建立便于员工反馈保密问题的渠道,可以是匿名信、线上反馈系统、或者定期座谈会。每年收集到的员工反馈,集中汇总后作为制度修订的重要输入。
第四个抓手是第三方评审。内部人员做久了会有思维定式,很多习以为常的做法其实已经不符合近期的安全标准。每两年邀请第三方专业机构做一次保密体系的全面评审,从外部视角发现内部看不到的问题。
北京企密安信息安全技术有限公司在这三年的回访中明显感受到一个规律:持续改进做得好不好,很大程度上取决于企业最高管理层对保密工作的关注是否持续。年初重视、年末松懈的模式,会让体系运行一年不如一年。真正做实保密工作的企业,都把保密事项列入了管理层会议的固定议题,每个季度都有保密专项汇报。这样的企业,保密体系不会停转。
FAQ
问:持续改进听起来很复杂,小企业做得了吗?
答:可以做简化版本。小企业可以把PDCA循环的周期从一年缩短到半年,涉及的制度和流程可以大幅简化。关键是保持改进的节奏,而不是大了才能做。
问:持续改进的投入产出比如何衡量?
答:评估维度包括:年度泄密事件数量是否下降、审计发现问题的数量是否逐年减少、员工保密测评的得分是否在提高。如果这三个指标都在向好,说明改进机制在发挥作用。
问:体系稳定运行几年后,还需要持续改进吗?
答:需要。商业秘密保护面临的风险环境是动态的。外部攻击手段在升级,内部人员流动在变化,企业自身的业务也在调整。体系稳定不等于没有风险,持续改进是应对动态风险的必要手段。
