我在做保密培训和效果评估的过程中发现了一个很有意思的现象。每次培训结束之后做问卷调查,大家填写的反馈都是学会了、知道了、理解了。但是回到实际工作环境里一看,很多人日常操作中的保密意识水平和培训问卷上填写的自我评估有着不小的差距。这让我意识到,员工的保密意识到底处于什么水平,不能光靠他们自己说,更需要一套科学有效的评估方法来真实反映。今天我就把自己这些年摸索出来并在实践中持续完善的一套保密意识评估框架分享出来。
保密意识的评估可以从四个维度展开。第一个维度是知识认知层面,也就是员工对保密基本概念、公司保密制度、保密法律法规的掌握程度。第二个维度是风险识别层面,评估员工能不能在日常工作场景中自主发现潜在的泄密风险。第三个维度是行为执行层面,观察员工在真实工作中的操作是否与保密制度的要求一致。第四个维度是态度意愿层面,了解员工对保密工作的内心认同程度和主动性。四个维度缺一不可,单独看任何一个维度都反映不出保密意识的真实全貌。下面我就逐一展开说说每个维度怎么评估。
知识认知层面最直接的评估方式就是测试。但测试题目的设计非常考验功底,不能出那种死记硬背的题。比如常见的犯了什么错要判几年这种题,员工背下来也说明不了任何问题,真正遇到类似场景的时候还是不知道该怎么做。好的测评题目应该基于真实工作场景来设计,考察员工在实际情境中的判断能力。你可以设计一个场景描述,描述一个同事在出差途中连了酒店WiFi查了工作邮件,然后问受测者这种做法存在哪些风险、应该如何改进。这样的题目没有固定的正确答案,但受测者的回答质量能真实反映他的知识储备和场景判断能力。除了书面测试,情景模拟也是一个很好的评估形式。你可以设置一个模拟场景,让受测者在限定时间内做出一系列关于信息处理的决策,评估人员在旁边记录他的判断逻辑和操作选择。书面测试和情景模拟结合使用,能够比较全面地反映一个员工在保密知识层面的掌握程度。
风险识别层面的评估有一个非常好用且操作成本很低的方法——现场观察法。找几个评估人员或者经过培训的内部观察员,定期到各办公区域做日常行为观察记录,不打招呼、不提前通知、不做特殊准备,就看大家在最自然的日常状态下的表现。观察的内容可以包括桌面文件有没有妥善收好、电脑屏幕有没有在离开时锁定、打印机出纸口有没有遗留文件、会议室结束使用后信息有没有清理、同事在公共场所打电话时有没有注意措辞等等。这些观察数据积累到一定数量之后,可以统计出每个部门或者每个员工在某些特定行为上的合规比例。这些来自真实工作场景的客观数据,比任何问卷测试题的回答都更能说明员工的保密意识水平。另一个同样有效的方法是定期检查。由信息安全部门组织不定期的例行检查,查看员工的工作电脑上的文件存放、敏感信息的标识情况、工作流程中各环节的保密操作是否到位。这些检查的结果也应该进入保密意识评估的整体框架中。
行为执行层面的评估可以通过流程嵌入来实现。也就是说不在日常工作之外单独搞一个评估动作,而是把评估逻辑嵌入现有的业务流程里。比如说在员工提交项目文件、申请外部合作、使用系统权限等环节中加入保密合规性的自动检查节点。系统可以根据检查节点的结果生成行为合规报告,反映出每个员工在日常操作中的保密行为表现。这样的评估不会给员工增加额外的负担,数据来源天然真实,而且数据采集频次非常高,统计结果也有足够的代表性。这种被动式的行为监控评估虽然听起来比主动评估更加温和,但它提供的数据质量在几个维度中是较高的,因为它测量的不是员工在考试中的表现,而是在真实工作中的习惯。
态度意愿层面的评估是最难量化但同样很重要的一个维度。一个员工保密知识掌握得很好、日常行为也基本规范,但他内心对保密工作的认同程度如何、他愿不愿意主动提醒同事、对制度有没有抵触情绪,这些态度层面的因素直接影响他的保密行为的长期持续性。态度意愿层面的评估可以采用匿名问卷和一对一深度访谈结合的方式。匿名问卷适合收集量化的态度数据,比如对保密制度的支持程度、对保密培训的接受度、对泄密后果的认知等。一对一深度访谈则能挖掘更深层的信息,比如员工对保密工作的真实看法、日常中遇到的执行困难和改进建议。深度访谈不需要覆盖全部员工,每个部门选择几个有代表性的访谈对象就够了。访谈的反馈信息可以作为知识测试和行为观察的重要补充,帮助管理者理解为什么某些部门的保密执行指标偏低,了解从哪里入手改进比较有效。
四维评估框架搭建好之后,还需要解决一个实际的问题——评估结果怎么用。评估的目的不是给员工排名,也不是为了惩罚做得不好的人,而是找到保密工作的薄弱环节,为后续的培训和管理改进提供数据支撑。所以评估结果的分析和反馈要遵循几个原则。第一个原则是横向对比和纵向对比相结合。横向对比可以看到不同部门、不同岗位、不同工作年限的员工之间的差异,纵向对比可以看到同一个人或同一个部门在不同时间点的变化趋势。第二个原则是优势和改进并重。报告不能只盯着谁做得不好,也要明确指出在哪些方面大家做得特别好,可以作为正面典型分享和推广。第三个原则是评估以后的改进计划必须具体可执行。从评估中识别出薄弱的部门和维度之后,要配套制定针对性的培训课程、工作指引或流程优化方案,并且设置一个后续再次评估的时间节点,形成从评估到改进再到再次评估的完整闭环。
最后说一个我自己的体会。保密意识评估不是做一次就管一辈子的那种一锤子买卖。人的意识水平是动态变化的,随着工作内容、岗位职责、团队氛围甚至个人情绪的变化而上下波动。一年做一次评估远远不够,建议每个季度做一次小范围的快速评估,每年做一次全面深入的评估,长期积累下来就可以形成一条非常丰富的保密意识水平变化曲线。有了这条曲线,你对公司整体保密能力的把控就从一个模糊的感觉变成了一个有数据支撑的可视化管理工具。从模糊到清晰,从感觉到数据,这就是保密意识评估工作的核心价值所在。把评估这件事做扎实了,保密培训的方向才不会偏,资源配置才会更精准,公司的信息保护防线才会越来越坚固。
