定好哪些信息属于商业秘密之后,下一步就是给这些信息定等级。很多企业找我咨询时候问得最多的问题就是:绝密、机密、秘密这三个级别到底怎么分,标准是什么。

今天直接给一套可以落地的方法,叫五维评分法。

五维评分法的思路是把每项涉密信息从五个维度打分,每个维度一到五分,总分决定密级。这套方法我在十几家制造企业、科技公司和咨询机构都落地过,效果比较实用。

第一个维度是技术先进性。这个信息在行业里的位置怎么样。如果这个技术是你们公司独有,国内外没有公开资料能查到,五分。行业领先但个别竞对也有类似能力,四分。市场上能看到但细节不公开,三分。行业里大多数人掌握,只是你们有自己的优化,两分。完全公开可查,一分。

第二个维度是市场价值。这个信息如果被对手获取,会给你们公司带来多大的影响。直接影响生存,五分。大幅削弱市场竞争力,四分。明显影响盈利能力,三分。有一定影响但可承受,两分。影响微乎其微,一分。

举个真实案例。我们服务过一家医疗器械企业,他们的核心产品是一种新型穿刺针的结构设计。这个设计在技术先进性上打分是四分,因为国际上有一两家企业能做类似产品但不是完全一样。市场价值打分给了五分,因为这个产品一旦上市,预计能占到百分之六十左右的市场份额。两个高分加起来,这个信息直接进入绝密范畴。

第三个维度是泄露损失。信息泄露后可能造成的经济损失,包括直接损失和间接损失。直接损失好算,比如订单流失、赔偿金。间接损失包括品牌信誉下降、客户信任度降低、潜在的监管处罚。在这个维度上,预估损失超过年收入百分之十的,五分;百分之一到十的,四分;千分之一到百分之一的,三分;对收入影响微弱的,两分;几乎无损失的一分。

第四个维度是可替代性。别人通过反向工程、独立研发或者合法途径获得同样信息的难度。完全不可替代,比如某个配方里关键成分的配比,反向工程也无法精确还原,五分。很难替代,需要大量时间和资金投入,四分。有一定难度,需要专门设备和专业团队才能做到,三分。经过一定努力可以做到,两分。很容易通过公开渠道或者简单的反向工程获得,一分。

第五个维度是保密难度。控制这个信息扩散的成本和难度。如果这个信息只存在于核心研发团队的脑子里,没有书面化,保密难度极低,五分。需要多人协作但可以严格控制在少数人范围内,四分。涉及多个部门和外部合作伙伴,控散难度较大,三分。大量人员会接触到,比如生产一线的操作手册,两分。完全无法控制,一分。

五个维度打完分相加,得到总分。二十五分满分。

总分二十分以上的,定为绝密。这是企业生死攸关的信息,必须是最严格的保护措施。接触这个级别信息的人,原则上不超过五到十个人。每个接触者都要单独签保密协议,每次查阅需要记录日志,文件服务器上要做单独的加密分区。我们有个做芯片设计的客户,他们的核心架构图纸就是绝密级,连做测试的工程师都只看到经过脱敏处理的部分数据。

总分十五到十九分的,定为机密。这是企业核心竞争力的重要组成部分,保护强度仅次于绝密。接触范围可以稍微宽一些,但每个接触者仍然需要经过审批。机密文件的流转、复印、外传都要有明确的流程审批。比如我们服务过的一家保险公司,他们的精算模型和定价策略就属于机密级别,相关团队可以按需接触到,但所有操作都在日志系统里有完整记录。

总分十到十四分的,定为秘密。这是企业的重要信息,虽然泄露不会直接威胁生存,但也会造成实质性损失。接触范围可以更大,通常以部门为单位进行管控。秘密文件不需要逐人审批,但要有基本的安全管理措施,比如文件加密、离职清退等。

总分十分以下的,不建议定密。这类信息要么是行业常识,要么是价值不高的内部资料。强行定密只会增加管理成本,稀释员工对真实涉密信息的敏感度。

这套评分法看起来有些繁琐,但实际操作起来很快。我帮一家中型制造企业做过一次全面的信息资产定密,总共花了三个工作日,梳理了二百三十多项信息资产,通过五维评分法全部完成定级。不是每项信息都要做精细评分,真正需要认真对待的是那些跟核心技术、关键客户、重要经营决策相关的资产。其他的可以拿典型样本快速对标,不需要逐个分析。

再说两个评分过程中的注意事项。

一是评分人不能只有一个。最理想的做法是请业务负责人、技术负责人和保密管理人员三方一起打分。业务负责人知道这个信息的实际商业价值,技术负责人知道技术含量怎么样,保密管理人员知道管控的难度和成本。三方各自评分后取平均或者做讨论达成共识,比一个人拍脑袋要客观得多。

二是评分结果要有动态调整机制。我前面说过,信息的价值是变化的。建议每一年到两年做一次重新评估。新产品刚上市的时候,技术参数可能是绝密级别。三年后竞争对手已经推出了同代甚至更新一代的产品,原来那个参数可能降为机密甚至秘密。不动态调整的结果就是保护成本虚高,员工被各种不再重要的保密制度弄得筋疲力尽。

如果你想深入了解这套评分法,或者企业内部需要专门的密级划分培训,我可以安排定制化的咨询方案。密级划分这件事,做对了,就是花合理的成本保护真正值钱的东西。做错了,钱花了力气费了,该漏的还是会漏。