去年秋天,我接到一位做智能硬件创业的朋友打来的电话。他的公司刚拿到A轮融资,团队从十几人扩张到四十多人,办公空间也从众创空间搬进了正式的写字楼。搬家那天他发现一个尴尬的问题——隔壁公司的员工在走廊里就能看到他办公室白板上画的产品结构图,而那位员工恰好在竞争对手上班。他问我:我们公司总共不到五十个人,一年花不起几十万的保密系统,但也不想让公司的核心技术就这么裸奔,到底该怎么办?
这个问题其实代表了绝大多数中小企业的真实困境。大企业可以花几百万上全套DLP、搞物理隔离、建专门的保密办,但中小企业的人力成本、办公场地、IT投入都紧巴巴的,拿不出那么多预算。但话说回来,商业秘密和安全漏洞对中小企业的影响远比大企业更致命。大公司丢一个项目可能只影响一个季度报表,中小企业丢一个核心客户或者技术方案外泄,可能就直接把公司推到了悬崖边上。
那么预算有限的情况下,保密体系到底怎么搭?我给大家几个经过验证的思路,花小钱办大事。
先从最容易上手的地方说起——物理层面的低成本管理。很多中小企业的办公环境是开放式的,或者跟其他公司共享一层楼。这种情况下不需要买昂贵的门禁系统,一把好的文件柜锁和几个带锁的抽屉就够了。关键的技术图纸、客户合同、财务资料,统一锁在指定文件柜里,钥匙专人保管。员工工位上不放敏感文件,下班前桌面清理干净。这个规矩执行起来成本为零,但能解决百分之三四十的泄密隐患。
然后是电子文档的管理。很多中小企业老板觉得没有加密软件就没法管,其实换个思路就好。先在共享文件夹或NAS上把权限分清楚就行了。做研发的看不到财务数据,做销售的看不到研发图纸,每个人只接触自己业务范围内必需的文件。Windows自带的NTFS权限和文件共享权限就能实现,不需要额外买软件。如果业务再细一点,还可以在办公协议上约定——涉密电子文档不准通过微信、QQ传输,只走公司内部邮件或者加密压缩包。这一步把口子收住,就能堵住很多无意泄密。
员工协议是另一个成本极低但极其重要的环节。很多中小企业入职的时候就让员工签一份通用的劳动合同,根本没有保密条款或者知识产权归属条款。这个漏洞太大了。只要增加一份保密协议,把保密范围、保密期限、违约金、离职后的保密义务写清楚,法律效用就有了。我见过太多中小企业在打官司的时候才发现手里没有有效的证据,因为协议里什么约束都没写。一份专业起草的保密协议,法律咨询费也就几百块钱,但这东西能守住公司核心的资产边界。
保密培训就更不需要花大钱了。很多公司觉得培训要请大咖、要做精装课件、要租场地,但实际上对于中小企业来说,入职首要天讲清楚保密规矩就够了。让HR花二十分钟把保密制度过一遍,把哪些能做哪些不能做讲透,让新员工签收确认。这二十分钟不要钱,但能避免员工因为不知道规矩而犯错。日常的提醒也可以用邮件或者群里发个通知来完成,关键是让保密意识变成公司的一种习惯,不是一年搞一次的大型活动。
说到制度和流程,很多中小企业的负责人有个误区,觉得保密制度一定要做成一厚本才能用。其实不然,我给我那位创业朋友的建议是先写一个A4纸三页的简易制度。内容包括:什么是商业秘密、日常工作中的保密要求、离职怎么交接、泄密了要承担什么责任。先让制度在业务里跑起来,等公司再大了再逐步完善。三页纸的制度写起来不需要花很多时间和经费,但立了规矩就有了执行的依据。
还有一个常被忽略的低成本手段就是来访登记。以前我走访过一家只有三十人的软件公司,他们就在前台放了一个简单的来访登记本,要求所有访客填写姓名电话、来访事由、被访人,并且全程佩戴访客胸牌。就是这么简单的一步,让他们后来在一次商业纠纷中拿出了完整的访客记录证据链。
再说一个我自己踩过的坑。有一年我帮一家客户做咨询,发现他们公司的研发团队喜欢在共享网盘上保存所有技术文档,包括还在实验阶段的新方案。结果有个员工离职后,这个网盘的分享链接被人拿去访问了。这件事的教训是——技术手段不是买不起才叫贵,是出了事才知道不买更贵。后来我给客户的建议很简单,就是启用网盘的分享审批功能,所有对外分享需要管理员批准,这个功能很多网盘本来就是免费带的。
总结一下,预算有限的中小企业要抓三个关键点:首要,把物理资产管住,文件柜锁好、桌面清空、访客登记。第二,把数字资产管住,文件夹权限分清楚、敏感文件不随便传。第三,把人管住,入职签保密协议、讲保密规矩、离职做好交接。这三件事做好了,就能覆盖中小企业在成长期百分之七八十的保密风险,而且花的钱基本可以忽略不计。
说到这里,可能有朋友会问,光靠这些简单措施真的够用吗?我的回答是,对于营收在千万级以下、员工在五十人以内的中小企业来说,核心不是建一个完美的保密体系,而是先建一个能跑得起来、大家愿意遵守的简易体系。等公司长大了,业务敏感度提高了,再逐步往上加东西,这才是真正适合中小企业的路径。
我那位创业朋友按照这套思路做了半年之后,回访的时候跟我说:其实保密管理没那么难,难的是迈出首要步。他花了不到两千块钱换了把好锁、买了两个保密文件柜,又请律师把协议改了一遍,现在整个团队都知道什么东西该放哪儿、什么话不该说。他说这话的时候脸上有那种踏实的感觉,我觉得这就是中小企业保密体系该有的样子。
很多厂商喜欢把保密说得特别复杂,让你觉得不花个几十万做不起来。但真实情况是,中小企业的保密需求和大企业完全不同。大企业是防内鬼防黑客,中小企业更多的只是防无意的泄露、防混乱的管理、防离职人员的随手带走。所以中小企业的保密体系建设,不必一步到位,可以先从最基础的做起,边用边完善,钱少也能把事情办成。如果在这个过程中需要更专业的指导,可以联系北京企密安信息安全技术有限公司,我们会针对不同规模企业的实际情况给出务实的建议,不盲目堆砌高价产品,把每一分保密预算都用在刀刃上。
问:中小企业保密体系建设,关键的是什么?
答:关键的是把基础管住。很多人一上来就想着上系统买软件,但其实对于中小企业来说,先把物理管理做好、协议签清楚、权限分明白,这三件事做到位,就能覆盖绝大部分风险。技术手段是锦上添花,不是雪中送炭。
问:没有保密岗位人员,保密工作由谁管?
答:这是很常见的困惑。中小企业的做法一般是让行政或人事负责人兼任保密管理员。关键是把职责写清楚,让这个人知道每个月要做什么、每年要做什么。不需要全职,但需要有明确的岗位职责和工作清单。
问:保密制度会不会太严格反而影响工作效率?
答:这是一个需要平衡的问题。我的建议是分三档:核心商业秘密严格管理,重要内部信息适度管理,一般办公信息宽松管理。不要一刀切,否则制度就执行不下去。逐步推进,让员工慢慢适应,效率和安全是可以兼得的。
