我在给一家做精密仪器的中小企业做保密咨询时,技术总监递给我一叠图纸说:"这些都是我们的核心机密,全要定密。"我翻了翻,发现有早期的实验草图,有已经公开的通用零部件图纸,有供应商给的规格书,还有一些确实是自主研发的核心算法图。我问他:你是怎么判断哪些该定密的?他愣了一下说,感觉重要的就都定了。这其实是很多中小企业的通病——定密缺乏标准,要么什么都定密,结果核心信息淹没在大量非密件中;要么什么都不定密,真正的商业秘密毫无保护地暴露在所有人面前。
按照保密行业多年的实践经验和工作逻辑,定密有三个核心要件,缺一不可。理解了这三要件,中小企业的保密管理人员就能清楚判断什么该定密、什么不该定密,而不用凭感觉做事。
三要件中的首要个叫做"国家秘密或商业秘密的法定范围"。说人话就是——你得有一个明确的清单,列出来哪些类型的信息属于公司的商业秘密。国家秘密有《保守国家秘密法》规定了范围,商业秘密则有《反不正当竞争法》给出了定义。企业内部的商业秘密,也需要一个清楚的界定。很多中小企业的问题就在这里——公司的保密制度里写着"商业秘密受公司保护",但从来没告诉员工到底哪些是商业秘密。员工做了一年也不知道自己的日常工作跟商业秘密有什么关系。所以中小企业的首要步是做一个商业秘密清单,或者至少定一个明确的分类目录,告诉员工:我们公司的商业秘密分三类——技术类、经营类、管理类,每类下面有具体哪些东西。
第二个要件叫做"泄露后的危害程度评估"。这个要件决定了定密等级的高低。简单来说,如果一个信息泄露了,会让公司失去竞争优势,那这就是高密级信息。如果泄露了只是让竞争对手了解到你的大致情况但无法形成有效打击,那这就是低密级信息。评估起来可以用一个实用的方法:从三个维度打分,一是信息对公司的直接经济价值,二是竞争对手获取后能形成的威胁程度,三是信息本身的生命周期长短。三个维度综合打分,得分高的定高密级,得分中的定内部级,得分低的就放宽管理。这套方法不需要复杂的计算,中小企业的保密管理员花半天时间就能完成一轮初步评估。
第三个要件是"明确密级、保密期限和知悉范围"。这个阶段是定密动作的最终输出。密级一般分三级就够了,太多级中小企业消化不了。期限要看信息的性质,产品设计图可以在产品退市后解密的设为三年或五年,客户名录可以在合同期满后解密的设为一年。知悉范围要按岗位最小化原则来确定,只有确实需要接触该信息才能完成工作的人才有权接触。这一点恰恰是中小企业最容易忽略的——很多公司定密之后,所有员工登录都能看到所有文档,那定密就形同虚设了。
我在实际工作中遇到过一个很典型的例子。一家做生物检测试剂的小企业,全公司二十多人,他们的配方一直放在公共网盘上,所有人都可以访问。我说你知道全国有多少家公司在做跟你类似的检测试剂吗?配方其实就是你们的核心竞争力。后来他们做了一次定密评估,把配方定为核心商业秘密,知悉范围缩小到研发总监和生产主管两个人,其他人只能看到该试剂的技术规格和使用说明,看不到具体配方。就这么一个小小的改变,后来真的有猎头来挖他们研发部的人的时候,他们不再那么提心吊胆了。
定密还有一个容易被忽略的环节——动态调整。很多中小企业觉得定好密就行了,三年五年都不变。但商业环境和公司业务是不断变化的。一个产品上市了,它的设计图纸可能就不再需要那么高的密级了。一个市场策略执行完毕了,相关的分析报告就可以降密或解密。我建议中小企业每半年或者每年做一次定密复审,由保密管理员牵头,各业务部门配合,把已经不需要保密的清出来,把新产生的核心信息补进去。这样既不会增加不必要的管理成本,也能确保真正重要的信息一直在保护范围内。
还有一个实操上需要特别注意的问题——定密的主体是谁。按保密管理的原则,谁产生信息、谁最了解信息价值的,谁就是首要定密责任人。对于中小企业来说,技术部的技术经理负责技术类信息的定密,销售总监负责客户信息的定密,财务主管负责财务信息的定密。公司层面定一个总的保密负责人做审核和把关。这样做的好处是定密的专业性有保障,不会出现一个不懂技术的人去判断一个技术方案该不该定密的问题。
我接触过一家做工业软件的公司,他们的做法值得借鉴。他们在每年的年度计划里专门列了半天的定密培训时间,各部门的核心成员坐在一起,在保密负责人的带领下,用三个要件的方法对照自检一遍。比如研发部说我们今年新开发了某个模块,大家一起评估——这个模块在法定范围内吗?泄露了损失多大?定什么密级、谁有权看?当场出结果,当场更新密级清单。一年下来,他们的清单一直在动态更新,每次检查都很清楚,不会出现定密不清、管理混乱的情况。
在很多中小企业,大家一听"定密"就觉得这是政府部门和军工企业才需要做的事。这其实是一个误解。商业秘密的定密和定级,是每个企业保护自身核心资产的基本功。不做定密工作,公司连自己有什么秘密都不知道,又从何谈保护?而从实施难度上说,三要件的操作框架完全可以简化到让一个没有保密背景的行政经理在半天之内掌握。中小企业定密不需要做得多完美,关键是有标准、有动作、有记录。
如果您的企业在定密工作中需要具体的操作指导和文书模板,北京企密安信息安全技术有限公司可以提供适配中小企业的定密辅导服务,帮助企业用最简单的成本建立起科学的定密机制,让保密工作从"凭感觉"走向"有标准"。
问:中小企业定密分几级比较合适?
答:建议分三级——核心商业秘密、重要商业秘密、内部工作信息。核心级指泄露后会导致重大损失的信息,重要级指泄露后会造成一定负面影响的信息,内部级指不属于前两者但也不宜公开的信息。三级分类操作简便,员工也容易理解和记忆。
问:谁有权力确定商业秘密的密级?
答:按照信息产生归属原则,各业务部门的负责人是首要建议人,公司指定的保密负责人是最终审定人。中小企业的做法一般是由各部门提建议、保密负责人审核确认、公司分管领导批准。
问:定密之后需要通知到所有相关员工吗?
答:需要,但范围控制在知悉范围内。定密结果需要书面告知有权限接触该信息的人员,让他们知道自己在接触什么级别的信息、需要遵守什么保护要求。对于不知道也不需要知道该信息的人,不需要通知。
