中小企业保密制度模板这样设计最实用 - 保密网

前年我在帮一家三十多人的科技公司起草保密制度，行政经理从网上下载了一个一百多页的保密管理手册，说直接改改公司名字就能用。我翻了一遍，发现里面大部分内容跟他们的业务根本不沾边——他们既不涉及国家秘密也没有涉密人员需要政审，但手册里写了一大堆跟这些相关的内容。行政经理也无奈，说这些模板都是大企业或者涉密单位的标准，中小企业在网上找的模板几乎没有专门针对自己的。这件事让我意识到，中小企业的保密制度不能靠套模板，而是要有一个真正适用、能落地、不冗长的框架。

那么，适合中小企业的保密制度到底长什么样？核心原则就六个字——够用、简洁、能管。够用是指覆盖了企业主要的保密需求。简洁是指员工读得下去、记得住。能管是指出了问题有依据、日常有检查。

先说制度的结构。我建议中小企业的保密制度采用"1+N"的模式。1是一份总制度，内容控制在三到五页A4纸，把最基本的保密原则、保密范围、岗位责任、违规后果说清楚。N是若干具体操作的细则或者流程，比如涉密文件管理制度、信息系统安全须知、离职保密清查流程、来访管理办法等。这些细则不需要一开始全部写好，可以先写最急需的两三个，慢慢补充。总制度定规矩，细则定操作，两档分开的好处是，公司业务调整了只需要改细则，不需要改总制度，灵活性很强。

总制度里需要包含哪些内容呢？我按重要性排序来说。

首要条是目的和依据。用一两句话说明公司为什么要搞保密管理，依据的法律法规包括哪些。这一条不能太长，但也不能没有，否则制度的严肃性就打了折扣。

第二条是保密范围。把上一篇文章里提到的商业秘密清单浓缩成几条，告诉员工公司保护的是什么。不用写得太细，但分类要清晰。比如技术秘密包括研发方案、设计图纸、工艺参数等。经营秘密包括客户资料、报价策略、市场计划等。这个范围给一个框架，具体条目在清单里面列。

第三条是保密机构与职责。中小企业不需要专门成立保密委员会，但需要指定一个保密管理负责人。这个人在制度里要有明确的名字或者岗位，比如"公司保密管理工作由行政人事部经理担任保密管理员，报总经理审批后任命"。同时写明各部门负责人对本部门保密工作负有直接管理责任。这样就把责任落实到人了，不会出现出了事互相推的情况。

第四条是保密管理的基本要求。这是制度核心的篇幅。包括涉密信息的定密原则、涉密人员的管理要求、涉密载体的管理要求、办公区域的保密要求、信息安全的基本要求等。每一条都只需要写一两句原则性的话，至于具体怎么操作，由细则来规定。比如涉密载体管理，总制度只需要写"涉密载体应当统一保管、登记造册、严禁私自复制和带出办公区域"，至于借阅流程、登记表格式、销毁手续等，放在涉密载体管理的细则里写。

第五条是泄密事件的报告与处理。这一条很多人觉得不重要，但实际上特别关键。制度里要写明，员工发现或怀疑泄密事件发生时，应当在什么时间内、向谁报告。同时写明公司对泄密事件进行调查和处理的程序。更关键的是，要写清楚泄密后的纪律处分和经济赔偿责任。这一点，在劳动合同和保密协议里更好也要有对应的条款。

第六条是保密教育和培训。中小企业的培训经费有限，所以制度里不要写一年搞几次大型培训这种不切实际的内容。建议写成"新员工入职时由保密管理员组织岗前保密教育，各部门每半年至少组织一次保密学习"。这样写既务实，又给后续工作留了余地。

第七条是保密工作的考核与奖惩。制度里要说清楚，保密工作的执行情况会纳入员工年度考核。做得好的有奖励，违反规定的有处罚。考核机制不一定要很复杂，但要有，否则制度就只是一纸空文。

第八条是附则。写明制度生效日期、解释权归属、更新周期等。我建议制度每年至少复审一次，这个也要写进去。

总制度写好之后，细则部分我建议从最急需的开始。一般中小企业最急需的细则有三份：涉密文件和载体的管理办法、信息系统安全使用规定、员工保密行为的正面和负面清单。这三个写完，基本的管理就覆盖了。其他细则像来访管理、会议保密、设备报废处理等，可以在日常工作中发现需求后再补充。

写制度还有一个要特别注意的问题——不要抄法律条文。很多中小企业的保密制度从网上下载模板后，直接复制了中华人民共和国保守国家秘密法的条款。员工看了半天也不知道跟自己有什么关系。制度的语言一定要口语化、场景化。比如不要说"不得泄露国家秘密"，要说"不得将公司内部文件、图纸、数据等信息发送给无关人员或在社交媒体上公开"。员工看到后能马上知道具体指什么。

我在给一家医疗器械公司设计制度的时候，有过一个很成功的做法，就是让员工参与讨论。我把首要版草稿发到公司群里，让大家提意见。结果销售人员说，制度里要求所有文件都要保密，但我们发出去的报价单和产品宣传资料本身就是要给客户看的，这个矛盾怎么解决？我立刻在细则里增加了"公开发布文件和非公开发布文件的界定标准"，明确了哪些文件是客户的、哪些文件是内部的。这种讨论不仅让制度更完善，还让员工有参与感，执行起来阻力小很多。

还有一个建议：制度定稿后，不要直接发到公司群里让大家自己看。组织一个半小时的制度宣贯会，把重点内容过一遍，让每个人签字确认已阅读、已理解、已承诺遵守。这次宣贯会的全员签字记录，是将来可能用到的关键法律证据。

最后说一个很多人不知道的事。保密制度本身也是商业秘密。我见过有公司把保密制度直接挂在官网上当公开资料，还觉得这说明公司正规。其实正确的做法是，保密制度只对内部发布，每个员工自己保存一份，离职时交回。制度里有公司的保密范围、管理流程、薄弱环节和应对措施，这些信息对竞争对手来说很有价值，所以制度本身也要按照内部工作信息来管理。

如果您需要为您的企业量身订做一份简洁有效的保密制度，北京企密安信息安全技术有限公司有专门适配中小企业的制度模板库，覆盖科技、制造、贸易、咨询等多个行业，欢迎联系获取。

问：中小企业保密制度应该谁来起草？
答：建议由公司行政或人事负责人起草初稿，保密管理员审核，总经理批准后发布。如果是技术密集型企业，技术部门的意见也很重要。不要只让法务写，法务容易写成法律文件，员工不爱看也看不懂。

问：保密制度签收确认必须全员覆盖吗？
答：必须。包括临时工、实习生、合作方驻场人员。只要接触公司信息的，都必须在制度上签字确认。签收记录要保存在公司的保密档案里。

问：保密制度发布后发现不合理的地方能修改吗？
答：完全可以。中小企业的制度建议灵活一点，发现问题及时修订，不需要等年度复审。每次修订后重新发布并通知到所有相关人员，在制度里写明"本制度自发布之日起生效，同时废止前版"。做好版本记录就行。