年初我去一家做芯片设计的中小企业做现场走访,一进他们研发区的门口就愣住了。前台没有人,门禁是坏的,任何人都可以直接走进去。他们的研发总监在开放式工区打电话,聊的内容正好是正在调试的一个关键测试参数,旁边的几张工位上都坐着人,其中还包括两个没戴工牌的访客。我问他这俩是谁,他说是来面试的候选人,正在等HR来面试。我心想,面试候选人就这么在研发区坐着,旁边刚好听到核心参数在电话里被讲出来,这个保密风险太大了。

这就是典型的办公区域保密管理出了问题。办公区域是商业秘密最日常、也最容易出问题的地方。信息在这个区域里的流动是天然且频繁的,有员工之间的交流、打印机上的文件、白板上的讨论、电脑屏幕上的内容、桌上的文档,时时刻刻都在暴露。如果办公区域的保密管理做得不好,其他所有的制度建设都会功亏一篑。

中小企业的办公区域保密管理,核心就是六个字:控人、控物、控空间。

控人,首先是管好自己人。所有员工进入办公区域首先要佩戴工牌。工牌不仅是一种身份标识,更是一种安全提醒——戴着工牌,员工就会有"我在公司"的意识。不戴工牌,员工的心理状态就容易变成"我在随便一个空间里",行为也会放松。工牌要能明显区分员工和访客。访客工牌每天发放、每天收回,不能让人带着访客工牌离开公司。

其次是管好外来人员。前台或者接待人员要做到来访必登记、必问事由、必通知被访人、必全程陪同。很多中小企业的前台都是行政兼着的,有时候忙起来访客来了登记一下就让进去自己找人了。这种做法风险很大,来访者可能在公司里到处走、看、拍,甚至偷偷把U盘插到没人看管的电脑上。建议的做法是,非被访人亲自来接的访客,一律在接待区等候,不能自行进入办公区。被访人来接之后全程陪同,中途访客去洗手间也要有人陪同。听起来严格,但对中小企业来说,只需要前台多问一句、被访人多走几步,就能把风险降到很低的水平。

再就是离职人员的入区管理。员工办理离职手续时,HR要首要时间通知IT部门或者行政人员,把该员工的工牌回收、门禁权限取消、系统账号停用或转交。有不少公司把员工的所有手续办完了,员工走到门口刷卡才发现自己的卡还能开门,说明管理流程没有锁紧。离职当天完成所有权限的清理,这个要求要写进离职流程,并且有专人检查确认。

控物,主要是管控纸质的和电子的保密载体。办公区域里常见的保密物就是桌上的文件、打印机上的纸张、白板上的内容。我建议出台几条明确的规矩:首要,员工离座时,桌面上的涉密文件必须收进柜子或抽屉,不能敞开放着。第二,打印机旁边设置一个回收篮,打印后取走的文件不要在打印机上过夜。第三,白板上的内容在每天下班前必须擦干净,重要讨论内容除非经批准保留,否则一律擦除。

电子的保密载体管控同样重要。员工的电脑屏幕需要设置屏保密码,离开座位时要养成随手按Win加L锁屏的习惯。公司内部可以设一个不成文的规矩——如果有人看到同事的电脑没有锁屏,要友好地提醒一下。这个习惯一旦养成,全员都是保密监督员。

控空间,就是要把办公区域按保密等级做物理分区。中小企业虽然办公室不会很大,但至少可以分成普通办公区和涉密办公区两块。涉密办公区可以是单独的一间办公室或者大办公室里的几个固定工位。明确了涉密区域之后,就要在区域内设置提醒标识,比如"本区域为涉密区域,请无关人员勿入"。同时涉密区域的窗户要有窗帘或者磨砂贴膜,避免邻近楼栋或者街对面的人能看到内部屏幕和文件。

还有一个很多中小企业容易忽视的地方——办公区域里的电子设备。现在很多公司都在办公区装了智能音箱、摄像头、智能门锁等物联网设备。这些东西如果接入公司内部网络,又没有被认真管理隐患非常大。我遇过一家公司,他们在会议室装了智能音箱,员工在开会时讨论商业秘密,智能音箱的记录被上传到了云端。虽然这个案例没有酿成大祸,但这种风险是真实存在的。建议办公区域内的物联网设备统一登记管理,不接入办公网络,不在涉密讨论时启用。

另外,会议室管理也要特别上心。中小企业面积小,会议室可能就一个两个,但也正因如此,会议室的使用频次高、人员杂。会议室应该有一个预定的使用制度,谁用、什么时间用、用来开什么内容的会议。在涉密会议结束后,要及时清理白板、桌面文件、投屏记录。如果会议室有录音或录像设备,要在开始涉密讨论前确认关闭状态。

我曾经协助一家做生物技术的中小企业优化办公区域的保密措施。他们的问题很典型——办公区租在一个联合办公空间里,隔壁就是另一家完全不同业务方向的公司,但隔断很薄,那边说话大声点这边能听见。他们的解决方法是:把核心研发区调整到距离隔壁办公室最远的一侧,用厚窗帘做隔断,重要会议的时间集中在下午六点以后联合办公公共区域内人少的时候。这些小调整没有花什么钱,但保密效果提升了一大截。

最后说一条跟每个员工都有关的细节——用餐时间的管理。很多中小企业在午餐时间,员工会聚在茶水间或者公共区域一边吃饭一边聊天。聊着聊着可能就把上午开的那个会的内容聊出来了,或者在饭桌上讨论一个客户的敏感信息。建议公司在保密制度里明确,在公共用餐区域不能讨论涉密信息。这个规矩可以在培训时重点强调,也可以在茶水间贴一个温馨的小提示。

如果您在办公区域的保密管理上需要具体的标识设计、管理制度模板或者现场评估,北京企密安信息安全技术有限公司可以提供专项辅导,帮助中小企业花很少的钱把办公区域的保密防线建起来。

问:办公区域可以安装监控摄像头来加强保密管理吗?
答:可以,但要注意合规和告知。监控摄像头只能在公共区域安装,不能安装在洗手间、更衣室等私密场所。安装前要通过员工告知或公告的方式说明监控的目的和范围。监控记录按规定保留,需要调取时要有审批流程。

问:开放式办公区做保密管理是不是很难?
答:确实比封闭式办公区有挑战,但不是不能做。关键是让员工养成好习惯:离座锁屏、文件入柜、不讨论涉密内容、外来人员有人陪伴。开放式办公区还有一个好处是人多眼杂、互相监督,反而能让保密更自然。