两年前我去一家贸易公司做保密评估,问他们的保密管理员平时怎么管理涉密文件。对方从抽屉里拿出一个非常旧的笔记本,翻开给我看,里面歪歪扭扭登记了几行字,最后一行的日期是八个月以前。我问他后面的借阅记录在哪里,他说忘了记了。我又问他怎么知道哪些涉密文件借出去之后有没有还回来,他说靠脑子记。我再问,那离职人员的文件交接记录在哪里,他翻了半天,说可能之前那个离职的人没交接就走了。

这个案例一点都不夸张。很多中小企业觉得台账管理是形式主义,有那个工夫不如多干点活。但真正做过保密管理的人都知道,台账不是给别人看的摆设,而是你自己管理工作的拐杖。没有台账,你全靠脑子记的时候,今天可能还清楚,明天有人来找文件你就乱了套。半年以后,离职的人走的走,文件搬的搬,光靠记忆力谁也说不清楚。

所谓保密台账,其实就是把跟保密管理相关的所有信息记录下来,形成一套可追溯、可查询、可审计的记录体系。对于中小企业来说,台账不需要很复杂,但一定要有、一定要记、一定要保持。

我建议中小企业建立四本基本的保密台账,就能覆盖日常管理的绝大部分需求。

首要本台账是涉密载体登记台账。这本台账记录公司所有的涉密载体,包括纸质文件和电子载体的介质。纸质文件按份登记,电子载体按盘登记。每一条记录的内容包括:载体编号、载体名称、密级、产生部门、产生日期、保管责任人、存放位置。如果是一份图纸就写清楚图纸的名称和版本号,如果是一块移动硬盘就登记硬盘的序列号。登记好之后,每半年盘点一次,核对台账和实物是否一致。不一致的查找原因并做记录。

第二本台账是涉密载体借阅台账。涉密文件不可能锁在柜子里谁都不用,借阅是日常工作的一部分。借阅台账记录每一次借阅行为:借阅人、借阅日期、借阅文件名称和编号、预计归还日期、实际归还日期、经办人。借阅台账有几个特殊的用途。首要是追踪通期的借阅——谁超过预计归还日期还没还,需要催还。第二是发现异常借阅模式——如果有人频繁地大量借阅跟自己工作不相关的涉密文件,这是一个值得关注的信号。第三是在案件发生时,能够清晰地还原文件在什么时间、被什么人接触过。

第三本台账是涉密人员管理台账。这本账记录公司所有涉密岗位和涉密人员的基本信息。包括岗位名称、岗位密级、在岗人员姓名、入职日期、保密协议签署日期、保密培训记录、涉密等级。涉密人员发生变动时,比如岗位调整、离职、休假,都要及时更新台账。这本台账最大的价值在于,你随时可以知道公司目前有谁的涉密权限、谁的权限需要调整。

第四本台账是保密检查记录台账。每一次日常巡查、专项检查和年度自查的结果都要记录下来。包括检查日期、检查人员、检查内容、发现问题、整改措施、整改责任人、整改完成日期、复检结果。这四本台账建起来之后,就是你亲手打造的保密管理数据系统,不是给谁看的,是你自己用的工具。要用好这个系统,日常管理就是有依据的,而不需要每次都从头查一遍。

有了台账之后,怎么管也有讲究。我根据自己的经验给中小企业提三个建议。

首要个建议是台账专门有人管。中小企业可以让保密管理员统一管理台账,但各部门也要有台账的对接人。比如研发部的涉密文件台账由研发部的保密联络员维护,但保密管理员定期核对汇总。责任到人、记录到人,不搞一锅端。

第二个建议是台账纳入日常检查。保密管理员在做日常巡查的时候,顺手翻一翻台账的记录质量,看有没有漏记的、借阅没还的、人员信息没更新的。发现问题当场处理,不要让台账一个月才看一次,那样问题累积多了就不好处理了。

第三个建议是纸质台账和电子台账并存。电子台账便于查询和统计,但纸质台账有实体的签名和记录,在法律上更有证明力。我的做法是日常先用电子台账做录入和检索,每季度打印一次纸质台账由相关责任人签字存档。两套系统互相对照,不会出现数据丢失或者被人为篡改的情况。

我帮一家做精密加工的中小企业做保密体系建设时,重点帮他们搭了这几本台账。一开始执行的时候,研发部的人觉得很烦,说每次借个图纸还要填表登记太麻烦了。我跟他们算了一笔账:如果图纸丢了,重新设计一遍的成本远远超过每次借阅登记花费的那一分钟。后来这个研发部的负责人想通了,在桌子上贴了个小标签:借阅登记,一分钟保十万块钱。虽然有点夸张,但这个心态转变很关键。三个月后,他们的台账整整记录了近百次借阅,每一笔都清清楚楚。年底盘点的时候,涉密图纸一份都没丢。

关于台账保存期限,我建议最少保存三年。法律上商业秘密侵权诉讼的诉讼时效是三年,所以台账至少能覆盖这个期限。重要项目的载体台账建议长期保存,跟项目档案一起归档。

如果您的企业还没有建立自己的保密台账体系,或者现有的台账管理比较混乱,北京企密安信息安全技术有限公司提供保密台账模板和台账管理培训,帮助中小企业用最简单高效的方式搭建自己的保密数据管理体系。

问:中小企业保密台账用Excel做可以吗?
答:完全可以。Excel做台账对中小企业来说成本最低、操作最简单。注意几点就够了:单文件多人协作时做好版本控制,定期备份到安全位置,纸质台账每季度打印签字一次存档。初期不需要上专业系统,够用即可。

问:涉密载体借阅时,借阅人不在登记表上签字怎么办?
答:必须签字才能借出。可以设置一个简单的制度——借阅人在登记表上签字确认,管理员才能发放文件。没有签字就借出,管理员的考核就会受影响。这个规则执行好了,借阅台账的质量就有了保证。