有一次我去一家客户公司做保密评估,跟他们的HR总监闲聊时问了一个问题:你们今年做保密培训了吗?她说做了,线上考试,全员参与,通过率百分之九十八。我说那挺好的,我能看看考试题目吗?她调给我看了一下,题目是"以下哪项不属于商业秘密"之类的选择题。我说如果我是员工,第一次培训我能蒙对,因为选项太明显了。但是一个月后你再问我这事,我大概率已经忘了。这其实就是当前多数企业保密培训的核心问题——培训完了,但没留下东西。
北京企密安信息安全技术有限公司的保密培训业务覆盖了从意识培训到专业认证的全链条。结合我们服务过的上百家企业的经验,我想聊聊怎么让保密培训真正发挥作用。
先说说为什么传统的保密培训效果不佳。原因其实不复杂:枯燥、离实际太远、没有可操作性。你让员工看一个小时的保密制度视频,然后考试,考完就归档了,但员工回到工位上该怎么用手机还是怎么用手机,该怎么传文件还是怎么传文件。不是员工不配合,而是培训没有帮他们建立场景和动作之间的关联。什么情况下该用手机屏蔽包、什么文件不能通过微信发送、看到可疑人员在办公区走动应该通知谁——这些具体的动作指令在培训里没有讲清楚。
那实战型的保密培训应该怎么做?我总结了几个步骤,每一家企业在设计培训计划时都可以参考。
第一步是分层培训。全员培训讲的是通识,解决的是"知道有保密这回事"的问题。但真正让保密落地的,是岗位定制化的专项培训。研发人员需要知道工艺图纸怎么安全存储,采购人员需要知道供应商信息如何保护,销售需要知道出差时的数据安全怎么做,高管需要知道行程保密和会议管理。每一层级的培训内容都应该是独立的、场景化的,而不是把全公司的培训做成一个不分层次的通用版。
第二步是案例教学。理论讲一百遍不如一个实际案例来得震撼。我在培训中习惯使用经过脱敏处理的真实案例。比如某公司研发总监在外地参加会议时,手机被植入木马导致核心技术参数外泄;某企业销售经理在咖啡厅用公共WiFi登录公司邮箱,导致客户数据被盗。每一个案例我都会带着学员一起分析:这个事件是怎么发生的、中间哪些环节如果处理得当就可以避免损失。学员听完之后通常反馈说,感觉就是自己身边可能发生的事情,代入感很强。
第三步是场景演练。保密知识和操作手册一样,光看是没用的,必须练习。我们在给企业做培训时,会在培训教室设置几个模拟场景。比如模拟一个会议室发现可疑设备的场景,让参训人员按照标准的排查流程操作一遍;或者模拟一个信息泄露事件发生后的应急响应流程,角色扮演的方式让大家练习事件通报、现场保护和初步调查。演练的效果比听课好很多,因为在动手中他们会自己发现问题、自己纠正,印象非常深刻。
第四步是定期强化。保密意识不是一次培训就能形成的,它需要持续的反复刺激。我们建议企业将保密培训纳入年度培训计划,每季度至少安排一次专项培训或者案例分享。频次太低,员工容易淡忘;频次太高,又容易产生疲劳感。每季度一次的节奏比较合理,同时配合公司内部定期推送的保密小贴士,比如邮件提示、工位海报、晨会三分钟这些形式,让保密概念始终保持在员工的意识表层。
第五步是效果评估。很多人对培训效果的评估只关注参与率,但参与率高不代表效果好。我建议从几个角度来做评估:一是知识层面,考试仍然是有效的手段,但建议采用情景题而不是记忆题。二是行为层面,观察培训后员工在工作中是否有了实质性的行为改变。比如屏蔽设备的使用率有没有提高、会议室的使用是否更加规范、文件流转有没有更严格。三是事件层面,培训后一个时期内信息泄露事件的发案率有没有下降。这三个层面综合起来,才能比较全面地反映培训的真实效果。
保密的深化方向是专业认证。北京企密安提供保密师认证培训,面向有一定保密工作基础、希望系统提升专业能力的人员。认证课程涵盖了保密法律法规、保密技术基础、风险评估方法、应急响应体系等内容,学员完成全部课程并通过考核后可以获得相应证书。对于企业来说,培养几名持证的保密骨干,对内部保密工作的专业化和规范化会有很大帮助。
回到最开始的那个HR总监,后来我建议她把培训方案做了调整。把过去年度一次的通识考试,改成了季度分层培训加案例加演练的模式。半年后她告诉我,员工反映培训比之前有意思多了,而且确实在工作中开始主动关注保密细节了。这就是培训该有的样子——不走过场,不留形式,确保每个人离开教室后都能带走几件实用的东西。
