保密管理年度预算编制与执行实务
有一年我跟一家中小企业聊他们明年的保密工作计划。老板说想加装一套门禁系统、买一台专业的碎纸机、再组织两次全员的保密培训。我问他打算花多少钱,他说"没算过,估摸着两三万吧"。结果做预算申报的时候就出了情况——财务总监认为门禁系统属于行政办公设备应该走行政预算,碎纸机是办公易耗品,培训费用属于行政培训费。最后这几项预算各自分散在不同科目里,总额被砍了一半,门禁系统只装了两扇门。
保密管理在中小企业里经常面临一个尴尬的处境:我们都知道它重要,但到了做预算的时候就变得不那么重要了。因为保密投入不像设备采购那样有直接的产出,老板在做预算的时候很难衡量它的投资回报。但缺乏预算投入的保密体系就像没有干粮的旅行——规划得再好也走不远。
编制保密预算的第一步是列出年度需要完成的工作任务清单。基于上一年度的风险评估结果和隐患排查台账,把下一年度需要做的工作事项列出来。这些事项可以分成几个类别:基础运维类,比如门禁系统维护、监控设备保养、碎纸机更换;人员投入类,比如保密培训费用、保密津贴、外聘专家费用;设备采购类,比如新购门禁系统、升级监控存储设备、采购电磁屏蔽设备;检测服务类,比如年度风险评估、物理安全检测、渗透测试。
每项工作都要有对应的预算估算。这时候需要跟供应商或者服务商做至少两家以上的比价,把报价写在预算申请表的附件里。报价金额需要有合理性说明——"为什么要买这台型号的碎纸机""为什么要做这个价格的检测",否则到了财务那里很容易被砍掉。
预算的分类要跟公司的财务科目对接。很多公司的保密预算分散在行政、IT、培训、安保等不同科目里,不容易做整体管控。建议财务部门在预算科目中单独设立"保密管理"子项,把保密相关的各项支出统一归口管理。这样年底做决算的时候可以非常清楚地知道全年的保密投入是多少、钱花在了哪。
预算执行过程中的管控很重要。年初做好的预算不一定能够在执行中百分之百用完或者不超支。建议在预算编制时留出百分之五到百分之十的弹性空间,用于应对突发事件或者临时增加的检测需求。每个季度的预算执行情况要向保密管理负责人汇报,发现差异比较大的项目及时调整。
预算和效果的对应关系也要建立起来。年底做决算的时候不能只看钱花没花完,还要看钱花出去以后产生了什么效果。培训费用对应的培训覆盖率和考核通过率、设备采购投入对应的实际使用率和维护记录、检测费用对应的发现问题和整改率。
常见问题:
Q:保密预算被砍了怎么办?
A:如果整体预算被压缩,建议按照风险优先级重新排序。高风险项优先保留,中低风险项可以延期或者降级处理。同时将预算砍减带来的风险缺口书面报告给管理层签字确认,避免出了事被追责的时候无据可查。
Q:哪些保密投入是"必须花"的?
A:保密培训和基础物理安全设施(门禁、监控、保密文件柜)是基本门槛,这几项无论如何不能砍。风险评估和漏洞检测也建议保留,因为不做评估就没办法知道下一步该做什么。
Q:公司没钱做大的保密投入怎么办?
A:先从零成本或者低成本的动作做起:规范管理制度、加强流程管控、做免费的内部培训、用好现有的系统自带功能。比如利用Windows自带的BitLocker和审计日志功能进行一次安全加固,基本不需要额外花钱。
