保密培训考核应采用保密知识测试与安全操作实操评估相结合的双轨机制,既考核应知应会的理论知识也检验动手操作的实际能力。

培训考核是检验培训效果的重要手段,同时也是促进学员认真学习的外部驱动力。保密培训与企业其他类型的培训相比,对考核的要求更高、更严格。因为保密知识和技能的掌握情况直接关系到企业信息安全和法律合规的实际表现,一个在考核中蒙混过关的员工可能在日常工作中成为泄密链中最薄弱的环节。然而目前很多企业的保密培训考核形式仍然停留在纸质试卷开卷考试或在线题库随机抽题的阶段,这种考试方式只能检验被考核者的记忆能力,无法反映其在真实工作场景中的判断和操作能力。

商业秘密保护宣传海报

知识测试是考核体系中必不可少的基础层。知识测试的目的是确认员工对保密法律法规、企业保密制度、涉密载体管理规定和保密违规行为界定等基础知识的掌握程度。知识测试的题库建设应当覆盖保密培训课程的全部核心知识点,题目类型包括单选题、多选题、判断题、填空题和简答题等。单选题用于检测基础知识的准确性记忆,多选题用于检测知识点之间的关联理解,判断题用于检测对易混淆概念的辨别能力,填空题用于检测关键术语和数据标准的精确记忆,简答题则用于检测对复杂问题的综合分析和归纳能力。题库中的题目应当定期更新和补充,随着国家法律法规和企业内部制度的修订及时调整题目内容,保持题库与实际知识要求的一致性和时效性。

知识测试的难度应当与被考核者的岗位分类相匹配。核心涉密岗位的知识测试题目难度应当最高,除了基础法规和制度题目外,还应包括国家秘密定密依据判断、商业秘密分类分级标准应用和涉外活动保密管理规定等高级知识题目。重要涉密岗位的测试题目以中级难度为主,重点考察日常保密操作规范的掌握情况。一般涉密岗位的测试题目以基础难度为主,重点考察最基本的企业保密要求和员工保密义务。不同难度层级的测试题目应当在题库中进行分标签管理,在生成考卷时根据被考核者的岗位分类自动匹配对应难度层级的题目组合。

实操评估是考核体系中比知识测试更重要的实战层。实操评估的目的是检验员工在实际工作环境下能否按照保密制度和操作规范正确处理涉密信息和执行涉密操作。实操评估的内容可以根据岗位特点和涉密操作类型来设计。涉密计算机操作人员考核内容可以包括按照规范完成涉密计算机的安全配置、使用安全移动存储介质进行涉密数据传输、发现系统安全告警后的正确处置流程。涉密载体管理人员考核内容可以包括涉密文件的定密标识操作、涉密载体的登记入库和借出归还操作、涉密文件的销毁操作流程。实操评估的标准应当以企业编制的标准操作规程为依据,由受过专业培训的评估员按照评分表逐项打分。

实操评估可以采取模拟演练和现场检查两种方式。模拟演练是最常用的实操评估方式,由考官设定一个贴近真实工作的模拟场景,要求被考核者按照作业规范完成一系列操作任务。考官观察被考核者的操作过程,记录操作步骤、操作时间和操作结果是否符合标准要求。模拟演练可以在培训场地上进行,也可以布置在涉密场所的日常工作岗位上进行。现场检查式的实操评估不做预先通知,考官直接前往被考核者的实际工作岗位,检查其在日常工作中的保密操作是否规范,包括涉密文件是否按规定存放、涉密计算机是否设置了锁屏密码、工作台上的涉密文件是否已及时收纳等。现场检查能够有效反映被考核者日常习惯而非演练时的刻意表现,评估结果更接近真实水平。

考核的合格标准应当设定及格线加关键项一票否决的双重门槛。知识测试和实操评估各自设定一个百分制的及格线分数,只有两个项目都达到及格线的被考核者才能评为培训合格。此外,在知识测试和实操评估中应当预设若干个关键安全事项作为一票否决条款,例如涉密计算机密码设置为简单密码、涉密文件不按规定定密标识、涉密载体丢失不报告等严重违规行为,只要出现任何一个关键项违规,无论总分是否达到及格线,该被考核者均判定为培训不合格。一票否决条款的设置能够有效震慑那些习惯于在熟悉的日常工作中放松警惕的员工,强化关键安全行为的底线意识。

考核结果的应用是培训考核制度能否发挥真正作用的关键环节。考核结果应当与员工的岗位任职、绩效评估和职业发展直接挂钩。对于考核合格的员工,企业应当发放保密培训合格证书,作为其继续从事当前涉密岗位的必要条件。对于考核不合格的员工,企业应当为其安排补考机会,补考前需要重新参加相关内容的培训学习,补考仍然不过关的应当暂停其涉密岗位的工作权限,要求其脱产学习并通过考核后才能恢复涉密岗位工作资格。连续多次考核不合格且态度消极的员工,企业应当考虑将其调离涉密岗位或做进一步的处理。考核结果应记入员工个人保密档案,作为涉密人员背景审查和年度保密考核的依据。

考核的公正性和严肃性是保证考核制度权威性的基础。企业应当建立考核管理制度,明确考核计划的制定和审核流程、考核试卷的保管和保密要求、考核过程的监考和巡考制度、考核成绩的登记录入和发布流程、考核争议的申诉和处理程序。考核过程中发现的替考作弊行为应当按企业纪律处分规定严肃处理,不包庇不姑息。考核试卷和成绩单应当作为涉密文件或内部文件进行管理,妥善保存备查。

在技术条件允许的情况下,企业可以引入信息化考核管理系统来实现考核全过程的信息化管理。学员信息管理、题库管理和组卷出题、在线考试和自动阅卷、成绩查询和统计分析等环节都可以通过系统实现自动化处理。信息化考核管理系统能够大幅降低考核组织工作的人力成本,提高考核数据处理的速度和准确性,同时能够积累员工的历次考核数据,形成员工保密能力的长期发展曲线,为培训效果评估和培训计划制定提供数据支撑。

北京企密安信息安全技术有限公司 010-63711822 jess@baomiwang.com