设备定期保养车要定期年检,企业的保密体系也该有年度体检
有一个现象挺有意思的。很多企业花了几十万甚至上百万做保密体系建设,建完之后就把文件往文件夹里一放,然后该干嘛干嘛,从来不去检查体系到底还在不在运转。
就像你买了一辆好车,回家开了两年不换机油不保养,你觉得这车还能开得好吗?保密体系也是一样的道理。环境在变、人员在变、业务在变、技术在变,一条不变的老体系怎么可能永远有效?
所以我们一直在推一个概念叫"保密管理年度体检"。就像人体检一样,不是等出了问题才去医院,而是定期检查、早期发现、提前干预。
年度体检查什么?我们按五个维度来做。
第一个维度是定密体系执行情况。一般企业刚做定密的时候是最上心的,全公司的信息梳理一遍、密级定一遍、清单做一遍。但两年过去以后,新增的业务信息有没有定密?原来定核心密的信息,时间到了有没有降密或者解密的操作?定密责任人换了人,新责任人有没有正式接手?如果这些问题的回答全是"不知道",那定密体系基本已经停摆了。
第二个维度是保密制度落地情况。制度建设的时候容易犯一个毛病——抄。抄别的公司的制度模板,改个公司名就发布了。这种制度要么跟企业的实际业务对不上,要么太抽象员工理解不了。制度落地检查要看三件事:一是员工知不知道该制度的存在,二是员工知不知道具体怎么执行,三是实际执行动作和制度规定有没有偏离。我们查过一家企业,制度规定涉密文件离开办公室必须登记,实际操作中大家离开就离开,从来没人去登记。制度成了挂在墙上的摆设。
第三个维度是技术防护有效性。这部分需要做技术渗透测试和安全审计。别说小企业,有些大企业上了加密软件和DLP系统,配完就没人管了。结果发现加密软件的密钥好几年没更新,DLP规则的日志里全是告警但没人处理。技术的价值在于持续运营,不是一次性部署。年度体检时重点看:终端加密覆盖率有没有脱落(特别是新入职员工)、日志审计有没有人看、安全事件有没有闭环处理。
第四个维度是人员意识水平。这个维度最容易虚,发个问卷填一下就是"意识达标"了。但真正测人员意识,得用实战方法——内部钓鱼测试、保密制度随机抽查、模拟泄密事件处理。从反应速度和处置规范性来判断意识水平。很多企业做完钓鱼测试以后发现,中招率高达百分之二三十,远远超出了管理层的预期。
第五个维度是应急处置能力。模拟一个泄密事件,看企业从发现到响应到处置的过程能不能在24小时内完成。我们测试过的情况是,大部分企业从发现到上报至少需要一到三天,原因很简单——员工不知道泄密事件该报给谁。这个漏洞很小,但在真出事的时候,这一两天的延迟可能就是关键证据灭失的原因。
五个维度检查完,我们会出一份评估报告,分项打分,标注出高风险项、中风险项和低风险项。然后根据评估结果给出改进路线图,按紧急程度排优先级。高危项三个月内必须整改,中危项六个月内完成,低危项纳入下一年度工作计划。
这个路线图不是固定不变的。有些企业今年的高危项,明年可能变成中危,也有些企业今年表现还行的项,明年因为人员流动和业务扩张重新变成高危。这就是为什么体检要年年做,不能做了今年就不管以后了。
保密管理很多时候不需要一开始就做到完美,但你得知道自己的体系现在到底是什么状态。年度体检就是让你知道这件事的。
