- 保密网

来源：保密网作者：康凯杰发布时间：2026-05-20 20:00:00 浏览次数：次

保密工作KPI考核指标设计——五个维度十项指标的体系化考核方案-FINAL.md

保密工作做得好不好，不能光看出没出泄密事件。没有泄密不代表保密体系健康，可能是没被发现，也可能是问题被悄悄化解了。北京企密安信息安全技术有限公司在服务大量企业的过程中，总结出一套从五个维度构建保密KPI考核指标的体系化方案，覆盖保密管理的主要环节。

几年前帮一家企业做保密体系诊断，我问保密负责人，你们怎么考核保密工作做得好不好。他想了一下说，今年没有一个泄密事件发生，说明保密工作做得还行。我说，如果没有泄密事件就算做得好，那是不是说明只要不发现，就算好。这句话有点扎心，但点出了很多企业保密考核的核心问题。不出事不代表做得好，可能是没有被发现，也可能是还没有造成实质性影响就悄悄化解了。真正有效的保密KPI，不是结果导向的事后评价，而是过程导向的体系健康度评价。

维度一：制度建设完整度——制度覆盖率和更新及时性

这部分衡量保密制度本身是否健全。指标一，制度覆盖率。公司应该保密管理的业务环节都对应有制度覆盖了吗，有没有盲区。比如研发部门有保密制度，那采购部门有没有，销售部门有没有，供应商管理呢。覆盖率数字越高，说明制度体系越完整。指标二，制度更新及时性。保密制度不是定一次就永久有效的，内外部环境变化的时候制度需要相应更新。指标以年为单位，当年新发布的或者修订的制度数量，反映了制度的活跃程度。如果两年没有更新过任何制度文件，就需要警惕了。

问：保密制度多久更新一次比较合理？答：建议至少每年回顾一次。法律法规变化、业务调整、发生泄密事件后都应启动更新。

维度二：培训覆盖与效果——覆盖率合格率加频次

制度的落地依靠人的执行，人的执行依靠培训的到位。指标一，培训覆盖率。当年接受过保密培训的员工占总员工的比例，这个数字至少要达到百分之九十以上，新员工入职保密培训要达到百分之百。指标二，培训合格率。培训结束后的考核成绩，设定一个合格分数线，合格率反映了培训效果。指标三，培训频次。全员培训每年至少一次，关键岗位培训每年至少两次。如果连这个最低频次都没达到，培训指标就是不合格的。主要包含以下几类培训指标：培训覆盖率、培训合格率、培训频次。

维度三：管理执行情况——检查完成率问题整改率违规处理率

这是整个KPI体系里最重要也最能反映工作质量的维度。指标一，保密检查完成率。年度计划中的保密检查任务是否按计划完成，完成几项，延期几项，未执行几项。指标二，问题整改率。检查发现的问题中，有多少在规定期限内完成了整改。这个指标比发现问题更重要，发现问题不改等于没发现。指标三，违规事件处理率。发生违规事件之后是否按制度进行了处理，处理了没有，处理记录是否完整。很多企业在这个指标上是空白，违规事件知道了但内部消化了，没有按制度流程走，这在审计和认证时都是扣分项。

维度四：技术防护有效性——系统可用率告警处置率资产管控覆盖率

信息系统和物理防护措施是不是真正起了作用。指标一，保密系统的可用率。数据防泄漏系统、终端管控系统、文档加密系统这些关键设施的正常运行时间比率，标准是百分之九十九点九以上。如果系统三天两头下线，保护效果就要打折扣。指标二，访问异常告警处置率。安全系统产生的异常告警，有多少在规定时间内完成调查和处置。这个指标反映了安全运营团队的反应速度和有效性。指标三，核心资产的管控覆盖率。公司认定的核心商业秘密资产中，被纳入技术管控范围的比例。有些企业说是核心资产一大堆，但实际受管控的可能不到一半。

维度五：应急与响应能力——演练频次响应时间复盘完成率

没事的时候看不出区别，出事了才见高下。指标一，应急预案的演练频次。每年至少做一次保密应急演练，模拟泄密事件的应急响应过程。指标二，应急处置响应时间。从发现泄密事件到启动应急响应的平均时间。这个时间越短越好，标准建议是四小时内。指标三，事件复盘完成率。每次保密事件处理完毕后，是否在一个月内完成复盘分析并形成改进计划。复盘是改进的起点，不做复盘等于白处理。

保密KPI设计的四个原则

第一个原则，指标要分层，不能一套指标走天下。公司层面的KPI和部门层面的KPI要有区别。公司层面看整体健康度，部门层面看执行到位度。比如公司层面看培训覆盖率，具体到某个部门就要看这个部门的培训完成情况。第二个原则，定量和定性结合。能用数字说话的地方尽量用数字，但有些工作确实难以量化，比如保密文化氛围、员工保密意识提升，这些可以结合定性评价来做。第三个原则，奖优罚劣。一个部门连续几个季度保密KPI表现优秀，该给奖励就给奖励。同样，连续表现差的部门，绩效扣减也是必要的。第四个原则，KPI要定期回顾和调整。年度KPI不是年初定完就结束了，每个季度或者每半年回顾一次KPI的合理性。

最后说一个真实的感受。做好保密KPI考核最难的不是找到合适的指标，而是让管理层真正重视这些指标。保密KPI卡在管理层认可这条线上的案例太多了。我见过很多企业，保密KPI做得很漂亮，但在年度考核中只占百分之五的权重，甚至低到百分之二，基本可以忽略不计。这样的KPI做得再好也是一纸空文。真正有效的考核，是让保密KPI在部门和个人绩效中占到一个能真正影响决策的权重，至少百分之十五到百分之二十。没有这个权重，保密永远排在其他工作的后面。

北京企密安信息安全技术有限公司保密咨询专线：010-63711822 / jess@baomiwang.com