- 保密网

来源：保密网作者：康凯杰发布时间：2026-05-20 20:00:00 浏览次数：次

保密管理年度预算编制方法——风险导向的保密预算分配与执行计划-FINAL.md

保密预算怎么编才能既不被砍又花在刀刃上，这是每个保密负责人必须面对的现实课题。北京企密安信息安全技术有限公司在服务大量企业的过程中发现，预算做得好的企业，靠的不是报高价，而是把预算跟风险挂钩来编制。本文从五个步骤，系统梳理保密管理年度预算的编制方法。

年初的时候，有一家企业的保密负责人找我说，今年公司全面压缩开支，保密预算被砍了一半。他问我，预算减半的情况下，哪些事情必须保，哪些可以省。我说，这其实是个好问题，因为在资源受限的情况下，才能真正检验一个企业做保密是认真的还是应付差事的。保密预算这件事，很多企业做得随意。不是报多了被砍，就是报少了不够用。真正有经验的保密负责人，是把预算跟风险挂钩来编制的。

第一步：建立预算顶层逻辑——四个板块的预算划分

我习惯把保密预算分成四个板块。第一个板块是固定支出，包括保密系统的运维费用、软硬件的年度许可费、保密管理人员的薪酬。这些是维持保密体系基本运转的钱，砍了体系就转不动了，属于优先保障部分。第二个板块是项目性支出，包括新系统的采购部署、保密改造工程、体系认证费用。这些可以根据当年的重点任务来安排。第三个板块是运营性支出，包括员工保密培训、外部咨询服务、年度体检评估、审计费用。这些是持续提升管理水平的投入。第四个板块是预备金，用来应对突发性的保密事件，比如数据泄露应急响应、法律诉讼、紧急系统修复。这样分板块的好处是，当预算被压缩的时候，你知道先砍哪块后砍哪块。固定支出不能动，预备金不能动，项目性支出可以延后，运营性支出可以适当压缩但不宜过度。

问：保密预算中哪个板块最容易被低估？答：预备金。很多企业不设预备金，一旦出泄密事件只能临时挪用其他资金，非常被动。

第二步：风险导向的预算评估——把有限资源用在刀刃上

预算应该跟风险评估挂钩。头年年底或者年初，公司做一次全面的保密风险评估，识别出当前面临的主要风险和管控短板。然后根据风险的高低来分配预算资源。高风险的问题优先解决，低风险的问题可以暂时接受或者用低成本方案替代。举个例子。风险评估发现公司目前最大的风险是员工通过网盘传输核心文件，没有任何管控。这属于高风险漏洞，对应的预算就是上一套终端数据防泄漏系统，预算金额比较高，属于必保项。另一个风险是打印机的废弃文件处理不及时，这个风险相对低，预算可以少一些，加一台碎纸机或者换一台带碎纸功能的打印机就能解决，成本极低。风险导向预算的核心原则是，把有限的资源用在刀刃上。那些风险高、影响大的漏洞，投入再高也要做。那些风险低、影响小的漏洞，成本再低也要考虑投入产出比。

第三步：制定预算编制参考标准——行业比例的参考范围

不同行业、不同规模的企业，保密预算的占比会有差异。我给一个大致参考供大家根据自身情况调整。中小企业年度保密预算占公司年度营收的百分之零点五到百分之一，中型企业占百分之零点三到零点五，大型企业占百分之零点一到零点三。这个范围不绝对，但如果你发现你的保密预算占比远低于这个区间，说明可能存在投入不足的问题。具体到每个预算科目，我列几个常见的参考数字。保密培训费用按每人每年一百到五百元估算。终端安全管理软件按每台终端每年两百到八百元估算。数据防泄漏系统根据功能复杂度从几万到几十万不等。外部保密咨询按项目制收费，一次系统咨询评估大约三到八万。体系认证含辅导费用五到十五万。主要包含以下几类预算科目：固定运维、项目采购、培训咨询、预备金。

第四步：编制预算执行计划——按季度拆解落实到人

预算批下来之后，怎么花也很重要。我建议编制预算的同时，附一份预算执行计划表，把全年预算拆到每个季度，每个科目对应的具体支出项目、预估金额、执行时间、责任人都要写清楚。这样做有几个好处。一是确保预算按照既定节奏使用，不会出现上半年花太多下半年没得花的情况。二是便于季度回顾的时候对照检查，预算执行率是否合理。三是如果有人质疑预算的必要性，有详细的执行计划作为支撑材料。另外提醒一点，预备金的使用要走单独的审批流程。不是部门负责人自己批准就可以用的，至少要经过保密管理负责人和财务负责人双重审批，重大事件还要报管理层。

第五步：预算回顾与调整机制——季度回顾加动态调整

保密预算不是一年定完就结束了。年中的时候可能需要根据实际情况做调整。比如上半年发现了一个新的重大风险需要紧急处理，原来的预算里没有覆盖，就需要从预备金或者调整其他项目的资金来应对。或者上半年的培训计划执行得很顺利，费用比预算节省了，预留的部分可以调整到其他更需要的地方。我建议每个季度做一次预算回顾，看预算执行情况、看风险变化情况、看资金使用效率。预算回顾的结果形成记录，作为下一年预算编制的重要参考。

再补充一个实操建议。预算编制的时候，记得把合规要求放在前面。如果有法律法规或者监管要求规定了必须做哪些保密工作，这些对应的预算要优先保障。比如数据安全法要求的数据分类分级工作，属于法定义务，不做就可能面临处罚，这种预算不能砍。最后说一句。保密预算不是越多越好，但也不是越少越好。真正有效的预算，是跟公司风险状况匹配的预算。花多了是浪费，花少了是赌运气。用风险的尺子去量，量出来的数字就是最合适的。

北京企密安信息安全技术有限公司保密咨询专线：010-63711822 / jess@baomiwang.com