保密制度落地难的根本原因在于制度与业务流程脱节,破解之道是将保密要求嵌入业务操作流程而非另起炉灶,让员工在日常工作中自然执行保密规定。
保密制度落地难是困扰很多企业的老问题。翻开很多企业的保密制度文本,写得不可谓不完善,从信息分级到权限管理、从文件传阅到数据销毁,方方面面都有规定。然而真正到了执行层面,这些制度往往被束之高阁,员工要么不知道有这个制度,要么知道了也不遵守,保密办检查的时候突击应付一下,检查一过又恢复原状。
制度与业务流程脱节是落地难的根本原因。很多保密制度的编写者习惯从保密管理的角度出发,要求员工按照保密工作的逻辑来操作,而不是从员工的实际业务流程出发来设计保密要求。结果是员工要完成一项业务,不仅要走业务本身的流程,还要额外走一套保密流程。两套流程并行,增加了员工的工作负担,员工自然会产生抵触情绪,想方设法绕过保密要求。如果员工填一张表格、传一份文件都需要额外的审批和登记,这些额外的手续最终会被当作麻烦而忽略。
破解之道在于将保密要求嵌入业务流程,而不是在业务流程之外另建一套体系。具体来说,企业应当对核心业务流程进行梳理,识别每个环节的信息安全风险,然后在业务操作的关键节点嵌入必要的保密控制措施。嵌入式的保密管控对员工来说是透明的,员工在完成业务操作的同时也就完成了保密要求,不需要额外的时间和精力。例如,在设计电子审批流程时,系统自动根据文件的密级控制审批范围和信息传递路径,而不需要员工每次手动判断该抄送给谁。
制度语言的通俗化也是提升落地效果的重要手段。很多保密制度用词严谨、表述抽象,非保密专业人员读起来一头雾水。建议在制度编写中使用通俗易懂的语言,配合具体的操作示例和规范图例。每一条制度后面最好附上执行该条款的具体操作步骤,让员工看了就知道该怎么执行。制度还可以采用图文并茂的方式呈现,配上正误对比的操作示意图,帮助员工快速理解和记忆。
配套的培训与考核机制是制度落地的保障。制度发布后不是发个通知就完事了,需要分层分类开展培训。对管理层培训侧重制度的背景和目的,对普通员工培训侧重制度的具体操作要求,对涉密岗位人员培训侧重新增的保密要求和技术操作规范。培训结束后应当进行考核,考核合格方可上岗。制度执行情况应当纳入绩效考核,与员工的薪酬和晋升挂钩。做得好的员工给予奖励,违反制度的员工按照规定处理,形成正向激励和反向约束的平衡。
制度的定期审查和更新是保持落地效果的必要手段。企业业务在不断变化,保密风险也在不断变化,制度如果不适时更新,很快就会与实际情况脱节。建议企业每年对保密制度进行一次全面审查,检查各项制度是否仍然适用、是否需要修订。对于发现的问题及时修订完善,修订后的制度同样需要发布、培训和考核的全流程跟进。
技术手段的支撑可以大幅降低制度落地的难度。很多制度的执行如果完全依赖人的自觉性和手工操作,效果往往难以保证。借助技术手段将制度要求固化在系统里,可以实现自动化管控。例如,通过数据防泄漏系统自动识别和拦截违规外发的敏感信息,通过文档管理系统自动控制文件的访问权限和传播范围,通过终端安全管理系统监控和记录员工的敏感操作。技术手段不仅提高了制度执行的效率,也减少了人为因素带来的不确定性。
