等定密审批下来再管控,黄花菜都凉了——先控后审原则
一家科技公司的情况让我至今印象深刻。研发部在周四下午发现了一组新的工艺参数,价值极高,立即写了定密申请。保密办说要走审批流程,需要部门主管签字、合规审查、定密委员会审议。等整套流程走完,已经是下周三。这期间五天,这组参数一直放在共享文件夹里,全体员工都能访问。所幸没有出事,但这个案例说明了一个问题——信息的保护窗口不是从正式定密开始的,而是从信息产生的那一刻就应该开启的。
这就是先控后审原则的核心思想:高敏信息在正式定密审批完成之前,应当先实施临时管控措施。我们先控制风险,再完善程序和证据,而不是反过来追求程序完美再动手。
先控后审的实施可以分为四个步骤。
第一步,识别和标识。当某条信息出现时,定密候选的提出者或发现者应当立即对它进行初步评估。判断依据不是严格的秘密性和价值分析,而是简单的触发判断——是不是核心技术、是否涉及投标报价、是否影响企业竞争力。如果是,就在系统或物理介质上打上临时秘密标识。这个标识不需要正式密级,用"定密候选"或"待定密"字样即可。
第二步,立即实施临时管控。临时管控不需要等到审批流程走完。发现者可以立即做的动作包括:把文件从共享文件夹移动到受控目录、给文件加上临时密码或加密、通知所在部门负责人此信息已被标记为待定密、关闭非必要的访问权限。这些动作不需要审批,看到问题先管住再说。
第三步,同步启动定密审批流程。临时管控实施后,第一时间走正式的定密审批流程。包括明确信息对象、做公开检索、评估商业价值、查保密措施现状、编制定密审批单。审批流程和临时管控是并行的,不是串行的——先控启动不等待审批,审批启动后也不影响临时管控。
第四步,临时管控到期或正式决定。正式定密审批完成后有两种结果:通过,临时管控转为正式保密措施,补充完善;未通过,撤下临时秘密标识,解除临时管控,如有必要可转为内部敏感信息管理。要设定一个最长期限,比如十五个工作日,期限内必须完成正式审批。逾期未完成的,临时管控自动失效,但责任追溯仍在。
问:临时管控会不会造成不必要的管理干扰?
答:有可能,所以临时管控不是无限期的。期限建议控制在十个到十五个工作日之内。期限内完成审批即可转为正式或解除。另外临时管控的力度不必过强——主要是防止扩散,不需要全链路加密和审计。以管住"不能再传播"为核心目标。
问:谁有权限启动临时管控?
答:建议至少授予部门负责人、项目负责人和保密办以上的人员。核心岗位的技术人员经培训后也可以向部门负责人提出启动申请。关键是要有明确的启动条件和操作流程,避免乱用。
问:临时管控期间信息的使用怎么控制?
答:知悉范围原则上限制在原工作团队内。临时调用需要记录在案,与正式定密后一样有追溯能力。但不需要像正式定密一样做详细的审计日志,做到有记录即可。
先控后审原则在保密体系建设中是一个非常重要的管理理念。它解决了保护速度和程序完备性之间的矛盾。用一句话概括就是:不怕程序慢,就怕结果跑。北京企密安信息安全技术有限公司的定密培训课程对先控后审原则有专门的实操环节,包括临时管控模板、审批流程设计和职责划分。如需了解更多,欢迎联系:010-63711822、010-87562232、px@baomiwang.com。访问 https://px.baomiwang.com 或关注公众号 Qi-Mi-An 获取更多课程资料。
