一个员工听得明白、看得懂、做得到的信息防泄漏产品，对管理者到底有多重要？

企业信息防泄漏产品到底应该用什么样的更好？老板们向来都很头疼。

技术太高深的，用得太麻烦，管理工作量太大。工作都忙不过来，哪来那么多时间审批这个审批那个。而且，员工那边也经常出错，要不就是无意操作失误，要不就是有奇怪的问题来问这问那。别的不说，把问题跟员工解释清楚还真是巨大的考验。

一个安全产品，如果能做到让员工听得明白、看得懂、做得到，那可就太省心了。

1. 听得明白

管理要求，员工只有理解了它的意义，执行的方法，才能够主动、正确的遵守。

安全管理要求，本就是为了维护公司集体的利益。既然正当、合理，就没有不讲清楚的理由。

不好的安全管理要求，事先不讲清楚，违反了就罚，只会招致抵触。比如有些公司要求“敏感文件不能随意外发”。什么是“敏感”？什么是“随意”？发到哪儿才是“外发”？都不说清楚。结果出问题了，责任都是员工的。这样的管理要求，在管理实践中只会起反作用。

每次出问题，板子都打在员工身上。而员工面临处罚，必然觉得不公，难免反问和争执。陷于争执，就升级问题，召集领导和部门人力来裁决，最终造成资源的极大浪费。而且，一些管理者隐藏的小心思是“自己不要犯错，要尽量把自己摆在有利的位置上”。这种心理非常要不得，从根本上就把自己摆在了员工的对立面，最终将削弱员工的归属感，降低管理层的威信。

好的安全管理要求，就应该讲得清楚，听得明白。

什么叫讲得清楚，听得明白？就是管理者能清晰表达，道道画得清楚；员工能听懂，能理解，没歧义。刘邦约法三章，条条清楚明白。老百姓知道是为自己好，又知道什么不该做，做了什么后果。尤其是老百姓知道自己平白不会去触犯这几条，规定不是给自己下套的，自然会衷心拥护。

信息防泄漏产品，是管理工具，是管理意志的体现，就也要做到讲清楚，听明白。上面的想法都是对的，但下面的和尚也不能把经念歪了。

2. 看得懂

讲清楚，听明白，似乎就够了。但现如今是信息社会，还要能够看得懂。

所谓看得懂，是指员工能够看得到，看到后能自然地理解，并做出正确的反应。

我们很多管理要求或管理工具都有不容易看懂的毛病。结果是让员工云里雾里，提心吊胆。举几个例子：

1. 提示不清。加密和不加密的文件混杂在一起，用一个小小的角标做提示。容易看错就容易做错，感觉就很冤枉。
2. 叠床架屋。文件落地默认加密，允许你申请解密。同时，不管文件是否加密，都允许你外发。还骄傲地宣布“即使加密文件发到外部，别人也无法打开”。粗看每个环节都有理，但实际工作中，员工的就会产生困惑。“加密文件不让外发就好了啊？”，“我忘了解密文件就外发，客户感受不好，又要道歉又要重发，有必要么？”，“既然加密文件发出去也不会泄密，那我发错了，干嘛还要审计我？”……各种啰嗦的问题，内在的根源其实还是管理规则不清。
3. 自相矛盾。安全机制号称对用户透明（就是看不到）。但实际使用时，从一个文档拷贝内容到另一个文档，不可以；打印，不允许；另存为别的文件格式，报错……每一个操作，员工都要尝试了才知道究竟如何。员工有疑惑，就答之以高深的技术或至高的安全原则。最后，大家都放弃了追问，但同时也无声地放弃了高效的工作习惯和一探究竟的欲望。

任何软件工具，都要关注交互设计。但对于安全管理工具，要知道好的UI不仅是让员工看得懂，更是对员工的尊重，关系到一个企业的效率、创造力和信心。

楚河汉界要有界，不越雷池要有池（雷池是个地名），不许过38线要有线。

3. 做得到

听得明白，看得懂，最后还要做得到。制定第22条军规，把员工置于进退维谷，无所适从的地步，最后消耗的是公司的效率与活力。

安全产品的选择中，管理者通常会关心功能上能不能做到，却忽略了通过产品对员工提出的要求能不能被做到。功能是个技术问题，而管理要求能否做到却是一个设计问题、策略问题，甚至可以说是一个价值选择问题。

打锦州是战略，三三制是战术。但如果一个安全产品，要求每个员工既懂战略又有战术，它的功能再强，恐怕也有违管理者的初衷，并不能达成管理者要的是结果。

一个常见的挑战员工的安全机制是：事先把很多业务中要用到的关键词设置为具备敏感属性，或把很多常用文档类型标记为内部秘密，然后又要求员工正常对外沟通。其结果是，只要沟通就会触犯安全机制，最后导致相关领导频繁收到报警或审批要求，不胜其烦。员工学会了很多规避规则的办法，却并没有减少信息泄露的风险。

这种安全机制的问题本质其实是不信任员工可以做出正确的业务判断。认为员工会犯错，就把敏感属性交由关键词匹配或机器学习来判定；机器判定只能作为参考，就又交由业务主管来审批或审计。最后谁都不负责，谁都会犯错，简直是掉进了第二十二条军规的坑里。

还有一种安全管理规则是：把工作按分类放置在多个不同的“空间”里，研发一个空间，出差申请和报销一个空间，计划会议一个空间。这些空间彼此隔离，信息越界要申请或被监控。这种规则看起来很美，执行起来却矛盾重重。首先，工作分类就是个战略问题，不说普通员工了，咨询的专家团队也未必能梳理清楚。其次，细节上增加了很多障碍，员工在操作上要么陷入效率低下，要么首鼠两端充满困惑。比如：计划或会议记录要不要附上讨论的技术方案？出差事由要不要解释项目背景？为什么几个空间之间不能拷贝粘贴，每个简单的信息都要我重新手敲？啊，可以配置允许拷贝的字数？……几个字才不泄密？谁来帮我配一下？

听得明白，看得懂，是做得到的基础。做到才是达成目标！当年我军在辽沈战场上，活捉廖耀湘的秘诀就是“各纵队不必找师，师不必找团，团不必找营，大家都找廖耀湘就行！”。这样一条指令，廖耀湘不懂，所以不服气。但我军上下每个人都听得明白，看得懂，所以就创造了奇迹，做得到！

4. 小结

一个好的管理工具，让员工听得明白、看得懂、做得到，对管理者究竟有多重要？我们认为无论怎么强调也不过分。

管理意志能够得到贯彻实现，员工满意，没有疑惑，彼此信任，这样公司才能保持活力、创造力和竞争力。明确知道每件事情该不该做，能不能做，怎么做，才是工作效率最大的保障。所有这些，所要求的不过是一个“良好、有效的沟通”。

信息防泄漏的安全产品，应该努力做到这个“良好、有效的沟通”。这就是我们的愿景。