保密这个制度，认定权不在你们老板手上，甚至不在法院手上，在国家相关部门手上。为什么说相关部门，而不是具体部门，因为保密这个东西，在中国只要是涉及的部门，包括上级部门、涉密要求部门、安全部门、甚至行业部门，它们认为属于必要的，那么你就是泄密，甚至另外几个部门说没事都不行。

也许这个规定不合理，但列出来变成了法律，你是没权力跟法律纠结合理不合理的，你老板更没有这个权力。而你作为企业内保密第一责任人，只要被发现这个事情，进去是肯定的，是没有理由的，即使你拿出再多切实的证据证明是你老板所为，也没有任何意义，顶多少判一年。

而因为泄密进去之后，这个污点是真会影响后代考公、从军的。

而且，即便保密这事，上面不难为你们（真正严格的保密，是网络物理隔绝的。你们就不可能使用云服务），以你们老大对ERP的如此认识，SAP实施，9成9失败。到时替罪羊还是你

你现在想的不是怎么把项目做好，而是如何保饭碗。

只有一条：如果你是保密办主任，那就赶紧卷铺盖卷走人，如果上SAP系统，你们未来一定过不了保密资质的定期审核。

如果不是，保密资质跟你有一毛钱的关系，该干什么就去干什么。

另：有保密资质的单位，信息系统是有严格规定的，你拿着这些规定直接否决就好了，不采纳，赶紧跑。

——————万恶的分割线——————

不接触保密已经七八年，脱密期也过了好久了。

你问的问题很专业，我看了看答案，没几个人是正经回答问题的，从侧面说明了你的问题太专业了，很难有人能回答；也反应了，你说的信息有些敏感，懂的人也不想回答。

你问的三个问题，实际是无解的：
技术层面：有没有办法给SAP套个“铁笼子”？比如前置国产加密机、数据切片存储？还是说上了就等于裸奔？

没办法，事实就是事实，来审查，肯定就会要你们提供各种证据，证明数据的安全性，你没法证明，估计这就是一条重大整改项，甚至是否决项。

合规层面：保密资质单位用境外公有云，到底算不算重大违规？有没有人真因此被摘过资质？

用不用都无所谓，重要的是你要证明，你们用境外公有云，能不能保证数据的安全性，不能证明，或者人家觉得你有风险，就是如上的回答，整改项。

所以国内的涉密企业是不会走这条钢丝绳的。

职场层面：当专业良知撞上领导意志，是掀桌举报？躺平背锅？还是另谋出路？

从这里回答判断，你就是保密办主任了。一方面，找军代表。另一方面，不知道你们在保密方面是怎么规定的，以前，我们保密是首先要考虑的，有业务否决权。

另：理论上你们大领导也是涉密人员，你最好请外部人员来一次全员培训，要大领导必须参加。把一些重大泄密案件请培训人员讲一下，尤其是it 方面的案例。然后你再向领导反映现在的问题。

毕竟资质复审不过，你的责任，会导致公司丢掉很多业务，你是首要责任人。

如果泄密，造成了损失，你们一条线的人进去，这就不用说了。

拿到许可或决议，给国安备案呗，反正流程都走了，上不上是领导的事。

ERP服务器在境外。这句话谁告诉你的，谁说的就是他故意忽悠你的，然后买国产。如果财务数据必须在德国，SAP根本走不出德国。

ERP服务器绝大部分是私有部署，也就是说数据和机器都在你们公司里面维护管理的。

华为不是一直宣传自己用SAP吗，近几年才用自研的，莫非他起家的通讯产品没有涉密要求?

你不如要求供应商写个声明，数据及机器不得出公司。

但是注意，那个说数据在德国的人，可能使绊子。

我也是头一次听说，采购能不听老板的话。

SAP其实不适合不严谨的公司。改数据太难。