|
保密管理体系建设中的风险防控分析
作 者:王 强 李 庭 李
(内蒙金属材料研究所,内蒙 包头 014034)
大
中
小
随着信息化技术的发展,涉密信息和涉密人员数量也成倍增长,传统保密管理的业务模式受到了前所未有的挑战。保密管理工作涉及的管理要素、管理维度、管理难度都在增加,加之保密标准日趋严格规范,军工单位的保密管理资源很难再增加,有限的管理资源难以满足日益增长的管理需求,亟须构建一种新型的“主动式”的保密管理模式,“抓早抓小”在保密管理体系问题显性化之前被发现,将问题扼杀于萌芽状态。将风险防控引入保密管理工作就是一个有效的解决办法和途径。是新形势下加强国防科技工业保密工作的客观要求和重要举措。 一、全面辨识,合规防范,构建保密风险防控体系
保密管理体系要素之间的关系是该体系以“风险防控”为切入点,各要素围绕实现控制“保密风险”展开。体系中把保密风险辨识、评价和控制、目标与方案、运行控制、保密检查、不符合、纠正措施、预防措施做为体系管理的主线,其他要素都是围绕这条主线展开,并起到支撑、指导、控制这条主线的作用,从而使该体系的PDCA管理方法得以体现。
保密风险辨识是指保密风险管理人员通过有效的辨识风险的方法,对本单位涉密人员、涉密载体、涉密场所和涉密活动中存在的各种保密风险因素进行系统辨识和分析,进而确定单位面临的风险及其性质,并把握其发展趋势,从而使风险评估更具有效果与效率。法律标准及其他要求是判断和识别体系运行有效性的重要依据及其他要求在体系中占据特殊的地位,它为体系运行提供依据,虽然是一个独立的要素,但其作用贯穿PDCA循环。
企业保密管理体系保密风险辨识方法采用了对照检查表法和流程图法,对保密工作责任、保密制度建设、保密宣教培训、涉密人员管理、定密管理、信息系统和信息设备管理、涉密载体管理、涉密场所管理、涉密活动管理和涉外活动管理这十个风险维度进行了风险辨识。
保密管理的风险评价是通过考虑风险的可能性及影响,对其加以分析,并决定如何管理的依据。企业保密管理体系保密风险评价方法可以采用风险评价指数法( Risk Assessment Code, RAC )。通过保密风险评价(见表1),确定各个风险在整个保密管理中的重要性排序,为考虑风险控制先后和风险应对措施提供依据。
二、体系管理中的风险点识别
(一)保密工作责任
保密工作责任制是保密工作管理中最重要的一个方面,只有将责任落实到人,再进一步加强管理,保密工作才能做到万无一失。
风险点包括:各层级人员不能有效履行失泄密风险防范监督管理职能,对研究部署失泄密风险防范工作不及时,缺乏对保密工作开展督促、指导和检查;未建立失泄密事件报告、处罚机制。
(二)保密制度建设
保密制度健全使保密工作有章可循才能实现保密工作做到无缝隙管理。
风险点包括:保密制度不健全,不能结合工作实际建立健全各项保密工作制度;保密制度可操作性差;不能及时修订完善制度,缺乏保密制度修订完善机制,根据情况变化修订完善相关保密制度的及时性不够。
(三)保密宣教培训
做好保密工作宣传教育可以使保密相关制度条款及时、系统地宣传贯彻到工作人员当中,做到入心入脑、铭记于心,这样才能使工作“不走样”。
风险点包括:全员失泄密风险防范意识不强,全员保密工作普及宣传力度不足,员工普遍缺乏失泄密风险防范意识。
(四)涉密人员管理
保密工作人员中的涉密人员是知悉、接触秘密信息的工作人员,只有对这部分人员加强管理才能保证秘密信息不泄露。
风险点包括:对涉密人员缺乏分类分级管理,没有根据涉密程度和重要性等因素,对涉密人员进行细化分类管理。
(五)定密管理
在单位海量的信息中准确划分涉密信息范围并且加强管理才能使工作人员明确秘密事项范围,做好保密工作。
风险点包括:保密事项范围不清晰,没有制定本单位保密事项范围一览表。
(六)信息系统和信息设备管理
随着信息化步伐加快,利用信息系统、信息设备管理处理、管理信息已成为趋势,做好信息系统、设备的管理才能有效防止电子信息的泄密。
风险点包括:对信息内网建设单位人员缺乏保密审查,忽视对信息内网和计算机运行维护单位的资质和人员进行保密审查。
(七)涉密载体管理
存放涉密信息的载体即为涉密载体,对这些载体加强管理才能有效做好保密工作。
风险点包括:对于各类秘密事项缺乏知悉范围界定,不能根据工作需要,确定各类秘密事项的知悉人员或岗位范围;对于各类秘密事项缺乏知悉情况书面登记。
(八)涉密场所管理
存放涉密信息的场所即为涉密场所,加强对涉密场所的管理才能有效做好保密工作。
风险点包括:对保密要害部门缺乏防护措施,对保密要害部门、部位没有按照有关规定采取人防、物防、技防等防护措施 ;对进入涉密场所和保密要害部门、部位的人员缺乏采取相应保密管理措施。
(九)涉密活动管理
涉及秘密信息的活动即为涉密活动,对涉密活动加强管理才能有效做好保密工作。
风险点包括:对参与涉密活动人员管理不严密;对涉密活动过程缺乏保密监管;对公司重要科研成果、专利等未进行有效保护。
(十)涉外活动管理
做好对涉外活动的管理,才能有效防止涉密信息泄露到境外。
风险点包括:对外提供文件资料缺乏保密审查;出国(境)人员保密管理不严密。
三、风险识别有效推动企业保密管理体系水平持续提升
将风险管理纳入保密管理体系中,实现了保密管理由被动向主动转变,保密风险管理是企业保密管理体系的基础,建立保密管理体系的目的是控制保密风险,有效避免重大违规问题和失泄密事件的发生。
通过建立规范化、系统化、制度化的管理体系,代替零散的、随意的、口头的、传统的管理方法。随着体系的建立和运行,各项保密业务工作有章可循,有据可查,保密管理工作实现了连续性,形成了全员、全过程、全方位“可追溯”的管理模式。
|