涉密資質(zhì)單位保密風(fēng)險(xiǎn)管理探討

楊華

【摘 要】改革后，我國(guó)的各個(gè)行業(yè)都得到了很大的發(fā)展，在各個(gè)行業(yè)中所面臨的問題也逐漸出現(xiàn)。其中，風(fēng)險(xiǎn)管理作為一個(gè)重要理念已融入到涉密資質(zhì)單位保密管理過程中。涉密信息系統(tǒng)集成資質(zhì)保密標(biāo)準(zhǔn)要求資質(zhì)單位應(yīng)定期對(duì)系統(tǒng)集成業(yè)務(wù)、人員、資產(chǎn)、場(chǎng)所等主要管理活動(dòng)進(jìn)行保密風(fēng)險(xiǎn)評(píng)估，有效防控泄密風(fēng)險(xiǎn)，消除泄密隱患，確保保密工作萬無一失。但在實(shí)際工作中，一些涉密資質(zhì)單位對(duì)保密風(fēng)險(xiǎn)管理的認(rèn)識(shí)不夠，風(fēng)險(xiǎn)評(píng)估報(bào)告與風(fēng)險(xiǎn)管理制度不對(duì)應(yīng)，保密管理與單位生產(chǎn)經(jīng)營(yíng)相脫節(jié)，存在“兩張皮”的問題。對(duì)此，涉密資質(zhì)單位應(yīng)堅(jiān)持積極防范、突出重點(diǎn)，在全面掌握企業(yè)保密風(fēng)險(xiǎn)因素的前提下，建立全流程、全方位的風(fēng)險(xiǎn)管理體系就顯得十分必要。筆者將針對(duì)以下幾點(diǎn)內(nèi)容，對(duì)涉密資質(zhì)單位做好保密風(fēng)險(xiǎn)管理進(jìn)行探討。

【關(guān)鍵詞】涉密資質(zhì)；單位保密；風(fēng)險(xiǎn)管理；探討

引言

隨著《涉密信息系統(tǒng)集成資質(zhì)管理辦法》和《涉密信息系統(tǒng)集成資質(zhì)保密標(biāo)準(zhǔn)》的出臺(tái)，涉密信息系統(tǒng)資質(zhì)和國(guó)家秘密載體印制資質(zhì)審查工作已全面開展。在審查工作中發(fā)現(xiàn)，資質(zhì)單位在保密管理體系建設(shè)過程中，存在一些共性的重難點(diǎn)問題，主要包括保密風(fēng)險(xiǎn)評(píng)估、保密管理與單位日常管理相融合，以及初次申請(qǐng)涉密資質(zhì)單位進(jìn)行涉密人員界定、要害部位劃分和涉密項(xiàng)目管理等具體問題。

1涉密項(xiàng)目保密管理典型問題

1.1信息較多。

涉密項(xiàng)目全生命周期各個(gè)環(huán)節(jié)產(chǎn)生的信息較多，從簽訂合同開始就會(huì)產(chǎn)生涉密信息，涉密信息判定工作量大、管理重點(diǎn)多。需要根據(jù)國(guó)家保密管理部門按照不同項(xiàng)目的密級(jí)要求，根據(jù)最小化原則及實(shí)際情況，對(duì)項(xiàng)目的技術(shù)文檔、管理信息、過程文件是否涉密進(jìn)行科學(xué)合理的判定。

1.2組織機(jī)構(gòu)以及人員不完備，責(zé)任未落實(shí)

在實(shí)際的監(jiān)管工作中，對(duì)于監(jiān)管主體的確認(rèn)一直都不是非常明確，所以導(dǎo)致信息安全保密職責(zé)也比較模糊，雖然在日常的保密管理工作中經(jīng)常會(huì)提出“誰主管業(yè)務(wù)工作，就由誰來負(fù)責(zé)保密工作”的口號(hào)，但是很多企事業(yè)單位對(duì)需要保密的內(nèi)容并不是非常明確，所以很多需要保密的工作內(nèi)容并沒有明確的主體，職責(zé)非常模糊，導(dǎo)致管理缺失。此外，一些單位并不看重保密的重要性，保密管理隊(duì)伍也存在嚴(yán)重不足，從而直接導(dǎo)致保密工作的實(shí)際需要與管理隊(duì)伍之間嚴(yán)重不協(xié)調(diào)。

1.3保密管理風(fēng)險(xiǎn)點(diǎn)識(shí)別不到位

有些涉密單位的識(shí)別方法科學(xué)性不足，識(shí)別分析的全面性不夠、準(zhǔn)確性不高，風(fēng)險(xiǎn)防控措施的有效性不強(qiáng)。涉密單位開展保密風(fēng)險(xiǎn)評(píng)估，應(yīng)結(jié)合實(shí)際情況，對(duì)涉密業(yè)務(wù)、人員、資產(chǎn)、場(chǎng)所、載體等主要管理活動(dòng)進(jìn)行全過程、全生命周期的識(shí)別分析。同時(shí)，應(yīng)綜合評(píng)估各風(fēng)險(xiǎn)發(fā)生概率和一旦發(fā)生風(fēng)險(xiǎn)造成的危害程度，劃分風(fēng)險(xiǎn)等級(jí)，提出與風(fēng)險(xiǎn)點(diǎn)一一對(duì)應(yīng)的具體防控措施。

2涉密項(xiàng)目典型保密問題對(duì)策

2.1明確涉密信息及管理措施。

保密就是保信息。在項(xiàng)目正式啟動(dòng)之前，資質(zhì)單位就須根據(jù)國(guó)家保密管理部門對(duì)涉密項(xiàng)目的定級(jí)材料，通過與建設(shè)單位的充分溝通，確定項(xiàng)目技術(shù)文檔、管理信息、過程文件中的涉密內(nèi)容及知悉范圍。在這一過程中，應(yīng)堅(jiān)持“最小化原則”，以便于明晰管理重點(diǎn)，同時(shí)降低不必要的管理工作量。對(duì)于大多數(shù)涉密項(xiàng)目，相關(guān)信息化場(chǎng)地、信息化基礎(chǔ)環(huán)境和設(shè)施、未初始化涉密數(shù)據(jù)和涉密業(yè)務(wù)規(guī)則的軟件系統(tǒng)以及部分過程性文檔均不涉密，應(yīng)做好保密管理區(qū)分。在明確涉密信息后，在項(xiàng)目實(shí)施方案中確認(rèn)各環(huán)節(jié)的輸入、輸出資料及成果的涉密事項(xiàng)和涉密等級(jí)，明確現(xiàn)場(chǎng)實(shí)施過程中的保密管理重點(diǎn)，報(bào)建設(shè)單位保密管理部門最終確定。由于涉密項(xiàng)目建設(shè)的參與單位和人員多、信息傳遞的環(huán)節(jié)和界面多，項(xiàng)目的工作效率、工作方式必須服從安全保密要求。

2.2穩(wěn)定涉密人員隊(duì)伍，保證保密工作持續(xù)進(jìn)行

在涉密單位管理工作中，對(duì)于比較優(yōu)秀的涉密管理人員一定要給予高度重視，要樹立愛才惜才的理念，為了使其能夠更好地從事保密工作，單位可以依據(jù)實(shí)際情況提高這些人員的工資水平，及時(shí)解決工作中實(shí)際存在的困難，由此保障涉密隊(duì)伍的整體穩(wěn)定性。在對(duì)涉密人員給予保密補(bǔ)償時(shí)可以采用以下3種方式。第一，即時(shí)賠償方式。比如涉密人員要臨時(shí)參加一些重要的涉密活動(dòng)或者是非常重要的對(duì)外談判時(shí)，要針對(duì)實(shí)際情況一次性對(duì)其進(jìn)行補(bǔ)償。第二，計(jì)量補(bǔ)償方式。涉密人員為了保護(hù)秘密而使自身的合法利益受到一定損害時(shí)，例如研究成果因?yàn)樯婷懿荒芄_或者上市等，這種情況可以采用國(guó)家贖買或者其他方式進(jìn)行補(bǔ)償。第三，特殊補(bǔ)償方式。針對(duì)一些從事特殊工作任務(wù)的涉密人員，可以通過補(bǔ)償?shù)姆绞绞蛊涓佑行У芈男斜Ｃ苤贫取?/p>

2.3涉密場(chǎng)所管理方面

一是未按要求安裝管理使用門禁、視頻監(jiān)控、防盜報(bào)警等安防系統(tǒng)。涉密資質(zhì)單位應(yīng)定期檢查維護(hù)相關(guān)安防系統(tǒng)，嚴(yán)格執(zhí)行視頻監(jiān)控管理檢查機(jī)制，確保視頻監(jiān)控信息保存時(shí)間不少于3個(gè)月。二是涉密場(chǎng)所人員進(jìn)出管控不嚴(yán)。有些涉密資質(zhì)單位涉密場(chǎng)所門禁授權(quán)范圍過大，或授權(quán)進(jìn)出人員范圍與實(shí)際情況不符等。涉密資質(zhì)單位應(yīng)根據(jù)工作需要，發(fā)放進(jìn)出涉密場(chǎng)所門禁卡并合理限定進(jìn)出范圍；應(yīng)利用門禁系統(tǒng)后臺(tái)程序，實(shí)時(shí)監(jiān)控涉密場(chǎng)所人員進(jìn)出情況；應(yīng)對(duì)臨時(shí)進(jìn)出人員嚴(yán)格履行審批、登記手續(xù)，落實(shí)接待人員全程陪同制度。

結(jié)語

涉密單位做好風(fēng)險(xiǎn)管理要健全組織機(jī)構(gòu)，加大領(lǐng)導(dǎo)力量，結(jié)合單位實(shí)際，定期分析保密形勢(shì)，及時(shí)排查評(píng)估泄密隱患和風(fēng)險(xiǎn)，通過規(guī)范的安全保密策略、操作規(guī)程，制訂風(fēng)險(xiǎn)處理計(jì)劃，相關(guān)人員按照計(jì)劃實(shí)施跟蹤、驗(yàn)收和反饋控制措施，逐條逐項(xiàng)完善保密管理制度，不斷地將保密風(fēng)險(xiǎn)防控措施融入到單位管理制度和業(yè)務(wù)工作流程中，實(shí)現(xiàn)動(dòng)態(tài)的安全循環(huán)評(píng)估體系，做到“事前防范、事中控制、事后監(jiān)督”的良性循環(huán)，切實(shí)做到人人找風(fēng)險(xiǎn)、人人知風(fēng)險(xiǎn)、人人防風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1]孫晶晶，陳兆麟，王嘉寧.精準(zhǔn)定密動(dòng)態(tài)管控全方位全時(shí)段做好涉密人員保密管理[J].保密科學(xué)技術(shù)，2016（10）.

[2]王立京.涉密人員管理的思考與研究[J].商情，2014（27）.

[3]朱奎.對(duì)基層政府財(cái)政管理存在的問題及對(duì)策分析[J].商情，2014（12）.

[4]孫李科.關(guān)于涉密信息系統(tǒng)集成資質(zhì)單位保密管理的幾點(diǎn)思考[J].保密科學(xué)技術(shù)，2018（5）.

（作者單位：普洱三鑫科技有限公司）