周 曄 楊 琦 王 菁 劉曉莉
(北京無線電計量測試研究所,北京 100039)
隨著測試與校準實驗室保密管理工作的逐步推進,基于風險的思維越來越明晰并顯示出其重要性?;陲L險的思維強調的是風險意識,并形成固有的思維方式,這種意識和思維方式只有與指導管理具體場景行為相結合,融入活動和過程管理中才能生效。日常管理中風險無處不在,風險的表現(xiàn)方式千變?nèi)f化,因此,應以風險思維模式和系統(tǒng)的方法關注風險,與過程方法和PDCA循環(huán)三者有機結合,形成系統(tǒng)的風險管控機制[1]。
長期以來人們通常將可能出現(xiàn)的影響目標實現(xiàn)的“威脅”等不利事件統(tǒng)稱為“風險”,它是一種未來可能發(fā)生的不確定性事件對目標產(chǎn)生的影響。影響程度越大,風險也就越大;反之風險就越小。
2017年正式施行的新版保密資格標準[2](以下簡稱“新標準”)在監(jiān)督與保障章節(jié)對保密檢查以及對風險分析、評估和控制提出了具體要求。
保密檢查主要指保密工作機構依據(jù)國家保密法律法規(guī)和相關標準與指南,采取相應的管理和技術手段,對各類涉密人員保密責任制落實和規(guī)章制度執(zhí)行情況進行檢查的活動,此外還包括業(yè)務主管部門的專項檢查和涉密部門的季度自查等多種形式。
保密風險評估是單位在對業(yè)務工作流程梳理的基礎上,分析業(yè)務工作中的保密風險、辨識保密風險點、制定管控措施、持續(xù)改進保密工作的手段,同時結合工作實際,定期分析單位的保密風險等級,評估保密管理體系,從而防范風險發(fā)生,減少風險損失,提高保密防范能力。
新標準中強調以問題為導向進行風險分析,舉一反三,從根源、成因出發(fā)徹底根除隱患產(chǎn)生的條件。這一要求體現(xiàn)的就是風險控制的思想,風險控制的關鍵在于風險評估,而保密檢查的結果為充分識別風險、準確分析評價風險可能帶來的影響提供重要的依據(jù),同時,風險評估結果又為保密檢查開展提供重要指導。
新標準中對單位內(nèi)部保密檢查的種類、檢查人員、檢查周期都提出了較為具體的要求,如何有效地設計執(zhí)行好各類檢查,使得檢查既按照標準規(guī)范開展,又做到各有側重、互相補充,既確保檢查科學有效又利于高效開展則是保密工作機構應該重點研究的問題。
從要求上看,保密檢查包括檢查保密責任制的落實情況和各項保密規(guī)章制度的執(zhí)行情況,其本質在于檢驗單位對各項保密風險的實際控制情況。從單位總體來看,由于各項保密管理要素在經(jīng)營管理中的比重不同,風險產(chǎn)生的影響也不同,因此根據(jù)管理學“二八”原則,保密檢查首先應重點關注涉及風險等級相對較高的管理要素,發(fā)現(xiàn)其存在的風險隱患。
通常,管理學中將風險等級用風險發(fā)生的概率和風險產(chǎn)生的平均后果來表示,即風險等級=風險發(fā)生的概率×風險產(chǎn)生的平均后果。然而,由于保密風險的發(fā)生存在一定的隱蔽性,部分風險存在即使發(fā)生也不易被管理者及時發(fā)現(xiàn)的可能,因此,單位可根據(jù)國家保密行政管理部門發(fā)布的失泄密案件情況,調整保密風險的發(fā)生概率值,以提高對近期發(fā)生概率相對較高風險的監(jiān)管力度??紤]到管理要素相關業(yè)務活動發(fā)生的次數(shù)越多,發(fā)生風險的可能性就越大,將本單位保密管理要素的風險等級的計算方法調整為單位發(fā)生相關業(yè)務活動開展的頻率(并結合近年失泄密案例的分布情況進行適當調整)與風險發(fā)生后產(chǎn)生影響的乘積。
結合測試與校準實驗室的實際情況,對照保密管理體系,將業(yè)務活動開展的頻率和風險發(fā)生后產(chǎn)生的影響由低到高分成10個等級,形成的風險層次結構,如圖1所示。
由圖1可以看出,形成單位整體保密風險體系的基礎風險層包括人員管理、定密管理和載體管理三個要素。此外,由于以上三個管理要素形成業(yè)務層管理要素的基礎,因此需要保密工作機構在監(jiān)督檢查中特別關注,并盡可能采取各項措施對其可能產(chǎn)生的風險加以控制。
保密檢查前明確指導思想并提前收集掌握相關信息,對檢查的開展具有重要的指導意義。根據(jù)本單位具體情況,總結形成嚴控基礎風險、緊跟動態(tài)變化、預估發(fā)展趨勢、評價整體意識四個層次的保密監(jiān)督檢查金字塔模型,如圖2所示。
圖2 監(jiān)督檢查金字塔模型Fig.2 Pyramid model of supervision and inspection
3.2.1嚴控基礎風險
對于保密基礎風險,務必高度關注,提高檢查頻次(如每月檢查),采取多種手段,確保監(jiān)督檢查全面到位。首先利用信息系統(tǒng)對各相關表單數(shù)據(jù)統(tǒng)計分析和抽查,后針對檢查分析發(fā)現(xiàn)的問題和可疑點進行現(xiàn)場檢查核對。如對于載體管理,按月檢查各類載體由定密、制作到銷毀全過程的管理情況,并對各部門以及個人涉密載體留存總量進行統(tǒng)計,確定重點關注部門和重點核查對象,進行現(xiàn)場檢查核對。
3.2.2緊跟動態(tài)變化
單位各項業(yè)務的變化發(fā)展往往是保密風險引入的源頭。針對保密管理體系中的基礎風險層和業(yè)務層,應提高對各類變化的敏感度,在監(jiān)督檢查中收集變化點[3],分析關聯(lián)關系并開展相應的監(jiān)督檢查,及時防范新風險。如人員管理方面,特別關注變化如人員上崗、離崗、密級調整(含升密、降密、脫密)等,此外還應對部門領導、定密責任人、歸口管理部門人員和三類人員(保密要害部門部位人員、機要密碼人員和涉密信息系統(tǒng)“三員”)變化給予足夠重視,防止由人員變化帶來責任制和管理制度落實上的變形走樣風險;定密管理方面,應特別關注新項目(合同)的簽訂、新業(yè)務方向拓展、新部門成立等變化,確保新的涉密事項納入雙定密(項目定密和崗位定密)管理的范圍;載體管理方面,在確保人員變動時載體及時清退交接的基礎上,特別關注各部門、重點人員載體持有的總量和異常變化情況。
3.2.3預估發(fā)展趨勢
以安全心理學中的十種風險心理[4](僥幸心理、惰性心理、麻痹心理、逆反心理、逞能心理、冒險心理、從眾心理、無所謂心理、好奇心理、慌亂心理)為指導分析發(fā)展趨勢。如長期處于一個崗位工作的人員往往由于麻痹心理,抱持經(jīng)驗主義的態(tài)度,不愿執(zhí)行保密新要求;部分人員由于惰性、冒險、慌亂等心理的影響,故意違反保密規(guī)定。因此,應從靜止中找變化,從心理特征找風險。對發(fā)現(xiàn)的風險,首先加大與相關人員、部門領導的溝通交流力度,了解想法,提醒要求,其次,強化監(jiān)督檢查,對于風險集中的區(qū)域或事項,制定相應的措施或應急預案,防范風險發(fā)生。此外,針對不同部門,應結合其一段時間(如6個月)以來發(fā)生違規(guī)問題的分布情況,加大其相應保密管理要素的檢查力度。
3.2.4評價整體意識
根據(jù)各部門提交報告情況、業(yè)務流程審批情況,以及現(xiàn)場檢查環(huán)節(jié)的溝通和現(xiàn)場核實,可對各部門領導以及涉密人員的保密意識、履行保密責任情況形成總體評價??筛鶕?jù)評價對不同部門有的放矢地組織培訓、考試、交流等,并以此作為制定監(jiān)督檢查策略的依據(jù)。如對于整體保密意識相對不強的部門,提高現(xiàn)場檢查的頻度,檢查中應重視與部門領導的交流,并重點檢查其保密培訓落實情況和效果,根據(jù)情況采取有針對性的培訓和考試等措施。對于整體意識相對較強的部門,應防范管理學中的暈輪效應[5](即以偏概全、以點概面的錯誤評價),放松監(jiān)管。對于此類部門,應在溝通中發(fā)現(xiàn)其關注、理解的盲點和薄弱環(huán)節(jié)。
新標準中對分管保密工作負責人、其他負責人、涉密部門負責人或涉密項目負責人、保密工作機構都提出了開展保密檢查的要求。根據(jù)各類檢查人員能夠掌握的數(shù)據(jù)情況和其不同的優(yōu)勢專長,采取“充分發(fā)揮檢查者的能力和優(yōu)勢,教育、溝通與檢查相結合”的指導思想,對各類檢查的內(nèi)容及要求進行設計,設計表見表1。其中,檢查方式可包括面談或報告、現(xiàn)場查驗、信息系統(tǒng)數(shù)據(jù)檢查或抽查等。
表1 各類保密檢查設計表Tab.1 Design of various confidentiality check檢查類別組織人執(zhí)行人檢查的完成頻次檢查對象檢查方式檢查內(nèi)容設計分管保密工作負責人檢查分管保密工作負責人分管保密工作負責人1次/年單位和部門負責人面談側重保密意識、保密責任履行情況其他負責人檢查其他負責人檢查業(yè)務主管(歸口)部門結合業(yè)務實際(至少1次/年)業(yè)務管理流程中具體參與人、實物及數(shù)據(jù)現(xiàn)場查驗或信息系統(tǒng)數(shù)據(jù)抽查等側重業(yè)務活動中涉及到的保密管理要求的落實情況,關注動態(tài)變化涉密部門負責人或涉密項目負責人檢查涉密部門負責人或涉密項目負責人部門或項目保密工作領導小組1次/季度部門或項目全體成員現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查側重部門人員保密意識、載體、密品等實物的現(xiàn)場管理情況,關注動態(tài)變化和發(fā)展趨勢專項檢查保密工作機構保密工作機構及相關業(yè)務部門按照上級要求專項檢查涉及人員、實物及數(shù)據(jù)報告、現(xiàn)場查驗、信息系統(tǒng)數(shù)據(jù)檢查等按照專項檢查要求保密工作機構日常監(jiān)督檢查保密工作機構保密工作機構隨時開展特定風險涉及到的人員、實物及數(shù)據(jù)現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查側重主要風險、動態(tài)變化、發(fā)展趨勢和整體意識全面檢查分管保密工作負責人保密工作機構1次/半年單位各部門、保密管理全要素現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查重點檢查各業(yè)務部門、涉密部門的日常管理和監(jiān)督檢查的有效性,完成保密風險評估
保密風險管控是一個系統(tǒng)化的動態(tài)管理過程,針對保密檢查發(fā)現(xiàn)的問題及時采取措施,可結合半年一次全面檢查開展風險評估,根據(jù)檢查結果和問題處理結果,調整風險評價值,分析風險應對措施是否適宜,調整風險控制策略[3]。
保密管理的本質是一種風險管理,做好保密監(jiān)督檢查工作是保密工作機構的重要工作內(nèi)容,也是測試與校準實驗室確保各類涉密人員保密責任制落實和規(guī)章制度執(zhí)行的重要手段,因此,構建科學有效的保密監(jiān)督檢查體系將是企業(yè)不斷改進管理,保證國家秘密安全的重要研究課題。