周 曄 楊 琦 王 菁 劉曉莉
(北京無線電計量測試研究所,北京 100039)
隨著測試與校準(zhǔn)實驗室保密管理工作的逐步推進(jìn),基于風(fēng)險的思維越來越明晰并顯示出其重要性?;陲L(fēng)險的思維強調(diào)的是風(fēng)險意識,并形成固有的思維方式,這種意識和思維方式只有與指導(dǎo)管理具體場景行為相結(jié)合,融入活動和過程管理中才能生效。日常管理中風(fēng)險無處不在,風(fēng)險的表現(xiàn)方式千變?nèi)f化,因此,應(yīng)以風(fēng)險思維模式和系統(tǒng)的方法關(guān)注風(fēng)險,與過程方法和PDCA循環(huán)三者有機結(jié)合,形成系統(tǒng)的風(fēng)險管控機制[1]。
長期以來人們通常將可能出現(xiàn)的影響目標(biāo)實現(xiàn)的“威脅”等不利事件統(tǒng)稱為“風(fēng)險”,它是一種未來可能發(fā)生的不確定性事件對目標(biāo)產(chǎn)生的影響。影響程度越大,風(fēng)險也就越大;反之風(fēng)險就越小。
2017年正式施行的新版保密資格標(biāo)準(zhǔn)[2](以下簡稱“新標(biāo)準(zhǔn)”)在監(jiān)督與保障章節(jié)對保密檢查以及對風(fēng)險分析、評估和控制提出了具體要求。
保密檢查主要指保密工作機構(gòu)依據(jù)國家保密法律法規(guī)和相關(guān)標(biāo)準(zhǔn)與指南,采取相應(yīng)的管理和技術(shù)手段,對各類涉密人員保密責(zé)任制落實和規(guī)章制度執(zhí)行情況進(jìn)行檢查的活動,此外還包括業(yè)務(wù)主管部門的專項檢查和涉密部門的季度自查等多種形式。
保密風(fēng)險評估是單位在對業(yè)務(wù)工作流程梳理的基礎(chǔ)上,分析業(yè)務(wù)工作中的保密風(fēng)險、辨識保密風(fēng)險點、制定管控措施、持續(xù)改進(jìn)保密工作的手段,同時結(jié)合工作實際,定期分析單位的保密風(fēng)險等級,評估保密管理體系,從而防范風(fēng)險發(fā)生,減少風(fēng)險損失,提高保密防范能力。
新標(biāo)準(zhǔn)中強調(diào)以問題為導(dǎo)向進(jìn)行風(fēng)險分析,舉一反三,從根源、成因出發(fā)徹底根除隱患產(chǎn)生的條件。這一要求體現(xiàn)的就是風(fēng)險控制的思想,風(fēng)險控制的關(guān)鍵在于風(fēng)險評估,而保密檢查的結(jié)果為充分識別風(fēng)險、準(zhǔn)確分析評價風(fēng)險可能帶來的影響提供重要的依據(jù),同時,風(fēng)險評估結(jié)果又為保密檢查開展提供重要指導(dǎo)。
新標(biāo)準(zhǔn)中對單位內(nèi)部保密檢查的種類、檢查人員、檢查周期都提出了較為具體的要求,如何有效地設(shè)計執(zhí)行好各類檢查,使得檢查既按照標(biāo)準(zhǔn)規(guī)范開展,又做到各有側(cè)重、互相補充,既確保檢查科學(xué)有效又利于高效開展則是保密工作機構(gòu)應(yīng)該重點研究的問題。
從要求上看,保密檢查包括檢查保密責(zé)任制的落實情況和各項保密規(guī)章制度的執(zhí)行情況,其本質(zhì)在于檢驗單位對各項保密風(fēng)險的實際控制情況。從單位總體來看,由于各項保密管理要素在經(jīng)營管理中的比重不同,風(fēng)險產(chǎn)生的影響也不同,因此根據(jù)管理學(xué)“二八”原則,保密檢查首先應(yīng)重點關(guān)注涉及風(fēng)險等級相對較高的管理要素,發(fā)現(xiàn)其存在的風(fēng)險隱患。
通常,管理學(xué)中將風(fēng)險等級用風(fēng)險發(fā)生的概率和風(fēng)險產(chǎn)生的平均后果來表示,即風(fēng)險等級=風(fēng)險發(fā)生的概率×風(fēng)險產(chǎn)生的平均后果。然而,由于保密風(fēng)險的發(fā)生存在一定的隱蔽性,部分風(fēng)險存在即使發(fā)生也不易被管理者及時發(fā)現(xiàn)的可能,因此,單位可根據(jù)國家保密行政管理部門發(fā)布的失泄密案件情況,調(diào)整保密風(fēng)險的發(fā)生概率值,以提高對近期發(fā)生概率相對較高風(fēng)險的監(jiān)管力度??紤]到管理要素相關(guān)業(yè)務(wù)活動發(fā)生的次數(shù)越多,發(fā)生風(fēng)險的可能性就越大,將本單位保密管理要素的風(fēng)險等級的計算方法調(diào)整為單位發(fā)生相關(guān)業(yè)務(wù)活動開展的頻率(并結(jié)合近年失泄密案例的分布情況進(jìn)行適當(dāng)調(diào)整)與風(fēng)險發(fā)生后產(chǎn)生影響的乘積。
結(jié)合測試與校準(zhǔn)實驗室的實際情況,對照保密管理體系,將業(yè)務(wù)活動開展的頻率和風(fēng)險發(fā)生后產(chǎn)生的影響由低到高分成10個等級,形成的風(fēng)險層次結(jié)構(gòu),如圖1所示。
由圖1可以看出,形成單位整體保密風(fēng)險體系的基礎(chǔ)風(fēng)險層包括人員管理、定密管理和載體管理三個要素。此外,由于以上三個管理要素形成業(yè)務(wù)層管理要素的基礎(chǔ),因此需要保密工作機構(gòu)在監(jiān)督檢查中特別關(guān)注,并盡可能采取各項措施對其可能產(chǎn)生的風(fēng)險加以控制。
保密檢查前明確指導(dǎo)思想并提前收集掌握相關(guān)信息,對檢查的開展具有重要的指導(dǎo)意義。根據(jù)本單位具體情況,總結(jié)形成嚴(yán)控基礎(chǔ)風(fēng)險、緊跟動態(tài)變化、預(yù)估發(fā)展趨勢、評價整體意識四個層次的保密監(jiān)督檢查金字塔模型,如圖2所示。
圖2 監(jiān)督檢查金字塔模型Fig.2 Pyramid model of supervision and inspection
3.2.1嚴(yán)控基礎(chǔ)風(fēng)險
對于保密基礎(chǔ)風(fēng)險,務(wù)必高度關(guān)注,提高檢查頻次(如每月檢查),采取多種手段,確保監(jiān)督檢查全面到位。首先利用信息系統(tǒng)對各相關(guān)表單數(shù)據(jù)統(tǒng)計分析和抽查,后針對檢查分析發(fā)現(xiàn)的問題和可疑點進(jìn)行現(xiàn)場檢查核對。如對于載體管理,按月檢查各類載體由定密、制作到銷毀全過程的管理情況,并對各部門以及個人涉密載體留存總量進(jìn)行統(tǒng)計,確定重點關(guān)注部門和重點核查對象,進(jìn)行現(xiàn)場檢查核對。
3.2.2緊跟動態(tài)變化
單位各項業(yè)務(wù)的變化發(fā)展往往是保密風(fēng)險引入的源頭。針對保密管理體系中的基礎(chǔ)風(fēng)險層和業(yè)務(wù)層,應(yīng)提高對各類變化的敏感度,在監(jiān)督檢查中收集變化點[3],分析關(guān)聯(lián)關(guān)系并開展相應(yīng)的監(jiān)督檢查,及時防范新風(fēng)險。如人員管理方面,特別關(guān)注變化如人員上崗、離崗、密級調(diào)整(含升密、降密、脫密)等,此外還應(yīng)對部門領(lǐng)導(dǎo)、定密責(zé)任人、歸口管理部門人員和三類人員(保密要害部門部位人員、機要密碼人員和涉密信息系統(tǒng)“三員”)變化給予足夠重視,防止由人員變化帶來責(zé)任制和管理制度落實上的變形走樣風(fēng)險;定密管理方面,應(yīng)特別關(guān)注新項目(合同)的簽訂、新業(yè)務(wù)方向拓展、新部門成立等變化,確保新的涉密事項納入雙定密(項目定密和崗位定密)管理的范圍;載體管理方面,在確保人員變動時載體及時清退交接的基礎(chǔ)上,特別關(guān)注各部門、重點人員載體持有的總量和異常變化情況。
3.2.3預(yù)估發(fā)展趨勢
以安全心理學(xué)中的十種風(fēng)險心理[4](僥幸心理、惰性心理、麻痹心理、逆反心理、逞能心理、冒險心理、從眾心理、無所謂心理、好奇心理、慌亂心理)為指導(dǎo)分析發(fā)展趨勢。如長期處于一個崗位工作的人員往往由于麻痹心理,抱持經(jīng)驗主義的態(tài)度,不愿執(zhí)行保密新要求;部分人員由于惰性、冒險、慌亂等心理的影響,故意違反保密規(guī)定。因此,應(yīng)從靜止中找變化,從心理特征找風(fēng)險。對發(fā)現(xiàn)的風(fēng)險,首先加大與相關(guān)人員、部門領(lǐng)導(dǎo)的溝通交流力度,了解想法,提醒要求,其次,強化監(jiān)督檢查,對于風(fēng)險集中的區(qū)域或事項,制定相應(yīng)的措施或應(yīng)急預(yù)案,防范風(fēng)險發(fā)生。此外,針對不同部門,應(yīng)結(jié)合其一段時間(如6個月)以來發(fā)生違規(guī)問題的分布情況,加大其相應(yīng)保密管理要素的檢查力度。
3.2.4評價整體意識
根據(jù)各部門提交報告情況、業(yè)務(wù)流程審批情況,以及現(xiàn)場檢查環(huán)節(jié)的溝通和現(xiàn)場核實,可對各部門領(lǐng)導(dǎo)以及涉密人員的保密意識、履行保密責(zé)任情況形成總體評價。可根據(jù)評價對不同部門有的放矢地組織培訓(xùn)、考試、交流等,并以此作為制定監(jiān)督檢查策略的依據(jù)。如對于整體保密意識相對不強的部門,提高現(xiàn)場檢查的頻度,檢查中應(yīng)重視與部門領(lǐng)導(dǎo)的交流,并重點檢查其保密培訓(xùn)落實情況和效果,根據(jù)情況采取有針對性的培訓(xùn)和考試等措施。對于整體意識相對較強的部門,應(yīng)防范管理學(xué)中的暈輪效應(yīng)[5](即以偏概全、以點概面的錯誤評價),放松監(jiān)管。對于此類部門,應(yīng)在溝通中發(fā)現(xiàn)其關(guān)注、理解的盲點和薄弱環(huán)節(jié)。
新標(biāo)準(zhǔn)中對分管保密工作負(fù)責(zé)人、其他負(fù)責(zé)人、涉密部門負(fù)責(zé)人或涉密項目負(fù)責(zé)人、保密工作機構(gòu)都提出了開展保密檢查的要求。根據(jù)各類檢查人員能夠掌握的數(shù)據(jù)情況和其不同的優(yōu)勢專長,采取“充分發(fā)揮檢查者的能力和優(yōu)勢,教育、溝通與檢查相結(jié)合”的指導(dǎo)思想,對各類檢查的內(nèi)容及要求進(jìn)行設(shè)計,設(shè)計表見表1。其中,檢查方式可包括面談或報告、現(xiàn)場查驗、信息系統(tǒng)數(shù)據(jù)檢查或抽查等。
表1 各類保密檢查設(shè)計表Tab.1 Design of various confidentiality check檢查類別組織人執(zhí)行人檢查的完成頻次檢查對象檢查方式檢查內(nèi)容設(shè)計分管保密工作負(fù)責(zé)人檢查分管保密工作負(fù)責(zé)人分管保密工作負(fù)責(zé)人1次/年單位和部門負(fù)責(zé)人面談側(cè)重保密意識、保密責(zé)任履行情況其他負(fù)責(zé)人檢查其他負(fù)責(zé)人檢查業(yè)務(wù)主管(歸口)部門結(jié)合業(yè)務(wù)實際(至少1次/年)業(yè)務(wù)管理流程中具體參與人、實物及數(shù)據(jù)現(xiàn)場查驗或信息系統(tǒng)數(shù)據(jù)抽查等側(cè)重業(yè)務(wù)活動中涉及到的保密管理要求的落實情況,關(guān)注動態(tài)變化涉密部門負(fù)責(zé)人或涉密項目負(fù)責(zé)人檢查涉密部門負(fù)責(zé)人或涉密項目負(fù)責(zé)人部門或項目保密工作領(lǐng)導(dǎo)小組1次/季度部門或項目全體成員現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查側(cè)重部門人員保密意識、載體、密品等實物的現(xiàn)場管理情況,關(guān)注動態(tài)變化和發(fā)展趨勢專項檢查保密工作機構(gòu)保密工作機構(gòu)及相關(guān)業(yè)務(wù)部門按照上級要求專項檢查涉及人員、實物及數(shù)據(jù)報告、現(xiàn)場查驗、信息系統(tǒng)數(shù)據(jù)檢查等按照專項檢查要求保密工作機構(gòu)日常監(jiān)督檢查保密工作機構(gòu)保密工作機構(gòu)隨時開展特定風(fēng)險涉及到的人員、實物及數(shù)據(jù)現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查側(cè)重主要風(fēng)險、動態(tài)變化、發(fā)展趨勢和整體意識全面檢查分管保密工作負(fù)責(zé)人保密工作機構(gòu)1次/半年單位各部門、保密管理全要素現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查重點檢查各業(yè)務(wù)部門、涉密部門的日常管理和監(jiān)督檢查的有效性,完成保密風(fēng)險評估
保密風(fēng)險管控是一個系統(tǒng)化的動態(tài)管理過程,針對保密檢查發(fā)現(xiàn)的問題及時采取措施,可結(jié)合半年一次全面檢查開展風(fēng)險評估,根據(jù)檢查結(jié)果和問題處理結(jié)果,調(diào)整風(fēng)險評價值,分析風(fēng)險應(yīng)對措施是否適宜,調(diào)整風(fēng)險控制策略[3]。
保密管理的本質(zhì)是一種風(fēng)險管理,做好保密監(jiān)督檢查工作是保密工作機構(gòu)的重要工作內(nèi)容,也是測試與校準(zhǔn)實驗室確保各類涉密人員保密責(zé)任制落實和規(guī)章制度執(zhí)行的重要手段,因此,構(gòu)建科學(xué)有效的保密監(jiān)督檢查體系將是企業(yè)不斷改進(jìn)管理,保證國家秘密安全的重要研究課題。