測試與校準(zhǔn)實驗室保密監(jiān)督檢查實踐

周 曄 楊 琦 王 菁 劉曉莉

(北京無線電計量測試研究所，北京 100039)

1 引 言

隨著測試與校準(zhǔn)實驗室保密管理工作的逐步推進(jìn)，基于風(fēng)險的思維越來越明晰并顯示出其重要性?；陲L(fēng)險的思維強調(diào)的是風(fēng)險意識，并形成固有的思維方式，這種意識和思維方式只有與指導(dǎo)管理具體場景行為相結(jié)合，融入活動和過程管理中才能生效。日常管理中風(fēng)險無處不在，風(fēng)險的表現(xiàn)方式千變?nèi)f化，因此，應(yīng)以風(fēng)險思維模式和系統(tǒng)的方法關(guān)注風(fēng)險，與過程方法和PDCA循環(huán)三者有機結(jié)合，形成系統(tǒng)的風(fēng)險管控機制[1]。

2 新標(biāo)準(zhǔn)對保密風(fēng)險管理的要求

長期以來人們通常將可能出現(xiàn)的影響目標(biāo)實現(xiàn)的“威脅”等不利事件統(tǒng)稱為“風(fēng)險”，它是一種未來可能發(fā)生的不確定性事件對目標(biāo)產(chǎn)生的影響。影響程度越大，風(fēng)險也就越大；反之風(fēng)險就越小。

2017年正式施行的新版保密資格標(biāo)準(zhǔn)[2](以下簡稱“新標(biāo)準(zhǔn)”)在監(jiān)督與保障章節(jié)對保密檢查以及對風(fēng)險分析、評估和控制提出了具體要求。

保密檢查主要指保密工作機構(gòu)依據(jù)國家保密法律法規(guī)和相關(guān)標(biāo)準(zhǔn)與指南，采取相應(yīng)的管理和技術(shù)手段，對各類涉密人員保密責(zé)任制落實和規(guī)章制度執(zhí)行情況進(jìn)行檢查的活動，此外還包括業(yè)務(wù)主管部門的專項檢查和涉密部門的季度自查等多種形式。

保密風(fēng)險評估是單位在對業(yè)務(wù)工作流程梳理的基礎(chǔ)上，分析業(yè)務(wù)工作中的保密風(fēng)險、辨識保密風(fēng)險點、制定管控措施、持續(xù)改進(jìn)保密工作的手段，同時結(jié)合工作實際，定期分析單位的保密風(fēng)險等級，評估保密管理體系，從而防范風(fēng)險發(fā)生，減少風(fēng)險損失，提高保密防范能力。

新標(biāo)準(zhǔn)中強調(diào)以問題為導(dǎo)向進(jìn)行風(fēng)險分析，舉一反三，從根源、成因出發(fā)徹底根除隱患產(chǎn)生的條件。這一要求體現(xiàn)的就是風(fēng)險控制的思想，風(fēng)險控制的關(guān)鍵在于風(fēng)險評估，而保密檢查的結(jié)果為充分識別風(fēng)險、準(zhǔn)確分析評價風(fēng)險可能帶來的影響提供重要的依據(jù)，同時，風(fēng)險評估結(jié)果又為保密檢查開展提供重要指導(dǎo)。

3 基于風(fēng)險控制的思想打造有效的保密檢查體系

新標(biāo)準(zhǔn)中對單位內(nèi)部保密檢查的種類、檢查人員、檢查周期都提出了較為具體的要求，如何有效地設(shè)計執(zhí)行好各類檢查，使得檢查既按照標(biāo)準(zhǔn)規(guī)范開展，又做到各有側(cè)重、互相補充，既確保檢查科學(xué)有效又利于高效開展則是保密工作機構(gòu)應(yīng)該重點研究的問題。

3.1 以風(fēng)險分析為基礎(chǔ)確定保密監(jiān)督檢查重點

從要求上看，保密檢查包括檢查保密責(zé)任制的落實情況和各項保密規(guī)章制度的執(zhí)行情況，其本質(zhì)在于檢驗單位對各項保密風(fēng)險的實際控制情況。從單位總體來看，由于各項保密管理要素在經(jīng)營管理中的比重不同，風(fēng)險產(chǎn)生的影響也不同，因此根據(jù)管理學(xué)“二八”原則，保密檢查首先應(yīng)重點關(guān)注涉及風(fēng)險等級相對較高的管理要素，發(fā)現(xiàn)其存在的風(fēng)險隱患。

通常，管理學(xué)中將風(fēng)險等級用風(fēng)險發(fā)生的概率和風(fēng)險產(chǎn)生的平均后果來表示，即風(fēng)險等級=風(fēng)險發(fā)生的概率×風(fēng)險產(chǎn)生的平均后果。然而，由于保密風(fēng)險的發(fā)生存在一定的隱蔽性，部分風(fēng)險存在即使發(fā)生也不易被管理者及時發(fā)現(xiàn)的可能，因此，單位可根據(jù)國家保密行政管理部門發(fā)布的失泄密案件情況，調(diào)整保密風(fēng)險的發(fā)生概率值，以提高對近期發(fā)生概率相對較高風(fēng)險的監(jiān)管力度?？紤]到管理要素相關(guān)業(yè)務(wù)活動發(fā)生的次數(shù)越多，發(fā)生風(fēng)險的可能性就越大，將本單位保密管理要素的風(fēng)險等級的計算方法調(diào)整為單位發(fā)生相關(guān)業(yè)務(wù)活動開展的頻率(并結(jié)合近年失泄密案例的分布情況進(jìn)行適當(dāng)調(diào)整)與風(fēng)險發(fā)生后產(chǎn)生影響的乘積。

結(jié)合測試與校準(zhǔn)實驗室的實際情況，對照保密管理體系，將業(yè)務(wù)活動開展的頻率和風(fēng)險發(fā)生后產(chǎn)生的影響由低到高分成10個等級，形成的風(fēng)險層次結(jié)構(gòu)，如圖1所示。

由圖1可以看出，形成單位整體保密風(fēng)險體系的基礎(chǔ)風(fēng)險層包括人員管理、定密管理和載體管理三個要素。此外，由于以上三個管理要素形成業(yè)務(wù)層管理要素的基礎(chǔ)，因此需要保密工作機構(gòu)在監(jiān)督檢查中特別關(guān)注，并盡可能采取各項措施對其可能產(chǎn)生的風(fēng)險加以控制。

3.2 基于基礎(chǔ)風(fēng)險開展保密監(jiān)督和檢查的金字塔模型

保密檢查前明確指導(dǎo)思想并提前收集掌握相關(guān)信息，對檢查的開展具有重要的指導(dǎo)意義。根據(jù)本單位具體情況，總結(jié)形成嚴(yán)控基礎(chǔ)風(fēng)險、緊跟動態(tài)變化、預(yù)估發(fā)展趨勢、評價整體意識四個層次的保密監(jiān)督檢查金字塔模型，如圖2所示。

圖2 監(jiān)督檢查金字塔模型Fig.2 Pyramid model of supervision and inspection

3.2.1嚴(yán)控基礎(chǔ)風(fēng)險

對于保密基礎(chǔ)風(fēng)險，務(wù)必高度關(guān)注，提高檢查頻次(如每月檢查)，采取多種手段，確保監(jiān)督檢查全面到位。首先利用信息系統(tǒng)對各相關(guān)表單數(shù)據(jù)統(tǒng)計分析和抽查，后針對檢查分析發(fā)現(xiàn)的問題和可疑點進(jìn)行現(xiàn)場檢查核對。如對于載體管理，按月檢查各類載體由定密、制作到銷毀全過程的管理情況，并對各部門以及個人涉密載體留存總量進(jìn)行統(tǒng)計，確定重點關(guān)注部門和重點核查對象，進(jìn)行現(xiàn)場檢查核對。

3.2.2緊跟動態(tài)變化

單位各項業(yè)務(wù)的變化發(fā)展往往是保密風(fēng)險引入的源頭。針對保密管理體系中的基礎(chǔ)風(fēng)險層和業(yè)務(wù)層，應(yīng)提高對各類變化的敏感度，在監(jiān)督檢查中收集變化點[3]，分析關(guān)聯(lián)關(guān)系并開展相應(yīng)的監(jiān)督檢查，及時防范新風(fēng)險。如人員管理方面，特別關(guān)注變化如人員上崗、離崗、密級調(diào)整(含升密、降密、脫密)等，此外還應(yīng)對部門領(lǐng)導(dǎo)、定密責(zé)任人、歸口管理部門人員和三類人員(保密要害部門部位人員、機要密碼人員和涉密信息系統(tǒng)“三員”)變化給予足夠重視，防止由人員變化帶來責(zé)任制和管理制度落實上的變形走樣風(fēng)險；定密管理方面，應(yīng)特別關(guān)注新項目(合同)的簽訂、新業(yè)務(wù)方向拓展、新部門成立等變化，確保新的涉密事項納入雙定密(項目定密和崗位定密)管理的范圍；載體管理方面，在確保人員變動時載體及時清退交接的基礎(chǔ)上，特別關(guān)注各部門、重點人員載體持有的總量和異常變化情況。

3.2.3預(yù)估發(fā)展趨勢

以安全心理學(xué)中的十種風(fēng)險心理[4](僥幸心理、惰性心理、麻痹心理、逆反心理、逞能心理、冒險心理、從眾心理、無所謂心理、好奇心理、慌亂心理)為指導(dǎo)分析發(fā)展趨勢。如長期處于一個崗位工作的人員往往由于麻痹心理，抱持經(jīng)驗主義的態(tài)度，不愿執(zhí)行保密新要求；部分人員由于惰性、冒險、慌亂等心理的影響，故意違反保密規(guī)定。因此，應(yīng)從靜止中找變化，從心理特征找風(fēng)險。對發(fā)現(xiàn)的風(fēng)險，首先加大與相關(guān)人員、部門領(lǐng)導(dǎo)的溝通交流力度，了解想法，提醒要求，其次，強化監(jiān)督檢查，對于風(fēng)險集中的區(qū)域或事項，制定相應(yīng)的措施或應(yīng)急預(yù)案，防范風(fēng)險發(fā)生。此外，針對不同部門，應(yīng)結(jié)合其一段時間(如6個月)以來發(fā)生違規(guī)問題的分布情況，加大其相應(yīng)保密管理要素的檢查力度。

3.2.4評價整體意識

根據(jù)各部門提交報告情況、業(yè)務(wù)流程審批情況，以及現(xiàn)場檢查環(huán)節(jié)的溝通和現(xiàn)場核實，可對各部門領(lǐng)導(dǎo)以及涉密人員的保密意識、履行保密責(zé)任情況形成總體評價。可根據(jù)評價對不同部門有的放矢地組織培訓(xùn)、考試、交流等，并以此作為制定監(jiān)督檢查策略的依據(jù)。如對于整體保密意識相對不強的部門，提高現(xiàn)場檢查的頻度，檢查中應(yīng)重視與部門領(lǐng)導(dǎo)的交流，并重點檢查其保密培訓(xùn)落實情況和效果，根據(jù)情況采取有針對性的培訓(xùn)和考試等措施。對于整體意識相對較強的部門，應(yīng)防范管理學(xué)中的暈輪效應(yīng)[5](即以偏概全、以點概面的錯誤評價)，放松監(jiān)管。對于此類部門，應(yīng)在溝通中發(fā)現(xiàn)其關(guān)注、理解的盲點和薄弱環(huán)節(jié)。

3.3 各類檢查的方式及側(cè)重點設(shè)計

新標(biāo)準(zhǔn)中對分管保密工作負(fù)責(zé)人、其他負(fù)責(zé)人、涉密部門負(fù)責(zé)人或涉密項目負(fù)責(zé)人、保密工作機構(gòu)都提出了開展保密檢查的要求。根據(jù)各類檢查人員能夠掌握的數(shù)據(jù)情況和其不同的優(yōu)勢專長，采取“充分發(fā)揮檢查者的能力和優(yōu)勢，教育、溝通與檢查相結(jié)合”的指導(dǎo)思想，對各類檢查的內(nèi)容及要求進(jìn)行設(shè)計，設(shè)計表見表1。其中，檢查方式可包括面談或報告、現(xiàn)場查驗、信息系統(tǒng)數(shù)據(jù)檢查或抽查等。

表1 各類保密檢查設(shè)計表Tab.1 Design of various confidentiality check檢查類別組織人執(zhí)行人檢查的完成頻次檢查對象檢查方式檢查內(nèi)容設(shè)計分管保密工作負(fù)責(zé)人檢查分管保密工作負(fù)責(zé)人分管保密工作負(fù)責(zé)人1次/年單位和部門負(fù)責(zé)人面談側(cè)重保密意識、保密責(zé)任履行情況其他負(fù)責(zé)人檢查其他負(fù)責(zé)人檢查業(yè)務(wù)主管(歸口)部門結(jié)合業(yè)務(wù)實際(至少1次/年)業(yè)務(wù)管理流程中具體參與人、實物及數(shù)據(jù)現(xiàn)場查驗或信息系統(tǒng)數(shù)據(jù)抽查等側(cè)重業(yè)務(wù)活動中涉及到的保密管理要求的落實情況,關(guān)注動態(tài)變化涉密部門負(fù)責(zé)人或涉密項目負(fù)責(zé)人檢查涉密部門負(fù)責(zé)人或涉密項目負(fù)責(zé)人部門或項目保密工作領(lǐng)導(dǎo)小組1次/季度部門或項目全體成員現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查側(cè)重部門人員保密意識、載體、密品等實物的現(xiàn)場管理情況,關(guān)注動態(tài)變化和發(fā)展趨勢專項檢查保密工作機構(gòu)保密工作機構(gòu)及相關(guān)業(yè)務(wù)部門按照上級要求專項檢查涉及人員、實物及數(shù)據(jù)報告、現(xiàn)場查驗、信息系統(tǒng)數(shù)據(jù)檢查等按照專項檢查要求保密工作機構(gòu)日常監(jiān)督檢查保密工作機構(gòu)保密工作機構(gòu)隨時開展特定風(fēng)險涉及到的人員、實物及數(shù)據(jù)現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查側(cè)重主要風(fēng)險、動態(tài)變化、發(fā)展趨勢和整體意識全面檢查分管保密工作負(fù)責(zé)人保密工作機構(gòu)1次/半年單位各部門、保密管理全要素現(xiàn)場查驗及信息系統(tǒng)數(shù)據(jù)抽查重點檢查各業(yè)務(wù)部門、涉密部門的日常管理和監(jiān)督檢查的有效性,完成保密風(fēng)險評估

3.4 根據(jù)保密檢查結(jié)果調(diào)整保密風(fēng)險評估

保密風(fēng)險管控是一個系統(tǒng)化的動態(tài)管理過程，針對保密檢查發(fā)現(xiàn)的問題及時采取措施，可結(jié)合半年一次全面檢查開展風(fēng)險評估，根據(jù)檢查結(jié)果和問題處理結(jié)果，調(diào)整風(fēng)險評價值，分析風(fēng)險應(yīng)對措施是否適宜，調(diào)整風(fēng)險控制策略[3]。

4 結(jié)束語

保密管理的本質(zhì)是一種風(fēng)險管理，做好保密監(jiān)督檢查工作是保密工作機構(gòu)的重要工作內(nèi)容，也是測試與校準(zhǔn)實驗室確保各類涉密人員保密責(zé)任制落實和規(guī)章制度執(zhí)行的重要手段，因此，構(gòu)建科學(xué)有效的保密監(jiān)督檢查體系將是企業(yè)不斷改進(jìn)管理，保證國家秘密安全的重要研究課題。