電網企業(yè)敏感信息保密防護管理對策研究
——基于對某電網企業(yè)的調查研究

喬 勇，劉志華，袁 田

（1.國網江蘇省電力有限公司，江蘇南京210096；2.國網江蘇省電力有限公司徐州供電分公司，江蘇徐州221005）

0 引言

隨著電網企業(yè)的發(fā)展，敏感信息的數量以及種類在不斷增多，這些敏感信息一旦被泄露出去，極有可能會對企業(yè)的經濟與發(fā)展造成損害［1］。為進一步做好電網企業(yè)敏感信息的防護管理工作，本文從性別、年齡、學歷、政治面貌、參加工作年限、敏感信息范圍、專用設備處理信息、保密管理制度、敏感信息等級劃分、保密意識、保密教育培訓、保密教育培訓內容、失泄密舉報制度、敏感信息管控、防范提示標識、權力清單公開、敏感信息防護措施等方面設計了調查問卷，希望通過問卷調查的方式初步了解員工對敏感信息管理的現狀。在某電網企業(yè)調研過程中，共計發(fā)放調查問卷136份，收回有效問卷136份。

1 調查基本情況

本次調查共計136人，其中男性93名、女性43名。人員分布在4個年齡段，分別是30歲以下、30—40歲、41—50歲及50歲以上，其中30—40歲和41—50歲年齡段參與人員占76.18%。

為深入了解電網企業(yè)員工情況，問卷設置了學歷分布情況，目前參與的136人中，大專學歷8人、本科學歷78人、碩士學歷48人、博士學歷2人，具體比例如圖1所示。被調查人員政治面貌包括中共黨員、共青團員、民主黨派、群眾，其中中共黨員人數占比將近90%。調查對象中工作年限不滿3年的6人、3～5年的4人、5～10年的25人、10年以上的101人，可見電網企業(yè)員工的穩(wěn)定性較高，具體如圖2所示。

圖1 調查人員學歷分布

圖2 調查人員參加工作年限分布

為切實了解電網企業(yè)敏感信息范疇，調查設置的敏感信息為企業(yè)發(fā)展戰(zhàn)略、客戶合作內容、內部知識產權、單位管理機制、內部管理信息等［2］。從調查結果來看，內部知識產權被認為是最需要保護的敏感信息，另外還有人認為尚未定稿的對外提供或發(fā)布的信息也屬于敏感信息范圍，具體占比情況如圖3所示。此外，調查了解，136人中未在專用設備上處理敏感信息的人員比例將近30%，可見員工對于處理敏感信息的意識或重視度還不夠。

圖3 敏感信息情況分布

電網作為國家重要基礎設施，保障其安全是確保能源安全和國家安全的重要支撐。當前，我國正面臨著日益復雜的國際國內環(huán)境，保密工作正成為一個空前的挑戰(zhàn)。做好電網企業(yè)保密管理工作，建立健全制度是基礎［3］。調查發(fā)現，員工普遍認為電網企業(yè)的保密管理制度基本齊全，如圖4所示。將近50%的員工認為應建立三級防護體系，詳細情況分析如圖5所示。此外，作為電網企業(yè)員工，應當具備一定的敏感信息識別與保護意識。通過對136名員工調查得知，敏感信息識別與保護的意識已完全具備41人、較好具備72人、基本具備21人、基本一些1人、不具備1人，具體占比如圖6所示?？梢?，員工的保密意識基本具備。

圖4 保密管理制度認知情況

圖5 敏感信息等級認知分布

圖6 保密意識具備情況

開展保密教育培訓是提升電網企業(yè)員工敏感信息和內部事務防護意識的重要舉措，為此，本次特調查了企業(yè)員工對保密教育培訓的認識，僅有少部分人（約3%）認為沒有必要開展保密教育培訓工作。調查過程中還發(fā)現，員工認為培訓內容的優(yōu)先次序為知識普及、意識培養(yǎng)、案例警示、技術防范及其他，如圖7所示。

圖7 保密教育培訓內容

采取有效控制措施是防止敏感信息失泄露的前提，電網企業(yè)一直在摸索和改進如何管控敏感信息。調研顯示，員工普遍認為應該采取源頭控制，亦有少部分人認為采取技術管控，如加數字水印、IP跟蹤等［4］，具體如圖8所示。進一步地，對企業(yè)敏感信息失泄露采取補救措施是挽回經濟損失的必要策略，也是優(yōu)化企業(yè)治理能力的重要舉措。調查中顯現，93%的員工認同建立必要的失泄密舉報制度，僅有少部分人不認同。

圖8 敏感信息管控措施

加強電網企業(yè)敏感信息防護方面，調查發(fā)現，僅有約45%的員工認為企業(yè)敏感信息目前已完全具有醒目的防范提示標識，如圖9所示，可見在具體的防范過程中還存在一些疏忽；另外，敏感信息管理權力清單也關乎敏感信息是否能夠得到有效的防護，但權力清單公開也會對敏感信息防護帶來更多的不確定因素。調查顯示，絕大多數員工認為“敏感信息”管理的權力清單應公開，如圖10所示。最后，嚴格的保密管理規(guī)章制度、經常性的系列保密教育培訓工作、安全審計及監(jiān)控軟件、加大保密獎懲的力度或其他措施都是日常工作中可以加強敏感信息防護的手段，調查顯示，系列保密教育培訓工作備受推崇，如圖11所示。

圖9 防范提示標識

圖10 權力清單公開

圖11 敏感信息防護措施

2 基于調研情況分析存在的問題

從當前調查的情況可知，電網企業(yè)敏感信息防護形勢依然嚴峻［5］，內部員工管控仍需加強，以此類推，目前主要存在以下問題。

2.1 保密意識有待加強

從領導到最直接的管理人員，大都認為做好保密工作只要個別部門單方面來抓即可，而不是站在整體的角度來考慮問題，且認為把保密工作作為日常工作來抓是“小題大做”的表現。而且，企業(yè)和員工由于在保密防護工作經驗方面非常缺乏，其工作的重心往往放在任務的完成上，而潛意識認為保密管理工作是非必要的工作，只能放在第二位。

2.2 規(guī)章制度還需規(guī)范

對于保密工作來說，其牽涉到的相關工作復雜多樣，因此需要建立健全管理的規(guī)章制度以進行應對。各個單位的保密管理制度應當按照本單位的實際情況而定，需要充分考慮到該制度在本單位是否具有可造作性，以及具體能起到多大的保密管理效果，而不應該僅僅為了應付上級保密管理部門而隨意照搬其他單位的相關制度。

2.3 教育培訓針對性不強

開展保密教育培訓，提升員工保密意識，加快信息化技術支撐是形勢所趨。但當前單位培訓缺乏針對性，具體表現在：邀請的專家和培訓的主題內容的單一性，使員工并不能由此提高自己的保密意識；培訓的內容并非因人而定，各個崗位不同職責的人員聽取的是雷同的培訓課程；以講座為主的單一的培訓形式顯得非?？菰铮茈y調動參訓人員學習的積極性，學習效果因此受到很大的影響。

2.4 監(jiān)督檢查流于表面

日常保密工作的監(jiān)督檢查是做好保密管理工作的重要一環(huán)。然而，當前的保密監(jiān)督檢查往往流于形式，缺乏必要的獎懲機制，以及能發(fā)揮可靠指導作用的高級別的保密檢查小組，檢查結果的分析也不夠到位。其次，保密自查工作往往應付了事，沒有一個系統(tǒng)的規(guī)劃，也并未深入到項目組。檢查出現問題，也沒有去深入追究以求大力的整改，而是草率應付，并沒有起到應有的警示教育作用。

2.5 條件保障力度亟需加大

做好保密工作，需要人、財、物等方面來支撐。但目前大多無專門的財務預算來支撐保密管理工作，員工范圍較窄且保密補貼標準也偏低，對保密管理隊伍培養(yǎng)缺乏計劃性，導致未能建立專業(yè)穩(wěn)定的保密管理團隊，且缺乏必備的保密管理設備、保密辦公環(huán)境、24 h監(jiān)控保衛(wèi)管理和辦公室配置也沒有到位等。

3 加強電網企業(yè)敏感信息保密防護的對策

保密工作事關黨和國家事業(yè)成敗安危，事關電網公司和電網安全發(fā)展。做好電網企業(yè)保密工作是形勢所迫，必須要轉變保密管理觀念、強化制度的操作性、加強培訓的科學性、完善監(jiān)督檢查機制和夯實保密支撐體系，要積極探索建立“縱向到底、橫向到邊”的具有企業(yè)特色的保密管理體系。

3.1 轉變保密管理觀念

要做好保密工作，必須先在保密觀念上與時俱進，有所創(chuàng)新。保密管理是一項“黨委工程、系統(tǒng)工程、全員工程”。建立企業(yè)保密工作的企業(yè)、部門、項目負責人三級責任制，要求各級責任落實到位。將保密管理工作歸入企業(yè)的一般管理事務中，將其作為日常監(jiān)管的一部分，做到在思想層面和行動上都自覺參與保密工作。建立健全保密工作文化，保密工作不應該是被動的，而要主動出擊，因此要通過保密工作專題網站和日常保密培訓，使保密管理工作人員時刻繃緊那根弦。

3.2 強化制度可操作性

做好保密管理工作的關鍵是有一個合格的制度保障，所制定的保密管理制度，要既能保證企業(yè)秘密不被泄露，又能方便日常工作的開展。強化保密制度的可操作性應從以下兩方面著手：一是緊跟國家政策信息，結合企業(yè)實際情況，在國家有關部門的最新規(guī)定和要求的框架下，及時對企業(yè)的保密管理規(guī)章進行修訂；二是根據企業(yè)項目保密管理工作的實際情況，制定有針對性的保密管理工作流程，加強保密制度的可操作性、可重復性設計等。

3.3 促進培訓的科學化

在保密環(huán)境多變的形勢下，一支專業(yè)化的保密工作隊伍要求企業(yè)人員及時接受符合當今形勢的保密教育培訓。為實現這一要求，首先，要科學制定年度保密教育培訓計劃，全方位考察本單位在保密工作上有哪些要求，制定明確指向本單位的培訓計劃；其次，對于不同類型的人員，開展具有相應特點的培訓，以企業(yè)管理人員為例，對于他們的培訓應在監(jiān)督檢查技能方面特別加強，這樣才能多維提升保密管理能力；再次，保密教育培訓的實效要突出，這可以通過考核機制來實現；最后，做好保密培訓警示教育，結合企業(yè)真實案例，進行案例教育，讓他們從心底對保密工作懷有足夠的敬畏心和重視程度。

3.4 完善監(jiān)督檢查體系

為落實保密制度，保密監(jiān)督管理必不可少。保密監(jiān)督的檢查就是為了促進保密管理的相關制度落到實處，其作用是檢驗該制度的實際應用成果，及時發(fā)現保密工作存在的隱患，從而方便及時采取應對措施。企業(yè)保密工作年首進行總體布局，年末進行系統(tǒng)總結，對工作中、檢查中察覺出的問題及時修正，限期完成整改。通過多維度、交叉性的機制進行保密監(jiān)督檢查，建立“縱向到底、橫向到邊”的具有電網企業(yè)特色的保密監(jiān)督體系。另外，企業(yè)要將保密管理工作納入年終績效考核工作，實施保密管理獎懲制度，將榮譽稱號納入員工榮譽考核體系，增強工作人員的榮譽感、工作積極性和主動性。

3.5 夯實保密支撐體系

保密條件保障是開展保密工作的必要條件。為做好企業(yè)保密工作，企業(yè)必須在人員、財務和事務方面給予強有力的支持。根據企業(yè)發(fā)展態(tài)勢，積極貫徹上級部門保密管理規(guī)定的相關精神，將保密管理工作的規(guī)模不斷壯大，吸收更多相關的業(yè)務骨干。企業(yè)保密管理經費和專項經費要充足，每年及時撥付預算，保障企業(yè)保密管理工作順利、穩(wěn)定、有序地開展。強化保密管理硬件的建設和管理，配置合理的保密管理人員，及時給計算機安裝必要的保密防護軟件等。

總之，保密工作的落實是企業(yè)正常運行的前提。要不斷強化保密的工作意識和責任意識，注意提高保密管理技能，將各項制度措施應用到實處，將保密工作做細，進行流程化管理，突出重點和長效機制，實踐出真知，注重在實踐中不斷發(fā)現問題和不足。同時，要注意安全的保障，確保發(fā)展的主線，同步規(guī)劃、部署、審查、總結保密工作與業(yè)務工作，構建電網企業(yè)保密管理長效機制。