基于層次分析法的保密工作風(fēng)險(xiǎn)管理機(jī)制研究

段瑞峰、唐亮 /中國空間技術(shù)研究院神舟實(shí)業(yè)總公司

當(dāng)前，保密工作已成為軍工單位管理工作的重要組成部分，關(guān)乎單位的發(fā)展和員工個(gè)人的職業(yè)前途，廣大軍工單位員工特別是涉密人員的保密意識(shí)大大提高，保密防范措施得到加強(qiáng)，安全保密工作正在向著制度化、規(guī)范化、常態(tài)化方向發(fā)展。隨著我國綜合實(shí)力不斷增強(qiáng)，保密形勢(shì)更加復(fù)雜嚴(yán)峻，特別是軍工單位隨著核心競爭力的快速提升，存在不同程度的失泄密隱患，部分單位保密違規(guī)行為時(shí)有發(fā)生。為了提高主動(dòng)管理、預(yù)防管理的能力，探索建立面向軍工單位的保密預(yù)警、風(fēng)險(xiǎn)防范與控制，已成為軍工單位保密管理亟待解決的重要課題。

一、風(fēng)險(xiǎn)管理概念

1.風(fēng)險(xiǎn)管理的由來

美國賓夕法尼亞大學(xué)所羅門·胡布納于1930年首先提出風(fēng)險(xiǎn)管理的概念，他強(qiáng)調(diào)風(fēng)險(xiǎn)管理是各經(jīng)濟(jì)實(shí)體在識(shí)別、衡量、分析風(fēng)險(xiǎn)的基礎(chǔ)上有效控制風(fēng)險(xiǎn)的科學(xué)管理方法。近年來，越來越多的學(xué)者清晰地認(rèn)識(shí)到應(yīng)從系統(tǒng)的角度全面管理所有風(fēng)險(xiǎn)，全面風(fēng)險(xiǎn)管理理論（ERM）應(yīng)運(yùn)而生。

進(jìn)入21世紀(jì)以來，國外的安然、施樂等公司財(cái)務(wù)舞弊案的爆發(fā)以及中航油、德隆等事件，反映出國內(nèi)外眾多企業(yè)，大都存在風(fēng)險(xiǎn)管控缺失或風(fēng)險(xiǎn)意識(shí)淡薄的情況。2009年11月，國際標(biāo)準(zhǔn)化組織ISO正式發(fā)布了ISO31000：2009《風(fēng)險(xiǎn)管理—原則與指南》，對(duì)世界范圍內(nèi)風(fēng)險(xiǎn)管理的最新成果進(jìn)行總結(jié)并加以改進(jìn)，為企業(yè)對(duì)影響其戰(zhàn)略目標(biāo)實(shí)現(xiàn)的不確定性進(jìn)行管理提供了有效的工具。

2.風(fēng)險(xiǎn)管理的過程

ISO31000標(biāo)準(zhǔn)對(duì)管理風(fēng)險(xiǎn)的定義為：“一個(gè)組織的所有活動(dòng)均含有風(fēng)險(xiǎn)。組織通過識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)，并評(píng)價(jià)是否采取風(fēng)險(xiǎn)應(yīng)對(duì)來改變風(fēng)險(xiǎn)以滿足其風(fēng)險(xiǎn)準(zhǔn)則來管理風(fēng)險(xiǎn)。在這些過程中，組織與利益相關(guān)方溝通、監(jiān)測和評(píng)審風(fēng)險(xiǎn)、改變對(duì)風(fēng)險(xiǎn)的控制方法，以確保不需要進(jìn)一步采取風(fēng)險(xiǎn)應(yīng)對(duì)措施?！?/p>

ISO31000標(biāo)準(zhǔn)包括風(fēng)險(xiǎn)管理框架、風(fēng)險(xiǎn)管理原則和風(fēng)險(xiǎn)管理過程等3個(gè)部分。風(fēng)險(xiǎn)管理過程是由溝通與咨詢、風(fēng)險(xiǎn)評(píng)估、環(huán)境建立、風(fēng)險(xiǎn)應(yīng)對(duì)和監(jiān)測與評(píng)審等組成的持續(xù)改進(jìn)的管理過程。

二、保密風(fēng)險(xiǎn)管理體系的建立

1.保密管理與風(fēng)險(xiǎn)管理的相互關(guān)系

首先，保密管理從根本上講是對(duì)失泄密風(fēng)險(xiǎn)的一種管理，即一種風(fēng)險(xiǎn)管理方式。保密管理始終是軍工單位管理體系的重要環(huán)節(jié)，其最主要的作用是在失泄密事件發(fā)生之前，及時(shí)阻止其發(fā)生的可能性，因此，保密管理歸根到底是對(duì)失泄密風(fēng)險(xiǎn)的管控。

其次，風(fēng)險(xiǎn)管理是促進(jìn)保密管理深度融入軍工單位日常管理的有效手段。在軍工單位里，保密管理是單位的一項(xiàng)基礎(chǔ)性管理活動(dòng)，保密管理工作首先要對(duì)單位各業(yè)務(wù)流程進(jìn)行細(xì)致梳理并對(duì)保密風(fēng)險(xiǎn)點(diǎn)進(jìn)行科學(xué)研判，然后根據(jù)保密要求并結(jié)合單位實(shí)際對(duì)各類活動(dòng)流程進(jìn)行改進(jìn)，最終將保密要求與單位各項(xiàng)業(yè)務(wù)進(jìn)行有機(jī)結(jié)合，整個(gè)保密管理過程與風(fēng)險(xiǎn)管理過程和方法是完全一致的。

2.保密日常管理主要風(fēng)險(xiǎn)點(diǎn)

本文結(jié)合ISO31000標(biāo)準(zhǔn)的相關(guān)流程，深入分析軍工單位內(nèi)部環(huán)境和外部環(huán)境的特點(diǎn)，從“人、物、信、法、環(huán)”等幾個(gè)維度進(jìn)行主要風(fēng)險(xiǎn)點(diǎn)分析。

（1）“人”的意識(shí)和認(rèn)知的風(fēng)險(xiǎn)點(diǎn)

軍工單位的人員是保密管理的主要對(duì)象，然而，部分單位人員的思想意識(shí)還停留在傳統(tǒng)落后的保密觀念上，對(duì)現(xiàn)代高科技條件下的竊密手段缺乏足夠認(rèn)識(shí)，部分人員雖然懂得一些基本原理，但心存僥幸，導(dǎo)致存在失泄密隱患。因此，人員的保密意識(shí)缺乏、認(rèn)知的不到位以及不安全的行為是日常保密管理最大的風(fēng)險(xiǎn)。

（2）“物”的風(fēng)險(xiǎn)和隱患

對(duì)于軍工單位來講，“物”主要是指涉密載體、密品、密件等，這些是可以直接或間接獲取國家秘密的“物”，即載體，也是保密管理工作的重點(diǎn)和難點(diǎn)。在制作、傳遞、復(fù)制、使用、保存等載體全生命周期管理過程中，一旦有所疏漏，國家秘密將出現(xiàn)諸多風(fēng)險(xiǎn)。

（3）“信”的風(fēng)險(xiǎn)和管理難度

“信”主要指計(jì)算機(jī)和辦公自動(dòng)化設(shè)備以及相應(yīng)的信息系統(tǒng)等，是存儲(chǔ)和處理涉密信息的平臺(tái)，是保密管理的重中之重。在保密認(rèn)定和分級(jí)保護(hù)等體系的管控下，“信”的相關(guān)風(fēng)險(xiǎn)和漏洞已日趨減少，但是隨著科技不斷進(jìn)步，攻擊手段和竊密技術(shù)也在不斷推陳出新，對(duì)“信”的管理難度逐年加大。

（4）“法”的風(fēng)險(xiǎn)和漏洞

“法”主要指規(guī)章制度、法律法規(guī)及相關(guān)標(biāo)準(zhǔn)等。根據(jù)國家保密法律法規(guī)和其他相關(guān)規(guī)定以及制度制定的單位保密管理制度是保密工作的指南，規(guī)定了流程和辦事方法，管理制度的完善程度和可行性不夠，必定會(huì)使非法行為有空可鉆、有機(jī)可乘。

（5）“環(huán)”的不可控因素和影響

“環(huán)”主要指環(huán)境、環(huán)節(jié)等外部因素，如果外部環(huán)境和各個(gè)環(huán)節(jié)控制不嚴(yán)，將會(huì)導(dǎo)致保密管理紊亂，造成國家秘密的不可控狀態(tài)。

3.保密風(fēng)險(xiǎn)管理的主要思路

本文借鑒ISO 31000：2009標(biāo)準(zhǔn)中相關(guān)風(fēng)險(xiǎn)管理的流程，重點(diǎn)從風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)2個(gè)環(huán)節(jié)闡述保密風(fēng)險(xiǎn)的主要思路。

（1）風(fēng)險(xiǎn)識(shí)別與分析

本文將“人、物、信、法、環(huán)”等幾個(gè)維度與認(rèn)定標(biāo)準(zhǔn)相結(jié)合，充分借鑒層次分析法的相關(guān)準(zhǔn)則，識(shí)別并分析了保密日常管理中的風(fēng)險(xiǎn)點(diǎn)，詳見表1。

表1 風(fēng)險(xiǎn)識(shí)別表

（2）風(fēng)險(xiǎn)評(píng)價(jià)

本文引用層次分析法對(duì)風(fēng)險(xiǎn)點(diǎn)的權(quán)重進(jìn)行評(píng)估，進(jìn)而定量地確定風(fēng)險(xiǎn)的影響級(jí)別。

1）層次分析法概述

層次分析法是由美國著名運(yùn)籌學(xué)家薩迪于20世紀(jì)70年代中期提出的，應(yīng)用網(wǎng)絡(luò)系統(tǒng)理論和多目標(biāo)綜合評(píng)價(jià)方法的一種層次權(quán)重決策分析方法。這種方法的特點(diǎn)是在對(duì)復(fù)雜決策問題的本質(zhì)、影響因素及其內(nèi)在關(guān)系等進(jìn)行深入分析的基礎(chǔ)上，利用從定性分析轉(zhuǎn)換為定量信息決策的思維過程，為多目標(biāo)、多準(zhǔn)則的難于完全定量的復(fù)雜系統(tǒng)作出決策的模型和方法。

為了進(jìn)一步理解層次分析法確定各指標(biāo)權(quán)重的方法和意義，可以假設(shè)有m個(gè)物體，分別為A，A，……A，我們測量其重量是：g，g，……g，將這些物體的重量進(jìn)行兩兩比較，如表2所示。

表2 物體的重量進(jìn)行兩兩比較表

涉密臺(tái)式計(jì)算機(jī)占比 高于某個(gè)值視為風(fēng)險(xiǎn)計(jì)算機(jī)和信息系統(tǒng)物涉密臺(tái)式計(jì)算機(jī)各類異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)非涉密臺(tái)式計(jì)算機(jī)數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)非涉密臺(tái)式計(jì)算機(jī)各類異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)辦公自動(dòng)化設(shè)備數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)辦公自動(dòng)化設(shè)備各類異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)互聯(lián)網(wǎng)機(jī)數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)互聯(lián)網(wǎng)機(jī)各類異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)中轉(zhuǎn)機(jī)數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)中轉(zhuǎn)機(jī)各類異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)便攜式計(jì)算機(jī)數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)便攜式計(jì)算機(jī)各類異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)移動(dòng)存儲(chǔ)介質(zhì)數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)移動(dòng)存儲(chǔ)介質(zhì)各類異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)涉密網(wǎng)絡(luò)安全月報(bào)異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)宣傳報(bào)道保密審查數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)宣傳報(bào)道環(huán)論文發(fā)表審查情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)保密項(xiàng)目審查單數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)涉密會(huì)議 涉密會(huì)議召開數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)涉密會(huì)議管理異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)外場試驗(yàn) 攜帶密品密件數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)外場試驗(yàn)異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)協(xié)作配套管理 涉密項(xiàng)目情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)協(xié)作配套異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)涉外管理對(duì)外合作交流情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)對(duì)外提供涉密文件資料審查數(shù)量占比 高于某個(gè)值視為風(fēng)險(xiǎn)涉外管理異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)隱患整改情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)監(jiān)督檢查法保密處罰情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)其他異常情況占比 高于某個(gè)值視為風(fēng)險(xiǎn)

因此，由以上推理可以看出：想要求m個(gè)物體的重量，在不直接測量其重量的前提下，可以先將這m個(gè)物體進(jìn)行兩兩比較相對(duì)重量，構(gòu)造出一個(gè)兩兩比較的矩陣，然后，通過計(jì)算該矩陣的最大特征根和特征向量的方法，可得到這m個(gè)物體的重量，層次分析法就是利用這一原理確定各項(xiàng)指標(biāo)的權(quán)重的。

綜上所述，利用層次分析法確定各個(gè)風(fēng)險(xiǎn)點(diǎn)的權(quán)重時(shí)，需要分為3步，第一步需要邀請(qǐng)一批行業(yè)內(nèi)相關(guān)專家作為評(píng)價(jià)人員；第二步請(qǐng)?jiān)u價(jià)人員根據(jù)經(jīng)驗(yàn)對(duì)各個(gè)風(fēng)險(xiǎn)點(diǎn)的兩兩相對(duì)重要性給出定性描述；第三步是將評(píng)價(jià)人員給出的定性描述形成兩兩比較矩陣，并通過矩陣計(jì)算方法計(jì)算出矩陣特征值和特征向量，即應(yīng)用層次分析法分析出風(fēng)險(xiǎn)點(diǎn)相應(yīng)的權(quán)重。

2）應(yīng)用層次分析法評(píng)估風(fēng)險(xiǎn)點(diǎn)的權(quán)重

本文借鑒層次分析法確定權(quán)重的方法，邀請(qǐng)了10名專家，結(jié)合某軍工單位的實(shí)際對(duì)表1中的風(fēng)險(xiǎn)點(diǎn)提出兩兩比較結(jié)果的意見，形成了兩兩比較矩陣，應(yīng)用數(shù)理計(jì)算方法，計(jì)算了兩兩比較矩陣的最大特征根和特征向量，進(jìn)而確定了各個(gè)風(fēng)險(xiǎn)點(diǎn)的風(fēng)險(xiǎn)等級(jí)的定量值，如表3所示。

表3 風(fēng)險(xiǎn)點(diǎn)權(quán)重的確認(rèn)

注：限于篇幅，不一一列舉56項(xiàng)風(fēng)險(xiǎn)（第二層次）所對(duì)應(yīng)的權(quán)重，但所有項(xiàng)權(quán)重之和為1，即：0.0127+0.0179+0.0161+0.0183+0.0168+0.0183+0.0184+0.0178+0.0181+0.0170+0.0178+0.0180+0.0182+0.01 79+0.0171+0.0173+0.0171+0.0183+0.0172+0.0172+0.0170+0.0170+0.0197+0.0190+0.0183+0.0189+0.0173+0.0189+0.0170+0.0183+0.0170+0.0182+0.0181+0.0189+0.0181+0.0187+0.0170+0.0188+0.0170+0.0185+0.01 83+0.0170+0.0171+0.0173+0.0174+0.0178+0.0176+0.0181+0.0171+0.0186+0.0171+0.0173+0.0182+0.0190+0.0200+0.0184=1。

（3）風(fēng)險(xiǎn)應(yīng)對(duì)

通過上文介紹的風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估的成果，在日常工作中，定期對(duì)各類風(fēng)險(xiǎn)進(jìn)行評(píng)估，并對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，并結(jié)合上文計(jì)算的權(quán)重，計(jì)算出當(dāng)前風(fēng)險(xiǎn)評(píng)估值。

例如，2017年6月，某軍工單位對(duì)56項(xiàng)風(fēng)險(xiǎn)點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，包含上級(jí)制度更新比例、因私出國人員比例、外送數(shù)據(jù)比例、降密打印記錄、涉密臺(tái)式計(jì)算機(jī)各類異常比例、隱患整改情況占比、保密處罰情況占比等7項(xiàng)風(fēng)險(xiǎn)點(diǎn)超閥值，經(jīng)計(jì)算，風(fēng)險(xiǎn)評(píng)估值=1*0.0172+1*0.0178+1*0.018 3+1*0.0197+1*0.0189+1*0.0190+1*0.02=0.1309，（提前設(shè)定保密管理風(fēng)險(xiǎn)點(diǎn)總的評(píng)估值的警戒線，如超出警戒線（如定為0.3）），若出現(xiàn)風(fēng)險(xiǎn)評(píng)估值超出警戒線情況，管理人員將及時(shí)作出應(yīng)對(duì)，防控可能的風(fēng)險(xiǎn)，并通過修訂規(guī)章、改進(jìn)流程、加強(qiáng)監(jiān)督等方式及時(shí)改進(jìn)管理工作，如未超出警戒線，可延續(xù)當(dāng)前管理流程，僅針對(duì)具體風(fēng)險(xiǎn)進(jìn)行管控。

本文將風(fēng)險(xiǎn)管理理念和層次分析法應(yīng)用于在保密管理工作中，建立了一個(gè)有效的基于風(fēng)險(xiǎn)管控理論的保密管理模式，即通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)權(quán)重分析、制定改進(jìn)措施、評(píng)價(jià)效果等步驟，周而復(fù)始的循環(huán)，形成有效的PDCA持續(xù)改進(jìn)機(jī)制。有效應(yīng)用風(fēng)險(xiǎn)管理理念和層次分析法開展保密工作風(fēng)險(xiǎn)管理能夠逐步降低失泄密風(fēng)險(xiǎn)點(diǎn)，不斷提升保密管理水平，為新時(shí)代保密管理工作提供一種新思路。