柴瑩+陳武+吳鸞鶯+趙簡

保密工作事關(guān)黨和國家事業(yè)發(fā)展全局，關(guān)系國家安全。隨著經(jīng)濟(jì)全球化、信息化、網(wǎng)絡(luò)化的快速發(fā)展，以及我國綜合國力和國際影響力的持續(xù)提升，保密工作面臨著更加嚴(yán)峻的形勢與挑戰(zhàn)，工作難度持續(xù)增大。大型國有企業(yè)作為國家骨干企業(yè)，備受國內(nèi)外關(guān)注，做好大型國有企業(yè)的失泄密風(fēng)險(xiǎn)管理具有重要意義。保密工作重在預(yù)防，失泄密風(fēng)險(xiǎn)管理直接決定著保密工作的效果。本文有效利用風(fēng)險(xiǎn)管理理論，逐步構(gòu)建了全方位、無死角大型企業(yè)失泄密風(fēng)險(xiǎn)防控體系，并在大型企業(yè)中進(jìn)行了實(shí)踐應(yīng)用，取得良好效果。企業(yè)可參照、套用本論文研究提出的框架與思路，查找防控風(fēng)險(xiǎn)點(diǎn)，堵塞管理漏洞，降低管理成本，有效提升保密工作管理水平。

一、宗旨

本論文研究目的是為大型企業(yè)失泄密風(fēng)險(xiǎn)管理提供解決方案，從而進(jìn)一步提升大型企業(yè)應(yīng)對失泄密風(fēng)險(xiǎn)的管控能力。首先概括提出失泄密風(fēng)險(xiǎn)管理十大維度，研究列示常見失泄密風(fēng)險(xiǎn)點(diǎn);其次，構(gòu)建失泄密風(fēng)險(xiǎn)管理框架進(jìn)行風(fēng)險(xiǎn)診斷分析;最后針對不同類型的風(fēng)險(xiǎn)點(diǎn)提出相應(yīng)的防范措施。

二、失泄密風(fēng)險(xiǎn)管理十大維度

根據(jù)專家訪談、實(shí)踐經(jīng)驗(yàn)、查閱相關(guān)制度等，總結(jié)梳理出失泄密10個風(fēng)險(xiǎn)維度，分別為保密工作責(zé)任制、保密制度建設(shè)、保密宣教培訓(xùn)、涉密人員管理、定密管理、信息系統(tǒng)和信息設(shè)備管理、涉密載體管理、涉密場所管理、涉密活動管理、涉外活動管理。針對10個風(fēng)險(xiǎn)維度研究提出風(fēng)險(xiǎn)點(diǎn)。

1.保密工作責(zé)任

保密工作責(zé)任制是保密工作管理中最重要的一個方面，只有將責(zé)任落實(shí)到人，再進(jìn)一步加強(qiáng)管理，保密工作才能做到萬無一失。

風(fēng)險(xiǎn)點(diǎn)包括：保密委員會作用發(fā)揮有限，保密委員會形同虛設(shè)，不按期召開會議并研究部署失泄密風(fēng)險(xiǎn)防范的有關(guān)重大問題;主要負(fù)責(zé)人對失泄密風(fēng)險(xiǎn)防范工作重視程度不夠，不能高度重視和定期開展有關(guān)重大問題研究;保密分管領(lǐng)導(dǎo)不重視失泄密風(fēng)險(xiǎn)防范;業(yè)務(wù)分管領(lǐng)導(dǎo)對失泄密風(fēng)險(xiǎn)防范意識不強(qiáng)，不能做到失泄密風(fēng)險(xiǎn)防范與業(yè)務(wù)工作同部署、同研究;保密工作人員不能有效履行失泄密風(fēng)險(xiǎn)防范監(jiān)督管理職能，對研究部署失泄密風(fēng)險(xiǎn)防范工作不及時(shí)，缺乏對保密工作開展督促、指導(dǎo)和檢查;業(yè)務(wù)員工忽視失泄密風(fēng)險(xiǎn)防范;對失泄密風(fēng)險(xiǎn)防范的支持力度不足;未建立失泄密事件報(bào)告、處罰機(jī)制。

2.保密制度建設(shè)

保密制度健全使保密工作有章可循才能實(shí)現(xiàn)保密工作做到無縫隙管理。

風(fēng)險(xiǎn)點(diǎn)包括：保密制度不健全，不能結(jié)合工作實(shí)際建立健全各項(xiàng)保密工作制度;保密制度可操作性差;不能及時(shí)修訂完善制度，缺乏保密制度修訂完善機(jī)制，根據(jù)情況變化修訂完善相關(guān)保密制度的及時(shí)性不夠。

3.保密宣教培訓(xùn)

做好保密工作宣傳教育可以使保密相關(guān)制度條款及時(shí)、系統(tǒng)地宣傳貫徹到工作人員當(dāng)中，做到入心入腦、銘記于心，這樣才能使工作“不走樣”。

風(fēng)險(xiǎn)點(diǎn)包括：全員失泄密風(fēng)險(xiǎn)防范意識不強(qiáng)，全員保密工作普及宣傳力度不足，員工普遍缺乏失泄密風(fēng)險(xiǎn)防范意識;保密文件、法規(guī)、制度等精神不能及時(shí)傳達(dá)、學(xué)習(xí)，不能定期、及時(shí)開展保密培訓(xùn);保密宣教培訓(xùn)頻率低、宣貫力度不夠，缺乏系統(tǒng)性的宣教培訓(xùn)，不能按要求組織全員失泄密風(fēng)險(xiǎn)防范知識的宣傳、培訓(xùn)和學(xué)習(xí);全員保密宣教培訓(xùn)參與程度低。

4.涉密人員管理

保密工作人員中的涉密人員是知悉、接觸秘密信息的工作人員，只有對這部分人員加強(qiáng)管理才能保證秘密信息不泄露。

風(fēng)險(xiǎn)點(diǎn)包括：對涉密人員缺乏分類分級管理，沒有根據(jù)涉密程度和重要性等因素，對涉密人員進(jìn)行細(xì)化分類管理;對涉密人員缺乏資格審查，在涉密人員上崗前缺乏對其進(jìn)行嚴(yán)格資格審查，并簽訂保密承諾書;對涉密人員缺乏出國（境）審批，沒有按照有關(guān)規(guī)定對涉密人員因私出國（境）等事項(xiàng)進(jìn)行嚴(yán)格審批;有的單位對涉密人員缺乏離崗清退管理，不能按照有關(guān)規(guī)定督促涉密人員離崗前清退涉密載體等物品;有的單位對涉密人員缺乏脫密期管理。

5.定密管理

在單位海量的信息中準(zhǔn)確劃分涉密信息范圍并且加強(qiáng)管理才能使工作人員明確秘密事項(xiàng)范圍，做好保密工作。

風(fēng)險(xiǎn)點(diǎn)包括：保密事項(xiàng)范圍不清晰，沒有制定本單位保密事項(xiàng)范圍一覽表;定密程序缺乏規(guī)范性，沒有完整的審核審批手續(xù);信息發(fā)布、發(fā)表不經(jīng)保密審查，保密審查審批程序不完善，信息發(fā)布、論文發(fā)表缺乏履行審查審批程序。

6.信息系統(tǒng)和信息設(shè)備管理

隨著信息化步伐加快，利用信息系統(tǒng)、信息設(shè)備管理處理、管理信息已成為趨勢，做好信息系統(tǒng)、設(shè)備的管理才能有效防止電子信息的泄密。

風(fēng)險(xiǎn)點(diǎn)包括：信息內(nèi)網(wǎng)缺乏安全防護(hù)措施;對信息內(nèi)網(wǎng)建設(shè)單位缺乏安全保密管理，信息內(nèi)網(wǎng)建設(shè)沒有選擇有資質(zhì)單位進(jìn)行建設(shè)，或者沒有與建設(shè)單位簽訂保密協(xié)議;對信息內(nèi)網(wǎng)建設(shè)單位人員缺乏保密審查，忽視對信息內(nèi)網(wǎng)和計(jì)算機(jī)運(yùn)行維護(hù)單位的資質(zhì)和人員進(jìn)行保密審查;涉密介質(zhì)管理粗放，未按要求建立計(jì)算機(jī)和移動存儲介質(zhì)登記臺賬、粘貼密級標(biāo)志，并明確責(zé)任人及設(shè)備編號，未按要求存放和使用;涉密計(jì)算機(jī)安全保密措施不到位，沒有采取符合保密標(biāo)準(zhǔn)的安全措施;涉密計(jì)算機(jī)使用不規(guī)范，涉密計(jì)算機(jī)未單機(jī)運(yùn)行，安裝使用具有無線功能的模塊和外圍設(shè)備;移動介質(zhì)交叉使用頻繁;存在違反規(guī)定使用中央文件現(xiàn)象;自動化設(shè)備使用違反保密規(guī)定;信息內(nèi)外網(wǎng)計(jì)算機(jī)之間頻繁交互信息資料;存在違規(guī)使用外網(wǎng)計(jì)算機(jī)辦公現(xiàn)象。

7.涉密載體管理

存放涉密信息的載體即為涉密載體，對這些載體加強(qiáng)管理才能有效做好保密工作。

風(fēng)險(xiǎn)點(diǎn)包括：涉密載體管理不符合規(guī)定，對于國家秘密、公司秘密等載體（包括紙質(zhì)）的制作、收發(fā)、傳遞、復(fù)制、使用、保存、維修、銷毀等不嚴(yán)格按照保密管理規(guī)定執(zhí)行;對于各類秘密事項(xiàng)缺乏知悉范圍界定，不能根據(jù)工作需要，確定各類秘密事項(xiàng)的知悉人員或崗位范圍;對于各類秘密事項(xiàng)缺乏知悉情況書面登記。

8.涉密場所管理

存放涉密信息的場所即為涉密場所，加強(qiáng)對涉密場所的管理才能有效做好保密工作。

風(fēng)險(xiǎn)點(diǎn)包括：對保密要害部門缺乏防護(hù)措施，對保密要害部門、部位沒有按照有關(guān)規(guī)定采取人防、物防、技防等防護(hù)措施;對進(jìn)入涉密場所和保密要害部門、部位的人員缺乏采取相應(yīng)保密管理措施。

9.涉密活動管理

涉及秘密信息的活動即為涉密活動，對涉密活動加強(qiáng)管理才能有效做好保密工作。

風(fēng)險(xiǎn)點(diǎn)包括：對參與涉密活動人員管理不嚴(yán)密;對涉密活動過程缺乏保密監(jiān)管;對公司重要科研成果、專利等未進(jìn)行有效保護(hù)。

10.涉外活動管理

做好對涉外活動的管理，才能有效防止涉密信息泄露到境外。

風(fēng)險(xiǎn)點(diǎn)包括：對外提供文件資料缺乏保密審查;出國（境）人員保密管理不嚴(yán)密;對境外分支機(jī)構(gòu)缺乏保密管理和監(jiān)督指導(dǎo)。

三、構(gòu)建大型企業(yè)失泄密風(fēng)險(xiǎn)管理框架

針對風(fēng)險(xiǎn)點(diǎn)進(jìn)行風(fēng)險(xiǎn)分析，根據(jù)風(fēng)險(xiǎn)的重要程度和風(fēng)險(xiǎn)發(fā)生可能性對風(fēng)險(xiǎn)程度進(jìn)行綜合判斷，對不同種類風(fēng)險(xiǎn)采取不同管控措施。從制度、職責(zé)、流程、標(biāo)準(zhǔn)、考核5個方面（“五位一體”），健全失泄密風(fēng)險(xiǎn)管理體系。

四、大型企業(yè)失泄密風(fēng)險(xiǎn)管理框架的應(yīng)用

1.主要潛在失泄密風(fēng)險(xiǎn)量化評價(jià)方法

選用風(fēng)險(xiǎn)矩陣法進(jìn)行風(fēng)險(xiǎn)量化分析與評估。從風(fēng)險(xiǎn)的重要性和風(fēng)險(xiǎn)發(fā)生的可能性兩個方面對風(fēng)險(xiǎn)進(jìn)行量化評價(jià)。風(fēng)險(xiǎn)量化評估采用問卷調(diào)研實(shí)現(xiàn)，具體方法為李克特量表法。將“風(fēng)險(xiǎn)重要性”和“風(fēng)險(xiǎn)發(fā)生可能性”分為5個等級，各數(shù)字對應(yīng)含義如表2所示。

2.風(fēng)險(xiǎn)評價(jià)問卷調(diào)研實(shí)施

對十個風(fēng)險(xiǎn)維度的評價(jià)結(jié)果進(jìn)行統(tǒng)計(jì)分析，結(jié)果如表3所示。

對十個維度的風(fēng)險(xiǎn)評價(jià)結(jié)果進(jìn)行分析發(fā)現(xiàn)：總體來看十個維度的風(fēng)險(xiǎn)均為較為重要且比較不容易發(fā)生。為了進(jìn)一步分析十個風(fēng)險(xiǎn)維度之間的差異性，對原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理（標(biāo)準(zhǔn)Z分?jǐn)?shù)），結(jié)果發(fā)現(xiàn)：“雙高”風(fēng)險(xiǎn)為保密工作責(zé)任制、信息系統(tǒng)和信息設(shè)備管理;重要性高但發(fā)生可能性低的風(fēng)險(xiǎn)為：涉密場所管理、涉密活動管理、涉外活動管理;重要性低但發(fā)生可能性高的風(fēng)險(xiǎn)為：定密管理、涉密載體管理、保密宣教培訓(xùn);“雙低”風(fēng)險(xiǎn)為：保密制度建設(shè)、涉密人員管理。

針對各維度以同樣的方法進(jìn)行風(fēng)險(xiǎn)分析。

五、結(jié)論

失泄密風(fēng)險(xiǎn)管理重在預(yù)防，利用科學(xué)有效的方法查找出潛在風(fēng)險(xiǎn)隱患只是預(yù)防的第一步，還需要利用“五位一體”模型針對風(fēng)險(xiǎn)點(diǎn)對保密工作進(jìn)行有效管理，這樣才能嚴(yán)密堵塞失泄密風(fēng)險(xiǎn)漏洞，做到失泄密事故“零發(fā)生”。