楊華

【摘 要】改革后，我國的各個行業(yè)都得到了很大的發(fā)展，在各個行業(yè)中所面臨的問題也逐漸出現(xiàn)。其中，風險管理作為一個重要理念已融入到涉密資質(zhì)單位保密管理過程中。涉密信息系統(tǒng)集成資質(zhì)保密標準要求資質(zhì)單位應定期對系統(tǒng)集成業(yè)務、人員、資產(chǎn)、場所等主要管理活動進行保密風險評估，有效防控泄密風險，消除泄密隱患，確保保密工作萬無一失。但在實際工作中，一些涉密資質(zhì)單位對保密風險管理的認識不夠，風險評估報告與風險管理制度不對應，保密管理與單位生產(chǎn)經(jīng)營相脫節(jié)，存在“兩張皮”的問題。對此，涉密資質(zhì)單位應堅持積極防范、突出重點，在全面掌握企業(yè)保密風險因素的前提下，建立全流程、全方位的風險管理體系就顯得十分必要。筆者將針對以下幾點內(nèi)容，對涉密資質(zhì)單位做好保密風險管理進行探討。

【關(guān)鍵詞】涉密資質(zhì)；單位保密；風險管理；探討

引言

隨著《涉密信息系統(tǒng)集成資質(zhì)管理辦法》和《涉密信息系統(tǒng)集成資質(zhì)保密標準》的出臺，涉密信息系統(tǒng)資質(zhì)和國家秘密載體印制資質(zhì)審查工作已全面開展。在審查工作中發(fā)現(xiàn)，資質(zhì)單位在保密管理體系建設過程中，存在一些共性的重難點問題，主要包括保密風險評估、保密管理與單位日常管理相融合，以及初次申請涉密資質(zhì)單位進行涉密人員界定、要害部位劃分和涉密項目管理等具體問題。

1涉密項目保密管理典型問題

1.1信息較多。

涉密項目全生命周期各個環(huán)節(jié)產(chǎn)生的信息較多，從簽訂合同開始就會產(chǎn)生涉密信息，涉密信息判定工作量大、管理重點多。需要根據(jù)國家保密管理部門按照不同項目的密級要求，根據(jù)最小化原則及實際情況，對項目的技術(shù)文檔、管理信息、過程文件是否涉密進行科學合理的判定。

1.2組織機構(gòu)以及人員不完備，責任未落實

在實際的監(jiān)管工作中，對于監(jiān)管主體的確認一直都不是非常明確，所以導致信息安全保密職責也比較模糊，雖然在日常的保密管理工作中經(jīng)常會提出“誰主管業(yè)務工作，就由誰來負責保密工作”的口號，但是很多企事業(yè)單位對需要保密的內(nèi)容并不是非常明確，所以很多需要保密的工作內(nèi)容并沒有明確的主體，職責非常模糊，導致管理缺失。此外，一些單位并不看重保密的重要性，保密管理隊伍也存在嚴重不足，從而直接導致保密工作的實際需要與管理隊伍之間嚴重不協(xié)調(diào)。

1.3保密管理風險點識別不到位

有些涉密單位的識別方法科學性不足，識別分析的全面性不夠、準確性不高，風險防控措施的有效性不強。涉密單位開展保密風險評估，應結(jié)合實際情況，對涉密業(yè)務、人員、資產(chǎn)、場所、載體等主要管理活動進行全過程、全生命周期的識別分析。同時，應綜合評估各風險發(fā)生概率和一旦發(fā)生風險造成的危害程度，劃分風險等級，提出與風險點一一對應的具體防控措施。

2涉密項目典型保密問題對策

2.1明確涉密信息及管理措施。

保密就是保信息。在項目正式啟動之前，資質(zhì)單位就須根據(jù)國家保密管理部門對涉密項目的定級材料，通過與建設單位的充分溝通，確定項目技術(shù)文檔、管理信息、過程文件中的涉密內(nèi)容及知悉范圍。在這一過程中，應堅持“最小化原則”，以便于明晰管理重點，同時降低不必要的管理工作量。對于大多數(shù)涉密項目，相關(guān)信息化場地、信息化基礎環(huán)境和設施、未初始化涉密數(shù)據(jù)和涉密業(yè)務規(guī)則的軟件系統(tǒng)以及部分過程性文檔均不涉密，應做好保密管理區(qū)分。在明確涉密信息后，在項目實施方案中確認各環(huán)節(jié)的輸入、輸出資料及成果的涉密事項和涉密等級，明確現(xiàn)場實施過程中的保密管理重點，報建設單位保密管理部門最終確定。由于涉密項目建設的參與單位和人員多、信息傳遞的環(huán)節(jié)和界面多，項目的工作效率、工作方式必須服從安全保密要求。

2.2穩(wěn)定涉密人員隊伍，保證保密工作持續(xù)進行

在涉密單位管理工作中，對于比較優(yōu)秀的涉密管理人員一定要給予高度重視，要樹立愛才惜才的理念，為了使其能夠更好地從事保密工作，單位可以依據(jù)實際情況提高這些人員的工資水平，及時解決工作中實際存在的困難，由此保障涉密隊伍的整體穩(wěn)定性。在對涉密人員給予保密補償時可以采用以下3種方式。第一，即時賠償方式。比如涉密人員要臨時參加一些重要的涉密活動或者是非常重要的對外談判時，要針對實際情況一次性對其進行補償。第二，計量補償方式。涉密人員為了保護秘密而使自身的合法利益受到一定損害時，例如研究成果因為涉密不能公開或者上市等，這種情況可以采用國家贖買或者其他方式進行補償。第三，特殊補償方式。針對一些從事特殊工作任務的涉密人員，可以通過補償?shù)姆绞绞蛊涓佑行У芈男斜Ｃ苤贫取?/p>

2.3涉密場所管理方面

一是未按要求安裝管理使用門禁、視頻監(jiān)控、防盜報警等安防系統(tǒng)。涉密資質(zhì)單位應定期檢查維護相關(guān)安防系統(tǒng)，嚴格執(zhí)行視頻監(jiān)控管理檢查機制，確保視頻監(jiān)控信息保存時間不少于3個月。二是涉密場所人員進出管控不嚴。有些涉密資質(zhì)單位涉密場所門禁授權(quán)范圍過大，或授權(quán)進出人員范圍與實際情況不符等。涉密資質(zhì)單位應根據(jù)工作需要，發(fā)放進出涉密場所門禁卡并合理限定進出范圍；應利用門禁系統(tǒng)后臺程序，實時監(jiān)控涉密場所人員進出情況；應對臨時進出人員嚴格履行審批、登記手續(xù)，落實接待人員全程陪同制度。

結(jié)語

涉密單位做好風險管理要健全組織機構(gòu)，加大領(lǐng)導力量，結(jié)合單位實際，定期分析保密形勢，及時排查評估泄密隱患和風險，通過規(guī)范的安全保密策略、操作規(guī)程，制訂風險處理計劃，相關(guān)人員按照計劃實施跟蹤、驗收和反饋控制措施，逐條逐項完善保密管理制度，不斷地將保密風險防控措施融入到單位管理制度和業(yè)務工作流程中，實現(xiàn)動態(tài)的安全循環(huán)評估體系，做到“事前防范、事中控制、事后監(jiān)督”的良性循環(huán)，切實做到人人找風險、人人知風險、人人防風險。

參考文獻：

[1]孫晶晶，陳兆麟，王嘉寧.精準定密動態(tài)管控全方位全時段做好涉密人員保密管理[J].保密科學技術(shù)，2016（10）.

[2]王立京.涉密人員管理的思考與研究[J].商情，2014（27）.

[3]朱奎.對基層政府財政管理存在的問題及對策分析[J].商情，2014（12）.

[4]孫李科.關(guān)于涉密信息系統(tǒng)集成資質(zhì)單位保密管理的幾點思考[J].保密科學技術(shù)，2018（5）.

（作者單位：普洱三鑫科技有限公司）