鞠姝妹

【摘? 要】風(fēng)險(xiǎn)管理是企業(yè)建立保密管理長(zhǎng)效機(jī)制的重要手段。論文提出了基于PDCA的保密風(fēng)險(xiǎn)管理模型，從確定目標(biāo)和風(fēng)險(xiǎn)策劃到風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)控制、監(jiān)督與檢查機(jī)制以及資源配置和變更等風(fēng)險(xiǎn)管理的全過程進(jìn)行了探索與研究，同時(shí)提出了實(shí)施保密風(fēng)險(xiǎn)管理的保障措施。

【Abstract】Risk management is an important means for enterprises to establish a long-term mechanism of confidential management. This paper puts forward a PDCA-based confidential risk management model， explores and studies the whole process of risk management from the determination of objectives and risk planning to risk identification， risk control， supervision and inspection mechanism， as well as resource allocation and change， and puts forward the safeguard measures for the implementation of confidentiality risk management.

【關(guān)鍵詞】保密風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理;PDCA

【Keywords】confidential risk; risk management; PDCA

【中圖分類號(hào)】F272.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號(hào)】1673-1069（2020）03-0013-02

1 引言

PDCA是質(zhì)量管理體系持續(xù)改進(jìn)的基本方法，要求把各項(xiàng)工作作出計(jì)劃、按照計(jì)劃實(shí)施、檢查實(shí)施效果，然后將成功的納入標(biāo)準(zhǔn)，不成功的留待下一循環(huán)去解決。將PDCA循環(huán)方法引入保密風(fēng)險(xiǎn)管理，標(biāo)準(zhǔn)即是保密制度和工作流程，通過風(fēng)險(xiǎn)策劃、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制等一系列措施開展保密風(fēng)險(xiǎn)管理活動(dòng)，促進(jìn)保密管理體系的不斷完善，使保密風(fēng)險(xiǎn)降低在可控制的范圍內(nèi)，確保國家秘密安全。

2 基于PDCA的保密風(fēng)險(xiǎn)管理模型

保密風(fēng)險(xiǎn)管理是以頂層業(yè)務(wù)架構(gòu)及其流程體系為依托，制定風(fēng)險(xiǎn)管控的操作流程，做到全面優(yōu)化保密管理業(yè)務(wù)流程和制度體系，以統(tǒng)一管理防范制約保密目標(biāo)實(shí)現(xiàn)的重大風(fēng)險(xiǎn)。通過確定保密風(fēng)險(xiǎn)等級(jí)，有重點(diǎn)地進(jìn)行風(fēng)險(xiǎn)應(yīng)對(duì)，能更好地預(yù)測(cè)、預(yù)防、控制失泄密事件和重大違規(guī)行為的發(fā)生。保密風(fēng)險(xiǎn)管理過程和相應(yīng)的活動(dòng)包括：確定目標(biāo)→建立保密風(fēng)險(xiǎn)框架→風(fēng)險(xiǎn)評(píng)估→風(fēng)險(xiǎn)控制→三級(jí)監(jiān)督與檢查→資源配置與變更管理。

對(duì)應(yīng)PDCA（Plan-Do-Check-Act）模型，確定目標(biāo)，建立保密風(fēng)險(xiǎn)框架屬于計(jì)劃階段（Plan），實(shí)施風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制屬于實(shí)施階段（Do），三級(jí)監(jiān)督與檢查屬于檢查階段（Check），資源配置與變更管理屬于處理階段（Act），如圖1所示。該模型是由風(fēng)險(xiǎn)驅(qū)動(dòng)的保密管理體系持續(xù)改進(jìn)模型，其中風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制是核心[1]。

3 保密風(fēng)險(xiǎn)管理實(shí)施

3.1 確定目標(biāo)和風(fēng)險(xiǎn)策劃

企業(yè)實(shí)施保密風(fēng)險(xiǎn)管理的目標(biāo)就是準(zhǔn)確找到各個(gè)業(yè)務(wù)管理流程中的保密風(fēng)險(xiǎn)、隱患，并根據(jù)風(fēng)險(xiǎn)值合理分配資源投入，同時(shí)有針對(duì)性地制定安全保密防范措施，通過內(nèi)部管理評(píng)審和外部審查，檢查風(fēng)險(xiǎn)控制的有效性和合理性，再進(jìn)行資源配置的調(diào)整和制度流程的完善，最后回歸計(jì)劃形成新的保密風(fēng)險(xiǎn)框架，如此循環(huán)反復(fù)，達(dá)到保密管理體系持續(xù)改進(jìn)的目的。

保密風(fēng)險(xiǎn)框架和管理流程要基于業(yè)務(wù)工作流程，將保密管理節(jié)點(diǎn)融合在科研生產(chǎn)和管理活動(dòng)的業(yè)務(wù)流程中，以流程圖的形式構(gòu)建風(fēng)險(xiǎn)管理框架。

3.2 風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理實(shí)施階段的首要步驟，一般從人、域、物三個(gè)維度來識(shí)別業(yè)務(wù)工作中可能存在的潛在保密風(fēng)險(xiǎn)，對(duì)每個(gè)流程節(jié)點(diǎn)進(jìn)行全面的風(fēng)險(xiǎn)分析，并將識(shí)別出來的風(fēng)險(xiǎn)事件進(jìn)行分類，采用矩陣式方法形成風(fēng)險(xiǎn)事件庫[2]。

3.3 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是在風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上，對(duì)風(fēng)險(xiǎn)進(jìn)行計(jì)量、分析、判斷、排序的過程。我們可以采用LEC評(píng)價(jià)法對(duì)風(fēng)險(xiǎn)事件進(jìn)行打分，L（Likelihood）即風(fēng)險(xiǎn)發(fā)生的可能性，E（Exposure）即風(fēng)險(xiǎn)發(fā)生的頻繁程度，C（Consequence）即風(fēng)險(xiǎn)造成的后果，給三種因素的不同等級(jí)分別確定不同的分值，再以三個(gè)分值的乘積D（Danger，危險(xiǎn)性）來評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)，如表1和表2所示。

3.4 風(fēng)險(xiǎn)控制

作為管理者會(huì)采取各種措施減小風(fēng)險(xiǎn)事件發(fā)生的可能性，或者把可能的損失控制在一定的范圍內(nèi)，以避免在風(fēng)險(xiǎn)事件發(fā)生時(shí)帶來難以承擔(dān)的損失。企業(yè)會(huì)根據(jù)內(nèi)外部環(huán)境以及對(duì)風(fēng)險(xiǎn)的承受度選擇風(fēng)險(xiǎn)控制的方式，主要有風(fēng)險(xiǎn)規(guī)避、損失控制、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)承擔(dān)四種方式，企業(yè)對(duì)風(fēng)險(xiǎn)的承

受度通常取決于風(fēng)險(xiǎn)等級(jí)，一般情況下，風(fēng)險(xiǎn)等級(jí)為A級(jí)和B級(jí)選擇風(fēng)險(xiǎn)規(guī)避，風(fēng)險(xiǎn)等級(jí)為C級(jí)選擇損失控制，風(fēng)險(xiǎn)等級(jí)為D級(jí)選擇風(fēng)險(xiǎn)轉(zhuǎn)移，風(fēng)險(xiǎn)等級(jí)為E級(jí)選擇風(fēng)險(xiǎn)承擔(dān)。

3.5 監(jiān)督與檢查機(jī)制

3.3節(jié)的風(fēng)險(xiǎn)評(píng)估和3.4節(jié)的風(fēng)險(xiǎn)控制都是業(yè)務(wù)管理者對(duì)業(yè)務(wù)活動(dòng)者實(shí)施的二級(jí)監(jiān)管下自評(píng)估和控制行為，企業(yè)應(yīng)建立三級(jí)監(jiān)督與檢查機(jī)制，這才是推動(dòng)PDCA循環(huán)的有力抓手。保密風(fēng)險(xiǎn)管理中的監(jiān)督檢查方式主要有內(nèi)部檢查和外部審查，有條件的企業(yè)可以每年實(shí)施管理評(píng)審，最重要的步驟是制定檢查方案和培訓(xùn)檢查人員，檢查方案主要包括檢查時(shí)間、檢查內(nèi)容和檢查標(biāo)準(zhǔn)等，直接決定了風(fēng)險(xiǎn)管理效能，檢查人員的經(jīng)驗(yàn)、水平和能力也間接影響了風(fēng)險(xiǎn)管理質(zhì)量。

3.6 資源配置和變更

在實(shí)施檢查的基礎(chǔ)上，針對(duì)發(fā)現(xiàn)的問題，要及時(shí)采取措施，確保風(fēng)險(xiǎn)管理的充分性、適宜性和實(shí)效性。這一階段將根據(jù)重新評(píng)估的風(fēng)險(xiǎn)等級(jí)和控制措施確定人、財(cái)、物的資源配置，或是修訂管理制度和重新設(shè)計(jì)業(yè)務(wù)審批流程，形成新的保密風(fēng)險(xiǎn)框架，進(jìn)入新的PDCA循環(huán)，以達(dá)到持續(xù)提升保密風(fēng)險(xiǎn)管理水平的目的。

4 保密風(fēng)險(xiǎn)管理的保障措施

一是健全的保密管理制度是實(shí)施保密風(fēng)險(xiǎn)管理的前提，制度既要符合國家法律法規(guī)和標(biāo)準(zhǔn)，又要符合企業(yè)實(shí)際情況，方便易操作，否則只是“紙上談兵”，要制度流程化，流程信息化;二是合理的獎(jiǎng)懲和考核制度是建立保密風(fēng)險(xiǎn)管理長(zhǎng)效機(jī)制的催化劑，通過考核和獎(jiǎng)懲保證控制措施的執(zhí)行性，同時(shí)調(diào)動(dòng)員工的積極性;三是有效的預(yù)警與應(yīng)急管理制度是保密風(fēng)險(xiǎn)管理的防線，風(fēng)險(xiǎn)的不確定性和變動(dòng)性給我們準(zhǔn)確應(yīng)對(duì)風(fēng)險(xiǎn)帶來了難度，應(yīng)急管理就是通過對(duì)突發(fā)事件的預(yù)防和處置來將損失降到最低，是風(fēng)險(xiǎn)管理的最后一道防線。

5 結(jié)語

開展保密風(fēng)險(xiǎn)管理活動(dòng)，通過合理配置保密管理資源，有效控制和大幅降低保密風(fēng)險(xiǎn)，促使保密管理更加有針對(duì)性、真正落實(shí)預(yù)防為主的保密工作原則，同時(shí)，增強(qiáng)全員保密風(fēng)險(xiǎn)意識(shí)，形成風(fēng)險(xiǎn)思維，提升企業(yè)整體保密防護(hù)能力，以合理的成本使泄密風(fēng)險(xiǎn)控制在能夠接受的狀態(tài)，以合理的代價(jià)獲得最大的保密安全保障。

【參考文獻(xiàn)】

【1】王少剛，吳金秋，李險(xiǎn)峰.企業(yè)保密風(fēng)險(xiǎn)管理的應(yīng)用與實(shí)踐[J].保密科學(xué)技術(shù)，2014（11）：21-26.

【2】張?jiān)葡?保密風(fēng)險(xiǎn)管理應(yīng)用與實(shí)踐[J].數(shù)據(jù)庫與信息管理，2016（19）：57-59.