大型企业失泄密风险防控研究
2016-07-15柴莹陈武吴鸾莺赵简
柴莹+陈武+吴鸾莺+赵简
保密工作事关党和国家事业发展全局,关系国家安全。随着经济全球化、信息化、网络化的快速发展,以及我国综合国力和国际影响力的持续提升,保密工作面临着更加严峻的形势与挑战,工作难度持续增大。大型国有企业作为国家骨干企业,备受国内外关注,做好大型国有企业的失泄密风险管理具有重要意义。保密工作重在预防,失泄密风险管理直接决定着保密工作的效果。本文有效利用风险管理理论,逐步构建了全方位、无死角大型企业失泄密风险防控体系,并在大型企业中进行了实践应用,取得良好效果。企业可参照、套用本论文研究提出的框架与思路,查找防控风险点,堵塞管理漏洞,降低管理成本,有效提升保密工作管理水平。
一、宗旨
本论文研究目的是为大型企业失泄密风险管理提供解决方案,从而进一步提升大型企业应对失泄密风险的管控能力。首先概括提出失泄密风险管理十大维度,研究列示常见失泄密风险点;其次,构建失泄密风险管理框架进行风险诊断分析;最后针对不同类型的风险点提出相应的防范措施。
二、失泄密风险管理十大维度
根据专家访谈、实践经验、查阅相关制度等,总结梳理出失泄密10个风险维度,分别为保密工作责任制、保密制度建设、保密宣教培训、涉密人员管理、定密管理、信息系统和信息设备管理、涉密载体管理、涉密场所管理、涉密活动管理、涉外活动管理。针对10个风险维度研究提出风险点。
1.保密工作责任
保密工作责任制是保密工作管理中最重要的一个方面,只有将责任落实到人,再进一步加强管理,保密工作才能做到万无一失。
风险点包括:保密委员会作用发挥有限,保密委员会形同虚设,不按期召开会议并研究部署失泄密风险防范的有关重大问题;主要负责人对失泄密风险防范工作重视程度不够,不能高度重视和定期开展有关重大问题研究;保密分管领导不重视失泄密风险防范;业务分管领导对失泄密风险防范意识不强,不能做到失泄密风险防范与业务工作同部署、同研究;保密工作人员不能有效履行失泄密风险防范监督管理职能,对研究部署失泄密风险防范工作不及时,缺乏对保密工作开展督促、指导和检查;业务员工忽视失泄密风险防范;对失泄密风险防范的支持力度不足;未建立失泄密事件报告、处罚机制。
2.保密制度建设
保密制度健全使保密工作有章可循才能实现保密工作做到无缝隙管理。
风险点包括:保密制度不健全,不能结合工作实际建立健全各项保密工作制度;保密制度可操作性差;不能及时修订完善制度,缺乏保密制度修订完善机制,根据情况变化修订完善相关保密制度的及时性不够。
3.保密宣教培训
做好保密工作宣传教育可以使保密相关制度条款及时、系统地宣传贯彻到工作人员当中,做到入心入脑、铭记于心,这样才能使工作“不走样”。
风险点包括:全员失泄密风险防范意识不强,全员保密工作普及宣传力度不足,员工普遍缺乏失泄密风险防范意识;保密文件、法规、制度等精神不能及时传达、学习,不能定期、及时开展保密培训;保密宣教培训频率低、宣贯力度不够,缺乏系统性的宣教培训,不能按要求组织全员失泄密风险防范知识的宣传、培训和学习;全员保密宣教培训参与程度低。
4.涉密人员管理
保密工作人员中的涉密人员是知悉、接触秘密信息的工作人员,只有对这部分人员加强管理才能保证秘密信息不泄露。
风险点包括:对涉密人员缺乏分类分级管理,没有根据涉密程度和重要性等因素,对涉密人员进行细化分类管理;对涉密人员缺乏资格审查,在涉密人员上岗前缺乏对其进行严格资格审查,并签订保密承诺书;对涉密人员缺乏出国(境)审批,没有按照有关规定对涉密人员因私出国(境)等事项进行严格审批;有的单位对涉密人员缺乏离岗清退管理,不能按照有关规定督促涉密人员离岗前清退涉密载体等物品;有的单位对涉密人员缺乏脱密期管理。
5.定密管理
在单位海量的信息中准确划分涉密信息范围并且加强管理才能使工作人员明确秘密事项范围,做好保密工作。
风险点包括:保密事项范围不清晰,没有制定本单位保密事项范围一览表;定密程序缺乏规范性,没有完整的审核审批手续;信息发布、发表不经保密审查,保密审查审批程序不完善,信息发布、论文发表缺乏履行审查审批程序。
6.信息系统和信息设备管理
随着信息化步伐加快,利用信息系统、信息设备管理处理、管理信息已成为趋势,做好信息系统、设备的管理才能有效防止电子信息的泄密。
风险点包括:信息内网缺乏安全防护措施;对信息内网建设单位缺乏安全保密管理,信息内网建设没有选择有资质单位进行建设,或者没有与建设单位签订保密协议;对信息内网建设单位人员缺乏保密审查,忽视对信息内网和计算机运行维护单位的资质和人员进行保密审查;涉密介质管理粗放,未按要求建立计算机和移动存储介质登记台账、粘贴密级标志,并明确责任人及设备编号,未按要求存放和使用;涉密计算机安全保密措施不到位,没有采取符合保密标准的安全措施;涉密计算机使用不规范,涉密计算机未单机运行,安装使用具有无线功能的模块和外围设备;移动介质交叉使用频繁;存在违反规定使用中央文件现象;自动化设备使用违反保密规定;信息内外网计算机之间频繁交互信息资料;存在违规使用外网计算机办公现象。
7.涉密载体管理
存放涉密信息的载体即为涉密载体,对这些载体加强管理才能有效做好保密工作。
风险点包括:涉密载体管理不符合规定,对于国家秘密、公司秘密等载体(包括纸质)的制作、收发、传递、复制、使用、保存、维修、销毁等不严格按照保密管理规定执行;对于各类秘密事项缺乏知悉范围界定,不能根据工作需要,确定各类秘密事项的知悉人员或岗位范围;对于各类秘密事项缺乏知悉情况书面登记。
8.涉密场所管理
存放涉密信息的场所即为涉密场所,加强对涉密场所的管理才能有效做好保密工作。
风险点包括:对保密要害部门缺乏防护措施,对保密要害部门、部位没有按照有关规定采取人防、物防、技防等防护措施;对进入涉密场所和保密要害部门、部位的人员缺乏采取相应保密管理措施。
9.涉密活动管理
涉及秘密信息的活动即为涉密活动,对涉密活动加强管理才能有效做好保密工作。
风险点包括:对参与涉密活动人员管理不严密;对涉密活动过程缺乏保密监管;对公司重要科研成果、专利等未进行有效保护。
10.涉外活动管理
做好对涉外活动的管理,才能有效防止涉密信息泄露到境外。
风险点包括:对外提供文件资料缺乏保密审查;出国(境)人员保密管理不严密;对境外分支机构缺乏保密管理和监督指导。
三、构建大型企业失泄密风险管理框架
针对风险点进行风险分析,根据风险的重要程度和风险发生可能性对风险程度进行综合判断,对不同种类风险采取不同管控措施。从制度、职责、流程、标准、考核5个方面(“五位一体”),健全失泄密风险管理体系。
四、大型企业失泄密风险管理框架的应用
1.主要潜在失泄密风险量化评价方法
选用风险矩阵法进行风险量化分析与评估。从风险的重要性和风险发生的可能性两个方面对风险进行量化评价。风险量化评估采用问卷调研实现,具体方法为李克特量表法。将“风险重要性”和“风险发生可能性”分为5个等级,各数字对应含义如表2所示。
2.风险评价问卷调研实施
对十个风险维度的评价结果进行统计分析,结果如表3所示。
对十个维度的风险评价结果进行分析发现:总体来看十个维度的风险均为较为重要且比较不容易发生。为了进一步分析十个风险维度之间的差异性,对原始数据进行标准化处理(标准Z分数),结果发现:“双高”风险为保密工作责任制、信息系统和信息设备管理;重要性高但发生可能性低的风险为:涉密场所管理、涉密活动管理、涉外活动管理;重要性低但发生可能性高的风险为:定密管理、涉密载体管理、保密宣教培训;“双低”风险为:保密制度建设、涉密人员管理。
针对各维度以同样的方法进行风险分析。
五、结论
失泄密风险管理重在预防,利用科学有效的方法查找出潜在风险隐患只是预防的第一步,还需要利用“五位一体”模型针对风险点对保密工作进行有效管理,这样才能严密堵塞失泄密风险漏洞,做到失泄密事故“零发生”。