国有大型企业保密制度标准体系研究与设计
2021-02-06国网江苏省电力有限公司陈莉吴建周乔勇洪芦诚
文/国网江苏省电力有限公司 陈莉 吴建周 乔勇 洪芦诚
一、国内外研究与发展情况
(一)国内研究与发展情况。我国高度重视保密标准化工作。早在1982年,国家保密局与原国家质量技术监督局标准化司联合启动了第一个国家保密标准编制工作,现行有效的保密标准共30余项。2016年8月24日,中央网信办、国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》,提出围绕国家战略需求,开展关键信息基础设施保护、网络安全审查等领域的标准化研究工作,以此构建科学统一的网络安全标准体系和标准化工作机制,用以推动网络安全和信息化良性发展。但总体来看,我国的保密标准化建设还不够完善,特别是企业保密标准化建设方面还存在标准滞后、标准粒度较粗、部分领域标准缺失等问题。近年来,随着技术研发、产品检测、装备配备以及平台建设等工作全面开展和不断升级,我国正加快推进保密标准制修进程,深化推进标准化改革发展。军工行业一直是保密标准化的排头兵,国家保密局会同国家国防科技工业局、中央军委装备发展部于2017年联合印发了修订的《武器装备科研生产单位保密资格标准》《武器装备科研生产单位保密资格评分标准》。新标准分为3个等级,涉及6个方面的工作要求,是贯彻落实依法行政及国务院行政审批“放管服”改革要求、进一步规范和加强军工保密资格认定工作的重要举措。此外,我国电力行业多个央企同样高度重视保密标准化建设,开展了大量的工作,进行了积极的探索,先后制定印发了《保密工作管理办法》《保密工作奖惩办法》《领导人员保密工作责任追究管理办法》《涉密办公自动化设备保密管理规定》《保护商业秘密规定》《保密检查工作规定》六大项通用制度,目前已初步构建形成了自上而下、一贯到底的保密通用制度体系。
(二)国外研究与发展情况。西方发达国家较早开始了保密方面的研究和立法。欧洲是最早将保密立法化的地区,瑞典于1766年颁布了《出版自由法》,自此之后又颁布了《政府宪章》《保密法》《表达自由法》,这四部法律组成了瑞典的政府信息公开和保密的法律依据以及执行标准。芬兰于1951年颁布并实施了《公文公开法》;丹麦在1964年制定了《当事人使用政府档案法》;法国于1978年制定了《自由获得行政文件法》;英国于1997年发布《公众知情权白皮书》,于2002年实施《信息自由法案》。美国在安全保密标准化工作方面走在世界的前列:1966年制定实施了《信息自由法》,1974年公布了《隐私权法》,1976年制定了《阳光下的政府法》。1987年,美国国会通过了《计算机安全保密法案》,不但涉及对于国家安全信息保障的条款,还强调了个人敏感信息的重要性。美国国家标准技术研究院(NIST)为美国信息安全保密管理提供了一系列的指南性规范,包括了FIPS系列和SP系列等。除此之外,在网络安全保密领域NAS与DHS也出版了一些标准,对NIST进行了补充,构成了一套完备的信息安全保密规范体系。美国还常以总统令的方式公布保密管理法律规定,奥巴马政府所发布的总统令《国家安全涉密信息》就是现行保密法规。英国与欧盟在保密标准化建设方面紧跟美国前进步伐。如,ISO/IEC 27002就脱胎于英国的国家标准BS7799-1。欧盟非常重视各成员国间的保密标准化,基本自成体系形成了一套完整的保密标准体系。
外企保密培训工作为保密标准化工作带来了以下启示:第一,保密培训形式要丰富多样。良好的保密培训工作可以大大降低泄密事件发生的可能性。利用在线培训和远程教育平台可做到事半功倍。在线培训具有覆盖面广、共享性好、灵活性强、支出成本低,且能够有效解决工作与学习的矛盾等优势。企业还可以通过检查的形式来促进保密培训的进步,促进各部门和员工对保密培训的重视。第二,保密培训内容要细致广泛。外企在小到涉及隐私的个人物品,大至外包单位等方面都提出了保密意识、保密能力要求,一切以商业利益为核心,凡是与商业利益挂钩的内容,都采取了各种保护措施,对各部门的涉密人员都进行专项细致的保密培训。
二、国有大型企业保密制度标准体系拓扑
(一)拓扑设计原则。近年来,随着经济社会的发展和新技术新产品的应用,我国现行保密体系对保密业务范围还不能完全覆盖,保密制度标准、保密技术规范标准、人员岗位保密标准仍存在空白区域,还需要健全保密制度标准化体系,解决“有标可依,有章可循”的问题。基于这些发展与不足并存的现象,在构建保密制度标准体系拓扑时应遵循以下原则:1.相关法律法规的原则;2.新时代发展战略与保密工作目标的原则;3.国家、行业通用的制度标准体系要求;4.分级分类的原则;5.全面性和系统性结合、动态优化调整的原则。
(二)保密制度标准体系拓扑。按照拓扑设计原则,在对现行保密制度进行梳理后,明确了不同层级需要的制度标准,研究构建形成了保密制度标准体系拓扑,展示了三个层级的不同类别保密制度之间的物理和逻辑关系,涵盖了6个通用制度、各级单位数十个保密相关制度/文件,具有“一个核心、双向互动、三类标准、四个层级”(即“1234”)的结构特征,具体如下:1.一个核心。指的是保密制度标准体系拓扑主要以企业颁布实施的《保密工作管理办法》为核心,其在内部为各类保密制度的“母法”,同时对接了国家相关的保密法律法规、战略和发展目标以及行业通用的基础制度标准等,是保密工作开展的根本遵循与核心制度。2.双向互动。指的是在保密制度构建与实施过程中,不同制度间既有自上而下的一脉相承,也有彼此间的互补、细化与拓展,体现了纵向与横向的双向互动,为保密制度在不同层级、不同分部内的流转与实施提供了通道和保障,也促进了保密制度自身的发展与健全进程。3.三类标准。指的是保密制度标准体系拓扑研究构建的保密管理制度标准、技术规范标准、人员岗位保密标准,其中保密管理制度标准包括:商秘管理、监测与检查管理、宣传教育与培训管理、涉密会议和活动管理、奖惩管理、综合管理(含应急管理和考评管理)等;技术规范标准包括了涉密场所和要害部门(部位)管理、涉密载体/设备/档案标准、监测系统、保密管理信息系统等技术标准;人员岗位保密标准包括组织机构、领导干部、涉密人员、普通员工、挂职借用人员等岗位保密标准。涵盖了现行保密相关的全部制度和标准。4.四个层级。自上而下分为四个层级,最上部分为本保密制定标准体系需遵循的相关法律法规、新时代发展战略与保密工作目标以及国家、行业通用的制度标准体系要求;第二部分至第四部分则分别对应了总部、分部和各个其他单位,分设为一级、二级和三级,按照彼此间的逻辑关系,体现保密制定标准体系遵循分级分类的原则。此外,保密制度标准体系拓扑中,特别提出了通用制度,该部分为贯穿各层级各类别的制度,是保密制度标准体系中不可更换和替代的“固化模块”,各单位必须在遵循此类制度的基础上,根据发展需要可进行动态优化调整,设置适合自身发展需要的“动态模块”制度,即构建固化模块+动态模块的区域保密体系标准,但在一定程度上必须以通用制度为基本遵循,共同构建保密制度动态调整的基本依据和基础环境。
(三)拓扑的总体架构与衍生方式。1.总体架构。保密制度标准体系拓扑在总体上包括了管理制度标准、技术规范标准、人员岗位标准三大类别,其基础和边界为管理制度,保障和措施为技术规范,关键与核心在人员,三者共生、相互依存。2.衍生方式。拓扑总体上采取自上而下、由左至右的衍生方式生成,没有反向或双向,各标准模块相互独立,彼此间不构成交叉或包容,在模块范围内各制度间有可能存在关联。具体构成及其含义如下:(1)层级关系。拓扑共有四个层级,位于拓扑最上层是保密制度标准体系的“上位法”,不属于保密制度标准。除此外,自上而下的一级、二级、三级分别表示了由最高层的总部依次到各分部、其他各级单位的衍生关系。也就是说,“一级”是保密制度标准的最高级,“三级”是最低级。大多数保密制度只对应所在层级,但通用制度例外,它将跨多级。(2)制度模块。拓扑共包括了保密管理制度、技术规范、人员岗位保密标准共三类标准,每类标准中分别包括了相关的制度模块,制度模块是由各层级不同的制度构成,主要的模块分布见“表1”。
表1 保密制度标准体系主要制度模块分布表
一般情况下,各制度模块间不交叉,但部分模块例外,如“领导干部”和“涉密人员”等模块。
(四)拓扑的应用与优化机制。保密标准化体系拓扑标明了各制度之间的逻辑关系,在一定范围内体现了制度衍生的脉络,并按照分级分类的原则,展现了各制度在标准体系中的分布,为后续开展保密标准化管理体系构建研究提供了理论基础和支撑,也为保密标准化的发展与变革奠定了基础。保密标准化体系拓扑应随着国家相关法律法规的变更、战略发展的推进而适时优化,在优化过程中应遵循以下原则:1.国家相关法律法规的要求;2.满足企业战略发展需求,解决实际问题;3.兼顾执行保密安全制度和发挥企业效益之间的均衡;4.始终结合社会发展需求,必须通过相应组织决策,逐步把它优化构建成为一个持续改进、动态更新的体系。
三、结语
本文以现行的保密制度为基础,针对国有大型企业保密标准化体系构建的需求,开展了保密制度标准体系拓扑的研究和实际,分析了体系内各构成要素及其彼此间的物理与逻辑关系,并按照分级分类的原则,着重分析各种制度在标准体系中的分布,初步构建形成国有大型企业保密制度标准体系拓扑,为企业后续开展保密标准化管理制度构建提供了理论基础和支撑。