基于风险管理为核心的军工保密管理体系建设研究
2021-07-02尤信群
刘 莹 尤信群 /文
近年来,随着信息化技术的发展,涉密信息和涉密人员数量也成倍增长,传统保密管理的业务模式受到了前所未有的挑战。部分军工单位大量信息产生与交互工作仍需要通过传统手工方式进行管理,数据量大无法准确统计分析,存在反应慢、响应滞后、无法及时发现业务过程中存在的风险隐患问题。保密管理工作涉及的管理要素、管理维度、管理难度都在增加,加之国家有关保密标准日趋严格,军工单位的保密管理资源很难再增加,有限的管理资源难以满足日益增长的管理需求。部分军工单位的保密管理工作还处于传统的“被动式”状态,即往往是在造成危害和影响之后,才会发现问题和薄弱环节,进行整改。这种“被动式”的管理模式是以付出代价为前提的,而且有些代价是巨大的,教训是惨痛的。因此,亟须构建一种新型的“主动式”的保密管理模式,在保密管理体系问题显性化之前被发现,将问题扼杀于萌芽状态。将风险管理引入保密管理工作就是一个有效的解决办法和途径。保密风险管理旨在做到主动防御、有针对性地防范泄密事件发生,是实现最小的成本使泄密风险控制在可接受水平,以此最大程度地达到保护国家秘密安全的目的。
保密风险管理研究现状分析
在国际标准组织ISO 发布的《ISO Guide 73:2009 风险管理术语》中将“风险”定义为“不确定性对目标的影响”,指客观存在的,在特定情况下、特定期间内,某一事件导致的最终损失的不确定性。进行风险管理即在损失发生之前做出最有效的安排,加强风险的防范与控制,降低风险发生的概率及损失,以达到最大安全保障目标。
针对保密风险管理这一课题,我国学者近年来从保密管理实践角度,做了大量工作,探究了当前基层保密管理存在的问题,提出了一些改进措施和方法,并尝试采用风险管理去预防这些问题的发生。但是,这些风险管理大都是基于当前保密管理体系开展的,未对当前保密管理体系进行重新构建或修正,导致了只关注了当前保密问题,未进行深度分析和研判,造成风险预警模型只能解决当前的实际问题,不能随着时间、空间和对象的变化,进行修正保密管理体系。
军工单位保密管理现状分析
随着军工单位业务工作的不断拓展,保密风险点也在不断增加。有些军工单位虽然部署了打印监控审计系统、公文处理系统、财务管理系统、项目管理系统等信息化管理系统,但保密工作审批大多还在线下进行,纸质审批、纸质登记等传统手工方式进行保密监管效率低下。具体表现在以下几个方面:一是纸质单据弊病多。纸质单据流转效率低下,且难于保管,不易查找,保密流程相关情况难以追溯和监控。二是保密信息杂乱无章。保密相关业务信息种类繁杂,数量增大,监督和管理业务难做,保密管理工作质量难以提高。三是保密自查流于形式。保密自查制度难以有效监督,形式大于意义,导致既增加了业务工作人员的工作量,又未能达到自查的目的。四是关联信息分析缺失。各种安全防护软件之间缺少信息间的关联性分析,数据无法形成合力,造成管理死角。五是业务流程和登记信息脱节。业务流程不能和相关设备或人员动态关联,实际情况和登记信息不同步,导致登记信息不可信。六是变更缺乏有效控制和审批。出现变更时,登记信息的完整性和一致性缺乏保障,出现保密风险时责任难以落实。七是风险预警机制缺失。无法实现保密管理数据实时统计汇总,风险隐患不能及时排查,未构建有效的保密风险防范机制。
研究主要内容
基于风险管理为核心的军工保密管理体系研究主要包括以下几项内容:
开展风险识别。对业务管理、人力资源管理、新闻宣传管理、行政管理、资产管理等生产经营活动进行研究、梳理流程,并对以往的保密监督检查出现的问题和薄弱环节进行整理、分析,准确定位,标注风险点,注明导致其发生的相关因素。
开展风险评估。风险评估是在保密风险识别的基础上,对风险进行量化、分析、判断、排序的过程,为风险处理奠定基础。风险评估可从风险事件发生的可能性、风险影响程度和风险管理改进迫切性3 个维度进行综合度量。
风险事件发生的可能性指分析事件发生的概率大小,具体分为5 个等级,分别赋予1~5 分,表示可能性逐渐增加,1 分表示该风险事件发生的可能性极低,几乎不会发生,5 分表示该风险事件几乎确定会发生。
风险影响程度指如果该风险发生,会对单位保密管理目标所产生影响的大小。风险影响程度分为5 个等级,分别赋予1~5 分,表示影响程度依次加强。1 分代表影响程度很低,基本可以忽略,5 分代表影响程度非常高,对单位保密管理目标有极其重大的影响。
风险管理改进迫切性指在当前的人员意识、管理措施和资源配置等条件下,风险可以按预期目标得到有效管控的程度。风险管理改进迫切性分为5 个等级,分别赋予1~5 分。
建立风险预警体系。从风险发生可能性的大小、影响程度和管理改进迫切性3 个维度建立风险预估模型,给出风险指标数值。当风险指标数值超过预设数值时,触发预警机制,将提示保密管理部门、归口管理部门和承办部门进行风险处理。
开展风险处理。针对发现的风险和风险评估的等级,采取有效的措施,消除隐患和影响,不能完全消除的,尽可能将风险降至最低。针对不同的风险和不同的风险评估等级,健全与之相配套的保密实施方案、预案、失泄密补救方案以及相应的规章制度,不断完善改进当前保密管理体系,最终构建完善的风险应对措施库。
表1 风险发生可能性评估标准
表2 风险影响程度评估标准
表3 风险管理改进迫切性评估标准
构建完善具有保密风险预警功能的保密综合管控系统。建设包含保密责任(含归口管理责任),保密组织机构,保密制度,定密管理,涉密人员管理,保密教育培训管理,涉密载体管理,密品管理,要害部门部位管理,信息系统、信息设备和存储设备管理,新闻宣传管理,涉密会议管理,外场试验管理,协作配套管理,涉外管理,保密监督检查,涉密事件查处,保密工作经费等各类保密流程审查和审批模块的保密综合管控系统(若单位不涉及,则可不建立相关模块)。主要实现以下功能:
实现审批流程电子化。与IT运维管理系统、OA 办公系统、单点登录系统、打印监控审计系统、档案管理系统、项目管理系统和人力资源管理系统等诸多管理系统集成和数据交互,通过信息化固化审批流程,将审批流程电子化,利用保密综合管控系统实现涉密业务的精细化、规范化管理,实现记录可追溯、不可篡改,确保数据的唯一性、准确性。
实现信息沟通。在保密风险识别、风险评估、建立风险预警体系、开展风险处理等方面,利用保密综合管控系统实现各部门可以进行有效的信息沟通。业务部门按计划开展风险识别、风险评估工作,监控并及时填报业务范围内可能存在的保密风险情况;保密管理部门主动收集并获取来自基层的信息反馈,与风险主要涉及部门进行充分沟通,开展风险处理并将处理结果进行记录、反馈,向保密委汇报风险变化趋势、重大风险与经验总结。
实现风险预警机制。保密综合管控系统对相关数据的定期汇聚整合、统计分析,实现保密风险自动评估,形成风险预警机制,解决安全审计工作落实难点,提升对安全威胁的发现、识别、理解、分析能力。
实现智能决策。保密综合管控系统根据统计分析结果,推测总体的特征和规律,辅助进行决策。例如,可根据多元评价指标对涉密人员进行排序,对推荐年度保密先进集体、年度保密个人、进行违反保密规定行为处罚等进行辅助决策;对于考核结果倒数5%的涉密人员提出警告,并定期进行保密培训及保密考试;当涉密人员一年中因私出国次数达到一定次数以后,则限制涉密人员因私出国次数。
实现持续改进与监督管理。保密风险管理是一项持续的循环性工作,是一个系统化的动态管控过程。利用保密综合管控系统,完善具体风险的事中应对措施,及时发布风险应对方案,对已有的实施方案进行调整,适时修改具体策略和措施,修正保密管理体系。保密管理部门可主动向业务部门提供汇总后的风险信息,并将风险应对方案传达至相关责任岗位,监督各部门贯彻落实。
总结与展望
保密工作与各项业务工作是紧密相关的,既是业务工作开展的重要保障,也是实现内部管理的重要内容,同时也是加强单位内部管理的重要手段。引入风险管理的理念,构建一种新型的“主动式”的保密管理体系,实现保密管理体系自我运行和不断完善,对于推动保密工作和内部管理的并行发展具有十分重要的意义。目前,保密风险管理在一些军工单位已经做了一些有益的尝试,也取得了一定的成效,进一步巩固保密风险管理理论和方法,完善保密管理理论体系,为保密管理注入活力,是当前保密人面临的巨大机遇和挑战。