大型企業(yè)失泄密風險防控研究

1、    大型企業(yè)失泄密風險防控研究    柴瑩+陳武+吳鸞鶯+趙簡保密工作事關(guān)黨和國家事業(yè)發(fā)展全局，關(guān)系國家安全。隨著經(jīng)濟全球化、信息化、網(wǎng)絡(luò)化的快速發(fā)展，以及我國綜合國力和國際影響力的持續(xù)提升，保密工作面臨著更加嚴峻的形勢與挑戰(zhàn)，工作難度持續(xù)增大。大型國有企業(yè)作為國家骨干企業(yè)，備受國內(nèi)外關(guān)注，做好大型國有企業(yè)的失泄密風險管理具有重要意義。保密工作重在預(yù)防，失泄密風險管理直接決定著保密工作的效果。本文有效利用風險管理理論，逐步構(gòu)建了全方位、無死角大型企業(yè)失泄密風險防控體系，并在大型企業(yè)中進行了實踐應(yīng)用，取得良好效果。企業(yè)可參照、套用本論文研究提出的框架與

2、思路，查找防控風險點，堵塞管理漏洞，降低管理成本，有效提升保密工作管理水平。一、宗旨本論文研究目的是為大型企業(yè)失泄密風險管理提供解決方案，從而進一步提升大型企業(yè)應(yīng)對失泄密風險的管控能力。首先概括提出失泄密風險管理十大維度，研究列示常見失泄密風險點;其次，構(gòu)建失泄密風險管理框架進行風險診斷分析;最后針對不同類型的風險點提出相應(yīng)的防范措施。二、失泄密風險管理十大維度根據(jù)專家訪談、實踐經(jīng)驗、查閱相關(guān)制度等，總結(jié)梳理出失泄密10個風險維度，分別為保密工作責任制、保密制度建設(shè)、保密宣教培訓(xùn)、涉密人員管理、定密管理、信息系統(tǒng)和信息設(shè)備管理、涉密載體管理、涉密場所管理、涉密活動管理、涉外活動管理。針對10個

3、風險維度研究提出風險點。1.保密工作責任保密工作責任制是保密工作管理中最重要的一個方面，只有將責任落實到人，再進一步加強管理，保密工作才能做到萬無一失。風險點包括：保密委員會作用發(fā)揮有限，保密委員會形同虛設(shè)，不按期召開會議并研究部署失泄密風險防范的有關(guān)重大問題;主要負責人對失泄密風險防范工作重視程度不夠，不能高度重視和定期開展有關(guān)重大問題研究;保密分管領(lǐng)導(dǎo)不重視失泄密風險防范;業(yè)務(wù)分管領(lǐng)導(dǎo)對失泄密風險防范意識不強，不能做到失泄密風險防范與業(yè)務(wù)工作同部署、同研究;保密工作人員不能有效履行失泄密風險防范監(jiān)督管理職能，對研究部署失泄密風險防范工作不及時，缺乏對保密工作開展督促、指導(dǎo)和檢查;業(yè)務(wù)員工忽

4、視失泄密風險防范;對失泄密風險防范的支持力度不足;未建立失泄密事件報告、處罰機制。2.保密制度建設(shè)保密制度健全使保密工作有章可循才能實現(xiàn)保密工作做到無縫隙管理。風險點包括：保密制度不健全，不能結(jié)合工作實際建立健全各項保密工作制度;保密制度可操作性差;不能及時修訂完善制度，缺乏保密制度修訂完善機制，根據(jù)情況變化修訂完善相關(guān)保密制度的及時性不夠。3.保密宣教培訓(xùn)做好保密工作宣傳教育可以使保密相關(guān)制度條款及時、系統(tǒng)地宣傳貫徹到工作人員當中，做到入心入腦、銘記于心，這樣才能使工作“不走樣”。風險點包括：全員失泄密風險防范意識不強，全員保密工作普及宣傳力度不足，員工普遍缺乏失泄密風險防范意識;保密文件、

5、法規(guī)、制度等精神不能及時傳達、學(xué)習，不能定期、及時開展保密培訓(xùn);保密宣教培訓(xùn)頻率低、宣貫力度不夠，缺乏系統(tǒng)性的宣教培訓(xùn)，不能按要求組織全員失泄密風險防范知識的宣傳、培訓(xùn)和學(xué)習;全員保密宣教培訓(xùn)參與程度低。4.涉密人員管理保密工作人員中的涉密人員是知悉、接觸秘密信息的工作人員，只有對這部分人員加強管理才能保證秘密信息不泄露。風險點包括：對涉密人員缺乏分類分級管理，沒有根據(jù)涉密程度和重要性等因素，對涉密人員進行細化分類管理;對涉密人員缺乏資格審查，在涉密人員上崗前缺乏對其進行嚴格資格審查，并簽訂保密承諾書;對涉密人員缺乏出國（境）審批，沒有按照有關(guān)規(guī)定對涉密人員因私出國（境）等事項進行嚴格審批;有

6、的單位對涉密人員缺乏離崗清退管理，不能按照有關(guān)規(guī)定督促涉密人員離崗前清退涉密載體等物品;有的單位對涉密人員缺乏脫密期管理。5.定密管理在單位海量的信息中準確劃分涉密信息范圍并且加強管理才能使工作人員明確秘密事項范圍，做好保密工作。風險點包括：保密事項范圍不清晰，沒有制定本單位保密事項范圍一覽表;定密程序缺乏規(guī)范性，沒有完整的審核審批手續(xù);信息發(fā)布、發(fā)表不經(jīng)保密審查，保密審查審批程序不完善，信息發(fā)布、論文發(fā)表缺乏履行審查審批程序。6.信息系統(tǒng)和信息設(shè)備管理隨著信息化步伐加快，利用信息系統(tǒng)、信息設(shè)備管理處理、管理信息已成為趨勢，做好信息系統(tǒng)、設(shè)備的管理才能有效防止電子信息的泄密。風險點包括：信息內(nèi)

7、網(wǎng)缺乏安全防護措施;對信息內(nèi)網(wǎng)建設(shè)單位缺乏安全保密管理，信息內(nèi)網(wǎng)建設(shè)沒有選擇有資質(zhì)單位進行建設(shè)，或者沒有與建設(shè)單位簽訂保密協(xié)議;對信息內(nèi)網(wǎng)建設(shè)單位人員缺乏保密審查，忽視對信息內(nèi)網(wǎng)和計算機運行維護單位的資質(zhì)和人員進行保密審查;涉密介質(zhì)管理粗放，未按要求建立計算機和移動存儲介質(zhì)登記臺賬、粘貼密級標志，并明確責任人及設(shè)備編號，未按要求存放和使用;涉密計算機安全保密措施不到位，沒有采取符合保密標準的安全措施;涉密計算機使用不規(guī)范，涉密計算機未單機運行，安裝使用具有無線功能的模塊和外圍設(shè)備;移動介質(zhì)交叉使用頻繁;存在違反規(guī)定使用中央文件現(xiàn)象;自動化設(shè)備使用違反保密規(guī)定;信息內(nèi)外網(wǎng)計算機之間頻繁交互信息資

8、料;存在違規(guī)使用外網(wǎng)計算機辦公現(xiàn)象。 7.涉密載體管理存放涉密信息的載體即為涉密載體，對這些載體加強管理才能有效做好保密工作。風險點包括：涉密載體管理不符合規(guī)定，對于國家秘密、公司秘密等載體（包括紙質(zhì)）的制作、收發(fā)、傳遞、復(fù)制、使用、保存、維修、銷毀等不嚴格按照保密管理規(guī)定執(zhí)行;對于各類秘密事項缺乏知悉范圍界定，不能根據(jù)工作需要，確定各類秘密事項的知悉人員或崗位范圍;對于各類秘密事項缺乏知悉情況書面登記。8.涉密場所管理存放涉密信息的場所即為涉密場所，加強對涉密場所的管理才能有效做好保密工作。風險點包括：對保密要害部門缺乏防護措施，對保密要害部門、部位沒有按照有關(guān)規(guī)定采取人防、物防、技防等防護

9、措施;對進入涉密場所和保密要害部門、部位的人員缺乏采取相應(yīng)保密管理措施。9.涉密活動管理涉及秘密信息的活動即為涉密活動，對涉密活動加強管理才能有效做好保密工作。風險點包括：對參與涉密活動人員管理不嚴密;對涉密活動過程缺乏保密監(jiān)管;對公司重要科研成果、專利等未進行有效保護。10.涉外活動管理做好對涉外活動的管理，才能有效防止涉密信息泄露到境外。風險點包括：對外提供文件資料缺乏保密審查;出國（境）人員保密管理不嚴密;對境外分支機構(gòu)缺乏保密管理和監(jiān)督指導(dǎo)。三、構(gòu)建大型企業(yè)失泄密風險管理框架針對風險點進行風險分析，根據(jù)風險的重要程度和風險發(fā)生可能性對風險程度進行綜合判斷，對不同種類風險采取不同管控措施

10、。從制度、職責、流程、標準、考核5個方面（“五位一體”），健全失泄密風險管理體系。四、大型企業(yè)失泄密風險管理框架的應(yīng)用1.主要潛在失泄密風險量化評價方法選用風險矩陣法進行風險量化分析與評估。從風險的重要性和風險發(fā)生的可能性兩個方面對風險進行量化評價。風險量化評估采用問卷調(diào)研實現(xiàn)，具體方法為李克特量表法。將“風險重要性”和“風險發(fā)生可能性”分為5個等級，各數(shù)字對應(yīng)含義如表2所示。2.風險評價問卷調(diào)研實施對十個風險維度的評價結(jié)果進行統(tǒng)計分析，結(jié)果如表3所示。對十個維度的風險評價結(jié)果進行分析發(fā)現(xiàn)：總體來看十個維度的風險均為較為重要且比較不容易發(fā)生。為了進一步分析十個風險維度之間的差異性，對原始數(shù)據(jù)進行標準化處理（標準z分數(shù)），結(jié)果發(fā)現(xiàn)：“雙高”風險為保密工作責任制、信息系統(tǒng)和信息設(shè)備管理;重要性高但發(fā)生可能性低的風險為：涉密場所管理、涉密活動管理、涉外活動管理;重要性低但發(fā)生可能性高的風險為：定密管理、涉密載體管理