大型企業失泄密風險防控研究

柴瑩+陳武+吳鸞鶯+趙簡

保密工作事關黨和國家事業發展全局，關系國家安全。隨著經濟全球化、信息化、網絡化的快速發展，以及我國綜合國力和國際影響力的持續提升，保密工作面臨著更加嚴峻的形勢與挑戰，工作難度持續增大。大型國有企業作為國家骨干企業，備受國內外關注，做好大型國有企業的失泄密風險管理具有重要意義。保密工作重在預防，失泄密風險管理直接決定著保密工作的效果。本文有效利用風險管理理論，逐步構建了全方位、無死角大型企業失泄密風險防控體系，并在大型企業中進行了實踐應用，取得良好效果。企業可參照、套用本論文研究提出的框架與思路，查找防控風險點，堵塞管理漏洞，降低管理成本，有效提升保密工作管理水平。

一、宗旨

本論文研究目的是為大型企業失泄密風險管理提供解決方案，從而進一步提升大型企業應對失泄密風險的管控能力。首先概括提出失泄密風險管理十大維度，研究列示常見失泄密風險點;其次，構建失泄密風險管理框架進行風險診斷分析;最后針對不同類型的風險點提出相應的防范措施。

二、失泄密風險管理十大維度

根據專家訪談、實踐經驗、查閱相關制度等，總結梳理出失泄密10個風險維度，分別為保密工作責任制、保密制度建設、保密宣教培訓、涉密人員管理、定密管理、信息系統和信息設備管理、涉密載體管理、涉密場所管理、涉密活動管理、涉外活動管理。針對10個風險維度研究提出風險點。

1.保密工作責任

保密工作責任制是保密工作管理中最重要的一個方面，只有將責任落實到人，再進一步加強管理，保密工作才能做到萬無一失。

風險點包括：保密委員會作用發揮有限，保密委員會形同虛設，不按期召開會議并研究部署失泄密風險防范的有關重大問題;主要負責人對失泄密風險防范工作重視程度不夠，不能高度重視和定期開展有關重大問題研究;保密分管領導不重視失泄密風險防范;業務分管領導對失泄密風險防范意識不強，不能做到失泄密風險防范與業務工作同部署、同研究;保密工作人員不能有效履行失泄密風險防范監督管理職能，對研究部署失泄密風險防范工作不及時，缺乏對保密工作開展督促、指導和檢查;業務員工忽視失泄密風險防范;對失泄密風險防范的支持力度不足;未建立失泄密事件報告、處罰機制。

2.保密制度建設

保密制度健全使保密工作有章可循才能實現保密工作做到無縫隙管理。

風險點包括：保密制度不健全，不能結合工作實際建立健全各項保密工作制度;保密制度可操作性差;不能及時修訂完善制度，缺乏保密制度修訂完善機制，根據情況變化修訂完善相關保密制度的及時性不夠。

3.保密宣教培訓

做好保密工作宣傳教育可以使保密相關制度條款及時、系統地宣傳貫徹到工作人員當中，做到入心入腦、銘記于心，這樣才能使工作“不走樣”。

風險點包括：全員失泄密風險防范意識不強，全員保密工作普及宣傳力度不足，員工普遍缺乏失泄密風險防范意識;保密文件、法規、制度等精神不能及時傳達、學習，不能定期、及時開展保密培訓;保密宣教培訓頻率低、宣貫力度不夠，缺乏系統性的宣教培訓，不能按要求組織全員失泄密風險防范知識的宣傳、培訓和學習;全員保密宣教培訓參與程度低。

4.涉密人員管理

保密工作人員中的涉密人員是知悉、接觸秘密信息的工作人員，只有對這部分人員加強管理才能保證秘密信息不泄露。

風險點包括：對涉密人員缺乏分類分級管理，沒有根據涉密程度和重要性等因素，對涉密人員進行細化分類管理;對涉密人員缺乏資格審查，在涉密人員上崗前缺乏對其進行嚴格資格審查，并簽訂保密承諾書;對涉密人員缺乏出國（境）審批，沒有按照有關規定對涉密人員因私出國（境）等事項進行嚴格審批;有的單位對涉密人員缺乏離崗清退管理，不能按照有關規定督促涉密人員離崗前清退涉密載體等物品;有的單位對涉密人員缺乏脫密期管理。

5.定密管理

在單位海量的信息中準確劃分涉密信息范圍并且加強管理才能使工作人員明確秘密事項范圍，做好保密工作。

風險點包括：保密事項范圍不清晰，沒有制定本單位保密事項范圍一覽表;定密程序缺乏規范性，沒有完整的審核審批手續;信息發布、發表不經保密審查，保密審查審批程序不完善，信息發布、論文發表缺乏履行審查審批程序。

6.信息系統和信息設備管理

隨著信息化步伐加快，利用信息系統、信息設備管理處理、管理信息已成為趨勢，做好信息系統、設備的管理才能有效防止電子信息的泄密。

風險點包括：信息內網缺乏安全防護措施;對信息內網建設單位缺乏安全保密管理，信息內網建設沒有選擇有資質單位進行建設，或者沒有與建設單位簽訂保密協議;對信息內網建設單位人員缺乏保密審查，忽視對信息內網和計算機運行維護單位的資質和人員進行保密審查;涉密介質管理粗放，未按要求建立計算機和移動存儲介質登記臺賬、粘貼密級標志，并明確責任人及設備編號，未按要求存放和使用;涉密計算機安全保密措施不到位，沒有采取符合保密標準的安全措施;涉密計算機使用不規范，涉密計算機未單機運行，安裝使用具有無線功能的模塊和外圍設備;移動介質交叉使用頻繁;存在違反規定使用中央文件現象;自動化設備使用違反保密規定;信息內外網計算機之間頻繁交互信息資料;存在違規使用外網計算機辦公現象。

7.涉密載體管理

存放涉密信息的載體即為涉密載體，對這些載體加強管理才能有效做好保密工作。

風險點包括：涉密載體管理不符合規定，對于國家秘密、公司秘密等載體（包括紙質）的制作、收發、傳遞、復制、使用、保存、維修、銷毀等不嚴格按照保密管理規定執行;對于各類秘密事項缺乏知悉范圍界定，不能根據工作需要，確定各類秘密事項的知悉人員或崗位范圍;對于各類秘密事項缺乏知悉情況書面登記。

8.涉密場所管理

存放涉密信息的場所即為涉密場所，加強對涉密場所的管理才能有效做好保密工作。

風險點包括：對保密要害部門缺乏防護措施，對保密要害部門、部位沒有按照有關規定采取人防、物防、技防等防護措施;對進入涉密場所和保密要害部門、部位的人員缺乏采取相應保密管理措施。

9.涉密活動管理

涉及秘密信息的活動即為涉密活動，對涉密活動加強管理才能有效做好保密工作。

風險點包括：對參與涉密活動人員管理不嚴密;對涉密活動過程缺乏保密監管;對公司重要科研成果、專利等未進行有效保護。

10.涉外活動管理

做好對涉外活動的管理，才能有效防止涉密信息泄露到境外。

風險點包括：對外提供文件資料缺乏保密審查;出國（境）人員保密管理不嚴密;對境外分支機構缺乏保密管理和監督指導。

三、構建大型企業失泄密風險管理框架

針對風險點進行風險分析，根據風險的重要程度和風險發生可能性對風險程度進行綜合判斷，對不同種類風險采取不同管控措施。從制度、職責、流程、標準、考核5個方面（“五位一體”），健全失泄密風險管理體系。

四、大型企業失泄密風險管理框架的應用

1.主要潛在失泄密風險量化評價方法

選用風險矩陣法進行風險量化分析與評估。從風險的重要性和風險發生的可能性兩個方面對風險進行量化評價。風險量化評估采用問卷調研實現，具體方法為李克特量表法。將“風險重要性”和“風險發生可能性”分為5個等級，各數字對應含義如表2所示。

2.風險評價問卷調研實施

對十個風險維度的評價結果進行統計分析，結果如表3所示。

對十個維度的風險評價結果進行分析發現：總體來看十個維度的風險均為較為重要且比較不容易發生。為了進一步分析十個風險維度之間的差異性，對原始數據進行標準化處理（標準Z分數），結果發現：“雙高”風險為保密工作責任制、信息系統和信息設備管理;重要性高但發生可能性低的風險為：涉密場所管理、涉密活動管理、涉外活動管理;重要性低但發生可能性高的風險為：定密管理、涉密載體管理、保密宣教培訓;“雙低”風險為：保密制度建設、涉密人員管理。

針對各維度以同樣的方法進行風險分析。

五、結論

失泄密風險管理重在預防，利用科學有效的方法查找出潛在風險隱患只是預防的第一步，還需要利用“五位一體”模型針對風險點對保密工作進行有效管理，這樣才能嚴密堵塞失泄密風險漏洞，做到失泄密事故“零發生”。