以風險管控為核心的保密管理體系構建與應用

曾 宏

（盛云科技有限公司，昆明 650224）

隨著信息化建設力度的不斷加大也擴大了保密工作的范疇，保密工作的內容、環(huán)境等也變得多樣化、復雜化。在進行保密工作時不僅要面對更高精的竊密還要面對敵對勢力的沖擊。所以，保密工作人員應提升自身思想素質，以風險管控為核心構建起保密管理體系，提升保密工作的質量，促進保密管理工作的科學性、長期性。

1 保密工作概述

“保密”兩個字顧名思義就是保守秘密，對于一個國家來說保密工作就是保守國家、公民、社會組織等關系到安全與利益的秘密，當秘密公開后會直接損害到國家利益、公民利益，因此應確定其控制范圍，并采取有效的保護措施，保障信息的安全。保密工作事關重大，直接關系到國家的安全與利益，更是關乎于國家的改革、穩(wěn)定與發(fā)展的大事，同時會涉及到各個單位、企業(yè)、機關、民眾的安全與發(fā)展，因此，必須要給予高度的重視。隨著信息化的不斷發(fā)展，傳統(tǒng)的保密措施已無法應對高科技的竊密手段，因此應將信息化手段引入到保密工作中構建起新型的保密體系，推動各企事業(yè)單位的保密工作信息化，確保保密工作機制的有效性。

2 識別保密工作中的風險

2.1 保密風險識別內容

在進行保密工作時會面臨各種各樣的風險，因此風險識別工作就顯得非常重要，風險識別是一個動態(tài)的、反饋的、主動探尋的過程，更是保密工作中的主要步驟。給保密工作帶來風險的因素主要可以歸結為外因與內因，其中外因是保密管理的威脅，內因則可以體出現出保密工作的脆弱性，并可以通過保密工作中的資產價值、保密管理與保密威脅來對脆弱性進行識別。

2.1.1 資產的識別

資產是相關機構賦予的直接價值，是需要進行重點保護的，其存在的形式是多樣的，可以將資產分為有形與無形、硬件與軟件、人員與制度、文檔與代碼等。資產的安全可以決定價值的不同，因此所要進行的安全保護也有所區(qū)別，所以應對資產進行準確的識別，這樣做的主要意義是為后期的資產抽樣、風險評估奠定基礎。

2.1.2 威脅的識別

在保密工作中會存在不同的威脅，威脅的產生可以給資產帶來潛在的、不同的破壞，進而導致不良事件的發(fā)生，例如，泄密事件。當出現威脅事件后應對其進行分析，但是大多數時候如后果不嚴重或是沒有意識到基本都會被忽略。保密工作中產生威脅的因素主要有認為因素與環(huán)境因素，認為因素又可以分為有意與無意，環(huán)境因素又可分為不可抗力因素與其它因素。

2.1.3 脆弱的識別

保密工作中也存在一定的脆弱性，也被稱為弱點識別，脆弱的識別可以分為管理弱點與技術弱點。保密工作的脆弱性主要包括保密機構、保密人員、保密環(huán)境、保密工作的配置、保密工作的軟和硬件資產等。弱點具有一定的固定資產屬性，其本身不會給保密工作帶來損失，但是其可能在威脅的作用下成為造成損失的條件或是環(huán)境，因此，必須將弱點進行記錄，以保證可以在不同的條件或環(huán)境中對其進控制。

2.2 保密工作風險識別的主要方法

2.2.1 調研識別方法

在使用調研識別方法時可以先設計風險識別調查問卷，并組織相關業(yè)務部門的人員填寫風險識別問卷，對風險識別工作進行初始識別，并將初始風險進行提出、討論。

2.2.2 整理匯總方法

保密管理部門應將風險識別問卷中涉及到的事件進行總結、歸類、整理與修訂，形成部門的最初風險分類結構并構建起基礎的風險事件數據庫。

3 構建以風險管控為核心的保密管理體系的優(yōu)勢

保密資格標準可以說是保密管理工作的指導書，更是保密管理工作的核心，在此基礎上構建起以風險管控為核心的保密管理體系，合理的運用保密資格標準可以提升保密管理工作的可操作性，并保證管理的科學性與長效性。其次在構建以風險管理為核心的保密工作管理體系時應將保密資格標準作為核心，并將管理系統(tǒng)分為三級監(jiān)控，這樣不僅可以使管理更加全面還可以使責權更加分明，實現保密工作的全過程管理。最后，構建起以風險管控為核心的保密管理體系可以使風險量的計算更加準確并發(fā)現管理體系中的不足，在此基礎上提升保密管理工作的準確性。

4 目前保密工作中存在的不足

4.1 保密工作與研究工作脫離

目前，很多保密工作者在進行保密工作研究時，只是為了保密而保密，并為將其與實際工作相融合，這樣就導致保密人員會產生不良情緒、保密管理工作執(zhí)行力不佳，在一定程度上也影響了保密管理研究工作的效率。此外，在進行保密管理工作時工作人員并未合理的運用智能化與信息化技術，這樣就導致在保密管理工作研究時出現信息的不安全，無法對風險進行識別，直接導致風險的發(fā)生。

4.2 組織結構不完善，管理責任未落實

在進行保密管理工作時常出現主體模糊的情況，這樣就無法對保密管理責任進行明確，雖然在工作中一直提倡誰主管，誰負責的工作模式，但是在實際的工作中往往出現責權不明的情況，導致管理實效。此外，組織結構不完善會降低管理人員的管理力度，使管理隊伍變得松散，也降低了管理人員的整體能力。

4.3 保密工作人員網絡信息安全與保密意識較低

在進行保密工作時有一部分工作人員并沒有關注網絡信息的安全，也沒有從思想深處認識到保密管理工作的重要性，這樣的情況就直接導致風險的發(fā)生。再加之網絡安全與保密工作未投入充足的人力、物力、財力，導致管理無保障、培訓不到位、宣傳不及時等情況的發(fā)生，降低了保密工作人員的保密意識。

5 構建以風險管控為核心的保密管理體系

5.1 構建以風險管控為核心的保密管理體系的做法

在構建以風險管理為核心的保密管理體系時，可以從以下階段進行，準備階段、策劃階段、試運行階段、體系評估階段，每一個階段都有不同的內容與任務。準備階段主要是組織、準備，對體系進行研究。策劃階段是對體系初始階段的狀態(tài)進程評估，并策劃出目標與執(zhí)行方法，在此基礎上對職能進行分配，編寫出保密的章程等。試運行階段是對人員進性宣傳培訓，對已編寫好的保密手冊等進行內部審核、評價與修訂，再將文件發(fā)放到相關人員手中。體系評估階段，這個階段主要是由保密中心的專家對所構建的運行體系進行評估，再由認證中心的老師對體系進行審核與復檢。

5.2 構建以風險管控為核心的保密管理體系模式

在現有保密管理體系的標準下所建立起的保密管理體系主要目的是對保密管理中所涉及到的風險進管控，并根據風險的變化對原有體系進改進，通常我們所構建的保密管理體系可以分為五個部分，在這五個部中會涉及到十三個要素。這五個部分分別是方針、策劃、實施運行、監(jiān)督檢查與管理評審。方針指的是保密工作的發(fā)展。策劃指的是對保密工作中的風險進行識別與評價，并滿足相關法律法規(guī)要求的方案與目標。實施運行是指保密管理工作的組織結構與管理職責，并做好相關的意識培訓與能力培訓工作，同時做好保密文件的管理控制工作。監(jiān)督檢查是對保密管理工作中不符合要求的部分就行糾正并做好相關的內部審核工作。管理評價指的是對保密管理工作進行評審，保證其可以達到標準。

5.3 保密管理體系中各要素之間的關系

實際的保密管理工作是圍繞保密風險展開的，在此過程中實現PDCA管理方法。首先，保密管理工作中的全面風險評價與控制是整個管理工作中的核心環(huán)節(jié)，主要包括風險識別、風險評價與風險管理。在進行風險識別時保密風險管理人員可以根據涉密載體、涉密環(huán)境等不同的風險因素利用流程圖與對照檢查表來識別保密風險；然后再利用分析法對風險量進行計算。其次，利用相關的法律法規(guī)來支持保密風險管理體系。再次，通過目標方案對保密管理工作中的高風險進行持續(xù)性的改進，以達到對風險的控制。最后，對保密管理體系進行監(jiān)管。通常需要對其進行三級監(jiān)管，即保密檢查、內部審核與管理審核。

5.4 融合網絡信息安全與保密的職務，構建新型管理體系

一般情況下在進行保密管理工作時會將網絡安全管理者與保密管理工作相結合并由一人負責，在管理體系內選拔保密管理工作網絡管理員。在執(zhí)行網絡保密管理工作時應對保證網絡信息安全的技術進行監(jiān)管，確保在監(jiān)管過程中軟硬件系統(tǒng)、網絡空間、信息傳輸，泄密儲存等網絡技術是安全的。將網絡信息管理體系與保密管理體系進行結合，構建出新型的、有效的網絡信息安全保密管理體系，實現網絡安全的同時保證保密管理體系的有效性。

5.5 定期的開展自檢自查工作并消除風險

保密工作管理部門應積極的開展監(jiān)督檢查工作，定期的進行本單位內的網絡信息安全與保密體系自檢自查工作，嚴格禁止保密管理工作人員使用外部互聯網、郵箱等，并對工作中所出現的問題進行深入挖掘，建立起保密網絡隱患臺賬對工作進行實時記錄，并做好自檢自查資料的簽字留檔工作。同時對自檢自查工作中查出的問題進行限時整改，將風險消滅在萌芽階段。

6 以風險管控為核心的保密管理體系的應用效果

6.1 管理模式更加系統(tǒng)化

在構建保密管理體系時應通過一些列的工作確保其更加系統(tǒng)化、制度化、規(guī)范化，在此基礎上取代原有的隨意化、零散化、口頭化的管理方法。合理的體系可以使保密工作有章可循、有據可查，更加系統(tǒng)化，并可以形成全過程、全方位的可追溯風險管理模式。

6.2 保密制度更加標準化

保密單位應構建起保密管理工作手冊、工作程序標準，并根據實際的工作情況對其進行添加、更新，以此來避免制度標準過時的情況。

6.3 保密管理工作的網絡信息化

利用網絡信息化將繁瑣的保密工作變得更加程序化、規(guī)范化，更具操作性。在構建保密管理工作網絡信息化平臺時應包括保密風險管理流程、管理規(guī)范，并及時的對風險管控工作中的不足進行優(yōu)化，確保網絡信息化管理平臺的安全性與可靠性。

6.4 保密管理意識的全員化

在保密管理體系中保密風險的識別、評價與管控是整個管理系統(tǒng)的核心環(huán)節(jié)更是管理的基礎環(huán)節(jié)。管理部門應利用合理的方式調動起所有保密人員的積極性，并在全體人員的努力下實現對保密風險的識別、評價、分類與管控，有效的預防與減少保密管理工作中的違紀現象，轉變管理人員的原有觀念，提升保密管理工作的有效性。

7 結束語

隨著信息技術的發(fā)展，人們對信息化技術的依賴，也預示著信息時代的到來，在給我們生活、學習、工作帶來便利的基礎上也給我國的保密工作帶來不利的影響，使保密環(huán)境、保密內容等變得更加復雜，因此，這就要求保密工作人員在具備過硬思想素質的同時提升風險意識，并對來自各方的風險進行分析。在風險管控的基礎上構建起保密管理體系，提升我國保密工作的科學性，促進保密工作可以有序的進行，為保衛(wèi)國家安全貢獻力量。