以風(fēng)險(xiǎn)管控為核心的保密管理體系構(gòu)建與應(yīng)用

曾 宏

（盛云科技有限公司，昆明 650224）

隨著信息化建設(shè)力度的不斷加大也擴(kuò)大了保密工作的范疇，保密工作的內(nèi)容、環(huán)境等也變得多樣化、復(fù)雜化。在進(jìn)行保密工作時(shí)不僅要面對(duì)更高精的竊密還要面對(duì)敵對(duì)勢(shì)力的沖擊。所以，保密工作人員應(yīng)提升自身思想素質(zhì)，以風(fēng)險(xiǎn)管控為核心構(gòu)建起保密管理體系，提升保密工作的質(zhì)量，促進(jìn)保密管理工作的科學(xué)性、長(zhǎng)期性。

1 保密工作概述

“保密”兩個(gè)字顧名思義就是保守秘密，對(duì)于一個(gè)國(guó)家來(lái)說(shuō)保密工作就是保守國(guó)家、公民、社會(huì)組織等關(guān)系到安全與利益的秘密，當(dāng)秘密公開(kāi)后會(huì)直接損害到國(guó)家利益、公民利益，因此應(yīng)確定其控制范圍，并采取有效的保護(hù)措施，保障信息的安全。保密工作事關(guān)重大，直接關(guān)系到國(guó)家的安全與利益，更是關(guān)乎于國(guó)家的改革、穩(wěn)定與發(fā)展的大事，同時(shí)會(huì)涉及到各個(gè)單位、企業(yè)、機(jī)關(guān)、民眾的安全與發(fā)展，因此，必須要給予高度的重視。隨著信息化的不斷發(fā)展，傳統(tǒng)的保密措施已無(wú)法應(yīng)對(duì)高科技的竊密手段，因此應(yīng)將信息化手段引入到保密工作中構(gòu)建起新型的保密體系，推動(dòng)各企事業(yè)單位的保密工作信息化，確保保密工作機(jī)制的有效性。

2 識(shí)別保密工作中的風(fēng)險(xiǎn)

2.1 保密風(fēng)險(xiǎn)識(shí)別內(nèi)容

在進(jìn)行保密工作時(shí)會(huì)面臨各種各樣的風(fēng)險(xiǎn)，因此風(fēng)險(xiǎn)識(shí)別工作就顯得非常重要，風(fēng)險(xiǎn)識(shí)別是一個(gè)動(dòng)態(tài)的、反饋的、主動(dòng)探尋的過(guò)程，更是保密工作中的主要步驟。給保密工作帶來(lái)風(fēng)險(xiǎn)的因素主要可以歸結(jié)為外因與內(nèi)因，其中外因是保密管理的威脅，內(nèi)因則可以體出現(xiàn)出保密工作的脆弱性，并可以通過(guò)保密工作中的資產(chǎn)價(jià)值、保密管理與保密威脅來(lái)對(duì)脆弱性進(jìn)行識(shí)別。

2.1.1 資產(chǎn)的識(shí)別

資產(chǎn)是相關(guān)機(jī)構(gòu)賦予的直接價(jià)值，是需要進(jìn)行重點(diǎn)保護(hù)的，其存在的形式是多樣的，可以將資產(chǎn)分為有形與無(wú)形、硬件與軟件、人員與制度、文檔與代碼等。資產(chǎn)的安全可以決定價(jià)值的不同，因此所要進(jìn)行的安全保護(hù)也有所區(qū)別，所以應(yīng)對(duì)資產(chǎn)進(jìn)行準(zhǔn)確的識(shí)別，這樣做的主要意義是為后期的資產(chǎn)抽樣、風(fēng)險(xiǎn)評(píng)估奠定基礎(chǔ)。

2.1.2 威脅的識(shí)別

在保密工作中會(huì)存在不同的威脅，威脅的產(chǎn)生可以給資產(chǎn)帶來(lái)潛在的、不同的破壞，進(jìn)而導(dǎo)致不良事件的發(fā)生，例如，泄密事件。當(dāng)出現(xiàn)威脅事件后應(yīng)對(duì)其進(jìn)行分析，但是大多數(shù)時(shí)候如后果不嚴(yán)重或是沒(méi)有意識(shí)到基本都會(huì)被忽略。保密工作中產(chǎn)生威脅的因素主要有認(rèn)為因素與環(huán)境因素，認(rèn)為因素又可以分為有意與無(wú)意，環(huán)境因素又可分為不可抗力因素與其它因素。

2.1.3 脆弱的識(shí)別

保密工作中也存在一定的脆弱性，也被稱(chēng)為弱點(diǎn)識(shí)別，脆弱的識(shí)別可以分為管理弱點(diǎn)與技術(shù)弱點(diǎn)。保密工作的脆弱性主要包括保密機(jī)構(gòu)、保密人員、保密環(huán)境、保密工作的配置、保密工作的軟和硬件資產(chǎn)等。弱點(diǎn)具有一定的固定資產(chǎn)屬性，其本身不會(huì)給保密工作帶來(lái)?yè)p失，但是其可能在威脅的作用下成為造成損失的條件或是環(huán)境，因此，必須將弱點(diǎn)進(jìn)行記錄，以保證可以在不同的條件或環(huán)境中對(duì)其進(jìn)控制。

2.2 保密工作風(fēng)險(xiǎn)識(shí)別的主要方法

2.2.1 調(diào)研識(shí)別方法

在使用調(diào)研識(shí)別方法時(shí)可以先設(shè)計(jì)風(fēng)險(xiǎn)識(shí)別調(diào)查問(wèn)卷，并組織相關(guān)業(yè)務(wù)部門(mén)的人員填寫(xiě)風(fēng)險(xiǎn)識(shí)別問(wèn)卷，對(duì)風(fēng)險(xiǎn)識(shí)別工作進(jìn)行初始識(shí)別，并將初始風(fēng)險(xiǎn)進(jìn)行提出、討論。

2.2.2 整理匯總方法

保密管理部門(mén)應(yīng)將風(fēng)險(xiǎn)識(shí)別問(wèn)卷中涉及到的事件進(jìn)行總結(jié)、歸類(lèi)、整理與修訂，形成部門(mén)的最初風(fēng)險(xiǎn)分類(lèi)結(jié)構(gòu)并構(gòu)建起基礎(chǔ)的風(fēng)險(xiǎn)事件數(shù)據(jù)庫(kù)。

3 構(gòu)建以風(fēng)險(xiǎn)管控為核心的保密管理體系的優(yōu)勢(shì)

保密資格標(biāo)準(zhǔn)可以說(shuō)是保密管理工作的指導(dǎo)書(shū)，更是保密管理工作的核心，在此基礎(chǔ)上構(gòu)建起以風(fēng)險(xiǎn)管控為核心的保密管理體系，合理的運(yùn)用保密資格標(biāo)準(zhǔn)可以提升保密管理工作的可操作性，并保證管理的科學(xué)性與長(zhǎng)效性。其次在構(gòu)建以風(fēng)險(xiǎn)管理為核心的保密工作管理體系時(shí)應(yīng)將保密資格標(biāo)準(zhǔn)作為核心，并將管理系統(tǒng)分為三級(jí)監(jiān)控，這樣不僅可以使管理更加全面還可以使責(zé)權(quán)更加分明，實(shí)現(xiàn)保密工作的全過(guò)程管理。最后，構(gòu)建起以風(fēng)險(xiǎn)管控為核心的保密管理體系可以使風(fēng)險(xiǎn)量的計(jì)算更加準(zhǔn)確并發(fā)現(xiàn)管理體系中的不足，在此基礎(chǔ)上提升保密管理工作的準(zhǔn)確性。

4 目前保密工作中存在的不足

4.1 保密工作與研究工作脫離

目前，很多保密工作者在進(jìn)行保密工作研究時(shí)，只是為了保密而保密，并為將其與實(shí)際工作相融合，這樣就導(dǎo)致保密人員會(huì)產(chǎn)生不良情緒、保密管理工作執(zhí)行力不佳，在一定程度上也影響了保密管理研究工作的效率。此外，在進(jìn)行保密管理工作時(shí)工作人員并未合理的運(yùn)用智能化與信息化技術(shù)，這樣就導(dǎo)致在保密管理工作研究時(shí)出現(xiàn)信息的不安全，無(wú)法對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別，直接導(dǎo)致風(fēng)險(xiǎn)的發(fā)生。

4.2 組織結(jié)構(gòu)不完善，管理責(zé)任未落實(shí)

在進(jìn)行保密管理工作時(shí)常出現(xiàn)主體模糊的情況，這樣就無(wú)法對(duì)保密管理責(zé)任進(jìn)行明確，雖然在工作中一直提倡誰(shuí)主管，誰(shuí)負(fù)責(zé)的工作模式，但是在實(shí)際的工作中往往出現(xiàn)責(zé)權(quán)不明的情況，導(dǎo)致管理實(shí)效。此外，組織結(jié)構(gòu)不完善會(huì)降低管理人員的管理力度，使管理隊(duì)伍變得松散，也降低了管理人員的整體能力。

4.3 保密工作人員網(wǎng)絡(luò)信息安全與保密意識(shí)較低

在進(jìn)行保密工作時(shí)有一部分工作人員并沒(méi)有關(guān)注網(wǎng)絡(luò)信息的安全，也沒(méi)有從思想深處認(rèn)識(shí)到保密管理工作的重要性，這樣的情況就直接導(dǎo)致風(fēng)險(xiǎn)的發(fā)生。再加之網(wǎng)絡(luò)安全與保密工作未投入充足的人力、物力、財(cái)力，導(dǎo)致管理無(wú)保障、培訓(xùn)不到位、宣傳不及時(shí)等情況的發(fā)生，降低了保密工作人員的保密意識(shí)。

5 構(gòu)建以風(fēng)險(xiǎn)管控為核心的保密管理體系

5.1 構(gòu)建以風(fēng)險(xiǎn)管控為核心的保密管理體系的做法

在構(gòu)建以風(fēng)險(xiǎn)管理為核心的保密管理體系時(shí)，可以從以下階段進(jìn)行，準(zhǔn)備階段、策劃階段、試運(yùn)行階段、體系評(píng)估階段，每一個(gè)階段都有不同的內(nèi)容與任務(wù)。準(zhǔn)備階段主要是組織、準(zhǔn)備，對(duì)體系進(jìn)行研究。策劃階段是對(duì)體系初始階段的狀態(tài)進(jìn)程評(píng)估，并策劃出目標(biāo)與執(zhí)行方法，在此基礎(chǔ)上對(duì)職能進(jìn)行分配，編寫(xiě)出保密的章程等。試運(yùn)行階段是對(duì)人員進(jìn)性宣傳培訓(xùn)，對(duì)已編寫(xiě)好的保密手冊(cè)等進(jìn)行內(nèi)部審核、評(píng)價(jià)與修訂，再將文件發(fā)放到相關(guān)人員手中。體系評(píng)估階段，這個(gè)階段主要是由保密中心的專(zhuān)家對(duì)所構(gòu)建的運(yùn)行體系進(jìn)行評(píng)估，再由認(rèn)證中心的老師對(duì)體系進(jìn)行審核與復(fù)檢。

5.2 構(gòu)建以風(fēng)險(xiǎn)管控為核心的保密管理體系模式

在現(xiàn)有保密管理體系的標(biāo)準(zhǔn)下所建立起的保密管理體系主要目的是對(duì)保密管理中所涉及到的風(fēng)險(xiǎn)進(jìn)管控，并根據(jù)風(fēng)險(xiǎn)的變化對(duì)原有體系進(jìn)改進(jìn)，通常我們所構(gòu)建的保密管理體系可以分為五個(gè)部分，在這五個(gè)部中會(huì)涉及到十三個(gè)要素。這五個(gè)部分分別是方針、策劃、實(shí)施運(yùn)行、監(jiān)督檢查與管理評(píng)審。方針指的是保密工作的發(fā)展。策劃指的是對(duì)保密工作中的風(fēng)險(xiǎn)進(jìn)行識(shí)別與評(píng)價(jià)，并滿(mǎn)足相關(guān)法律法規(guī)要求的方案與目標(biāo)。實(shí)施運(yùn)行是指保密管理工作的組織結(jié)構(gòu)與管理職責(zé)，并做好相關(guān)的意識(shí)培訓(xùn)與能力培訓(xùn)工作，同時(shí)做好保密文件的管理控制工作。監(jiān)督檢查是對(duì)保密管理工作中不符合要求的部分就行糾正并做好相關(guān)的內(nèi)部審核工作。管理評(píng)價(jià)指的是對(duì)保密管理工作進(jìn)行評(píng)審，保證其可以達(dá)到標(biāo)準(zhǔn)。

5.3 保密管理體系中各要素之間的關(guān)系

實(shí)際的保密管理工作是圍繞保密風(fēng)險(xiǎn)展開(kāi)的，在此過(guò)程中實(shí)現(xiàn)PDCA管理方法。首先，保密管理工作中的全面風(fēng)險(xiǎn)評(píng)價(jià)與控制是整個(gè)管理工作中的核心環(huán)節(jié)，主要包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)管理。在進(jìn)行風(fēng)險(xiǎn)識(shí)別時(shí)保密風(fēng)險(xiǎn)管理人員可以根據(jù)涉密載體、涉密環(huán)境等不同的風(fēng)險(xiǎn)因素利用流程圖與對(duì)照檢查表來(lái)識(shí)別保密風(fēng)險(xiǎn)；然后再利用分析法對(duì)風(fēng)險(xiǎn)量進(jìn)行計(jì)算。其次，利用相關(guān)的法律法規(guī)來(lái)支持保密風(fēng)險(xiǎn)管理體系。再次，通過(guò)目標(biāo)方案對(duì)保密管理工作中的高風(fēng)險(xiǎn)進(jìn)行持續(xù)性的改進(jìn)，以達(dá)到對(duì)風(fēng)險(xiǎn)的控制。最后，對(duì)保密管理體系進(jìn)行監(jiān)管。通常需要對(duì)其進(jìn)行三級(jí)監(jiān)管，即保密檢查、內(nèi)部審核與管理審核。

5.4 融合網(wǎng)絡(luò)信息安全與保密的職務(wù)，構(gòu)建新型管理體系

一般情況下在進(jìn)行保密管理工作時(shí)會(huì)將網(wǎng)絡(luò)安全管理者與保密管理工作相結(jié)合并由一人負(fù)責(zé)，在管理體系內(nèi)選拔保密管理工作網(wǎng)絡(luò)管理員。在執(zhí)行網(wǎng)絡(luò)保密管理工作時(shí)應(yīng)對(duì)保證網(wǎng)絡(luò)信息安全的技術(shù)進(jìn)行監(jiān)管，確保在監(jiān)管過(guò)程中軟硬件系統(tǒng)、網(wǎng)絡(luò)空間、信息傳輸，泄密儲(chǔ)存等網(wǎng)絡(luò)技術(shù)是安全的。將網(wǎng)絡(luò)信息管理體系與保密管理體系進(jìn)行結(jié)合，構(gòu)建出新型的、有效的網(wǎng)絡(luò)信息安全保密管理體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全的同時(shí)保證保密管理體系的有效性。

5.5 定期的開(kāi)展自檢自查工作并消除風(fēng)險(xiǎn)

保密工作管理部門(mén)應(yīng)積極的開(kāi)展監(jiān)督檢查工作，定期的進(jìn)行本單位內(nèi)的網(wǎng)絡(luò)信息安全與保密體系自檢自查工作，嚴(yán)格禁止保密管理工作人員使用外部互聯(lián)網(wǎng)、郵箱等，并對(duì)工作中所出現(xiàn)的問(wèn)題進(jìn)行深入挖掘，建立起保密網(wǎng)絡(luò)隱患臺(tái)賬對(duì)工作進(jìn)行實(shí)時(shí)記錄，并做好自檢自查資料的簽字留檔工作。同時(shí)對(duì)自檢自查工作中查出的問(wèn)題進(jìn)行限時(shí)整改，將風(fēng)險(xiǎn)消滅在萌芽階段。

6 以風(fēng)險(xiǎn)管控為核心的保密管理體系的應(yīng)用效果

6.1 管理模式更加系統(tǒng)化

在構(gòu)建保密管理體系時(shí)應(yīng)通過(guò)一些列的工作確保其更加系統(tǒng)化、制度化、規(guī)范化，在此基礎(chǔ)上取代原有的隨意化、零散化、口頭化的管理方法。合理的體系可以使保密工作有章可循、有據(jù)可查，更加系統(tǒng)化，并可以形成全過(guò)程、全方位的可追溯風(fēng)險(xiǎn)管理模式。

6.2 保密制度更加標(biāo)準(zhǔn)化

保密單位應(yīng)構(gòu)建起保密管理工作手冊(cè)、工作程序標(biāo)準(zhǔn)，并根據(jù)實(shí)際的工作情況對(duì)其進(jìn)行添加、更新，以此來(lái)避免制度標(biāo)準(zhǔn)過(guò)時(shí)的情況。

6.3 保密管理工作的網(wǎng)絡(luò)信息化

利用網(wǎng)絡(luò)信息化將繁瑣的保密工作變得更加程序化、規(guī)范化，更具操作性。在構(gòu)建保密管理工作網(wǎng)絡(luò)信息化平臺(tái)時(shí)應(yīng)包括保密風(fēng)險(xiǎn)管理流程、管理規(guī)范，并及時(shí)的對(duì)風(fēng)險(xiǎn)管控工作中的不足進(jìn)行優(yōu)化，確保網(wǎng)絡(luò)信息化管理平臺(tái)的安全性與可靠性。

6.4 保密管理意識(shí)的全員化

在保密管理體系中保密風(fēng)險(xiǎn)的識(shí)別、評(píng)價(jià)與管控是整個(gè)管理系統(tǒng)的核心環(huán)節(jié)更是管理的基礎(chǔ)環(huán)節(jié)。管理部門(mén)應(yīng)利用合理的方式調(diào)動(dòng)起所有保密人員的積極性，并在全體人員的努力下實(shí)現(xiàn)對(duì)保密風(fēng)險(xiǎn)的識(shí)別、評(píng)價(jià)、分類(lèi)與管控，有效的預(yù)防與減少保密管理工作中的違紀(jì)現(xiàn)象，轉(zhuǎn)變管理人員的原有觀念，提升保密管理工作的有效性。

7 結(jié)束語(yǔ)

隨著信息技術(shù)的發(fā)展，人們對(duì)信息化技術(shù)的依賴(lài)，也預(yù)示著信息時(shí)代的到來(lái)，在給我們生活、學(xué)習(xí)、工作帶來(lái)便利的基礎(chǔ)上也給我國(guó)的保密工作帶來(lái)不利的影響，使保密環(huán)境、保密內(nèi)容等變得更加復(fù)雜，因此，這就要求保密工作人員在具備過(guò)硬思想素質(zhì)的同時(shí)提升風(fēng)險(xiǎn)意識(shí)，并對(duì)來(lái)自各方的風(fēng)險(xiǎn)進(jìn)行分析。在風(fēng)險(xiǎn)管控的基礎(chǔ)上構(gòu)建起保密管理體系，提升我國(guó)保密工作的科學(xué)性，促進(jìn)保密工作可以有序的進(jìn)行，為保衛(wèi)國(guó)家安全貢獻(xiàn)力量。