國有大型企業保密制度標準體系研究與設計

文/國網江蘇省電力有限公司 陳莉 吳建周 喬勇 洪蘆誠

一、國內外研究與發展情況

（一）國內研究與發展情況。我國高度重視保密標準化工作。早在1982年，國家保密局與原國家質量技術監督局標準化司聯合啟動了第一個國家保密標準編制工作，現行有效的保密標準共30余項。2016年8月24日，中央網信辦、國家質檢總局、國家標準委聯合印發《關于加強國家網絡安全標準化工作的若干意見》，提出圍繞國家戰略需求，開展關鍵信息基礎設施保護、網絡安全審查等領域的標準化研究工作，以此構建科學統一的網絡安全標準體系和標準化工作機制，用以推動網絡安全和信息化良性發展。但總體來看，我國的保密標準化建設還不夠完善，特別是企業保密標準化建設方面還存在標準滯后、標準粒度較粗、部分領域標準缺失等問題。近年來，隨著技術研發、產品檢測、裝備配備以及平臺建設等工作全面開展和不斷升級，我國正加快推進保密標準制修進程，深化推進標準化改革發展。軍工行業一直是保密標準化的排頭兵，國家保密局會同國家國防科技工業局、中央軍委裝備發展部于2017年聯合印發了修訂的《武器裝備科研生產單位保密資格標準》《武器裝備科研生產單位保密資格評分標準》。新標準分為3個等級，涉及6個方面的工作要求，是貫徹落實依法行政及國務院行政審批“放管服”改革要求、進一步規范和加強軍工保密資格認定工作的重要舉措。此外，我國電力行業多個央企同樣高度重視保密標準化建設，開展了大量的工作，進行了積極的探索，先后制定印發了《保密工作管理辦法》《保密工作獎懲辦法》《領導人員保密工作責任追究管理辦法》《涉密辦公自動化設備保密管理規定》《保護商業秘密規定》《保密檢查工作規定》六大項通用制度，目前已初步構建形成了自上而下、一貫到底的保密通用制度體系。

（二）國外研究與發展情況。西方發達國家較早開始了保密方面的研究和立法。歐洲是最早將保密立法化的地區，瑞典于1766年頒布了《出版自由法》，自此之后又頒布了《政府憲章》《保密法》《表達自由法》，這四部法律組成了瑞典的政府信息公開和保密的法律依據以及執行標準。芬蘭于1951年頒布并實施了《公文公開法》；丹麥在1964年制定了《當事人使用政府檔案法》；法國于1978年制定了《自由獲得行政文件法》；英國于1997年發布《公眾知情權白皮書》，于2002年實施《信息自由法案》。美國在安全保密標準化工作方面走在世界的前列：1966年制定實施了《信息自由法》，1974年公布了《隱私權法》，1976年制定了《陽光下的政府法》。1987年，美國國會通過了《計算機安全保密法案》，不但涉及對于國家安全信息保障的條款，還強調了個人敏感信息的重要性。美國國家標準技術研究院（NIST）為美國信息安全保密管理提供了一系列的指南性規范，包括了FIPS系列和SP系列等。除此之外，在網絡安全保密領域NAS與DHS也出版了一些標準，對NIST進行了補充，構成了一套完備的信息安全保密規范體系。美國還常以總統令的方式公布保密管理法律規定，奧巴馬政府所發布的總統令《國家安全涉密信息》就是現行保密法規。英國與歐盟在保密標準化建設方面緊跟美國前進步伐。如，ISO/IEC 27002就脫胎于英國的國家標準BS7799-1。歐盟非常重視各成員國間的保密標準化，基本自成體系形成了一套完整的保密標準體系。

外企保密培訓工作為保密標準化工作帶來了以下啟示：第一，保密培訓形式要豐富多樣。良好的保密培訓工作可以大大降低泄密事件發生的可能性。利用在線培訓和遠程教育平臺可做到事半功倍。在線培訓具有覆蓋面廣、共享性好、靈活性強、支出成本低，且能夠有效解決工作與學習的矛盾等優勢。企業還可以通過檢查的形式來促進保密培訓的進步，促進各部門和員工對保密培訓的重視。第二，保密培訓內容要細致廣泛。外企在小到涉及隱私的個人物品，大至外包單位等方面都提出了保密意識、保密能力要求，一切以商業利益為核心，凡是與商業利益掛鉤的內容，都采取了各種保護措施，對各部門的涉密人員都進行專項細致的保密培訓。

二、國有大型企業保密制度標準體系拓撲

（一）拓撲設計原則。近年來，隨著經濟社會的發展和新技術新產品的應用，我國現行保密體系對保密業務范圍還不能完全覆蓋，保密制度標準、保密技術規范標準、人員崗位保密標準仍存在空白區域，還需要健全保密制度標準化體系，解決“有標可依，有章可循”的問題。基于這些發展與不足并存的現象，在構建保密制度標準體系拓撲時應遵循以下原則：1.相關法律法規的原則；2.新時代發展戰略與保密工作目標的原則；3.國家、行業通用的制度標準體系要求；4.分級分類的原則；5.全面性和系統性結合、動態優化調整的原則。

（二）保密制度標準體系拓撲。按照拓撲設計原則，在對現行保密制度進行梳理后，明確了不同層級需要的制度標準，研究構建形成了保密制度標準體系拓撲，展示了三個層級的不同類別保密制度之間的物理和邏輯關系，涵蓋了6個通用制度、各級單位數十個保密相關制度/文件，具有“一個核心、雙向互動、三類標準、四個層級”（即“1234”）的結構特征，具體如下：1.一個核心。指的是保密制度標準體系拓撲主要以企業頒布實施的《保密工作管理辦法》為核心，其在內部為各類保密制度的“母法”，同時對接了國家相關的保密法律法規、戰略和發展目標以及行業通用的基礎制度標準等，是保密工作開展的根本遵循與核心制度。2.雙向互動。指的是在保密制度構建與實施過程中，不同制度間既有自上而下的一脈相承，也有彼此間的互補、細化與拓展，體現了縱向與橫向的雙向互動，為保密制度在不同層級、不同分部內的流轉與實施提供了通道和保障，也促進了保密制度自身的發展與健全進程。3.三類標準。指的是保密制度標準體系拓撲研究構建的保密管理制度標準、技術規范標準、人員崗位保密標準，其中保密管理制度標準包括：商秘管理、監測與檢查管理、宣傳教育與培訓管理、涉密會議和活動管理、獎懲管理、綜合管理（含應急管理和考評管理）等；技術規范標準包括了涉密場所和要害部門（部位）管理、涉密載體/設備/檔案標準、監測系統、保密管理信息系統等技術標準；人員崗位保密標準包括組織機構、領導干部、涉密人員、普通員工、掛職借用人員等崗位保密標準。涵蓋了現行保密相關的全部制度和標準。4.四個層級。自上而下分為四個層級，最上部分為本保密制定標準體系需遵循的相關法律法規、新時代發展戰略與保密工作目標以及國家、行業通用的制度標準體系要求；第二部分至第四部分則分別對應了總部、分部和各個其他單位，分設為一級、二級和三級，按照彼此間的邏輯關系，體現保密制定標準體系遵循分級分類的原則。此外，保密制度標準體系拓撲中，特別提出了通用制度，該部分為貫穿各層級各類別的制度，是保密制度標準體系中不可更換和替代的“固化模塊”，各單位必須在遵循此類制度的基礎上，根據發展需要可進行動態優化調整，設置適合自身發展需要的“動態模塊”制度，即構建固化模塊+動態模塊的區域保密體系標準，但在一定程度上必須以通用制度為基本遵循，共同構建保密制度動態調整的基本依據和基礎環境。

（三）拓撲的總體架構與衍生方式。1.總體架構。保密制度標準體系拓撲在總體上包括了管理制度標準、技術規范標準、人員崗位標準三大類別，其基礎和邊界為管理制度，保障和措施為技術規范，關鍵與核心在人員，三者共生、相互依存。2.衍生方式。拓撲總體上采取自上而下、由左至右的衍生方式生成，沒有反向或雙向，各標準模塊相互獨立，彼此間不構成交叉或包容，在模塊范圍內各制度間有可能存在關聯。具體構成及其含義如下：（1）層級關系。拓撲共有四個層級，位于拓撲最上層是保密制度標準體系的“上位法”，不屬于保密制度標準。除此外，自上而下的一級、二級、三級分別表示了由最高層的總部依次到各分部、其他各級單位的衍生關系。也就是說，“一級”是保密制度標準的最高級，“三級”是最低級。大多數保密制度只對應所在層級，但通用制度例外，它將跨多級。（2）制度模塊。拓撲共包括了保密管理制度、技術規范、人員崗位保密標準共三類標準，每類標準中分別包括了相關的制度模塊，制度模塊是由各層級不同的制度構成，主要的模塊分布見“表1”。

表1 保密制度標準體系主要制度模塊分布表

一般情況下，各制度模塊間不交叉，但部分模塊例外，如“領導干部”和“涉密人員”等模塊。

（四）拓撲的應用與優化機制。保密標準化體系拓撲標明了各制度之間的邏輯關系，在一定范圍內體現了制度衍生的脈絡，并按照分級分類的原則，展現了各制度在標準體系中的分布，為后續開展保密標準化管理體系構建研究提供了理論基礎和支撐，也為保密標準化的發展與變革奠定了基礎。保密標準化體系拓撲應隨著國家相關法律法規的變更、戰略發展的推進而適時優化，在優化過程中應遵循以下原則：1.國家相關法律法規的要求；2.滿足企業戰略發展需求，解決實際問題；3.兼顧執行保密安全制度和發揮企業效益之間的均衡；4.始終結合社會發展需求，必須通過相應組織決策，逐步把它優化構建成為一個持續改進、動態更新的體系。

三、結語

本文以現行的保密制度為基礎，針對國有大型企業保密標準化體系構建的需求，開展了保密制度標準體系拓撲的研究和實際，分析了體系內各構成要素及其彼此間的物理與邏輯關系，并按照分級分類的原則，著重分析各種制度在標準體系中的分布，初步構建形成國有大型企業保密制度標準體系拓撲，為企業后續開展保密標準化管理制度構建提供了理論基礎和支撐。