基于風險管理為核心的軍工保密管理體系建設研究

劉 瑩 尤信群 /文

近年來，隨著信息化技術的發展，涉密信息和涉密人員數量也成倍增長，傳統保密管理的業務模式受到了前所未有的挑戰。部分軍工單位大量信息產生與交互工作仍需要通過傳統手工方式進行管理，數據量大無法準確統計分析，存在反應慢、響應滯后、無法及時發現業務過程中存在的風險隱患問題。保密管理工作涉及的管理要素、管理維度、管理難度都在增加，加之國家有關保密標準日趨嚴格，軍工單位的保密管理資源很難再增加，有限的管理資源難以滿足日益增長的管理需求。部分軍工單位的保密管理工作還處于傳統的“被動式”狀態，即往往是在造成危害和影響之后，才會發現問題和薄弱環節，進行整改。這種“被動式”的管理模式是以付出代價為前提的，而且有些代價是巨大的，教訓是慘痛的。因此，亟須構建一種新型的“主動式”的保密管理模式，在保密管理體系問題顯性化之前被發現，將問題扼殺于萌芽狀態。將風險管理引入保密管理工作就是一個有效的解決辦法和途徑。保密風險管理旨在做到主動防御、有針對性地防范泄密事件發生，是實現最小的成本使泄密風險控制在可接受水平，以此最大程度地達到保護國家秘密安全的目的。

保密風險管理研究現狀分析

在國際標準組織ISO 發布的《ISO Guide 73:2009 風險管理術語》中將“風險”定義為“不確定性對目標的影響”，指客觀存在的，在特定情況下、特定期間內，某一事件導致的最終損失的不確定性。進行風險管理即在損失發生之前做出最有效的安排，加強風險的防范與控制，降低風險發生的概率及損失，以達到最大安全保障目標。

針對保密風險管理這一課題，我國學者近年來從保密管理實踐角度，做了大量工作，探究了當前基層保密管理存在的問題，提出了一些改進措施和方法，并嘗試采用風險管理去預防這些問題的發生。但是，這些風險管理大都是基于當前保密管理體系開展的，未對當前保密管理體系進行重新構建或修正，導致了只關注了當前保密問題，未進行深度分析和研判，造成風險預警模型只能解決當前的實際問題，不能隨著時間、空間和對象的變化，進行修正保密管理體系。

軍工單位保密管理現狀分析

隨著軍工單位業務工作的不斷拓展，保密風險點也在不斷增加。有些軍工單位雖然部署了打印監控審計系統、公文處理系統、財務管理系統、項目管理系統等信息化管理系統，但保密工作審批大多還在線下進行，紙質審批、紙質登記等傳統手工方式進行保密監管效率低下。具體表現在以下幾個方面：一是紙質單據弊病多。紙質單據流轉效率低下，且難于保管，不易查找，保密流程相關情況難以追溯和監控。二是保密信息雜亂無章。保密相關業務信息種類繁雜，數量增大，監督和管理業務難做，保密管理工作質量難以提高。三是保密自查流于形式。保密自查制度難以有效監督，形式大于意義，導致既增加了業務工作人員的工作量，又未能達到自查的目的。四是關聯信息分析缺失。各種安全防護軟件之間缺少信息間的關聯性分析，數據無法形成合力，造成管理死角。五是業務流程和登記信息脫節。業務流程不能和相關設備或人員動態關聯，實際情況和登記信息不同步，導致登記信息不可信。六是變更缺乏有效控制和審批。出現變更時，登記信息的完整性和一致性缺乏保障，出現保密風險時責任難以落實。七是風險預警機制缺失。無法實現保密管理數據實時統計匯總，風險隱患不能及時排查，未構建有效的保密風險防范機制。

研究主要內容

基于風險管理為核心的軍工保密管理體系研究主要包括以下幾項內容：

開展風險識別。對業務管理、人力資源管理、新聞宣傳管理、行政管理、資產管理等生產經營活動進行研究、梳理流程，并對以往的保密監督檢查出現的問題和薄弱環節進行整理、分析，準確定位，標注風險點，注明導致其發生的相關因素。

開展風險評估。風險評估是在保密風險識別的基礎上，對風險進行量化、分析、判斷、排序的過程，為風險處理奠定基礎。風險評估可從風險事件發生的可能性、風險影響程度和風險管理改進迫切性3 個維度進行綜合度量。

風險事件發生的可能性指分析事件發生的概率大小，具體分為5 個等級，分別賦予1～5 分，表示可能性逐漸增加，1 分表示該風險事件發生的可能性極低，幾乎不會發生，5 分表示該風險事件幾乎確定會發生。

風險影響程度指如果該風險發生，會對單位保密管理目標所產生影響的大小。風險影響程度分為5 個等級，分別賦予1～5 分，表示影響程度依次加強。1 分代表影響程度很低，基本可以忽略，5 分代表影響程度非常高，對單位保密管理目標有極其重大的影響。

風險管理改進迫切性指在當前的人員意識、管理措施和資源配置等條件下，風險可以按預期目標得到有效管控的程度。風險管理改進迫切性分為5 個等級，分別賦予1～5 分。

建立風險預警體系。從風險發生可能性的大小、影響程度和管理改進迫切性3 個維度建立風險預估模型，給出風險指標數值。當風險指標數值超過預設數值時，觸發預警機制，將提示保密管理部門、歸口管理部門和承辦部門進行風險處理。

開展風險處理。針對發現的風險和風險評估的等級，采取有效的措施，消除隱患和影響，不能完全消除的，盡可能將風險降至最低。針對不同的風險和不同的風險評估等級，健全與之相配套的保密實施方案、預案、失泄密補救方案以及相應的規章制度，不斷完善改進當前保密管理體系，最終構建完善的風險應對措施庫。

表1 風險發生可能性評估標準

表2 風險影響程度評估標準

表3 風險管理改進迫切性評估標準

構建完善具有保密風險預警功能的保密綜合管控系統。建設包含保密責任（含歸口管理責任），保密組織機構，保密制度，定密管理，涉密人員管理，保密教育培訓管理，涉密載體管理，密品管理，要害部門部位管理，信息系統、信息設備和存儲設備管理，新聞宣傳管理，涉密會議管理，外場試驗管理，協作配套管理，涉外管理，保密監督檢查，涉密事件查處，保密工作經費等各類保密流程審查和審批模塊的保密綜合管控系統（若單位不涉及，則可不建立相關模塊）。主要實現以下功能：

實現審批流程電子化。與IT運維管理系統、OA 辦公系統、單點登錄系統、打印監控審計系統、檔案管理系統、項目管理系統和人力資源管理系統等諸多管理系統集成和數據交互，通過信息化固化審批流程，將審批流程電子化，利用保密綜合管控系統實現涉密業務的精細化、規范化管理，實現記錄可追溯、不可篡改，確保數據的唯一性、準確性。

實現信息溝通。在保密風險識別、風險評估、建立風險預警體系、開展風險處理等方面，利用保密綜合管控系統實現各部門可以進行有效的信息溝通。業務部門按計劃開展風險識別、風險評估工作，監控并及時填報業務范圍內可能存在的保密風險情況；保密管理部門主動收集并獲取來自基層的信息反饋，與風險主要涉及部門進行充分溝通，開展風險處理并將處理結果進行記錄、反饋，向保密委匯報風險變化趨勢、重大風險與經驗總結。

實現風險預警機制。保密綜合管控系統對相關數據的定期匯聚整合、統計分析，實現保密風險自動評估，形成風險預警機制，解決安全審計工作落實難點，提升對安全威脅的發現、識別、理解、分析能力。

實現智能決策。保密綜合管控系統根據統計分析結果，推測總體的特征和規律，輔助進行決策。例如，可根據多元評價指標對涉密人員進行排序，對推薦年度保密先進集體、年度保密個人、進行違反保密規定行為處罰等進行輔助決策；對于考核結果倒數5%的涉密人員提出警告，并定期進行保密培訓及保密考試；當涉密人員一年中因私出國次數達到一定次數以后，則限制涉密人員因私出國次數。

實現持續改進與監督管理。保密風險管理是一項持續的循環性工作，是一個系統化的動態管控過程。利用保密綜合管控系統，完善具體風險的事中應對措施，及時發布風險應對方案，對已有的實施方案進行調整，適時修改具體策略和措施，修正保密管理體系。保密管理部門可主動向業務部門提供匯總后的風險信息，并將風險應對方案傳達至相關責任崗位，監督各部門貫徹落實。

總結與展望

保密工作與各項業務工作是緊密相關的，既是業務工作開展的重要保障，也是實現內部管理的重要內容，同時也是加強單位內部管理的重要手段。引入風險管理的理念，構建一種新型的“主動式”的保密管理體系，實現保密管理體系自我運行和不斷完善，對于推動保密工作和內部管理的并行發展具有十分重要的意義。目前，保密風險管理在一些軍工單位已經做了一些有益的嘗試，也取得了一定的成效，進一步鞏固保密風險管理理論和方法，完善保密管理理論體系，為保密管理注入活力，是當前保密人面臨的巨大機遇和挑戰。