基于風險點辨識和評估的保密工作管理

文/北京長峰新聯工程管理有限責任公司 于晨旭

軍工單位主要承擔著國家武器裝備科研生產任務，是國家安全和國防建設的基礎，安全保密管理工作歷來是軍工單位保發展、保生存的一項重要工作。對保密工作進行風險分析，目的是使保密監管由事后向事中、事前轉移，防止失泄密事件的發生，最大限度地保證國家秘密安全。

在目前的保密監督管理當中，諸多單位對于風險行為的管控關注不夠，導致保密監管趨于事后管理，往往造成難以彌補的損失。而且對于保密風險缺少科學的識別方法。本文利用安全生產管理中的危險源辨識方法中的故障樹分析法和模糊綜合評判方法，在對保密業務流程梳理的基礎上，對保密工作中的風險點進行辨識和評估，從而提升保密業務管理水平。

一、保密工作風險點辨識

《中華人民共和國保守國家秘密法》《中華人民共和國保守國家秘密法實施條例》以及《武器裝備科研生產單位保密資格標準》等法律法規對保密工作涉及的保密責任、保密制度、保密管理等方面做了具體要求。依據這些標準和要求，對保密工作中的風險點進行辨識。目前國內外研究的危險源辨識方法主要分為定性和定量兩大類。其中定性安全評價有安全檢查表分析法、作業條件危險性評價法、MES評價法等。定量安全評價有故障樹分析法、事件樹評價法、風險矩陣分析法等。本文采用故障樹分析方法進行保密工作風險點的辨識。

（一）故障樹分析法。故障樹分析法（簡稱FTA）是將事故因果關系形象地描述為一種有方向的“樹”：把可能發生或者已發生的事故（頂上事件）作為分析起點，將導致事故原因的事件（底事件）按因果邏輯關系逐層列出，用樹形圖表示出來，構成一種邏輯模型。

（二）風險點的確立。由故障樹分析法得到事故的基本原因確定危險源因子，結合危險源分類方法，將保密工作中的風險點分為第一類風險點和第二類風險點。第一類風險點為根源危險源，主要是指規章制度、教育培訓、管理流程、三防建設等方面不規范、不完善、不閉環或者缺失等造成違規違法事件的發生。第二類風險點為狀態危險源，主要是指由于人為因素，比如對保密知識掌握理解不到位、過失或故意違反相關規定等，造成保密違規違法事件的發生。

（三）應用說明。以對外宣傳發生泄密事件為例進行說明。分析步驟如下：

1.構造對外宣傳泄密事件故障樹符號和意義。詳見“表1”。

2.構造故障樹模型，找出事故中的所有基本原因。詳見“圖1”所示。

圖1 故障樹模型

3.根據故障樹寫出故障樹結構式：T=A1+A2=X1+X2+X3+X4+X5+X6+X7+X8。

4.風險點的確立。詳見“表2”。

表2 風險點模式圖

二、保密風險評估和分析及應用說明

（一）保密風險評估和分析。本文利用模糊綜合評判方法，對保密工作中的風險點進行量化評價。主要是從風險發生可能性、風險造成嚴重程度、風險整改難易程度三方面進行評估。這三種因素即為保密工作中的風險評判因素集，即U={‘可能性’‘嚴重程度’‘整改難易程度’}。風險發生可能性指該風險事件發生概率的大小。風險事件評價標準可分為5個風險等級，分別是：非常高、高、中、低、極低，即V={‘非常高’‘高’‘中’‘低’‘極低’}，可令其量化指標分別為1分至5分，等級數值越大，表示出現的頻率越高。1分表示該風險事件發生的可能性極低，幾乎不可能發生；5分表示該風險事件發生概率極大，會發生。風險造成嚴重程度是指該風險發生后，對單位保密管理產生的影響。風險影響程度評價標準可分為5個風險等級，分別是：非常高、高、中、低、極低，即V={‘非常高’‘高’‘中’‘低’‘極低’}，可令其量化指標分別為1分至5分，等級數值越大，表示影響的程度越大。1分代表影響程度很低，5分代表影響非常高。

風險整改難易程度是指在單位當前的人員意識、管理措施和資源配置等條件下，風險進行整改的難易程度。風險整改難易程度評價標準可分為5個風險等級，分別是：非常高、高、中、低、極低，即V={‘非常高’‘高’‘中’‘低’‘極低’}，可令其量化指標分別為1分至5分，等級數值越大，表示整改難度越大。1分表示在現有的管理措施、資源配置等條件下，對發現的風險比較容易進行整改。5分表示依照目前的保密管理水平和硬件條件，對發現的風險無法進行整改。

根據表3、4、5中的風險評價等級定義，即可得到保密風險的評價矩陣，其中ri即為表2、3、4中保密工作每個評判因素對應的風險等級數值。對于保密風險評價函數中的三個評價因素的權重系數，本模型中分別取值0.3、0.6、0.1, 即A=（0.3，0.6，0.1），滿足。綜上可以得到保密風險的評價函數如下：

表3 風險發生可能性等級定義

表4 風險造成嚴重程度等級定義

表5 風險整改難易程度等級定義

其中，A=（0.3，0.6，0.1），根據表2、3、4中的定義進行取值。

根據評價函數結果定義保密風險等級，分為Ⅰ級、Ⅱ級、Ⅲ級、IV級四個等級。對應的處理級別分別是提醒、重要提醒、警告和嚴重警告。根據不同的處理級別采取相應的詢問、提醒、檢查和處理等措施。

表6 風險等級劃分

（二）模型應用。假設某單位全年的宣傳報道中，由于張某的過失行為，造成了一起泄密事件的發生，但給單位帶來了較為嚴重的后果。根據“表3”，該行為發生的可能性等級可以判斷為極低，分值為1；根據“表4”，風險造成的嚴重程度為高，分值為4；根據“表5”，風險整改難易程度為極低，分值為1。因而可以得到B=2.8＞2.5，處理級別是嚴重警告。

三、保密風險應對措施

安全保密工作的核心是通過對風險進行識別、評估和管理，從而達到對國家秘密風險的管控。要利用相關技術和管理措施減小風險事件發生的可能性，或者把可能的損失控制在一定的范圍內。

（一）加強保密監督檢查。“內審+外審”的檢查方式，“飛行檢查”和“專項檢查”相結合的形式，加強對重點部門、重點項目和重大活動的檢查，加大對保密風險的識別。針對發現的問題，要及時采取措施，將問題徹底清除，切實筑牢保密防線。

（二）利用數據系統進行風險管理。在人工進行保密風險識別和評估的基礎上，借助數據管理系統，對保密管理數據進行累積和分析，能夠發現很多人工無法發現的保密管理問題，從而有效進行風險評估、風險防范和風險監管。同時，設定科學的風險預警條件，一旦觸發，系統可以自動向有關部門警示，將保密防范措施從事后向事中、事前轉移，做到對保密風險行為發生前的監管，降低發生違規事件和失泄密事件的概率。

（三）提升保密技術防范能力。保密工作中一個最大風險就在于信息安全的管理。要做好信息系統、信息設備和存儲設備的技術防范工作，就是要加大資金投入，進行硬件設施和軟件工具的配備。同時，保密技術離不開人的管理和應用。因此，擁有專業素質過硬的人才隊伍對于提升保密技術防范能力起著至關重要的作用。