保密工作事关党和国家事业发展全局,关系国家安全。随着经济全球化、信息化、网络化的快速发展,以及我国综合国力和国际影响力的持续提升,保密工作面临着更加严峻的形势与挑战,工作难度持续增大。大型国有企业作为国家骨干企业,备受国内外关注,做好大型国有企业的失泄密风险管理具有重要意义。保密工作重在预防,失泄密风险管理直接决定着保密工作的效果。本文有效利用风险管理理论,逐步构建了全方位、无死角大型企业失泄密风险防控体系,并在大型企业中进行了实践应用,取得良好效果。企业可参照、套用本论文研究提出的框架与思路,查找防控风险点,堵塞管理漏洞,降低管理成本,有效提升保密工作管理水平。
一、宗旨
本论文研究目的是为大型企业失泄密风险管理提供解决方案,从而进一步提升大型企业应对失泄密风险的管控能力。首先概括提出失泄密风险管理十大维度,研究列示常见失泄密风险点;其次,构建失泄密风险管理框架进行风险诊断分析;最后针对不同类型的风险点提出相应的防范措施。
二、失泄密风险管理十大维度
根据专家访谈、实践经验、查阅相关制度等,总结梳理出失泄密10个风险维度,分别为保密工作责任制、保密制度建设、保密宣教培训、涉密人员管理、定密管理、信息系统和信息设备管理、涉密载体管理、涉密场所管理、涉密活动管理、涉外活动管理。针对10个风险维度研究提出风险点。
1.保密工作责任
保密工作责任制是保密工作管理中最重要的一个方面,只有将责任落实到人,再进一步加强管理,保密工作才能做到万无一失。
风险点包括:保密委员会作用发挥有限,保密委员会形同虚设,不按期召开会议并研究部署失泄密风险防范的有关重大问题;主要负责人对失泄密风险防范工作重视程度不够,不能高度重视和定期开展有关重大问题研究;保密分管领导不重视失泄密风险防范;业务分管领导对失泄密风险防范意识不强,不能做到失泄密风险防范与业务工作同部署、同研究;保密工作人员不能有效履行失泄密风险防范监督管理职能,对研究部署失泄密风险防范工作不及时,缺乏对保密工作开展督促、指导和检查;业务员工忽视失泄密风险防范;对失泄密风险防范的支持力度不足;未建立失泄密事件报告、处罚机制。
2.保密制度建设
保密制度健全使保密工作有章可循才能实现保密工作做到无缝隙管理。
风险点包括:保密制度不健全,不能结合工作实际建立健全各项保密工作制度;保密制度可操作性差;不能及时修订完善制度,缺乏保密制度修订完善机制,根据情况变化修订完善相关保密制度的及时性不够。
3.保密宣教培训
做好保密工作宣传教育可以使保密相关制度条款及时、系统地宣传贯彻到工作人员当中,做到入心入脑、铭记于心,这样才能使工作“不走样”。
风险点包括:全员失泄密风险防范意识不强,全员保密工作普及宣传力度不足,员工普遍缺乏失泄密风险防范意识;保密文件、法规、制度等精神不能及时传达、学习,不能定期、及时开展保密培训;保密宣教培训频率低、宣贯力度不够,缺乏系统性的宣教培训,不能按要求组织全员失泄密风险防范知识的宣传、培训和学习;全员保密宣教培训参与程度低。
4.涉密人员管理
保密工作人员中的涉密人员是知悉、接触秘密信息的工作人员,只有对这部分人员加强管理才能保证秘密信息不泄露。
风险点包括:对涉密人员缺乏分类分级管理,没有根据涉密程度和重要性等因素,对涉密人员进行细化分类管理;对涉密人员缺乏资格审查,在涉密人员上岗前缺乏对其进行严格资格审查,并签订保密承诺书;对涉密人员缺乏出国(境)审批,没有按照有关规定对涉密人员因私出国(境)等事项进行严格审批;有的单位对涉密人员缺乏离岗清退管理,不能按照有关规定督促涉密人员离岗前清退涉密载体等物品;有的单位对涉密人员缺乏脱密期管理。
5.定密管理
在单位海量的信息中准确划分涉密信息范围并且加强管理才能使工作人员明确秘密事项范围,做好保密工作。
风险点包括:保密事项范围不清晰,没有制定本单位保密事项范围一览表;定密程序缺乏规范性,没有完整的审核审批手续;信息发布、发表不经保密审查,保密审查审批程序不完善,信息发布、论文发表缺乏履行审查审批程序。
6.信息系统和信息设备管理
随着信息化步伐加快,利用信息系统、信息设备管理处理、管理信息已成为趋势,做好信息系统、设备的管理才能有效防止电子信息的泄密。
风险点包括:信息内网缺乏安全防护措施;对信息内网建设单位缺乏安全保密管理,信息内网建设没有选择有资质单位进行建设,或者没有与建设单位签订保密协议;对信息内网建设单位人员缺乏保密审查,忽视对信息内网和计算机运行维护单位的资质和人员进行保密审查;涉密介质管理粗放,未按要求建立计算机和移动存储介质登记台账、粘贴密级标志,并明确责任人及设备编号,未按要求存放和使用;涉密计算机安全保密措施不到位,没有采取符合保密标准的安全措施;涉密计算机使用不规范,涉密计算机未单机运行,安装使用具有无线功能的模块和外围设备;移动介质交叉使用频繁;存在违反规定使用中央文件现象;自动化设备使用违反保密规定;信息内外网计算机之间频繁交互信息资料;存在违规使用外网计算机办公现象。