您好, 访客   登录/注册

涉密资质单位保密风险管理探讨

来源:用户上传      作者:

  【摘 要】改革后,我国的各个行业都得到了很大的发展,在各个行业中所面临的问题也逐渐出现。其中,风险管理作为一个重要理念已融入到涉密资质单位保密管理过程中。涉密信息系统集成资质保密标准要求资质单位应定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估,有效防控泄密风险,消除泄密隱患,确保保密工作万无一失。但在实际工作中,一些涉密资质单位对保密风险管理的认识不够,风险评估报告与风险管理制度不对应,保密管理与单位生产经营相脱节,存在“两张皮”的问题。对此,涉密资质单位应坚持积极防范、突出重点,在全面掌握企业保密风险因素的前提下,建立全流程、全方位的风险管理体系就显得十分必要。笔者将针对以下几点内容,对涉密资质单位做好保密风险管理进行探讨。
  【关键词】涉密资质;单位保密;风险管理;探讨
  引言
  随着《涉密信息系统集成资质管理办法》和《涉密信息系统集成资质保密标准》的出台,涉密信息系统资质和国家秘密载体印制资质审查工作已全面开展。在审查工作中发现,资质单位在保密管理体系建设过程中,存在一些共性的重难点问题,主要包括保密风险评估、保密管理与单位日常管理相融合,以及初次申请涉密资质单位进行涉密人员界定、要害部位划分和涉密项目管理等具体问题。
  1涉密项目保密管理典型问题
  1.1信息较多。
  涉密项目全生命周期各个环节产生的信息较多,从签订合同开始就会产生涉密信息,涉密信息判定工作量大、管理重点多。需要根据国家保密管理部门按照不同项目的密级要求,根据最小化原则及实际情况,对项目的技术文档、管理信息、过程文件是否涉密进行科学合理的判定。
  1.2组织机构以及人员不完备,责任未落实
  在实际的监管工作中,对于监管主体的确认一直都不是非常明确,所以导致信息安全保密职责也比较模糊,虽然在日常的保密管理工作中经常会提出“谁主管业务工作,就由谁来负责保密工作”的口号,但是很多企事业单位对需要保密的内容并不是非常明确,所以很多需要保密的工作内容并没有明确的主体,职责非常模糊,导致管理缺失。此外,一些单位并不看重保密的重要性,保密管理队伍也存在严重不足,从而直接导致保密工作的实际需要与管理队伍之间严重不协调。
  1.3保密管理风险点识别不到位
  有些涉密单位的识别方法科学性不足,识别分析的全面性不够、准确性不高,风险防控措施的有效性不强。涉密单位开展保密风险评估,应结合实际情况,对涉密业务、人员、资产、场所、载体等主要管理活动进行全过程、全生命周期的识别分析。同时,应综合评估各风险发生概率和一旦发生风险造成的危害程度,划分风险等级,提出与风险点一一对应的具体防控措施。
  2涉密项目典型保密问题对策
  2.1明确涉密信息及管理措施。
  保密就是保信息。在项目正式启动之前,资质单位就须根据国家保密管理部门对涉密项目的定级材料,通过与建设单位的充分沟通,确定项目技术文档、管理信息、过程文件中的涉密内容及知悉范围。在这一过程中,应坚持“最小化原则”,以便于明晰管理重点,同时降低不必要的管理工作量。对于大多数涉密项目,相关信息化场地、信息化基础环境和设施、未初始化涉密数据和涉密业务规则的软件系统以及部分过程性文档均不涉密,应做好保密管理区分。在明确涉密信息后,在项目实施方案中确认各环节的输入、输出资料及成果的涉密事项和涉密等级,明确现场实施过程中的保密管理重点,报建设单位保密管理部门最终确定。由于涉密项目建设的参与单位和人员多、信息传递的环节和界面多,项目的工作效率、工作方式必须服从安全保密要求。
  2.2稳定涉密人员队伍,保证保密工作持续进行
  在涉密单位管理工作中,对于比较优秀的涉密管理人员一定要给予高度重视,要树立爱才惜才的理念,为了使其能够更好地从事保密工作,单位可以依据实际情况提高这些人员的工资水平,及时解决工作中实际存在的困难,由此保障涉密队伍的整体稳定性。在对涉密人员给予保密补偿时可以采用以下3种方式。第一,即时赔偿方式。比如涉密人员要临时参加一些重要的涉密活动或者是非常重要的对外谈判时,要针对实际情况一次性对其进行补偿。第二,计量补偿方式。涉密人员为了保护秘密而使自身的合法利益受到一定损害时,例如研究成果因为涉密不能公开或者上市等,这种情况可以采用国家赎买或者其他方式进行补偿。第三,特殊补偿方式。针对一些从事特殊工作任务的涉密人员,可以通过补偿的方式使其更加有效地履行保密制度。
  2.3涉密场所管理方面
  一是未按要求安装管理使用门禁、视频监控、防盗报警等安防系统。涉密资质单位应定期检查维护相关安防系统,严格执行视频监控管理检查机制,确保视频监控信息保存时间不少于3个月。二是涉密场所人员进出管控不严。有些涉密资质单位涉密场所门禁授权范围过大,或授权进出人员范围与实际情况不符等。涉密资质单位应根据工作需要,发放进出涉密场所门禁卡并合理限定进出范围;应利用门禁系统后台程序,实时监控涉密场所人员进出情况;应对临时进出人员严格履行审批、登记手续,落实接待人员全程陪同制度。
  结语
  涉密单位做好风险管理要健全组织机构,加大领导力量,结合单位实际,定期分析保密形势,及时排查评估泄密隐患和风险,通过规范的安全保密策略、操作规程,制订风险处理计划,相关人员按照计划实施跟踪、验收和反馈控制措施,逐条逐项完善保密管理制度,不断地将保密风险防控措施融入到单位管理制度和业务工作流程中,实现动态的安全循环评估体系,做到“事前防范、事中控制、事后监督”的良性循环,切实做到人人找风险、人人知风险、人人防风险。
  参考文献:
  [1]孙晶晶,陈兆麟,王嘉宁.精准定密动态管控全方位全时段做好涉密人员保密管理[J].保密科学技术,2016(10).
  [2]王立京.涉密人员管理的思考与研究[J].商情,2014(27).
  [3]朱奎.对基层政府财政管理存在的问题及对策分析[J].商情,2014(12).
  [4]孙李科.关于涉密信息系统集成资质单位保密管理的几点思考[J].保密科学技术,2018(5).
  (作者单位:普洱三鑫科技有限公司)
转载注明来源:https://www.xzbu.com/1/view-14719485.htm