文/國網(wǎng)江蘇省電力有限公司 陳莉 吳建周 喬勇 洪蘆誠

一、國內(nèi)外研究與發(fā)展情況

（一）國內(nèi)研究與發(fā)展情況。我國高度重視保密標準化工作。早在1982年，國家保密局與原國家質(zhì)量技術(shù)監(jiān)督局標準化司聯(lián)合啟動了第一個國家保密標準編制工作，現(xiàn)行有效的保密標準共30余項。2016年8月24日，中央網(wǎng)信辦、國家質(zhì)檢總局、國家標準委聯(lián)合印發(fā)《關(guān)于加強國家網(wǎng)絡(luò)安全標準化工作的若干意見》，提出圍繞國家戰(zhàn)略需求，開展關(guān)鍵信息基礎(chǔ)設(shè)施保護、網(wǎng)絡(luò)安全審查等領(lǐng)域的標準化研究工作，以此構(gòu)建科學(xué)統(tǒng)一的網(wǎng)絡(luò)安全標準體系和標準化工作機制，用以推動網(wǎng)絡(luò)安全和信息化良性發(fā)展。但總體來看，我國的保密標準化建設(shè)還不夠完善，特別是企業(yè)保密標準化建設(shè)方面還存在標準滯后、標準粒度較粗、部分領(lǐng)域標準缺失等問題。近年來，隨著技術(shù)研發(fā)、產(chǎn)品檢測、裝備配備以及平臺建設(shè)等工作全面開展和不斷升級，我國正加快推進保密標準制修進程，深化推進標準化改革發(fā)展。軍工行業(yè)一直是保密標準化的排頭兵，國家保密局會同國家國防科技工業(yè)局、中央軍委裝備發(fā)展部于2017年聯(lián)合印發(fā)了修訂的《武器裝備科研生產(chǎn)單位保密資格標準》《武器裝備科研生產(chǎn)單位保密資格評分標準》。新標準分為3個等級，涉及6個方面的工作要求，是貫徹落實依法行政及國務(wù)院行政審批“放管服”改革要求、進一步規(guī)范和加強軍工保密資格認定工作的重要舉措。此外，我國電力行業(yè)多個央企同樣高度重視保密標準化建設(shè)，開展了大量的工作，進行了積極的探索，先后制定印發(fā)了《保密工作管理辦法》《保密工作獎懲辦法》《領(lǐng)導(dǎo)人員保密工作責(zé)任追究管理辦法》《涉密辦公自動化設(shè)備保密管理規(guī)定》《保護商業(yè)秘密規(guī)定》《保密檢查工作規(guī)定》六大項通用制度，目前已初步構(gòu)建形成了自上而下、一貫到底的保密通用制度體系。

（二）國外研究與發(fā)展情況。西方發(fā)達國家較早開始了保密方面的研究和立法。歐洲是最早將保密立法化的地區(qū)，瑞典于1766年頒布了《出版自由法》，自此之后又頒布了《政府憲章》《保密法》《表達自由法》，這四部法律組成了瑞典的政府信息公開和保密的法律依據(jù)以及執(zhí)行標準。芬蘭于1951年頒布并實施了《公文公開法》；丹麥在1964年制定了《當(dāng)事人使用政府檔案法》；法國于1978年制定了《自由獲得行政文件法》；英國于1997年發(fā)布《公眾知情權(quán)白皮書》，于2002年實施《信息自由法案》。美國在安全保密標準化工作方面走在世界的前列：1966年制定實施了《信息自由法》，1974年公布了《隱私權(quán)法》，1976年制定了《陽光下的政府法》。1987年，美國國會通過了《計算機安全保密法案》，不但涉及對于國家安全信息保障的條款，還強調(diào)了個人敏感信息的重要性。美國國家標準技術(shù)研究院（NIST）為美國信息安全保密管理提供了一系列的指南性規(guī)范，包括了FIPS系列和SP系列等。除此之外，在網(wǎng)絡(luò)安全保密領(lǐng)域NAS與DHS也出版了一些標準，對NIST進行了補充，構(gòu)成了一套完備的信息安全保密規(guī)范體系。美國還常以總統(tǒng)令的方式公布保密管理法律規(guī)定，奧巴馬政府所發(fā)布的總統(tǒng)令《國家安全涉密信息》就是現(xiàn)行保密法規(guī)。英國與歐盟在保密標準化建設(shè)方面緊跟美國前進步伐。如，ISO/IEC 27002就脫胎于英國的國家標準BS7799-1。歐盟非常重視各成員國間的保密標準化，基本自成體系形成了一套完整的保密標準體系。

外企保密培訓(xùn)工作為保密標準化工作帶來了以下啟示：第一，保密培訓(xùn)形式要豐富多樣。良好的保密培訓(xùn)工作可以大大降低泄密事件發(fā)生的可能性。利用在線培訓(xùn)和遠程教育平臺可做到事半功倍。在線培訓(xùn)具有覆蓋面廣、共享性好、靈活性強、支出成本低，且能夠有效解決工作與學(xué)習(xí)的矛盾等優(yōu)勢。企業(yè)還可以通過檢查的形式來促進保密培訓(xùn)的進步，促進各部門和員工對保密培訓(xùn)的重視。第二，保密培訓(xùn)內(nèi)容要細致廣泛。外企在小到涉及隱私的個人物品，大至外包單位等方面都提出了保密意識、保密能力要求，一切以商業(yè)利益為核心，凡是與商業(yè)利益掛鉤的內(nèi)容，都采取了各種保護措施，對各部門的涉密人員都進行專項細致的保密培訓(xùn)。

二、國有大型企業(yè)保密制度標準體系拓撲

（一）拓撲設(shè)計原則。近年來，隨著經(jīng)濟社會的發(fā)展和新技術(shù)新產(chǎn)品的應(yīng)用，我國現(xiàn)行保密體系對保密業(yè)務(wù)范圍還不能完全覆蓋，保密制度標準、保密技術(shù)規(guī)范標準、人員崗位保密標準仍存在空白區(qū)域，還需要健全保密制度標準化體系，解決“有標可依，有章可循”的問題?；谶@些發(fā)展與不足并存的現(xiàn)象，在構(gòu)建保密制度標準體系拓撲時應(yīng)遵循以下原則：1.相關(guān)法律法規(guī)的原則；2.新時代發(fā)展戰(zhàn)略與保密工作目標的原則；3.國家、行業(yè)通用的制度標準體系要求；4.分級分類的原則；5.全面性和系統(tǒng)性結(jié)合、動態(tài)優(yōu)化調(diào)整的原則。

（二）保密制度標準體系拓撲。按照拓撲設(shè)計原則，在對現(xiàn)行保密制度進行梳理后，明確了不同層級需要的制度標準，研究構(gòu)建形成了保密制度標準體系拓撲，展示了三個層級的不同類別保密制度之間的物理和邏輯關(guān)系，涵蓋了6個通用制度、各級單位數(shù)十個保密相關(guān)制度/文件，具有“一個核心、雙向互動、三類標準、四個層級”（即“1234”）的結(jié)構(gòu)特征，具體如下：1.一個核心。指的是保密制度標準體系拓撲主要以企業(yè)頒布實施的《保密工作管理辦法》為核心，其在內(nèi)部為各類保密制度的“母法”，同時對接了國家相關(guān)的保密法律法規(guī)、戰(zhàn)略和發(fā)展目標以及行業(yè)通用的基礎(chǔ)制度標準等，是保密工作開展的根本遵循與核心制度。2.雙向互動。指的是在保密制度構(gòu)建與實施過程中，不同制度間既有自上而下的一脈相承，也有彼此間的互補、細化與拓展，體現(xiàn)了縱向與橫向的雙向互動，為保密制度在不同層級、不同分部內(nèi)的流轉(zhuǎn)與實施提供了通道和保障，也促進了保密制度自身的發(fā)展與健全進程。3.三類標準。指的是保密制度標準體系拓撲研究構(gòu)建的保密管理制度標準、技術(shù)規(guī)范標準、人員崗位保密標準，其中保密管理制度標準包括：商秘管理、監(jiān)測與檢查管理、宣傳教育與培訓(xùn)管理、涉密會議和活動管理、獎懲管理、綜合管理（含應(yīng)急管理和考評管理）等；技術(shù)規(guī)范標準包括了涉密場所和要害部門（部位）管理、涉密載體/設(shè)備/檔案標準、監(jiān)測系統(tǒng)、保密管理信息系統(tǒng)等技術(shù)標準；人員崗位保密標準包括組織機構(gòu)、領(lǐng)導(dǎo)干部、涉密人員、普通員工、掛職借用人員等崗位保密標準。涵蓋了現(xiàn)行保密相關(guān)的全部制度和標準。4.四個層級。自上而下分為四個層級，最上部分為本保密制定標準體系需遵循的相關(guān)法律法規(guī)、新時代發(fā)展戰(zhàn)略與保密工作目標以及國家、行業(yè)通用的制度標準體系要求；第二部分至第四部分則分別對應(yīng)了總部、分部和各個其他單位，分設(shè)為一級、二級和三級，按照彼此間的邏輯關(guān)系，體現(xiàn)保密制定標準體系遵循分級分類的原則。此外，保密制度標準體系拓撲中，特別提出了通用制度，該部分為貫穿各層級各類別的制度，是保密制度標準體系中不可更換和替代的“固化模塊”，各單位必須在遵循此類制度的基礎(chǔ)上，根據(jù)發(fā)展需要可進行動態(tài)優(yōu)化調(diào)整，設(shè)置適合自身發(fā)展需要的“動態(tài)模塊”制度，即構(gòu)建固化模塊+動態(tài)模塊的區(qū)域保密體系標準，但在一定程度上必須以通用制度為基本遵循，共同構(gòu)建保密制度動態(tài)調(diào)整的基本依據(jù)和基礎(chǔ)環(huán)境。

（三）拓撲的總體架構(gòu)與衍生方式。1.總體架構(gòu)。保密制度標準體系拓撲在總體上包括了管理制度標準、技術(shù)規(guī)范標準、人員崗位標準三大類別，其基礎(chǔ)和邊界為管理制度，保障和措施為技術(shù)規(guī)范，關(guān)鍵與核心在人員，三者共生、相互依存。2.衍生方式。拓撲總體上采取自上而下、由左至右的衍生方式生成，沒有反向或雙向，各標準模塊相互獨立，彼此間不構(gòu)成交叉或包容，在模塊范圍內(nèi)各制度間有可能存在關(guān)聯(lián)。具體構(gòu)成及其含義如下：（1）層級關(guān)系。拓撲共有四個層級，位于拓撲最上層是保密制度標準體系的“上位法”，不屬于保密制度標準。除此外，自上而下的一級、二級、三級分別表示了由最高層的總部依次到各分部、其他各級單位的衍生關(guān)系。也就是說，“一級”是保密制度標準的最高級，“三級”是最低級。大多數(shù)保密制度只對應(yīng)所在層級，但通用制度例外，它將跨多級。（2）制度模塊。拓撲共包括了保密管理制度、技術(shù)規(guī)范、人員崗位保密標準共三類標準，每類標準中分別包括了相關(guān)的制度模塊，制度模塊是由各層級不同的制度構(gòu)成，主要的模塊分布見“表1”。

表1 保密制度標準體系主要制度模塊分布表

一般情況下，各制度模塊間不交叉，但部分模塊例外，如“領(lǐng)導(dǎo)干部”和“涉密人員”等模塊。

（四）拓撲的應(yīng)用與優(yōu)化機制。保密標準化體系拓撲標明了各制度之間的邏輯關(guān)系，在一定范圍內(nèi)體現(xiàn)了制度衍生的脈絡(luò)，并按照分級分類的原則，展現(xiàn)了各制度在標準體系中的分布，為后續(xù)開展保密標準化管理體系構(gòu)建研究提供了理論基礎(chǔ)和支撐，也為保密標準化的發(fā)展與變革奠定了基礎(chǔ)。保密標準化體系拓撲應(yīng)隨著國家相關(guān)法律法規(guī)的變更、戰(zhàn)略發(fā)展的推進而適時優(yōu)化，在優(yōu)化過程中應(yīng)遵循以下原則：1.國家相關(guān)法律法規(guī)的要求；2.滿足企業(yè)戰(zhàn)略發(fā)展需求，解決實際問題；3.兼顧執(zhí)行保密安全制度和發(fā)揮企業(yè)效益之間的均衡；4.始終結(jié)合社會發(fā)展需求，必須通過相應(yīng)組織決策，逐步把它優(yōu)化構(gòu)建成為一個持續(xù)改進、動態(tài)更新的體系。

三、結(jié)語

本文以現(xiàn)行的保密制度為基礎(chǔ)，針對國有大型企業(yè)保密標準化體系構(gòu)建的需求，開展了保密制度標準體系拓撲的研究和實際，分析了體系內(nèi)各構(gòu)成要素及其彼此間的物理與邏輯關(guān)系，并按照分級分類的原則，著重分析各種制度在標準體系中的分布，初步構(gòu)建形成國有大型企業(yè)保密制度標準體系拓撲，為企業(yè)后續(xù)開展保密標準化管理制度構(gòu)建提供了理論基礎(chǔ)和支撐。