劉 瑩 尤信群 /文

近年來，隨著信息化技術(shù)的發(fā)展，涉密信息和涉密人員數(shù)量也成倍增長，傳統(tǒng)保密管理的業(yè)務(wù)模式受到了前所未有的挑戰(zhàn)。部分軍工單位大量信息產(chǎn)生與交互工作仍需要通過傳統(tǒng)手工方式進行管理，數(shù)據(jù)量大無法準確統(tǒng)計分析，存在反應(yīng)慢、響應(yīng)滯后、無法及時發(fā)現(xiàn)業(yè)務(wù)過程中存在的風險隱患問題。保密管理工作涉及的管理要素、管理維度、管理難度都在增加，加之國家有關(guān)保密標準日趨嚴格，軍工單位的保密管理資源很難再增加，有限的管理資源難以滿足日益增長的管理需求。部分軍工單位的保密管理工作還處于傳統(tǒng)的“被動式”狀態(tài)，即往往是在造成危害和影響之后，才會發(fā)現(xiàn)問題和薄弱環(huán)節(jié)，進行整改。這種“被動式”的管理模式是以付出代價為前提的，而且有些代價是巨大的，教訓是慘痛的。因此，亟須構(gòu)建一種新型的“主動式”的保密管理模式，在保密管理體系問題顯性化之前被發(fā)現(xiàn)，將問題扼殺于萌芽狀態(tài)。將風險管理引入保密管理工作就是一個有效的解決辦法和途徑。保密風險管理旨在做到主動防御、有針對性地防范泄密事件發(fā)生，是實現(xiàn)最小的成本使泄密風險控制在可接受水平，以此最大程度地達到保護國家秘密安全的目的。

保密風險管理研究現(xiàn)狀分析

在國際標準組織ISO 發(fā)布的《ISO Guide 73:2009 風險管理術(shù)語》中將“風險”定義為“不確定性對目標的影響”，指客觀存在的，在特定情況下、特定期間內(nèi)，某一事件導致的最終損失的不確定性。進行風險管理即在損失發(fā)生之前做出最有效的安排，加強風險的防范與控制，降低風險發(fā)生的概率及損失，以達到最大安全保障目標。

針對保密風險管理這一課題，我國學者近年來從保密管理實踐角度，做了大量工作，探究了當前基層保密管理存在的問題，提出了一些改進措施和方法，并嘗試采用風險管理去預防這些問題的發(fā)生。但是，這些風險管理大都是基于當前保密管理體系開展的，未對當前保密管理體系進行重新構(gòu)建或修正，導致了只關(guān)注了當前保密問題，未進行深度分析和研判，造成風險預警模型只能解決當前的實際問題，不能隨著時間、空間和對象的變化，進行修正保密管理體系。

軍工單位保密管理現(xiàn)狀分析

隨著軍工單位業(yè)務(wù)工作的不斷拓展，保密風險點也在不斷增加。有些軍工單位雖然部署了打印監(jiān)控審計系統(tǒng)、公文處理系統(tǒng)、財務(wù)管理系統(tǒng)、項目管理系統(tǒng)等信息化管理系統(tǒng)，但保密工作審批大多還在線下進行，紙質(zhì)審批、紙質(zhì)登記等傳統(tǒng)手工方式進行保密監(jiān)管效率低下。具體表現(xiàn)在以下幾個方面：一是紙質(zhì)單據(jù)弊病多。紙質(zhì)單據(jù)流轉(zhuǎn)效率低下，且難于保管，不易查找，保密流程相關(guān)情況難以追溯和監(jiān)控。二是保密信息雜亂無章。保密相關(guān)業(yè)務(wù)信息種類繁雜，數(shù)量增大，監(jiān)督和管理業(yè)務(wù)難做，保密管理工作質(zhì)量難以提高。三是保密自查流于形式。保密自查制度難以有效監(jiān)督，形式大于意義，導致既增加了業(yè)務(wù)工作人員的工作量，又未能達到自查的目的。四是關(guān)聯(lián)信息分析缺失。各種安全防護軟件之間缺少信息間的關(guān)聯(lián)性分析，數(shù)據(jù)無法形成合力，造成管理死角。五是業(yè)務(wù)流程和登記信息脫節(jié)。業(yè)務(wù)流程不能和相關(guān)設(shè)備或人員動態(tài)關(guān)聯(lián)，實際情況和登記信息不同步，導致登記信息不可信。六是變更缺乏有效控制和審批。出現(xiàn)變更時，登記信息的完整性和一致性缺乏保障，出現(xiàn)保密風險時責任難以落實。七是風險預警機制缺失。無法實現(xiàn)保密管理數(shù)據(jù)實時統(tǒng)計匯總，風險隱患不能及時排查，未構(gòu)建有效的保密風險防范機制。

研究主要內(nèi)容

基于風險管理為核心的軍工保密管理體系研究主要包括以下幾項內(nèi)容：

開展風險識別。對業(yè)務(wù)管理、人力資源管理、新聞宣傳管理、行政管理、資產(chǎn)管理等生產(chǎn)經(jīng)營活動進行研究、梳理流程，并對以往的保密監(jiān)督檢查出現(xiàn)的問題和薄弱環(huán)節(jié)進行整理、分析，準確定位，標注風險點，注明導致其發(fā)生的相關(guān)因素。

開展風險評估。風險評估是在保密風險識別的基礎(chǔ)上，對風險進行量化、分析、判斷、排序的過程，為風險處理奠定基礎(chǔ)。風險評估可從風險事件發(fā)生的可能性、風險影響程度和風險管理改進迫切性3 個維度進行綜合度量。

風險事件發(fā)生的可能性指分析事件發(fā)生的概率大小，具體分為5 個等級，分別賦予1～5 分，表示可能性逐漸增加，1 分表示該風險事件發(fā)生的可能性極低，幾乎不會發(fā)生，5 分表示該風險事件幾乎確定會發(fā)生。

風險影響程度指如果該風險發(fā)生，會對單位保密管理目標所產(chǎn)生影響的大小。風險影響程度分為5 個等級，分別賦予1～5 分，表示影響程度依次加強。1 分代表影響程度很低，基本可以忽略，5 分代表影響程度非常高，對單位保密管理目標有極其重大的影響。

風險管理改進迫切性指在當前的人員意識、管理措施和資源配置等條件下，風險可以按預期目標得到有效管控的程度。風險管理改進迫切性分為5 個等級，分別賦予1～5 分。

建立風險預警體系。從風險發(fā)生可能性的大小、影響程度和管理改進迫切性3 個維度建立風險預估模型，給出風險指標數(shù)值。當風險指標數(shù)值超過預設(shè)數(shù)值時，觸發(fā)預警機制，將提示保密管理部門、歸口管理部門和承辦部門進行風險處理。

開展風險處理。針對發(fā)現(xiàn)的風險和風險評估的等級，采取有效的措施，消除隱患和影響，不能完全消除的，盡可能將風險降至最低。針對不同的風險和不同的風險評估等級，健全與之相配套的保密實施方案、預案、失泄密補救方案以及相應(yīng)的規(guī)章制度，不斷完善改進當前保密管理體系，最終構(gòu)建完善的風險應(yīng)對措施庫。

表1 風險發(fā)生可能性評估標準

表2 風險影響程度評估標準

表3 風險管理改進迫切性評估標準

構(gòu)建完善具有保密風險預警功能的保密綜合管控系統(tǒng)。建設(shè)包含保密責任（含歸口管理責任），保密組織機構(gòu)，保密制度，定密管理，涉密人員管理，保密教育培訓管理，涉密載體管理，密品管理，要害部門部位管理，信息系統(tǒng)、信息設(shè)備和存儲設(shè)備管理，新聞宣傳管理，涉密會議管理，外場試驗管理，協(xié)作配套管理，涉外管理，保密監(jiān)督檢查，涉密事件查處，保密工作經(jīng)費等各類保密流程審查和審批模塊的保密綜合管控系統(tǒng)（若單位不涉及，則可不建立相關(guān)模塊）。主要實現(xiàn)以下功能：

實現(xiàn)審批流程電子化。與IT運維管理系統(tǒng)、OA 辦公系統(tǒng)、單點登錄系統(tǒng)、打印監(jiān)控審計系統(tǒng)、檔案管理系統(tǒng)、項目管理系統(tǒng)和人力資源管理系統(tǒng)等諸多管理系統(tǒng)集成和數(shù)據(jù)交互，通過信息化固化審批流程，將審批流程電子化，利用保密綜合管控系統(tǒng)實現(xiàn)涉密業(yè)務(wù)的精細化、規(guī)范化管理，實現(xiàn)記錄可追溯、不可篡改，確保數(shù)據(jù)的唯一性、準確性。

實現(xiàn)信息溝通。在保密風險識別、風險評估、建立風險預警體系、開展風險處理等方面，利用保密綜合管控系統(tǒng)實現(xiàn)各部門可以進行有效的信息溝通。業(yè)務(wù)部門按計劃開展風險識別、風險評估工作，監(jiān)控并及時填報業(yè)務(wù)范圍內(nèi)可能存在的保密風險情況；保密管理部門主動收集并獲取來自基層的信息反饋，與風險主要涉及部門進行充分溝通，開展風險處理并將處理結(jié)果進行記錄、反饋，向保密委匯報風險變化趨勢、重大風險與經(jīng)驗總結(jié)。

實現(xiàn)風險預警機制。保密綜合管控系統(tǒng)對相關(guān)數(shù)據(jù)的定期匯聚整合、統(tǒng)計分析，實現(xiàn)保密風險自動評估，形成風險預警機制，解決安全審計工作落實難點，提升對安全威脅的發(fā)現(xiàn)、識別、理解、分析能力。

實現(xiàn)智能決策。保密綜合管控系統(tǒng)根據(jù)統(tǒng)計分析結(jié)果，推測總體的特征和規(guī)律，輔助進行決策。例如，可根據(jù)多元評價指標對涉密人員進行排序，對推薦年度保密先進集體、年度保密個人、進行違反保密規(guī)定行為處罰等進行輔助決策；對于考核結(jié)果倒數(shù)5%的涉密人員提出警告，并定期進行保密培訓及保密考試；當涉密人員一年中因私出國次數(shù)達到一定次數(shù)以后，則限制涉密人員因私出國次數(shù)。

實現(xiàn)持續(xù)改進與監(jiān)督管理。保密風險管理是一項持續(xù)的循環(huán)性工作，是一個系統(tǒng)化的動態(tài)管控過程。利用保密綜合管控系統(tǒng)，完善具體風險的事中應(yīng)對措施，及時發(fā)布風險應(yīng)對方案，對已有的實施方案進行調(diào)整，適時修改具體策略和措施，修正保密管理體系。保密管理部門可主動向業(yè)務(wù)部門提供匯總后的風險信息，并將風險應(yīng)對方案傳達至相關(guān)責任崗位，監(jiān)督各部門貫徹落實。

總結(jié)與展望

保密工作與各項業(yè)務(wù)工作是緊密相關(guān)的，既是業(yè)務(wù)工作開展的重要保障，也是實現(xiàn)內(nèi)部管理的重要內(nèi)容，同時也是加強單位內(nèi)部管理的重要手段。引入風險管理的理念，構(gòu)建一種新型的“主動式”的保密管理體系，實現(xiàn)保密管理體系自我運行和不斷完善，對于推動保密工作和內(nèi)部管理的并行發(fā)展具有十分重要的意義。目前，保密風險管理在一些軍工單位已經(jīng)做了一些有益的嘗試，也取得了一定的成效，進一步鞏固保密風險管理理論和方法，完善保密管理理論體系，為保密管理注入活力，是當前保密人面臨的巨大機遇和挑戰(zhàn)。