文/北京長峰新聯(lián)工程管理有限責任公司 于晨旭

軍工單位主要承擔著國家武器裝備科研生產(chǎn)任務，是國家安全和國防建設的基礎，安全保密管理工作歷來是軍工單位保發(fā)展、保生存的一項重要工作。對保密工作進行風險分析，目的是使保密監(jiān)管由事后向事中、事前轉(zhuǎn)移，防止失泄密事件的發(fā)生，最大限度地保證國家秘密安全。

在目前的保密監(jiān)督管理當中，諸多單位對于風險行為的管控關注不夠，導致保密監(jiān)管趨于事后管理，往往造成難以彌補的損失。而且對于保密風險缺少科學的識別方法。本文利用安全生產(chǎn)管理中的危險源辨識方法中的故障樹分析法和模糊綜合評判方法，在對保密業(yè)務流程梳理的基礎上，對保密工作中的風險點進行辨識和評估，從而提升保密業(yè)務管理水平。

一、保密工作風險點辨識

《中華人民共和國保守國家秘密法》《中華人民共和國保守國家秘密法實施條例》以及《武器裝備科研生產(chǎn)單位保密資格標準》等法律法規(guī)對保密工作涉及的保密責任、保密制度、保密管理等方面做了具體要求。依據(jù)這些標準和要求，對保密工作中的風險點進行辨識。目前國內(nèi)外研究的危險源辨識方法主要分為定性和定量兩大類。其中定性安全評價有安全檢查表分析法、作業(yè)條件危險性評價法、MES評價法等。定量安全評價有故障樹分析法、事件樹評價法、風險矩陣分析法等。本文采用故障樹分析方法進行保密工作風險點的辨識。

（一）故障樹分析法。故障樹分析法（簡稱FTA）是將事故因果關系形象地描述為一種有方向的“樹”：把可能發(fā)生或者已發(fā)生的事故（頂上事件）作為分析起點，將導致事故原因的事件（底事件）按因果邏輯關系逐層列出，用樹形圖表示出來，構(gòu)成一種邏輯模型。

（二）風險點的確立。由故障樹分析法得到事故的基本原因確定危險源因子，結(jié)合危險源分類方法，將保密工作中的風險點分為第一類風險點和第二類風險點。第一類風險點為根源危險源，主要是指規(guī)章制度、教育培訓、管理流程、三防建設等方面不規(guī)范、不完善、不閉環(huán)或者缺失等造成違規(guī)違法事件的發(fā)生。第二類風險點為狀態(tài)危險源，主要是指由于人為因素，比如對保密知識掌握理解不到位、過失或故意違反相關規(guī)定等，造成保密違規(guī)違法事件的發(fā)生。

（三）應用說明。以對外宣傳發(fā)生泄密事件為例進行說明。分析步驟如下：

1.構(gòu)造對外宣傳泄密事件故障樹符號和意義。詳見“表1”。

2.構(gòu)造故障樹模型，找出事故中的所有基本原因。詳見“圖1”所示。

圖1 故障樹模型

3.根據(jù)故障樹寫出故障樹結(jié)構(gòu)式：T=A1+A2=X1+X2+X3+X4+X5+X6+X7+X8。

4.風險點的確立。詳見“表2”。

表2 風險點模式圖

二、保密風險評估和分析及應用說明

（一）保密風險評估和分析。本文利用模糊綜合評判方法，對保密工作中的風險點進行量化評價。主要是從風險發(fā)生可能性、風險造成嚴重程度、風險整改難易程度三方面進行評估。這三種因素即為保密工作中的風險評判因素集，即U={‘可能性’‘嚴重程度’‘整改難易程度’}。風險發(fā)生可能性指該風險事件發(fā)生概率的大小。風險事件評價標準可分為5個風險等級，分別是：非常高、高、中、低、極低，即V={‘非常高’‘高’‘中’‘低’‘極低’}，可令其量化指標分別為1分至5分，等級數(shù)值越大，表示出現(xiàn)的頻率越高。1分表示該風險事件發(fā)生的可能性極低，幾乎不可能發(fā)生；5分表示該風險事件發(fā)生概率極大，會發(fā)生。風險造成嚴重程度是指該風險發(fā)生后，對單位保密管理產(chǎn)生的影響。風險影響程度評價標準可分為5個風險等級，分別是：非常高、高、中、低、極低，即V={‘非常高’‘高’‘中’‘低’‘極低’}，可令其量化指標分別為1分至5分，等級數(shù)值越大，表示影響的程度越大。1分代表影響程度很低，5分代表影響非常高。

風險整改難易程度是指在單位當前的人員意識、管理措施和資源配置等條件下，風險進行整改的難易程度。風險整改難易程度評價標準可分為5個風險等級，分別是：非常高、高、中、低、極低，即V={‘非常高’‘高’‘中’‘低’‘極低’}，可令其量化指標分別為1分至5分，等級數(shù)值越大，表示整改難度越大。1分表示在現(xiàn)有的管理措施、資源配置等條件下，對發(fā)現(xiàn)的風險比較容易進行整改。5分表示依照目前的保密管理水平和硬件條件，對發(fā)現(xiàn)的風險無法進行整改。

根據(jù)表3、4、5中的風險評價等級定義，即可得到保密風險的評價矩陣，其中ri即為表2、3、4中保密工作每個評判因素對應的風險等級數(shù)值。對于保密風險評價函數(shù)中的三個評價因素的權(quán)重系數(shù)，本模型中分別取值0.3、0.6、0.1, 即A=（0.3，0.6，0.1），滿足。綜上可以得到保密風險的評價函數(shù)如下：

表3 風險發(fā)生可能性等級定義

表4 風險造成嚴重程度等級定義

表5 風險整改難易程度等級定義

其中，A=（0.3，0.6，0.1），根據(jù)表2、3、4中的定義進行取值。

根據(jù)評價函數(shù)結(jié)果定義保密風險等級，分為Ⅰ級、Ⅱ級、Ⅲ級、IV級四個等級。對應的處理級別分別是提醒、重要提醒、警告和嚴重警告。根據(jù)不同的處理級別采取相應的詢問、提醒、檢查和處理等措施。

表6 風險等級劃分

（二）模型應用。假設某單位全年的宣傳報道中，由于張某的過失行為，造成了一起泄密事件的發(fā)生，但給單位帶來了較為嚴重的后果。根據(jù)“表3”，該行為發(fā)生的可能性等級可以判斷為極低，分值為1；根據(jù)“表4”，風險造成的嚴重程度為高，分值為4；根據(jù)“表5”，風險整改難易程度為極低，分值為1。因而可以得到B=2.8＞2.5，處理級別是嚴重警告。

三、保密風險應對措施

安全保密工作的核心是通過對風險進行識別、評估和管理，從而達到對國家秘密風險的管控。要利用相關技術和管理措施減小風險事件發(fā)生的可能性，或者把可能的損失控制在一定的范圍內(nèi)。

（一）加強保密監(jiān)督檢查?！皟?nèi)審+外審”的檢查方式，“飛行檢查”和“專項檢查”相結(jié)合的形式，加強對重點部門、重點項目和重大活動的檢查，加大對保密風險的識別。針對發(fā)現(xiàn)的問題，要及時采取措施，將問題徹底清除，切實筑牢保密防線。

（二）利用數(shù)據(jù)系統(tǒng)進行風險管理。在人工進行保密風險識別和評估的基礎上，借助數(shù)據(jù)管理系統(tǒng)，對保密管理數(shù)據(jù)進行累積和分析，能夠發(fā)現(xiàn)很多人工無法發(fā)現(xiàn)的保密管理問題，從而有效進行風險評估、風險防范和風險監(jiān)管。同時，設定科學的風險預警條件，一旦觸發(fā)，系統(tǒng)可以自動向有關部門警示，將保密防范措施從事后向事中、事前轉(zhuǎn)移，做到對保密風險行為發(fā)生前的監(jiān)管，降低發(fā)生違規(guī)事件和失泄密事件的概率。

（三）提升保密技術防范能力。保密工作中一個最大風險就在于信息安全的管理。要做好信息系統(tǒng)、信息設備和存儲設備的技術防范工作，就是要加大資金投入，進行硬件設施和軟件工具的配備。同時，保密技術離不開人的管理和應用。因此，擁有專業(yè)素質(zhì)過硬的人才隊伍對于提升保密技術防范能力起著至關重要的作用。