1 引言

保密工作歷來是黨和國家的一項重要工作。在新的歷史時期，保密工作關(guān)系到深化改革、加快發(fā)展、維護穩(wěn)定和保障民生的工作大局，是保證我國經(jīng)濟社會發(fā)展持續(xù)健康發(fā)展，實現(xiàn)中華民族偉大復(fù)興的重要一環(huán)。隨著企業(yè)信息化建設(shè)的不斷推進，在為企業(yè)業(yè)務(wù)開展和日常運營帶來便利的同時，也使保密管理的對象、領(lǐng)域、內(nèi)容、手段和環(huán)境等發(fā)生了很大變化：保密管理的范圍不斷擴大，涉密載體呈現(xiàn)多樣性，涉密活動日益頻繁，泄密渠道增多，竊密手段隱蔽性強。這些都對中央企業(yè)保密工作提出了新的更高的新要求。新形勢下，企業(yè)必須將傳統(tǒng)的保密工作與信息安全管理緊密結(jié)合，探索使兩者協(xié)同發(fā)揮彼此特長和優(yōu)勢的有效途徑，互相支持、互為援護，共同構(gòu)筑企業(yè)保密與信息安全的“鋼鐵長城”。

隨著電力企業(yè)信息化的不斷發(fā)展，保密與信息安全所面臨的各類風(fēng)險也同時滲透到電力企業(yè)生產(chǎn)、經(jīng)營的各個方面，信息安全問題已成為影響電力安全生產(chǎn)的重大問題之一。電網(wǎng)企業(yè)作為公用事業(yè)企業(yè)以及關(guān)系國民經(jīng)濟命脈和國計民生的能源企業(yè)，運轉(zhuǎn)著世界上用戶規(guī)模巨大的信息系統(tǒng)，承擔(dān)的保密和信息安全責(zé)任十分重大，一旦出現(xiàn)泄密或安全事件，將嚴重影響到國家經(jīng)濟社會和能源安全。特別是，隨著電網(wǎng)企業(yè)創(chuàng)新步伐的加快，電網(wǎng)企業(yè)的商業(yè)秘密也不斷增多，各類非密敏感信息數(shù)量迅速增長，如果對各類技術(shù)、經(jīng)營信息等不予妥善保護，將嚴重影響到電網(wǎng)企業(yè)的核心競爭力和核心利益。

2 電網(wǎng)企業(yè)保密與信息安全管理存在的問題分析

目前，電網(wǎng)企業(yè)保密與信息安全工作存在如下主要問題：

一是保密與信息安全工作的戰(zhàn)略地位有待加強。目前保密工作在電網(wǎng)企業(yè)戰(zhàn)略管理中的地位與實際安全需求匹配程度不夠，保密工作的戰(zhàn)略地位亟待加強。信息化是一把雙刃劍，其在為企業(yè)發(fā)展帶來便利和高效的同時，也使企業(yè)面臨著前所未有的高強度泄密風(fēng)險。失泄密安全事件一旦發(fā)生，不僅會對國家和電網(wǎng)企業(yè)造成極大的惡劣影響和損失，而且其損害后果難以挽回和彌補，具有不可逆性。這就決定了電網(wǎng)企業(yè)應(yīng)當(dāng)將保密與信息安全工作上升到戰(zhàn)略決策的高度，在制定和實施電網(wǎng)企業(yè)各項發(fā)展戰(zhàn)略時必須將保密與信息安全工作同時納入考慮，針對涉密事項制定完善的管理制度和周密的應(yīng)對方案。

二是保密與信息安全的保護對象亟待擴張。對電網(wǎng)企業(yè)而言，國家秘密和商業(yè)秘密在日常生產(chǎn)經(jīng)營中所占比重很小，而在這兩類秘密之外，還有著另外一類數(shù)量和規(guī)模更為龐大、能反映電網(wǎng)企業(yè)生產(chǎn)經(jīng)營狀況的關(guān)鍵信息。這類關(guān)鍵信息雖因各種原因無法被界定為國家秘密或商業(yè)秘密，但其對電網(wǎng)企業(yè)的生存發(fā)展同樣具有舉足輕重的重要作用。當(dāng)前，大數(shù)據(jù)等新型理念和方法的傳播，使得對數(shù)據(jù)的收集、匯總、分析變得越來越便利，而藉由數(shù)據(jù)的逆向推導(dǎo)，競爭對手和意圖不良者極可能輕易了解和掌握電網(wǎng)企業(yè)運營的全部過程和細節(jié)，無異于使電網(wǎng)企業(yè)完全暴露在公共視野中，其后果是十分可怕的，必須采取積極措施進行預(yù)防和應(yīng)對。

三是保密與信息安全對新技術(shù)領(lǐng)域的管控力度不足。信息化時代，以云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等為代表的一大批高新技術(shù)得到廣泛使用，給信息和數(shù)據(jù)的傳輸、存儲、使用、分析等各環(huán)節(jié)帶來了革命性變化。新技術(shù)的運用固然為企業(yè)發(fā)展帶來便利和助益，但如果缺乏對新技術(shù)運用的有效監(jiān)管，企業(yè)面臨的失密泄密風(fēng)險將會以幾何級數(shù)增長。

四是保密與信息安全與電網(wǎng)企業(yè)國際化戰(zhàn)略的整合不足。當(dāng)前，電網(wǎng)企業(yè)正積極實行國際化戰(zhàn)略，通過參與國際競爭不斷提升電網(wǎng)企業(yè)的整體經(jīng)營效益和國際影響力。就保密與信息安全工作而言，電網(wǎng)企業(yè)目前尚未針對海外業(yè)務(wù)形成常態(tài)化、規(guī)范性的管理制度體系，如不能很好地適應(yīng)海外業(yè)務(wù)保密工作的特殊需求，將使電網(wǎng)企業(yè)保密工作在整體上存在缺陷和漏洞。保密與信息安全形勢是十分嚴峻的。

五是保密與信息安全的各項制度體系有待進一步完善。電網(wǎng)企業(yè)目前已經(jīng)頒行了一系列關(guān)于保密工作的規(guī)章制度，現(xiàn)有保密與信息安全管理制度，尤其是針對保護范圍的擴張、海外保密與信息安全工作的開展等重要問題，尚缺乏相對應(yīng)的具體管理制度，電網(wǎng)企業(yè)系統(tǒng)內(nèi)也尚未形成完善的保密與信息安全管理制度、運維體系和技術(shù)體系。這些都要求電網(wǎng)企業(yè)在下階段工作中不斷進行深度研究和完善。

3 電網(wǎng)企業(yè)保密與信息安全工作的提升策略

電網(wǎng)企業(yè)保密與信息安全工作的完善在不同階段的工作重點各有所側(cè)重。從總體上看，保密工作重在建體系、布網(wǎng)絡(luò)、抓關(guān)鍵、常檢查、嚴考核。因此，為實現(xiàn)保密與信息安全管理的戰(zhàn)略目標，構(gòu)建一體化管理體系，有必要做好如下幾方面重點工作。

一是提升電網(wǎng)企業(yè)保密與信息安全管理工作的戰(zhàn)略地位。在電網(wǎng)企業(yè)發(fā)展新階段，電網(wǎng)企業(yè)保密與信息安全工作也要邁上新臺階。在繼續(xù)發(fā)揮好保密工作對電網(wǎng)企業(yè)發(fā)展的“服務(wù)和保障”作用的同時，應(yīng)當(dāng)根據(jù)內(nèi)外部形勢發(fā)展，從全局高度重新審視保密與信息安全工作，將其作為電網(wǎng)企業(yè)戰(zhàn)略體系的重要組成部分。由此，實現(xiàn)與其他重大業(yè)務(wù)在戰(zhàn)略層面的融合對接，從而為各項具體工作的開展、制度的落實奠定堅實基礎(chǔ)。

二是構(gòu)建保密與信息安全一體化管理體系。借鑒資產(chǎn)全壽命周期理論和信息安全管理體系（ISMS），從主動預(yù)防、閉環(huán)管理、保密與信息安全緊密結(jié)合的基本原則出發(fā)，電網(wǎng)企業(yè)應(yīng)當(dāng)構(gòu)建“橫向到底、縱向到邊”的一體化管理體系，形成安全網(wǎng)絡(luò)，將電網(wǎng)企業(yè)核心資源、核心業(yè)務(wù)以及日常運營的全過程均納入該體系的管控中。以現(xiàn)有組織體系和制度體系為基礎(chǔ)和依托，建立起包括安全管理制度、安全運維、安全技術(shù)三大模塊在內(nèi)的電網(wǎng)企業(yè)保密與信息安全管理框架，落實“人防、物防、技防”的基本要求。對電網(wǎng)企業(yè)現(xiàn)有保密與信息安全管理機制進行梳理整合，做到分工合理、責(zé)任清晰、周延無縫。加強考核監(jiān)督，定期或不定期開展保密與信息安全檢查，及時發(fā)現(xiàn)問題、查找漏洞、彌補缺陷，同時進一步完善考核激勵機制，更為注重通過獎懲結(jié)合的方式實現(xiàn)對人員行為的規(guī)范。探索將保密管理與單位和人員的績效考核相掛鉤的合理途徑。

三是拓展保密與信息安全保護對象范圍。要強化對關(guān)鍵和重要數(shù)據(jù)的全生命周期監(jiān)管，從其產(chǎn)生伊始就采用技術(shù)手段進行跟蹤保護，制定相應(yīng)制度規(guī)范數(shù)據(jù)的獲取、分析、存儲等行為，嚴格保證對數(shù)據(jù)的接觸和使用在適當(dāng)范圍內(nèi)進行。要有效防范不當(dāng)泄露電網(wǎng)企業(yè)重要數(shù)據(jù)的行為，除傳統(tǒng)的涉密崗位和涉密人員外，凡因正當(dāng)工作原因獲得電網(wǎng)企業(yè)關(guān)鍵或重要信息的人員，均因此而負有保密義務(wù)，必須遵守相應(yīng)制度和守則，嚴禁泄密。

四是加強對新技術(shù)領(lǐng)域的保密與信息安全管理。云計算、云存儲、物聯(lián)網(wǎng)等各類新型信息技術(shù)的使用是大勢所趨，在享受其帶來的便利的同時，更要針對其特點加強保密與信息安全管理。電網(wǎng)企業(yè)在采購新技術(shù)服務(wù)時必須嚴格審查供應(yīng)商背景及其提供的保密與信息安全方案，審慎選擇外包服務(wù)商，明確服務(wù)等級責(zé)任(SLA)，簽訂數(shù)據(jù)保密協(xié)議，不盲目信賴供應(yīng)商，確保新技術(shù)服務(wù)風(fēng)險可控[3]。在使用新技術(shù)服務(wù)時要加強監(jiān)管，既要確保使用者的使用行為符合規(guī)范，也要確保技術(shù)服務(wù)本身的運行不會產(chǎn)生失密、泄密等情況。嚴格規(guī)范對云技術(shù)服務(wù)的使用，凡涉及國家秘密、商業(yè)秘密以及電網(wǎng)企業(yè)關(guān)鍵或重要數(shù)據(jù)等，一律禁止在系統(tǒng)外部云端進行存儲或處理。四是，積極開發(fā)電網(wǎng)企業(yè)自主的云端技術(shù)產(chǎn)品，尤其是私有云的建設(shè)，以更好地滿足電網(wǎng)企業(yè)運營需求、提升服務(wù)安全性。

五是強化國際及金融業(yè)務(wù)領(lǐng)域的保密與信息安全工作。要制定電網(wǎng)企業(yè)層面海外業(yè)務(wù)保密與信息安全的基本管理規(guī)定，就該項工作面臨的共性問題進行統(tǒng)一規(guī)范。應(yīng)根據(jù)不同海外業(yè)務(wù)類別制定相應(yīng)的具體管理規(guī)定，明確各項業(yè)務(wù)開展前和開展過程中就保密與信息安全所應(yīng)采取的措施和方案。而在開展具體業(yè)務(wù)時，則應(yīng)當(dāng)嚴格按照有關(guān)規(guī)定評估海外業(yè)務(wù)保密與信息安全風(fēng)險，制定相應(yīng)的海外安全管理制度和事故應(yīng)對方案，并對各項安全制度的執(zhí)行情況進行定期檢查和嚴格監(jiān)督。重點要對駐外機構(gòu)、人員及業(yè)務(wù)流程進行嚴格監(jiān)管，對機構(gòu)選址、建設(shè)、維護，人員選派、聘用，業(yè)務(wù)交流、合作等各環(huán)節(jié)，都要制定細致、嚴格、系統(tǒng)的管理制度和行為守則，輔之以必要的技術(shù)手段，同時定期或不定期開展海外業(yè)務(wù)保密安全檢查，及時發(fā)現(xiàn)問題、查找漏洞、彌補缺陷，時時繃緊反泄密、竊密這根弦。

4 主要結(jié)論

在保密與信息安全結(jié)合日趨緊密的大趨勢下，必須充分發(fā)揮兩項傳統(tǒng)工作各自優(yōu)勢，互為支撐、互相協(xié)調(diào)，探索保密與信息安全管理的新途徑。電網(wǎng)企業(yè)保密與信息安全管理工作應(yīng)當(dāng)與企業(yè)整體發(fā)展戰(zhàn)略和管理體系相協(xié)調(diào)。為使其在業(yè)務(wù)體系中更好地發(fā)揮作用，電網(wǎng)企業(yè)應(yīng)當(dāng)積極探索保密與信息安全一體化管理模式，將兩項職能進行充分整合，以強化工作力度、提升工作效率。