周 曄 楊 琦 王 菁 劉曉莉
(北京無(wú)線電計(jì)量測(cè)試研究所,北京 100039)
隨著測(cè)試與校準(zhǔn)實(shí)驗(yàn)室保密管理工作的逐步推進(jìn),基于風(fēng)險(xiǎn)的思維越來(lái)越明晰并顯示出其重要性?;陲L(fēng)險(xiǎn)的思維強(qiáng)調(diào)的是風(fēng)險(xiǎn)意識(shí),并形成固有的思維方式,這種意識(shí)和思維方式只有與指導(dǎo)管理具體場(chǎng)景行為相結(jié)合,融入活動(dòng)和過(guò)程管理中才能生效。日常管理中風(fēng)險(xiǎn)無(wú)處不在,風(fēng)險(xiǎn)的表現(xiàn)方式千變?nèi)f化,因此,應(yīng)以風(fēng)險(xiǎn)思維模式和系統(tǒng)的方法關(guān)注風(fēng)險(xiǎn),與過(guò)程方法和PDCA循環(huán)三者有機(jī)結(jié)合,形成系統(tǒng)的風(fēng)險(xiǎn)管控機(jī)制[1]。
長(zhǎng)期以來(lái)人們通常將可能出現(xiàn)的影響目標(biāo)實(shí)現(xiàn)的“威脅”等不利事件統(tǒng)稱為“風(fēng)險(xiǎn)”,它是一種未來(lái)可能發(fā)生的不確定性事件對(duì)目標(biāo)產(chǎn)生的影響。影響程度越大,風(fēng)險(xiǎn)也就越大;反之風(fēng)險(xiǎn)就越小。
2017年正式施行的新版保密資格標(biāo)準(zhǔn)[2](以下簡(jiǎn)稱“新標(biāo)準(zhǔn)”)在監(jiān)督與保障章節(jié)對(duì)保密檢查以及對(duì)風(fēng)險(xiǎn)分析、評(píng)估和控制提出了具體要求。
保密檢查主要指保密工作機(jī)構(gòu)依據(jù)國(guó)家保密法律法規(guī)和相關(guān)標(biāo)準(zhǔn)與指南,采取相應(yīng)的管理和技術(shù)手段,對(duì)各類涉密人員保密責(zé)任制落實(shí)和規(guī)章制度執(zhí)行情況進(jìn)行檢查的活動(dòng),此外還包括業(yè)務(wù)主管部門的專項(xiàng)檢查和涉密部門的季度自查等多種形式。
保密風(fēng)險(xiǎn)評(píng)估是單位在對(duì)業(yè)務(wù)工作流程梳理的基礎(chǔ)上,分析業(yè)務(wù)工作中的保密風(fēng)險(xiǎn)、辨識(shí)保密風(fēng)險(xiǎn)點(diǎn)、制定管控措施、持續(xù)改進(jìn)保密工作的手段,同時(shí)結(jié)合工作實(shí)際,定期分析單位的保密風(fēng)險(xiǎn)等級(jí),評(píng)估保密管理體系,從而防范風(fēng)險(xiǎn)發(fā)生,減少風(fēng)險(xiǎn)損失,提高保密防范能力。
新標(biāo)準(zhǔn)中強(qiáng)調(diào)以問(wèn)題為導(dǎo)向進(jìn)行風(fēng)險(xiǎn)分析,舉一反三,從根源、成因出發(fā)徹底根除隱患產(chǎn)生的條件。這一要求體現(xiàn)的就是風(fēng)險(xiǎn)控制的思想,風(fēng)險(xiǎn)控制的關(guān)鍵在于風(fēng)險(xiǎn)評(píng)估,而保密檢查的結(jié)果為充分識(shí)別風(fēng)險(xiǎn)、準(zhǔn)確分析評(píng)價(jià)風(fēng)險(xiǎn)可能帶來(lái)的影響提供重要的依據(jù),同時(shí),風(fēng)險(xiǎn)評(píng)估結(jié)果又為保密檢查開展提供重要指導(dǎo)。
新標(biāo)準(zhǔn)中對(duì)單位內(nèi)部保密檢查的種類、檢查人員、檢查周期都提出了較為具體的要求,如何有效地設(shè)計(jì)執(zhí)行好各類檢查,使得檢查既按照標(biāo)準(zhǔn)規(guī)范開展,又做到各有側(cè)重、互相補(bǔ)充,既確保檢查科學(xué)有效又利于高效開展則是保密工作機(jī)構(gòu)應(yīng)該重點(diǎn)研究的問(wèn)題。
從要求上看,保密檢查包括檢查保密責(zé)任制的落實(shí)情況和各項(xiàng)保密規(guī)章制度的執(zhí)行情況,其本質(zhì)在于檢驗(yàn)單位對(duì)各項(xiàng)保密風(fēng)險(xiǎn)的實(shí)際控制情況。從單位總體來(lái)看,由于各項(xiàng)保密管理要素在經(jīng)營(yíng)管理中的比重不同,風(fēng)險(xiǎn)產(chǎn)生的影響也不同,因此根據(jù)管理學(xué)“二八”原則,保密檢查首先應(yīng)重點(diǎn)關(guān)注涉及風(fēng)險(xiǎn)等級(jí)相對(duì)較高的管理要素,發(fā)現(xiàn)其存在的風(fēng)險(xiǎn)隱患。
通常,管理學(xué)中將風(fēng)險(xiǎn)等級(jí)用風(fēng)險(xiǎn)發(fā)生的概率和風(fēng)險(xiǎn)產(chǎn)生的平均后果來(lái)表示,即風(fēng)險(xiǎn)等級(jí)=風(fēng)險(xiǎn)發(fā)生的概率×風(fēng)險(xiǎn)產(chǎn)生的平均后果。然而,由于保密風(fēng)險(xiǎn)的發(fā)生存在一定的隱蔽性,部分風(fēng)險(xiǎn)存在即使發(fā)生也不易被管理者及時(shí)發(fā)現(xiàn)的可能,因此,單位可根據(jù)國(guó)家保密行政管理部門發(fā)布的失泄密案件情況,調(diào)整保密風(fēng)險(xiǎn)的發(fā)生概率值,以提高對(duì)近期發(fā)生概率相對(duì)較高風(fēng)險(xiǎn)的監(jiān)管力度。考慮到管理要素相關(guān)業(yè)務(wù)活動(dòng)發(fā)生的次數(shù)越多,發(fā)生風(fēng)險(xiǎn)的可能性就越大,將本單位保密管理要素的風(fēng)險(xiǎn)等級(jí)的計(jì)算方法調(diào)整為單位發(fā)生相關(guān)業(yè)務(wù)活動(dòng)開展的頻率(并結(jié)合近年失泄密案例的分布情況進(jìn)行適當(dāng)調(diào)整)與風(fēng)險(xiǎn)發(fā)生后產(chǎn)生影響的乘積。
結(jié)合測(cè)試與校準(zhǔn)實(shí)驗(yàn)室的實(shí)際情況,對(duì)照保密管理體系,將業(yè)務(wù)活動(dòng)開展的頻率和風(fēng)險(xiǎn)發(fā)生后產(chǎn)生的影響由低到高分成10個(gè)等級(jí),形成的風(fēng)險(xiǎn)層次結(jié)構(gòu),如圖1所示。
由圖1可以看出,形成單位整體保密風(fēng)險(xiǎn)體系的基礎(chǔ)風(fēng)險(xiǎn)層包括人員管理、定密管理和載體管理三個(gè)要素。此外,由于以上三個(gè)管理要素形成業(yè)務(wù)層管理要素的基礎(chǔ),因此需要保密工作機(jī)構(gòu)在監(jiān)督檢查中特別關(guān)注,并盡可能采取各項(xiàng)措施對(duì)其可能產(chǎn)生的風(fēng)險(xiǎn)加以控制。
保密檢查前明確指導(dǎo)思想并提前收集掌握相關(guān)信息,對(duì)檢查的開展具有重要的指導(dǎo)意義。根據(jù)本單位具體情況,總結(jié)形成嚴(yán)控基礎(chǔ)風(fēng)險(xiǎn)、緊跟動(dòng)態(tài)變化、預(yù)估發(fā)展趨勢(shì)、評(píng)價(jià)整體意識(shí)四個(gè)層次的保密監(jiān)督檢查金字塔模型,如圖2所示。
圖2 監(jiān)督檢查金字塔模型Fig.2 Pyramid model of supervision and inspection
3.2.1嚴(yán)控基礎(chǔ)風(fēng)險(xiǎn)
對(duì)于保密基礎(chǔ)風(fēng)險(xiǎn),務(wù)必高度關(guān)注,提高檢查頻次(如每月檢查),采取多種手段,確保監(jiān)督檢查全面到位。首先利用信息系統(tǒng)對(duì)各相關(guān)表單數(shù)據(jù)統(tǒng)計(jì)分析和抽查,后針對(duì)檢查分析發(fā)現(xiàn)的問(wèn)題和可疑點(diǎn)進(jìn)行現(xiàn)場(chǎng)檢查核對(duì)。如對(duì)于載體管理,按月檢查各類載體由定密、制作到銷毀全過(guò)程的管理情況,并對(duì)各部門以及個(gè)人涉密載體留存總量進(jìn)行統(tǒng)計(jì),確定重點(diǎn)關(guān)注部門和重點(diǎn)核查對(duì)象,進(jìn)行現(xiàn)場(chǎng)檢查核對(duì)。
3.2.2緊跟動(dòng)態(tài)變化
單位各項(xiàng)業(yè)務(wù)的變化發(fā)展往往是保密風(fēng)險(xiǎn)引入的源頭。針對(duì)保密管理體系中的基礎(chǔ)風(fēng)險(xiǎn)層和業(yè)務(wù)層,應(yīng)提高對(duì)各類變化的敏感度,在監(jiān)督檢查中收集變化點(diǎn)[3],分析關(guān)聯(lián)關(guān)系并開展相應(yīng)的監(jiān)督檢查,及時(shí)防范新風(fēng)險(xiǎn)。如人員管理方面,特別關(guān)注變化如人員上崗、離崗、密級(jí)調(diào)整(含升密、降密、脫密)等,此外還應(yīng)對(duì)部門領(lǐng)導(dǎo)、定密責(zé)任人、歸口管理部門人員和三類人員(保密要害部門部位人員、機(jī)要密碼人員和涉密信息系統(tǒng)“三員”)變化給予足夠重視,防止由人員變化帶來(lái)責(zé)任制和管理制度落實(shí)上的變形走樣風(fēng)險(xiǎn);定密管理方面,應(yīng)特別關(guān)注新項(xiàng)目(合同)的簽訂、新業(yè)務(wù)方向拓展、新部門成立等變化,確保新的涉密事項(xiàng)納入雙定密(項(xiàng)目定密和崗位定密)管理的范圍;載體管理方面,在確保人員變動(dòng)時(shí)載體及時(shí)清退交接的基礎(chǔ)上,特別關(guān)注各部門、重點(diǎn)人員載體持有的總量和異常變化情況。
3.2.3預(yù)估發(fā)展趨勢(shì)
以安全心理學(xué)中的十種風(fēng)險(xiǎn)心理[4](僥幸心理、惰性心理、麻痹心理、逆反心理、逞能心理、冒險(xiǎn)心理、從眾心理、無(wú)所謂心理、好奇心理、慌亂心理)為指導(dǎo)分析發(fā)展趨勢(shì)。如長(zhǎng)期處于一個(gè)崗位工作的人員往往由于麻痹心理,抱持經(jīng)驗(yàn)主義的態(tài)度,不愿執(zhí)行保密新要求;部分人員由于惰性、冒險(xiǎn)、慌亂等心理的影響,故意違反保密規(guī)定。因此,應(yīng)從靜止中找變化,從心理特征找風(fēng)險(xiǎn)。對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn),首先加大與相關(guān)人員、部門領(lǐng)導(dǎo)的溝通交流力度,了解想法,提醒要求,其次,強(qiáng)化監(jiān)督檢查,對(duì)于風(fēng)險(xiǎn)集中的區(qū)域或事項(xiàng),制定相應(yīng)的措施或應(yīng)急預(yù)案,防范風(fēng)險(xiǎn)發(fā)生。此外,針對(duì)不同部門,應(yīng)結(jié)合其一段時(shí)間(如6個(gè)月)以來(lái)發(fā)生違規(guī)問(wèn)題的分布情況,加大其相應(yīng)保密管理要素的檢查力度。
3.2.4評(píng)價(jià)整體意識(shí)
根據(jù)各部門提交報(bào)告情況、業(yè)務(wù)流程審批情況,以及現(xiàn)場(chǎng)檢查環(huán)節(jié)的溝通和現(xiàn)場(chǎng)核實(shí),可對(duì)各部門領(lǐng)導(dǎo)以及涉密人員的保密意識(shí)、履行保密責(zé)任情況形成總體評(píng)價(jià)??筛鶕?jù)評(píng)價(jià)對(duì)不同部門有的放矢地組織培訓(xùn)、考試、交流等,并以此作為制定監(jiān)督檢查策略的依據(jù)。如對(duì)于整體保密意識(shí)相對(duì)不強(qiáng)的部門,提高現(xiàn)場(chǎng)檢查的頻度,檢查中應(yīng)重視與部門領(lǐng)導(dǎo)的交流,并重點(diǎn)檢查其保密培訓(xùn)落實(shí)情況和效果,根據(jù)情況采取有針對(duì)性的培訓(xùn)和考試等措施。對(duì)于整體意識(shí)相對(duì)較強(qiáng)的部門,應(yīng)防范管理學(xué)中的暈輪效應(yīng)[5](即以偏概全、以點(diǎn)概面的錯(cuò)誤評(píng)價(jià)),放松監(jiān)管。對(duì)于此類部門,應(yīng)在溝通中發(fā)現(xiàn)其關(guān)注、理解的盲點(diǎn)和薄弱環(huán)節(jié)。
新標(biāo)準(zhǔn)中對(duì)分管保密工作負(fù)責(zé)人、其他負(fù)責(zé)人、涉密部門負(fù)責(zé)人或涉密項(xiàng)目負(fù)責(zé)人、保密工作機(jī)構(gòu)都提出了開展保密檢查的要求。根據(jù)各類檢查人員能夠掌握的數(shù)據(jù)情況和其不同的優(yōu)勢(shì)專長(zhǎng),采取“充分發(fā)揮檢查者的能力和優(yōu)勢(shì),教育、溝通與檢查相結(jié)合”的指導(dǎo)思想,對(duì)各類檢查的內(nèi)容及要求進(jìn)行設(shè)計(jì),設(shè)計(jì)表見表1。其中,檢查方式可包括面談或報(bào)告、現(xiàn)場(chǎng)查驗(yàn)、信息系統(tǒng)數(shù)據(jù)檢查或抽查等。
表1 各類保密檢查設(shè)計(jì)表Tab.1 Design of various confidentiality check檢查類別組織人執(zhí)行人檢查的完成頻次檢查對(duì)象檢查方式檢查內(nèi)容設(shè)計(jì)分管保密工作負(fù)責(zé)人檢查分管保密工作負(fù)責(zé)人分管保密工作負(fù)責(zé)人1次/年單位和部門負(fù)責(zé)人面談側(cè)重保密意識(shí)、保密責(zé)任履行情況其他負(fù)責(zé)人檢查其他負(fù)責(zé)人檢查業(yè)務(wù)主管(歸口)部門結(jié)合業(yè)務(wù)實(shí)際(至少1次/年)業(yè)務(wù)管理流程中具體參與人、實(shí)物及數(shù)據(jù)現(xiàn)場(chǎng)查驗(yàn)或信息系統(tǒng)數(shù)據(jù)抽查等側(cè)重業(yè)務(wù)活動(dòng)中涉及到的保密管理要求的落實(shí)情況,關(guān)注動(dòng)態(tài)變化涉密部門負(fù)責(zé)人或涉密項(xiàng)目負(fù)責(zé)人檢查涉密部門負(fù)責(zé)人或涉密項(xiàng)目負(fù)責(zé)人部門或項(xiàng)目保密工作領(lǐng)導(dǎo)小組1次/季度部門或項(xiàng)目全體成員現(xiàn)場(chǎng)查驗(yàn)及信息系統(tǒng)數(shù)據(jù)抽查側(cè)重部門人員保密意識(shí)、載體、密品等實(shí)物的現(xiàn)場(chǎng)管理情況,關(guān)注動(dòng)態(tài)變化和發(fā)展趨勢(shì)專項(xiàng)檢查保密工作機(jī)構(gòu)保密工作機(jī)構(gòu)及相關(guān)業(yè)務(wù)部門按照上級(jí)要求專項(xiàng)檢查涉及人員、實(shí)物及數(shù)據(jù)報(bào)告、現(xiàn)場(chǎng)查驗(yàn)、信息系統(tǒng)數(shù)據(jù)檢查等按照專項(xiàng)檢查要求保密工作機(jī)構(gòu)日常監(jiān)督檢查保密工作機(jī)構(gòu)保密工作機(jī)構(gòu)隨時(shí)開展特定風(fēng)險(xiǎn)涉及到的人員、實(shí)物及數(shù)據(jù)現(xiàn)場(chǎng)查驗(yàn)及信息系統(tǒng)數(shù)據(jù)抽查側(cè)重主要風(fēng)險(xiǎn)、動(dòng)態(tài)變化、發(fā)展趨勢(shì)和整體意識(shí)全面檢查分管保密工作負(fù)責(zé)人保密工作機(jī)構(gòu)1次/半年單位各部門、保密管理全要素現(xiàn)場(chǎng)查驗(yàn)及信息系統(tǒng)數(shù)據(jù)抽查重點(diǎn)檢查各業(yè)務(wù)部門、涉密部門的日常管理和監(jiān)督檢查的有效性,完成保密風(fēng)險(xiǎn)評(píng)估
保密風(fēng)險(xiǎn)管控是一個(gè)系統(tǒng)化的動(dòng)態(tài)管理過(guò)程,針對(duì)保密檢查發(fā)現(xiàn)的問(wèn)題及時(shí)采取措施,可結(jié)合半年一次全面檢查開展風(fēng)險(xiǎn)評(píng)估,根據(jù)檢查結(jié)果和問(wèn)題處理結(jié)果,調(diào)整風(fēng)險(xiǎn)評(píng)價(jià)值,分析風(fēng)險(xiǎn)應(yīng)對(duì)措施是否適宜,調(diào)整風(fēng)險(xiǎn)控制策略[3]。
保密管理的本質(zhì)是一種風(fēng)險(xiǎn)管理,做好保密監(jiān)督檢查工作是保密工作機(jī)構(gòu)的重要工作內(nèi)容,也是測(cè)試與校準(zhǔn)實(shí)驗(yàn)室確保各類涉密人員保密責(zé)任制落實(shí)和規(guī)章制度執(zhí)行的重要手段,因此,構(gòu)建科學(xué)有效的保密監(jiān)督檢查體系將是企業(yè)不斷改進(jìn)管理,保證國(guó)家秘密安全的重要研究課題。