段瑞峰、唐亮 /中國空間技術(shù)研究院神舟實業(yè)總公司

當前，保密工作已成為軍工單位管理工作的重要組成部分，關(guān)乎單位的發(fā)展和員工個人的職業(yè)前途，廣大軍工單位員工特別是涉密人員的保密意識大大提高，保密防范措施得到加強，安全保密工作正在向著制度化、規(guī)范化、常態(tài)化方向發(fā)展。隨著我國綜合實力不斷增強，保密形勢更加復(fù)雜嚴峻，特別是軍工單位隨著核心競爭力的快速提升，存在不同程度的失泄密隱患，部分單位保密違規(guī)行為時有發(fā)生。為了提高主動管理、預(yù)防管理的能力，探索建立面向軍工單位的保密預(yù)警、風(fēng)險防范與控制，已成為軍工單位保密管理亟待解決的重要課題。

一、風(fēng)險管理概念

1.風(fēng)險管理的由來

美國賓夕法尼亞大學(xué)所羅門·胡布納于1930年首先提出風(fēng)險管理的概念，他強調(diào)風(fēng)險管理是各經(jīng)濟實體在識別、衡量、分析風(fēng)險的基礎(chǔ)上有效控制風(fēng)險的科學(xué)管理方法。近年來，越來越多的學(xué)者清晰地認識到應(yīng)從系統(tǒng)的角度全面管理所有風(fēng)險，全面風(fēng)險管理理論（ERM）應(yīng)運而生。

進入21世紀以來，國外的安然、施樂等公司財務(wù)舞弊案的爆發(fā)以及中航油、德隆等事件，反映出國內(nèi)外眾多企業(yè)，大都存在風(fēng)險管控缺失或風(fēng)險意識淡薄的情況。2009年11月，國際標準化組織ISO正式發(fā)布了ISO31000：2009《風(fēng)險管理—原則與指南》，對世界范圍內(nèi)風(fēng)險管理的最新成果進行總結(jié)并加以改進，為企業(yè)對影響其戰(zhàn)略目標實現(xiàn)的不確定性進行管理提供了有效的工具。

2.風(fēng)險管理的過程

ISO31000標準對管理風(fēng)險的定義為：“一個組織的所有活動均含有風(fēng)險。組織通過識別風(fēng)險、分析風(fēng)險，并評價是否采取風(fēng)險應(yīng)對來改變風(fēng)險以滿足其風(fēng)險準則來管理風(fēng)險。在這些過程中，組織與利益相關(guān)方溝通、監(jiān)測和評審風(fēng)險、改變對風(fēng)險的控制方法，以確保不需要進一步采取風(fēng)險應(yīng)對措施?！?/p>

ISO31000標準包括風(fēng)險管理框架、風(fēng)險管理原則和風(fēng)險管理過程等3個部分。風(fēng)險管理過程是由溝通與咨詢、風(fēng)險評估、環(huán)境建立、風(fēng)險應(yīng)對和監(jiān)測與評審等組成的持續(xù)改進的管理過程。

二、保密風(fēng)險管理體系的建立

1.保密管理與風(fēng)險管理的相互關(guān)系

首先，保密管理從根本上講是對失泄密風(fēng)險的一種管理，即一種風(fēng)險管理方式。保密管理始終是軍工單位管理體系的重要環(huán)節(jié)，其最主要的作用是在失泄密事件發(fā)生之前，及時阻止其發(fā)生的可能性，因此，保密管理歸根到底是對失泄密風(fēng)險的管控。

其次，風(fēng)險管理是促進保密管理深度融入軍工單位日常管理的有效手段。在軍工單位里，保密管理是單位的一項基礎(chǔ)性管理活動，保密管理工作首先要對單位各業(yè)務(wù)流程進行細致梳理并對保密風(fēng)險點進行科學(xué)研判，然后根據(jù)保密要求并結(jié)合單位實際對各類活動流程進行改進，最終將保密要求與單位各項業(yè)務(wù)進行有機結(jié)合，整個保密管理過程與風(fēng)險管理過程和方法是完全一致的。

2.保密日常管理主要風(fēng)險點

本文結(jié)合ISO31000標準的相關(guān)流程，深入分析軍工單位內(nèi)部環(huán)境和外部環(huán)境的特點，從“人、物、信、法、環(huán)”等幾個維度進行主要風(fēng)險點分析。

（1）“人”的意識和認知的風(fēng)險點

軍工單位的人員是保密管理的主要對象，然而，部分單位人員的思想意識還停留在傳統(tǒng)落后的保密觀念上，對現(xiàn)代高科技條件下的竊密手段缺乏足夠認識，部分人員雖然懂得一些基本原理，但心存僥幸，導(dǎo)致存在失泄密隱患。因此，人員的保密意識缺乏、認知的不到位以及不安全的行為是日常保密管理最大的風(fēng)險。

（2）“物”的風(fēng)險和隱患

對于軍工單位來講，“物”主要是指涉密載體、密品、密件等，這些是可以直接或間接獲取國家秘密的“物”，即載體，也是保密管理工作的重點和難點。在制作、傳遞、復(fù)制、使用、保存等載體全生命周期管理過程中，一旦有所疏漏，國家秘密將出現(xiàn)諸多風(fēng)險。

（3）“信”的風(fēng)險和管理難度

“信”主要指計算機和辦公自動化設(shè)備以及相應(yīng)的信息系統(tǒng)等，是存儲和處理涉密信息的平臺，是保密管理的重中之重。在保密認定和分級保護等體系的管控下，“信”的相關(guān)風(fēng)險和漏洞已日趨減少，但是隨著科技不斷進步，攻擊手段和竊密技術(shù)也在不斷推陳出新，對“信”的管理難度逐年加大。

（4）“法”的風(fēng)險和漏洞

“法”主要指規(guī)章制度、法律法規(guī)及相關(guān)標準等。根據(jù)國家保密法律法規(guī)和其他相關(guān)規(guī)定以及制度制定的單位保密管理制度是保密工作的指南，規(guī)定了流程和辦事方法，管理制度的完善程度和可行性不夠，必定會使非法行為有空可鉆、有機可乘。

（5）“環(huán)”的不可控因素和影響

“環(huán)”主要指環(huán)境、環(huán)節(jié)等外部因素，如果外部環(huán)境和各個環(huán)節(jié)控制不嚴，將會導(dǎo)致保密管理紊亂，造成國家秘密的不可控狀態(tài)。

3.保密風(fēng)險管理的主要思路

本文借鑒ISO 31000：2009標準中相關(guān)風(fēng)險管理的流程，重點從風(fēng)險評估和風(fēng)險應(yīng)對2個環(huán)節(jié)闡述保密風(fēng)險的主要思路。

（1）風(fēng)險識別與分析

本文將“人、物、信、法、環(huán)”等幾個維度與認定標準相結(jié)合，充分借鑒層次分析法的相關(guān)準則，識別并分析了保密日常管理中的風(fēng)險點，詳見表1。

表1 風(fēng)險識別表

（2）風(fēng)險評價

本文引用層次分析法對風(fēng)險點的權(quán)重進行評估，進而定量地確定風(fēng)險的影響級別。

1）層次分析法概述

層次分析法是由美國著名運籌學(xué)家薩迪于20世紀70年代中期提出的，應(yīng)用網(wǎng)絡(luò)系統(tǒng)理論和多目標綜合評價方法的一種層次權(quán)重決策分析方法。這種方法的特點是在對復(fù)雜決策問題的本質(zhì)、影響因素及其內(nèi)在關(guān)系等進行深入分析的基礎(chǔ)上，利用從定性分析轉(zhuǎn)換為定量信息決策的思維過程，為多目標、多準則的難于完全定量的復(fù)雜系統(tǒng)作出決策的模型和方法。

為了進一步理解層次分析法確定各指標權(quán)重的方法和意義，可以假設(shè)有m個物體，分別為A，A，……A，我們測量其重量是：g，g，……g，將這些物體的重量進行兩兩比較，如表2所示。

表2 物體的重量進行兩兩比較表

涉密臺式計算機占比 高于某個值視為風(fēng)險計算機和信息系統(tǒng)物涉密臺式計算機各類異常情況占比 高于某個值視為風(fēng)險非涉密臺式計算機數(shù)量占比 高于某個值視為風(fēng)險非涉密臺式計算機各類異常情況占比 高于某個值視為風(fēng)險辦公自動化設(shè)備數(shù)量占比 高于某個值視為風(fēng)險辦公自動化設(shè)備各類異常情況占比 高于某個值視為風(fēng)險互聯(lián)網(wǎng)機數(shù)量占比 高于某個值視為風(fēng)險互聯(lián)網(wǎng)機各類異常情況占比 高于某個值視為風(fēng)險中轉(zhuǎn)機數(shù)量占比 高于某個值視為風(fēng)險中轉(zhuǎn)機各類異常情況占比 高于某個值視為風(fēng)險便攜式計算機數(shù)量占比 高于某個值視為風(fēng)險便攜式計算機各類異常情況占比 高于某個值視為風(fēng)險移動存儲介質(zhì)數(shù)量占比 高于某個值視為風(fēng)險移動存儲介質(zhì)各類異常情況占比 高于某個值視為風(fēng)險涉密網(wǎng)絡(luò)安全月報異常情況占比 高于某個值視為風(fēng)險宣傳報道保密審查數(shù)量占比 高于某個值視為風(fēng)險宣傳報道環(huán)論文發(fā)表審查情況占比 高于某個值視為風(fēng)險保密項目審查單數(shù)量占比 高于某個值視為風(fēng)險涉密會議 涉密會議召開數(shù)量占比 高于某個值視為風(fēng)險涉密會議管理異常情況占比 高于某個值視為風(fēng)險外場試驗 攜帶密品密件數(shù)量占比 高于某個值視為風(fēng)險外場試驗異常情況占比 高于某個值視為風(fēng)險協(xié)作配套管理 涉密項目情況占比 高于某個值視為風(fēng)險協(xié)作配套異常情況占比 高于某個值視為風(fēng)險涉外管理對外合作交流情況占比 高于某個值視為風(fēng)險對外提供涉密文件資料審查數(shù)量占比 高于某個值視為風(fēng)險涉外管理異常情況占比 高于某個值視為風(fēng)險隱患整改情況占比 高于某個值視為風(fēng)險監(jiān)督檢查法保密處罰情況占比 高于某個值視為風(fēng)險其他異常情況占比 高于某個值視為風(fēng)險

因此，由以上推理可以看出：想要求m個物體的重量，在不直接測量其重量的前提下，可以先將這m個物體進行兩兩比較相對重量，構(gòu)造出一個兩兩比較的矩陣，然后，通過計算該矩陣的最大特征根和特征向量的方法，可得到這m個物體的重量，層次分析法就是利用這一原理確定各項指標的權(quán)重的。

綜上所述，利用層次分析法確定各個風(fēng)險點的權(quán)重時，需要分為3步，第一步需要邀請一批行業(yè)內(nèi)相關(guān)專家作為評價人員；第二步請評價人員根據(jù)經(jīng)驗對各個風(fēng)險點的兩兩相對重要性給出定性描述；第三步是將評價人員給出的定性描述形成兩兩比較矩陣，并通過矩陣計算方法計算出矩陣特征值和特征向量，即應(yīng)用層次分析法分析出風(fēng)險點相應(yīng)的權(quán)重。

2）應(yīng)用層次分析法評估風(fēng)險點的權(quán)重

本文借鑒層次分析法確定權(quán)重的方法，邀請了10名專家，結(jié)合某軍工單位的實際對表1中的風(fēng)險點提出兩兩比較結(jié)果的意見，形成了兩兩比較矩陣，應(yīng)用數(shù)理計算方法，計算了兩兩比較矩陣的最大特征根和特征向量，進而確定了各個風(fēng)險點的風(fēng)險等級的定量值，如表3所示。

表3 風(fēng)險點權(quán)重的確認

注：限于篇幅，不一一列舉56項風(fēng)險（第二層次）所對應(yīng)的權(quán)重，但所有項權(quán)重之和為1，即：0.0127+0.0179+0.0161+0.0183+0.0168+0.0183+0.0184+0.0178+0.0181+0.0170+0.0178+0.0180+0.0182+0.01 79+0.0171+0.0173+0.0171+0.0183+0.0172+0.0172+0.0170+0.0170+0.0197+0.0190+0.0183+0.0189+0.0173+0.0189+0.0170+0.0183+0.0170+0.0182+0.0181+0.0189+0.0181+0.0187+0.0170+0.0188+0.0170+0.0185+0.01 83+0.0170+0.0171+0.0173+0.0174+0.0178+0.0176+0.0181+0.0171+0.0186+0.0171+0.0173+0.0182+0.0190+0.0200+0.0184=1。

（3）風(fēng)險應(yīng)對

通過上文介紹的風(fēng)險識別和風(fēng)險評估的成果，在日常工作中，定期對各類風(fēng)險進行評估，并對數(shù)據(jù)進行統(tǒng)計分析，并結(jié)合上文計算的權(quán)重，計算出當前風(fēng)險評估值。

例如，2017年6月，某軍工單位對56項風(fēng)險點進行風(fēng)險評估，包含上級制度更新比例、因私出國人員比例、外送數(shù)據(jù)比例、降密打印記錄、涉密臺式計算機各類異常比例、隱患整改情況占比、保密處罰情況占比等7項風(fēng)險點超閥值，經(jīng)計算，風(fēng)險評估值=1*0.0172+1*0.0178+1*0.018 3+1*0.0197+1*0.0189+1*0.0190+1*0.02=0.1309，（提前設(shè)定保密管理風(fēng)險點總的評估值的警戒線，如超出警戒線（如定為0.3）），若出現(xiàn)風(fēng)險評估值超出警戒線情況，管理人員將及時作出應(yīng)對，防控可能的風(fēng)險，并通過修訂規(guī)章、改進流程、加強監(jiān)督等方式及時改進管理工作，如未超出警戒線，可延續(xù)當前管理流程，僅針對具體風(fēng)險進行管控。

本文將風(fēng)險管理理念和層次分析法應(yīng)用于在保密管理工作中，建立了一個有效的基于風(fēng)險管控理論的保密管理模式，即通過風(fēng)險識別、風(fēng)險權(quán)重分析、制定改進措施、評價效果等步驟，周而復(fù)始的循環(huán)，形成有效的PDCA持續(xù)改進機制。有效應(yīng)用風(fēng)險管理理念和層次分析法開展保密工作風(fēng)險管理能夠逐步降低失泄密風(fēng)險點，不斷提升保密管理水平，為新時代保密管理工作提供一種新思路。