涉密信息系统集成资质单位(以下简称资质单位)的保密管理体系是否能管得住、管得好,是否存在漏洞和不足等,直接关系其所从事涉密业务相关的国家秘密安全。

2024年5月1日施行的《中华人民共和国保守国家秘密法》规定“保密工作坚持总体国家安全观,遵循党管保密、依法管理,积极防范、突出重点,技管并重、创新发展的原则”,《涉密信息系统集成资质审查细则和评分标准》中明确要求资质单位应定期开展保密风险评估。因此,资质单位有必要认真组织开展保密风险自评估工作,不断查找并及时堵塞保密管理工作中的漏洞,不断完善保密管理体系,降低失泄密风险隐患,确保国家秘密安全。

作为资质单位,在日常保密管理工作中,应以预防为主,做到防患于未然,最大程度减少失泄密事件的发生,这就要求涉密资质单位采用风险管理的思路和方法来加强保密管理。本期将为您介绍保密风险自评估工作的主要流程和关键环节。

保密风险自评估工作流程

1.组织管理

《涉密信息系统集成资质审查细则和评分标准》规定,保密工作领导小组负责研究部署保密风险评估工作。法人或主要负责人的职责主要是提供人、财、物等条件保障,研究解决主要保密隐患和问题;保密总监的主要职责是保密风险自评估工作的组织、协调和监督,组织讨论、审核保密风险自评估报告;其他成员主要职责是组织和带领本部门人员对所承担的业务管理工作中存在的保密风险进行自评估并提出初步应对措施。

2.制定方案

保密风险自评估可以是对本单位保密管理全面工作进行风险评估,也可以对某项工作或某方面进行评估。因此,在开展保密风险自评估前,首先应当制定保密风险自评估工作开展方案,明确评估对象、评估范围、目标、参与人员、时间安排、解决哪些问题等内容。

3.深入动员

一个团队或组织要做成一件事,事前统一思想认识非常重要。开展保密风险自评估工作也是一样,保密工作领导小组的前期动员很关键,明确目标任务、时间节点,将大家的思想认识统一到一个方向或目标上来,并细化责任分工,使每项工作都能落实到人,避免出现推诿扯皮的情况,从而保证保密风险自评估工作效率和完成质量。

4.实施评估

在实施保密风险自评估过程中,各业务部门负责人及业务骨干组织本部门保密风险自评估,按照本部门的业务流程和工作程序,结合本部门业务实际全面梳理存在的保密风险点,并提出初步应对措施。保密管理办公室负责开展业务指导和各部门上报内容汇总,将汇总内容上报保密工作领导小组审核。

5.总结改进

保密风险自评估工作结束后,应形成保密风险点与防控措施一览表,资质单位应当组织全体涉密人员进行总结和学习,及时跟进落实,防止评估结束直接入柜,措施未融入制度和业务流程,评估结果无法得到有效利用。同时,在日常保密管理活动中,应将定期和不定期检查列入风险应对计划,通过常规检查、定期和不定期检查、监控已知风险等措施来验证防控措施在实施过程中是否持续有效。

关键环节

1.保密风险识别

开展风险识别,应当对已发生但还未结束和在发展中可能出现的风险进行考虑,可采用GB/T 27921-2011中明确的风险评估技术对风险点进行识别。保密风险识别也是风险识别的一种,根据保密风险识别特点,在此介绍两种可行的识别方法供参考,在实际使用时,可以单独使用,也可联合使用。

(1)头脑风暴法:是指以会议形式进行讨论、座谈,打破常规,积极思考,畅所欲言,充分发表意见,将识别出的保密风险点进行逐条登记,形成风险登记册的一种方法。组织者通过事先准备好的一系列问题引发参与者思考,以期发现潜在的保密风险隐患。比如,“如果一份存有涉密项目资料的U盘找不到了,它最可能在哪个环节以什么方式遗失”;“如果互联网上出现了本单位承接的某涉密项目资料,最有可能的泄露途径和方式是什么”;“如果有人故意窃取涉密项目委托方敏感资料,其最可能的实施方法是什么”;等等。

(2)检查表法:检查表是一个保密风险隐患的清单。检查表法是基于已有经验为主的分析方法,风险评估人员针对评估对象根据经验列出若干潜在风险点,请适合的评估人员基于自己的认知作答,非专业人员也可以使用。

保密风险点识别应涵盖保密管理的各个方面、各个环节,本文重点介绍涉密人员、信息设备、载体、业务、业务场所等方面的识别流程,其他对象的识别流程可根据各单位的实际情况自行确定。

涉密人员管理应按照涉密岗位和涉密人员确定上岗、在岗、离岗的工作程序和业务流程进行识别;涉密信息设备管理应按照采购、配发、使用、外携、维修、报废的工作程序和业务流程进行识别;涉密载体管理应按照收发、制作、复制、传递、使用、外携、保管、维修、销毁的工作程序和业务流程进行识别;涉密业务管理应按照招投标、合同签订、实施阶段、验收阶段、运维阶段的工作程序和业务流程进行识别;涉密业务场所管理应按照从外到内、从人到物的工作程序和业务流程进行识别。

2.保密风险分析

风险分析要考虑导致风险的原因和风险源、风险事件的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系及风险的其他特性等,还要考虑控制措施是否存在及其有效性。根据保密风险识别特点,在此介绍两种可行的分析方法供参考,在实际使用时,可以单独使用,也可联合使用。

(1)可能性分析:保密风险可能性分析是分析各种保密风险发生的机会(以下简称可能性),进行分级和赋值,评估人员可通过历史数据、故障树和事件树、主观概率评估等进行分析,对未来事件或趋势发展的可能性进行描述,以确定各风险发生的概率,可单独或组合使用,参考对照表如表1所示。

表1 可能性风险参考对照表

(2)后果分析:后果分析形式比较灵活,可以对后果简单描述,也可以制定详细的数量模型。保密风险后果分析是分析各种保密风险发生对国家秘密安全产生的后果的严重程度,进行分级和赋值,如表2所示。

表2 保密风险后果分析参考对照表

3.保密风险评价

在完成风险分析后,将对保密风险等级进行评价。例如,可采用风险后果与可能性相乘来确定风险等级,即“风险等级=后果×可能性”,根据赋值结果判断是否可接受,以此来确定风险等级,如表3所示。

表3 保密风险评价参考对照表

保密风险自评估是一项持续的循环性工作,是一个系统化的动态管控过程,不能一蹴而就,应认真分析研究本单位保密风险点,并选择科学合理的风险自评估模型,以问题为导向,找准风险点,制定有效的风险防控措施,以应对可能发生的各类突发事件,切实做到“事前防范、事中控制、事后监督”的良性循环。

【摘编自《保密科学技术》2024年9月刊《浅谈涉密信息系统集成资质单位如何开展保密风险自评估工作》一文,作者: 巩建辉、曾程、王磊】

声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。