曾 宏

（盛云科技有限公司，昆明 650224）

随着信息化建设力度的不断加大也扩大了保密工作的范畴，保密工作的内容、环境等也变得多样化、复杂化。在进行保密工作时不仅要面对更高精的窃密还要面对敌对势力的冲击。所以，保密工作人员应提升自身思想素质，以风险管控为核心构建起保密管理体系，提升保密工作的质量，促进保密管理工作的科学性、长期性。

1 保密工作概述

“保密”两个字顾名思义就是保守秘密，对于一个国家来说保密工作就是保守国家、公民、社会组织等关系到安全与利益的秘密，当秘密公开后会直接损害到国家利益、公民利益，因此应确定其控制范围，并采取有效的保护措施，保障信息的安全。保密工作事关重大，直接关系到国家的安全与利益，更是关乎于国家的改革、稳定与发展的大事，同时会涉及到各个单位、企业、机关、民众的安全与发展，因此，必须要给予高度的重视。随着信息化的不断发展，传统的保密措施已无法应对高科技的窃密手段，因此应将信息化手段引入到保密工作中构建起新型的保密体系，推动各企事业单位的保密工作信息化，确保保密工作机制的有效性。

2 识别保密工作中的风险

2.1 保密风险识别内容

在进行保密工作时会面临各种各样的风险，因此风险识别工作就显得非常重要，风险识别是一个动态的、反馈的、主动探寻的过程，更是保密工作中的主要步骤。给保密工作带来风险的因素主要可以归结为外因与内因，其中外因是保密管理的威胁，内因则可以体出现出保密工作的脆弱性，并可以通过保密工作中的资产价值、保密管理与保密威胁来对脆弱性进行识别。

2.1.1 资产的识别

资产是相关机构赋予的直接价值，是需要进行重点保护的，其存在的形式是多样的，可以将资产分为有形与无形、硬件与软件、人员与制度、文档与代码等。资产的安全可以决定价值的不同，因此所要进行的安全保护也有所区别，所以应对资产进行准确的识别，这样做的主要意义是为后期的资产抽样、风险评估奠定基础。

2.1.2 威胁的识别

在保密工作中会存在不同的威胁，威胁的产生可以给资产带来潜在的、不同的破坏，进而导致不良事件的发生，例如，泄密事件。当出现威胁事件后应对其进行分析，但是大多数时候如后果不严重或是没有意识到基本都会被忽略。保密工作中产生威胁的因素主要有认为因素与环境因素，认为因素又可以分为有意与无意，环境因素又可分为不可抗力因素与其它因素。

2.1.3 脆弱的识别

保密工作中也存在一定的脆弱性，也被称为弱点识别，脆弱的识别可以分为管理弱点与技术弱点。保密工作的脆弱性主要包括保密机构、保密人员、保密环境、保密工作的配置、保密工作的软和硬件资产等。弱点具有一定的固定资产属性，其本身不会给保密工作带来损失，但是其可能在威胁的作用下成为造成损失的条件或是环境，因此，必须将弱点进行记录，以保证可以在不同的条件或环境中对其进控制。

2.2 保密工作风险识别的主要方法

2.2.1 调研识别方法

在使用调研识别方法时可以先设计风险识别调查问卷，并组织相关业务部门的人员填写风险识别问卷，对风险识别工作进行初始识别，并将初始风险进行提出、讨论。

2.2.2 整理汇总方法

保密管理部门应将风险识别问卷中涉及到的事件进行总结、归类、整理与修订，形成部门的最初风险分类结构并构建起基础的风险事件数据库。

3 构建以风险管控为核心的保密管理体系的优势

保密资格标准可以说是保密管理工作的指导书，更是保密管理工作的核心，在此基础上构建起以风险管控为核心的保密管理体系，合理的运用保密资格标准可以提升保密管理工作的可操作性，并保证管理的科学性与长效性。其次在构建以风险管理为核心的保密工作管理体系时应将保密资格标准作为核心，并将管理系统分为三级监控，这样不仅可以使管理更加全面还可以使责权更加分明，实现保密工作的全过程管理。最后，构建起以风险管控为核心的保密管理体系可以使风险量的计算更加准确并发现管理体系中的不足，在此基础上提升保密管理工作的准确性。

4 目前保密工作中存在的不足

4.1 保密工作与研究工作脱离

目前，很多保密工作者在进行保密工作研究时，只是为了保密而保密，并为将其与实际工作相融合，这样就导致保密人员会产生不良情绪、保密管理工作执行力不佳，在一定程度上也影响了保密管理研究工作的效率。此外，在进行保密管理工作时工作人员并未合理的运用智能化与信息化技术，这样就导致在保密管理工作研究时出现信息的不安全，无法对风险进行识别，直接导致风险的发生。

4.2 组织结构不完善，管理责任未落实

在进行保密管理工作时常出现主体模糊的情况，这样就无法对保密管理责任进行明确，虽然在工作中一直提倡谁主管，谁负责的工作模式，但是在实际的工作中往往出现责权不明的情况，导致管理实效。此外，组织结构不完善会降低管理人员的管理力度，使管理队伍变得松散，也降低了管理人员的整体能力。

4.3 保密工作人员网络信息安全与保密意识较低

在进行保密工作时有一部分工作人员并没有关注网络信息的安全，也没有从思想深处认识到保密管理工作的重要性，这样的情况就直接导致风险的发生。再加之网络安全与保密工作未投入充足的人力、物力、财力，导致管理无保障、培训不到位、宣传不及时等情况的发生，降低了保密工作人员的保密意识。

5 构建以风险管控为核心的保密管理体系

5.1 构建以风险管控为核心的保密管理体系的做法

在构建以风险管理为核心的保密管理体系时，可以从以下阶段进行，准备阶段、策划阶段、试运行阶段、体系评估阶段，每一个阶段都有不同的内容与任务。准备阶段主要是组织、准备，对体系进行研究。策划阶段是对体系初始阶段的状态进程评估，并策划出目标与执行方法，在此基础上对职能进行分配，编写出保密的章程等。试运行阶段是对人员进性宣传培训，对已编写好的保密手册等进行内部审核、评价与修订，再将文件发放到相关人员手中。体系评估阶段，这个阶段主要是由保密中心的专家对所构建的运行体系进行评估，再由认证中心的老师对体系进行审核与复检。

5.2 构建以风险管控为核心的保密管理体系模式

在现有保密管理体系的标准下所建立起的保密管理体系主要目的是对保密管理中所涉及到的风险进管控，并根据风险的变化对原有体系进改进，通常我们所构建的保密管理体系可以分为五个部分，在这五个部中会涉及到十三个要素。这五个部分分别是方针、策划、实施运行、监督检查与管理评审。方针指的是保密工作的发展。策划指的是对保密工作中的风险进行识别与评价，并满足相关法律法规要求的方案与目标。实施运行是指保密管理工作的组织结构与管理职责，并做好相关的意识培训与能力培训工作，同时做好保密文件的管理控制工作。监督检查是对保密管理工作中不符合要求的部分就行纠正并做好相关的内部审核工作。管理评价指的是对保密管理工作进行评审，保证其可以达到标准。

5.3 保密管理体系中各要素之间的关系

实际的保密管理工作是围绕保密风险展开的，在此过程中实现PDCA管理方法。首先，保密管理工作中的全面风险评价与控制是整个管理工作中的核心环节，主要包括风险识别、风险评价与风险管理。在进行风险识别时保密风险管理人员可以根据涉密载体、涉密环境等不同的风险因素利用流程图与对照检查表来识别保密风险；然后再利用分析法对风险量进行计算。其次，利用相关的法律法规来支持保密风险管理体系。再次，通过目标方案对保密管理工作中的高风险进行持续性的改进，以达到对风险的控制。最后，对保密管理体系进行监管。通常需要对其进行三级监管，即保密检查、内部审核与管理审核。

5.4 融合网络信息安全与保密的职务，构建新型管理体系

一般情况下在进行保密管理工作时会将网络安全管理者与保密管理工作相结合并由一人负责，在管理体系内选拔保密管理工作网络管理员。在执行网络保密管理工作时应对保证网络信息安全的技术进行监管，确保在监管过程中软硬件系统、网络空间、信息传输，泄密储存等网络技术是安全的。将网络信息管理体系与保密管理体系进行结合，构建出新型的、有效的网络信息安全保密管理体系，实现网络安全的同时保证保密管理体系的有效性。

5.5 定期的开展自检自查工作并消除风险

保密工作管理部门应积极的开展监督检查工作，定期的进行本单位内的网络信息安全与保密体系自检自查工作，严格禁止保密管理工作人员使用外部互联网、邮箱等，并对工作中所出现的问题进行深入挖掘，建立起保密网络隐患台账对工作进行实时记录，并做好自检自查资料的签字留档工作。同时对自检自查工作中查出的问题进行限时整改，将风险消灭在萌芽阶段。

6 以风险管控为核心的保密管理体系的应用效果

6.1 管理模式更加系统化

在构建保密管理体系时应通过一些列的工作确保其更加系统化、制度化、规范化，在此基础上取代原有的随意化、零散化、口头化的管理方法。合理的体系可以使保密工作有章可循、有据可查，更加系统化，并可以形成全过程、全方位的可追溯风险管理模式。

6.2 保密制度更加标准化

保密单位应构建起保密管理工作手册、工作程序标准，并根据实际的工作情况对其进行添加、更新，以此来避免制度标准过时的情况。

6.3 保密管理工作的网络信息化

利用网络信息化将繁琐的保密工作变得更加程序化、规范化，更具操作性。在构建保密管理工作网络信息化平台时应包括保密风险管理流程、管理规范，并及时的对风险管控工作中的不足进行优化，确保网络信息化管理平台的安全性与可靠性。

6.4 保密管理意识的全员化

在保密管理体系中保密风险的识别、评价与管控是整个管理系统的核心环节更是管理的基础环节。管理部门应利用合理的方式调动起所有保密人员的积极性，并在全体人员的努力下实现对保密风险的识别、评价、分类与管控，有效的预防与减少保密管理工作中的违纪现象，转变管理人员的原有观念，提升保密管理工作的有效性。

7 结束语

随着信息技术的发展，人们对信息化技术的依赖，也预示着信息时代的到来，在给我们生活、学习、工作带来便利的基础上也给我国的保密工作带来不利的影响，使保密环境、保密内容等变得更加复杂，因此，这就要求保密工作人员在具备过硬思想素质的同时提升风险意识，并对来自各方的风险进行分析。在风险管控的基础上构建起保密管理体系，提升我国保密工作的科学性，促进保密工作可以有序的进行，为保卫国家安全贡献力量。