测试与校准实验室保密监督检查实践

2019-12-05刘晓莉

宇航计测技术 2019年5期

周晔杨琦王菁刘晓莉

(北京无线电计量测试研究所，北京 100039)

1 引言

随着测试与校准实验室保密管理工作的逐步推进，基于风险的思维越来越明晰并显示出其重要性。基于风险的思维强调的是风险意识，并形成固有的思维方式，这种意识和思维方式只有与指导管理具体场景行为相结合，融入活动和过程管理中才能生效。日常管理中风险无处不在，风险的表现方式千变万化，因此，应以风险思维模式和系统的方法关注风险，与过程方法和PDCA循环三者有机结合，形成系统的风险管控机制[1]。

2 新标准对保密风险管理的要求

长期以来人们通常将可能出现的影响目标实现的“威胁”等不利事件统称为“风险”，它是一种未来可能发生的不确定性事件对目标产生的影响。影响程度越大，风险也就越大；反之风险就越小。

2017年正式施行的新版保密资格标准[2](以下简称“新标准”)在监督与保障章节对保密检查以及对风险分析、评估和控制提出了具体要求。

保密检查主要指保密工作机构依据国家保密法律法规和相关标准与指南，采取相应的管理和技术手段，对各类涉密人员保密责任制落实和规章制度执行情况进行检查的活动，此外还包括业务主管部门的专项检查和涉密部门的季度自查等多种形式。

保密风险评估是单位在对业务工作流程梳理的基础上，分析业务工作中的保密风险、辨识保密风险点、制定管控措施、持续改进保密工作的手段，同时结合工作实际，定期分析单位的保密风险等级，评估保密管理体系，从而防范风险发生，减少风险损失，提高保密防范能力。

新标准中强调以问题为导向进行风险分析，举一反三，从根源、成因出发彻底根除隐患产生的条件。这一要求体现的就是风险控制的思想，风险控制的关键在于风险评估，而保密检查的结果为充分识别风险、准确分析评价风险可能带来的影响提供重要的依据，同时，风险评估结果又为保密检查开展提供重要指导。

3 基于风险控制的思想打造有效的保密检查体系

新标准中对单位内部保密检查的种类、检查人员、检查周期都提出了较为具体的要求，如何有效地设计执行好各类检查，使得检查既按照标准规范开展，又做到各有侧重、互相补充，既确保检查科学有效又利于高效开展则是保密工作机构应该重点研究的问题。

3.1 以风险分析为基础确定保密监督检查重点

从要求上看，保密检查包括检查保密责任制的落实情况和各项保密规章制度的执行情况，其本质在于检验单位对各项保密风险的实际控制情况。从单位总体来看，由于各项保密管理要素在经营管理中的比重不同，风险产生的影响也不同，因此根据管理学“二八”原则，保密检查首先应重点关注涉及风险等级相对较高的管理要素，发现其存在的风险隐患。

通常，管理学中将风险等级用风险发生的概率和风险产生的平均后果来表示，即风险等级=风险发生的概率×风险产生的平均后果。然而，由于保密风险的发生存在一定的隐蔽性，部分风险存在即使发生也不易被管理者及时发现的可能，因此，单位可根据国家保密行政管理部门发布的失泄密案件情况，调整保密风险的发生概率值，以提高对近期发生概率相对较高风险的监管力度。考虑到管理要素相关业务活动发生的次数越多，发生风险的可能性就越大，将本单位保密管理要素的风险等级的计算方法调整为单位发生相关业务活动开展的频率(并结合近年失泄密案例的分布情况进行适当调整)与风险发生后产生影响的乘积。

结合测试与校准实验室的实际情况，对照保密管理体系，将业务活动开展的频率和风险发生后产生的影响由低到高分成10个等级，形成的风险层次结构，如图1所示。

由图1可以看出，形成单位整体保密风险体系的基础风险层包括人员管理、定密管理和载体管理三个要素。此外，由于以上三个管理要素形成业务层管理要素的基础，因此需要保密工作机构在监督检查中特别关注，并尽可能采取各项措施对其可能产生的风险加以控制。

3.2 基于基础风险开展保密监督和检查的金字塔模型

保密检查前明确指导思想并提前收集掌握相关信息，对检查的开展具有重要的指导意义。根据本单位具体情况，总结形成严控基础风险、紧跟动态变化、预估发展趋势、评价整体意识四个层次的保密监督检查金字塔模型，如图2所示。

图2 监督检查金字塔模型Fig.2 Pyramid model of supervision and inspection

3.2.1严控基础风险

对于保密基础风险，务必高度关注，提高检查频次(如每月检查)，采取多种手段，确保监督检查全面到位。首先利用信息系统对各相关表单数据统计分析和抽查，后针对检查分析发现的问题和可疑点进行现场检查核对。如对于载体管理，按月检查各类载体由定密、制作到销毁全过程的管理情况，并对各部门以及个人涉密载体留存总量进行统计，确定重点关注部门和重点核查对象，进行现场检查核对。

3.2.2紧跟动态变化

单位各项业务的变化发展往往是保密风险引入的源头。针对保密管理体系中的基础风险层和业务层，应提高对各类变化的敏感度，在监督检查中收集变化点[3]，分析关联关系并开展相应的监督检查，及时防范新风险。如人员管理方面，特别关注变化如人员上岗、离岗、密级调整(含升密、降密、脱密)等，此外还应对部门领导、定密责任人、归口管理部门人员和三类人员(保密要害部门部位人员、机要密码人员和涉密信息系统“三员”)变化给予足够重视，防止由人员变化带来责任制和管理制度落实上的变形走样风险；定密管理方面，应特别关注新项目(合同)的签订、新业务方向拓展、新部门成立等变化，确保新的涉密事项纳入双定密(项目定密和岗位定密)管理的范围；载体管理方面，在确保人员变动时载体及时清退交接的基础上，特别关注各部门、重点人员载体持有的总量和异常变化情况。

3.2.3预估发展趋势

以安全心理学中的十种风险心理[4](侥幸心理、惰性心理、麻痹心理、逆反心理、逞能心理、冒险心理、从众心理、无所谓心理、好奇心理、慌乱心理)为指导分析发展趋势。如长期处于一个岗位工作的人员往往由于麻痹心理，抱持经验主义的态度，不愿执行保密新要求；部分人员由于惰性、冒险、慌乱等心理的影响，故意违反保密规定。因此，应从静止中找变化，从心理特征找风险。对发现的风险，首先加大与相关人员、部门领导的沟通交流力度，了解想法，提醒要求，其次，强化监督检查，对于风险集中的区域或事项，制定相应的措施或应急预案，防范风险发生。此外，针对不同部门，应结合其一段时间(如6个月)以来发生违规问题的分布情况，加大其相应保密管理要素的检查力度。

3.2.4评价整体意识

根据各部门提交报告情况、业务流程审批情况，以及现场检查环节的沟通和现场核实，可对各部门领导以及涉密人员的保密意识、履行保密责任情况形成总体评价。可根据评价对不同部门有的放矢地组织培训、考试、交流等，并以此作为制定监督检查策略的依据。如对于整体保密意识相对不强的部门，提高现场检查的频度，检查中应重视与部门领导的交流，并重点检查其保密培训落实情况和效果，根据情况采取有针对性的培训和考试等措施。对于整体意识相对较强的部门，应防范管理学中的晕轮效应[5](即以偏概全、以点概面的错误评价)，放松监管。对于此类部门，应在沟通中发现其关注、理解的盲点和薄弱环节。

3.3 各类检查的方式及侧重点设计

新标准中对分管保密工作负责人、其他负责人、涉密部门负责人或涉密项目负责人、保密工作机构都提出了开展保密检查的要求。根据各类检查人员能够掌握的数据情况和其不同的优势专长，采取“充分发挥检查者的能力和优势，教育、沟通与检查相结合”的指导思想，对各类检查的内容及要求进行设计，设计表见表1。其中，检查方式可包括面谈或报告、现场查验、信息系统数据检查或抽查等。

表1 各类保密检查设计表Tab.1 Design of various confidentiality check检查类别组织人执行人检查的完成频次检查对象检查方式检查内容设计分管保密工作负责人检查分管保密工作负责人分管保密工作负责人1次/年单位和部门负责人面谈侧重保密意识、保密责任履行情况其他负责人检查其他负责人检查业务主管(归口)部门结合业务实际(至少1次/年)业务管理流程中具体参与人、实物及数据现场查验或信息系统数据抽查等侧重业务活动中涉及到的保密管理要求的落实情况,关注动态变化涉密部门负责人或涉密项目负责人检查涉密部门负责人或涉密项目负责人部门或项目保密工作领导小组1次/季度部门或项目全体成员现场查验及信息系统数据抽查侧重部门人员保密意识、载体、密品等实物的现场管理情况,关注动态变化和发展趋势专项检查保密工作机构保密工作机构及相关业务部门按照上级要求专项检查涉及人员、实物及数据报告、现场查验、信息系统数据检查等按照专项检查要求保密工作机构日常监督检查保密工作机构保密工作机构随时开展特定风险涉及到的人员、实物及数据现场查验及信息系统数据抽查侧重主要风险、动态变化、发展趋势和整体意识全面检查分管保密工作负责人保密工作机构1次/半年单位各部门、保密管理全要素现场查验及信息系统数据抽查重点检查各业务部门、涉密部门的日常管理和监督检查的有效性,完成保密风险评估