王民玉

摘要：“物联网”时代，移动互联网、云计算、大数据、物联网等新一代互联网技术与各行各业有机融合，信息化发展呈现出大爆炸、大集中、大应用的特点，信息技术及互联网技术在企业生产经营活动中的应用日益深入，企业在商业活动中的商业秘密保护难度逐步加大，“物联网”环境下商业秘密安全保护成为现代企业面临的严峻问题。“物联网”时代，只有逐步建立健全企业秘密信息防控体系，运用科学的管理方法和先进的应用工具，真正实现商业秘密信息全方位、全要素、全过程的系统控制和安全防护。

关键词：物联网;防控体系;思考与探索

一、背景

（一）防控体系建立的重要性

商业秘密是企业的核心利益，是企业资产的重要表现形式，形成于企业发展规划计划和生产、经营、管理活动之中，融合于生产、经营、管理全过程。“物联网”环境下商业秘密在保密措施、泄密形式、溯源审计上较以往的传统方式有所不同，“物联网”环境下的商业秘密具有使用和存储的高度聚集性、保密和泄密的高技术性等特点，并且大部分企业由于其员工众多、组织架构复杂、业务经营范围广等原因，商业秘密保护项目开展起来难度大，缺乏商业秘密保护管理经验和有效的技术保护支撑，企业保护商业秘密的意识比较淡薄、保护措施滞后，致使侵害商业秘密权益的事件不断增加，商业秘密信息失泄密现象屡屡发生。

（二）防控体系建立的必要性

在信息化高速发展、窃密与反窃密斗争日益严峻的情况下，泄密事件呈高发态势，通过建立有效的企业秘密信息防控体系，能针对以下五种泄密隐患，进行积极主动应对，从而大幅降低泄密事件的发生率。

二、研究与探索

（一）完善四个机制

1. 信用评级机制。通过建立涉密人员的可信度评价指标体系，实现对涉密人员身份、地位、工作性质、社会环境、历史表现、性格特征、兴趣爱好、感情稳定性等可能影响其保密意志、立场、信念和执行力的诸多因素综合考评，对涉密人员的可信度进行跟踪记录，并记入其档案或任职晋级的考核指标中。

2. 岗位认证机制。岗位认证的实质是为了加强对保密专（兼）职人员、涉密人员的教育培训与保密知识、技能的考核。所有接触涉密事项或参与涉密活动的人员，在上岗前，或者调整岗位时，必须取得相应等级、相应范围的涉密岗位资格证书。

3. 监管分离机制。责任分离是一种降低偶然或者蓄意泄密风险的方法。应当考虑把某些责任或者责任区的管理权与执行权加以分离，减少对涉密载体、文件、系统未经授权的访问或者改动的机会。对涉密人员的管理也要充分体现管理（使用）权与监督权相分离的原则。

4. 奖惩激励机制。奖惩激励机制是管理学常用的机制。保密存在风险，保密人员承担着相应的责任，奖惩激励体现的是责权利相结合的原则。相关部门在进行组织变动、人员调整、职位晋升、推先选优时，对涉密人员要在其他同等条件下保留相应的优先权。奖惩激励机制的目的是充分调动人员的积极性，使他们从“要我保密”转变到“我要保密”上来。

（二）构建三大体系

1. 加强宣传教育。建立教育培训长效机制，确保业务部门及从业人员了解、掌握必备的保密知识和技能，把握信息化条件下保密工作的规律特点，增强依法保密能力和高科技对抗能力，有效解决员工保密意识薄弱，保密能力不强的问题。

一是分层教育。结合业务工作特点，采取党员活动日、专题党课、学习研讨等形式，分层次、有重点、多形式、多渠道地在本部门、本系统开展保密形势任务、保密法律法规、保密规章制度、保密知识技能和保密警示案例等方面教育。

二是系统思考。提高对相关保密标准和要求的理解力，将应知应会的保密标准和要求学习好、掌握住，尤其是把标准要求与业务实际结合起来。提高对各类泄密风险的辨别力，应及时发现和辨别在业务工作中接触涉密信息、设备、项目、场所等时机可能造成的风险。

三是积极创新。大胆借鉴其他行业保密工作的先进理论与做法，以理论创新带动制度创新、技术创新，既做到“保放结合，确保重点”，又能更好地发挥党对保密工作的领导作用。提高用新知识、新技术防范泄密风险的创造力，紧跟知识不断更新，新产品、新技术不断替代的发展形势，探索泄密风险管控的思路和举措。

2. 强化系统管控。制定本部门、本系统保密工作监管目标，将保密工作要求纳入部门职责，融入业务流程，加强业务系统指导，推动保密责任落实。

一是明目标。精准定位。梳理编制业务工作涉密事项、涉密文件资料清单，落实相应责任人员和保密措施，实现“由面到点”精准定位。精准定责。建立“通用+个性”保密责任书模式，在保密管理通用要求的基础上，由保密部门会同业务部门根据每个涉密人员工作岗位特点，有针对性地设计个性化保密责任条款，提高末端落实的有效性和精准度。

二是控过程。围绕生产经营管理过程中涉及的人、设备、环境等环节，优化工作流程，加强制度建设，抓好保密风险防控。统筹领导力量，解决体制机制运行不畅的问题。优化保密管理机制，科学统筹领导力量，调整完善适应新体制的科学化、规范化保密机制。

三是强责任。健全本部门、本系统保密工作责任体系，建立责任清单，以签订责任书的形式逐级明确保密责任范围、重点和责任人，并定期依据责任清单向发约人报告履行职责和保密责任落实情况。

3. 严格监督检查。围绕业务流程关键环节，把人员、载体、信息、网络作为监管重点，定期对本部门、本系统进行监督检查，采取事前预防、事中参与、事后分析的全过程动态介入，查找存在问题，纠正违规行为，堵塞管理漏洞。

一是重抓事前预防。针对业务工作的关键环节，分析可能存在的保密风险，开展风险识别排查，形成风险清单，制定防控预案。（1）开展风险排查。广泛收集和分析业务工作中由于规章制度不健全、执行不到位、岗位职责不明晰、监督措施不落实可能导致的失泄密风险事项或信息，逐项填写《保密风险防控排查表》。（2）确定风险等级。根据保密风险的重要程度、危害程度和发生机率，将业务工作各个环节涉及的事项或信息划分为A级、B级、C级，形成风险清单。

二是狠抓事中参与。通过建立保密检查常态机制、运行机制和联动机制抓好业务工作开展过程中的保密风险隐患整治。（1）建立保密检查常态机制。依据保密风险清单，加大业务工作各个环节、各个阶段失泄密隐患排查力度。（2）建立保密检查的运行机制。通过建立和执行失泄密隐患整改通知制度、整改情况反馈制度、整改情况回访制度等。（3）建立保密检查的联动机制。整合涉密人员、保密干部和人事组织、纪检监察、生产经营等部门人员，适时开展专项检查。

三是严抓事后分析。对业务工作开展过程中产生的风险隐患和管理漏洞进行深入分析，查找根源，落实责任，进一步健全完善保密风险防控措施。（1）强化目标主导。坚持施压推动，按照保密风险清单明确的风险等级、防控措施、具体管理者和责任领导，分析评价各项工作环节保密防控措施的落实情况、产生风险隐患和管理漏洞的原因、責任部门、责任人和责任领导，明确整改措施和奖惩办法。（2）强化考核督导。将保密工作纳入年度考核，纳入各级综合目标考核，纳入评优评先，以考核促进规范。（3）强化查处引导。严格执行保密责任追究制，对责任履行情况动真格，警醒和教育干部员工在业务工作中切实担负起应有的保密责任。

三、总结

当前，以物联网技术为代表的信息技术日新月异，引领了社会生产新变革，创造了人类生活新空间，拓展了治理新领域。在保密工作进入“三期叠加”的非常时期，外部窃密压力日增，内部风险隐患凸显，安全保密工作不容忽视。各级领导干部必须高度重视，采取有效措施，落实保密责任， 不断构建以岗位确认、风险识别、流程管理和制度控制为主要内容的企业秘密信息防控体系，通过落实领导保密责任，推进保密工作与业务工作的有效融合，确保企业秘密信息安全。