李 龙
(中国空空导弹研究院,河南 洛阳 471000)
在国际标准组织ISO 发布的《ISO Guide 73:2009 风险管理——术语》中将“风险”定义为“不确定性对目标的影响。”风险是指客观存在的,在特定情况下、特定期间内,某一事件导致的最终损失的不确定性。
风险管理的意识由来已久,但从20 世纪中期开始,风险管理的概念才开始广为传播。20 世纪50 年代起源于美国的风险管理科学最主要的目标是控制与处置风险,以防止损失发生或者降低损失发生的概率、减少损失的程度,保障生产和各项生活的顺利进行。因此,单位应在损失发生之前做出最有效的安排,加强风险的防范与控制,降低风险发生的概率及损失,以达到最大安全保障目标。
作为一项管理活动,风险管理活动可由以下几个步骤:制订风险管理计划、风险识别、风险分析与评价、制定风险管理的措施、措施的实施效果与评价。
首先,保密管理本质上是一种风险管理。保密管理历来是军工单位管理体系的重要组成部分,也是军工单位科研生产经营的基础之一。通俗地讲,保密管理的最根本的目的在失泄密事件发生之前,从源头上阻止失泄密事件发生的可能性。因此,保密管理实质上也体现为对失泄密风险的管控。军工单位中涉密人员比例较高,人员素质层次不齐、个人保密意识不尽相同;同时,单位涉密事项相对较多,工作中形成了大量的涉密载体,而载体从产生直至最后销毁的中间各个环节会出现各种各样的问题,因此常常会发生一些违规事情。同时,对于一个单位而言,本单位的人员不会是固定的,而是一直处于流动的过程中,如:辞职、退休、新入职等,而离开本单位的人员在以前的工作中会接触到有关本单位的有关涉密事项,本单位的部分涉密事项也会随着这些人的离职而被“带走”,会使部分涉密事项处于不受控的状态下,存在一定的失泄密隐患。因此,为军工单位的保密管理带来了一定的风险。
其次,风险管理是实现保密管理精准化的有效途径,精准化是新时期保密工作所要遵循的基本原则之一。所谓精准化,就是根据各单位自身的业务特点和实际情况,合理分配资源,精心设计方案,精细实施活动,确保管理对象清晰、管理措施有效、管理流程闭环,实现保密管理的最大效益。风险管理要求在对单位各种业务流程进行细致梳理的基础上,对其中存在的保密风险点进行定位,并从风险要素、发生概率、危害范围及程度等多个维度近评估,从而实现管理对象精准;要求针对单位的风险点及其特征,对有限的保密资源进行科学分配和系统整合,有针对性地采取防控措施,从而实现管理措施精准;要求在单位动态的科研生产过程中对风险管理的效果进行评估,并针对存在的问题建立持续性改进机制,确保管理措施始终与风险管控要求相适应,从而实现管理过程精准。
再次,风险管理是促进保密管理与军工单位科研生产活动相融合的重要手段。对于军工单位而言,保密管理本质上是对单位的服务和保障。任何脱离了单位科研生产活动的保密管理,都是“纸上谈兵”式的管理。而采用风险管理的思想,保密管理措施只能来源于对科研生产、人力资源、质量、安全等业务流程的细致梳理、对风险点的科学分析评估,这将牵引军工单位根据保密要求对科研生产等各类活动进行再造,将保密要求真正与单位各方面的规章制度相结合,从而实现保密管理与科研生产等各类活动的有机融合。
保密风险管理中的风险类别可概括为四类,包括:载体管理风险、人员管理风险、要害管理风险和信息系统管理风险。
1)定密不准,密级调整不及时,该定不定、不该定乱定、定密过多过滥、一定终身、只定不解(降),导致载体处于失控的风险。
2)交流合作中保密审查不严格或缺失,导致秘密信息以“非密”输出,造成泄密的风险。
3)载体从产生到销毁之中各个环节由于违规操作,导致载体处于失控状态,造成失泄密的风险。
1)相关部门领导对本部门保密职责落实情况监管不力,未开展有效的监督检查,各类审查把关不严格,部门的保密违规事件频发;
2)人员保密意识淡薄,故意或过失泄漏国家秘密;
3)人员在上岗、在岗、离岗时未进行教育,导致该类人员的保密责任未得到有效落实,带来一定的保密管理风险;
4)未对涉密人员出国前进行保密教育提醒以及回国后未进行回访,不能及时了解并掌握涉密人员在国外期间的行踪以及人员的思想动态,人员管理方面存在的一定风险。
1)界定不准确,改定不定,未采取有效防范措施,存在失泄密风险;不该确定而定,增加管理成本;
2)日常管理不善,人员出入违规,导致失泄密。
1)系统遭外界病毒入侵,导致系统瘫痪、信息外泄;
2)人为破坏信息系统物理隔绝,导致系统存在风险;
3)网络终端使用不符合保密要求,导致信息泄露;
4)终端安全设置不符合要求,存在隐患。
以上只是对风险点简单的罗列,各个单位可根据自己实际情况,准确梳理风险点。
针对保密管理中存在的风险点,军工单位需采取相应的措施,避免各类风险以及风险点的发生。大抵可以从体系建设、责任落实、培训教育、监督检查四个方面开展各项活动。
与时俱进,紧跟时代发展,针对实际工作中出现的各类新问题、新情况,及时修订单位的各类制度、完善各类流程。
军工单位主要领导重视保密工作,将保密责任层层落实,使责任真正落实到各个部门。
根据情况制定单位的一级保密培训计划,各部门根据实际情况,分解一级培训计划,制定二级、三级培训计划,开展形式多样的保密培训工作。
军工单位开展定期保密检查为主,不定期开展保密专项检查为辅的各类检查,及时发现薄弱环节,制定相应的应对措施。
风险管理是一项持续的循环性工作,在保密管理中应用风险管理也不例外。风险管理可看作是一个动态的过程,在实践中通过制订风险管理计划、风险识别、风险分析与评价、制定风险管理的措施、措施的实施效果与评价五个步骤,不断强化对保密风险的认识,完善风险防控措施,提高保密管理水平,确保国家秘密安全。
[1]王彦,马春勋,王民.全面深化企业风险管控 确保保密管理长效机制[J].国防科技工业,2014.
[2]阮谢虹.辨识保密风险 建立控制机制[J].国防科技工业,2012.
[3]国家保密科技测评中心资质审查部.试论风险管理在涉密资质单位保密管理中的应用[J].保密科学技术,2013.
[4]刘新立.风险管理[M].北京大学出版社,2014.