摘 要根据新版保密资格标准中的保密检查要求,基于风险管理思想提出以风险分析为基础,以风险控制为核心的保密监督检查体系,形成基于主要风险的保密监督检查金字塔模型和各类保密检查的设计方法,指导测试与校准实验室保密监督检查工作的开展。
关键词保密管理 风险管理 风险分析 保密监督检查
1 引 言
随着测试与校准实验室保密管理工作的逐步推进,基于风险的思维越来越明晰并显示出其重要性。基于风险的思维强调的是风险意识,并形成固有的思维方式,这种意识和思维方式只有与指导管理具体场景行为相结合,融入活动和过程管理中才能生效。日常管理中风险无处不在,风险的表现方式千变万化,因此,应以风险思维模式和系统的方法关注风险,与过程方法和PDCA循环三者有机结合,形成系统的风险管控机制[1]。
2 新标准对保密风险管理的要求
长期以来人们通常将可能出现的影响目标实现的“威胁”等不利事件统称为“风险”,它是一种未来可能发生的不确定性事件对目标产生的影响。影响程度越大,风险也就越大;反之风险就越小。
2017年正式施行的新版保密资格标准[2](以下简称“新标准”)在监督与保障章节对保密检查以及对风险分析、评估和控制提出了具体要求。
保密检查主要指保密工作机构依据国家保密法律法规和相关标准与指南,采取相应的管理和技术手段,对各类涉密人员保密责任制落实和规章制度执行情况进行检查的活动,此外还包括业务主管部门的专项检查和涉密部门的季度自查等多种形式。
保密风险评估是单位在对业务工作流程梳理的基础上,分析业务工作中的保密风险、辨识保密风险点、制定管控措施、持续改进保密工作的手段,同时结合工作实际,定期分析单位的保密风险等级,评估保密管理体系,从而防范风险发生,减少风险损失,提高保密防范能力。
通常,管理学中将风险等级用风险发生的概率和风险产生的平均后果来表示,即风险等级=风险发生的概率×风险产生的平均后果。然而,由于保密风险的发生存在一定的隐蔽性,部分风险存在即使发生也不易被管理者及时发现的可能,因此,单位可根据国家保密行政管理部门发布的失泄密案件情况,调整保密风险的发生概率值,以提高对近期发生概率相对较高风险的监管力度。考虑到管理要素相关业务活动发生的次数越多,发生风险的可能性就越大,将本单位保密管理要素的风险等级的计算方法调整为单位发生相关业务活动开展的频率(并结合近年失泄密案例的分布情况进行适当调整)与风险发生后产生影响的乘积。
由图1可以看出,形成单位整体保密风险体系的基础风险层包括人员管理、定密管理和载体管理三个要素。此外,由于以上三个管理要素形成业务层管理要素的基础,因此需要保密工作机构在监督检查中特别关注,并尽可能采取各项措施对其可能产生的风险加以控制。
3基于风险控制的思想打造有效的保密检查体系
结合测试与校准实验室的实际情况,对照保密管理体系,将业务活动开展的频率和风险发生后产生的影响由低到高分成10个等级,形成的风险层次结构,如图1所示。
3.1以风险分析为基础确定保密监督检查重点
从要求上看,保密检查包括检查保密责任制的落实情况和各项保密规章制度的执行情况,其本质在于检验单位对各项保密风险的实际控制情况。从单位总体来看,由于各项保密管理要素在经营管理中的比重不同,风险产生的影响也不同,因此根据管理学“二八”原则,保密检查首先应重点关注涉及风险等级相对较高的管理要素,发现其存在的风险隐患。
新标准中强调以问题为导向进行风险分析,举一反三,从根源、成因出发彻底根除隐患产生的条件。这一要求体现的就是风险控制的思想,风险控制的关键在于风险评估,而保密检查的结果为充分识别风险、准确分析评价风险可能带来的影响提供重要的依据,同时,风险评估结果又为保密检查开展提供重要指导。
新标准中对单位内部保密检查的种类、检查人员、检查周期都提出了较为具体的要求,如何有效地设计执行好各类检查,使得检查既按照标准规范开展,又做到各有侧重、互相补充,既确保检查科学有效又利于高效开展则是保密工作机构应该重点研究的问题。
图1 单位保密管理体系风险层次结构图
Fig.1 Risk hierarchy chart of confidentiality management system
何为优质?韩光曙分析称,医院是救死扶伤的场所,必须尊重生命,对生命有敬畏感。“乞丐与王子平等”的济世情怀在医院传承百余年。“但若仅强调平等,机械地完成工作也可以。鼓楼医院希望的是,在提供治病救人服务的同时,让患者感到温馨。”
3.2 基于基础风险开展保密监督和检查的金字塔模型
保密检查前明确指导思想并提前收集掌握相关信息,对检查的开展具有重要的指导意义。根据本单位具体情况,总结形成严控基础风险、紧跟动态变化、预估发展趋势、评价整体意识四个层次的保密监督检查金字塔模型,如图2所示。
图2 监督检查金字塔模型
Fig.2 Pyramid model of supervision and inspection
3.2.1严控基础风险
对于保密基础风险,务必高度关注,提高检查频次(如每月检查),采取多种手段,确保监督检查全面到位。首先利用信息系统对各相关表单数据统计分析和抽查,后针对检查分析发现的问题和可疑点进行现场检查核对。如对于载体管理,按月检查各类载体由定密、制作到销毁全过程的管理情况,并对各部门以及个人涉密载体留存总量进行统计,确定重点关注部门和重点核查对象,进行现场检查核对。
以安全心理学中的十种风险心理[4](侥幸心理、惰性心理、麻痹心理、逆反心理、逞能心理、冒险心理、从众心理、无所谓心理、好奇心理、慌乱心理)为指导分析发展趋势。如长期处于一个岗位工作的人员往往由于麻痹心理,抱持经验主义的态度,不愿执行保密新要求;部分人员由于惰性、冒险、慌乱等心理的影响,故意违反保密规定。因此,应从静止中找变化,从心理特征找风险。对发现的风险,首先加大与相关人员、部门领导的沟通交流力度,了解想法,提醒要求,其次,强化监督检查,对于风险集中的区域或事项,制定相应的措施或应急预案,防范风险发生。此外,针对不同部门,应结合其一段时间(如6个月)以来发生违规问题的分布情况,加大其相应保密管理要素的检查力度。
单位各项业务的变化发展往往是保密风险引入的源头。针对保密管理体系中的基础风险层和业务层,应提高对各类变化的敏感度,在监督检查中收集变化点[3],分析关联关系并开展相应的监督检查,及时防范新风险。如人员管理方面,特别关注变化如人员上岗、离岗、密级调整(含升密、降密、脱密)等,此外还应对部门领导、定密责任人、归口管理部门人员和三类人员(保密要害部门部位人员、机要密码人员和涉密信息系统“三员”)变化给予足够重视,防止由人员变化带来责任制和管理制度落实上的变形走样风险;定密管理方面,应特别关注新项目(合同)的签订、新业务方向拓展、新部门成立等变化,确保新的涉密事项纳入双定密(项目定密和岗位定密)管理的范围;载体管理方面,在确保人员变动时载体及时清退交接的基础上,特别关注各部门、重点人员载体持有的总量和异常变化情况。
3.2.3预估发展趋势
谈到加入凯傲集团以来的感受,慕思捷表示,德马泰克是凯傲集团下层的其中一个主要的业务单元。在市场开拓方面,德马泰克与凯傲集团的其他业务单元一直以来都在互通有无,利用彼此在这些地区的资源,努力成为更好的供应商。“我们会定期与其他业务单元见面,分享对产品和市场的看法。通常情况下,凯傲下属的叉车业务单元主要负责仓库里的人工领域,德马泰克更倾向于自动化领域。因此,我们的加入让客户了解了设备间应该如何互补:德马泰克得以在解决方案中使用更多叉车,凯傲的叉车业务也得以在解决方案中引入更多自动化设备。”
3.2.2紧跟动态变化
㊲ L.D.Ettlinger,“ The Pictorial Source of Ripa's'Historia'”,Journal of the Warburg and Courtauld Institutes,vol.13,no.3/4,1950,pp.322-23.
3.2.4评价整体意识
根据各部门提交报告情况、业务流程审批情况,以及现场检查环节的沟通和现场核实,可对各部门领导以及涉密人员的保密意识、履行保密责任情况形成总体评价。可根据评价对不同部门有的放矢地组织培训、考试、交流等,并以此作为制定监督检查策略的依据。如对于整体保密意识相对不强的部门,提高现场检查的频度,检查中应重视与部门领导的交流,并重点检查其保密培训落实情况和效果,根据情况采取有针对性的培训和考试等措施。对于整体意识相对较强的部门,应防范管理学中的晕轮效应[5](即以偏概全、以点概面的错误评价),放松监管。对于此类部门,应在沟通中发现其关注、理解的盲点和薄弱环节。
3.3各类检查的方式及侧重点设计
新标准中对分管保密工作负责人、其他负责人、涉密部门负责人或涉密项目负责人、保密工作机构都提出了开展保密检查的要求。根据各类检查人员能够掌握的数据情况和其不同的优势专长,采取“充分发挥检查者的能力和优势,教育、沟通与检查相结合”的指导思想,对各类检查的内容及要求进行设计,设计表见表1。其中,检查方式可包括面谈或报告、现场查验、信息系统数据检查或抽查等。
菏泽境内洙赵新河有海头、史庄、侯集、安兴、赵楼、毛张庄、于楼等7个节制闸,平均两闸之间的距离为15 km。每个节制闸对应一个管理所,目前各个管理所中有各自的变压器,支持节制闸的启闭。可以从管理所的变压器向堤防架设电线,也可以在单堤上架设高压电线,供所有闸管所的生产、生活用电,又兼作抗旱灌溉用电。随着水利工程现代化的建设,未来的自动化监控、远程监测、视频监视系统均需要电力支持。从而,应以信息化管理手段为基础,推进堤防现代化管理,确保堤防管理精细化、规范化、专业化。
表1 各类保密检查设计表Tab.1 Design of various confidentiality check检查类别组织人执行人检查的完成频次检查对象检查方式检查内容设计分管保密工作负责人检查分管保密工作负责人分管保密工作负责人1次/年单位和部门负责人面谈侧重保密意识、保密责任履行情况其他负责人检查其他负责人检查业务主管(归口)部门结合业务实际(至少1次/年)业务管理流程中具体参与人、实物及数据现场查验或信息系统数据抽查等侧重业务活动中涉及到的保密管理要求的落实情况,关注动态变化涉密部门负责人或涉密项目负责人检查涉密部门负责人或涉密项目负责人部门或项目保密工作领导小组1次/季度部门或项目全体成员现场查验及信息系统数据抽查侧重部门人员保密意识、载体、密品等实物的现场管理情况,关注动态变化和发展趋势专项检查保密工作机构保密工作机构及相关业务部门按照上级要求专项检查涉及人员、实物及数据报告、现场查验、信息系统数据检查等按照专项检查要求保密工作机构日常监督检查保密工作机构保密工作机构随时开展特定风险涉及到的人员、实物及数据现场查验及信息系统数据抽查侧重主要风险、动态变化、发展趋势和整体意识全面检查分管保密工作负责人保密工作机构1次/半年单位各部门、保密管理全要素现场查验及信息系统数据抽查重点检查各业务部门、涉密部门的日常管理和监督检查的有效性,完成保密风险评估
3.4根据保密检查结果调整保密风险评估
保密风险管控是一个系统化的动态管理过程,针对保密检查发现的问题及时采取措施,可结合半年一次全面检查开展风险评估,根据检查结果和问题处理结果,调整风险评价值,分析风险应对措施是否适宜,调整风险控制策略[3]。
图13为喷浆速度30 m/min、转速120 rad/s时,只改变溢流室进口角度所测得的溢流室压力分布图。由图13可知,当溢流室进口角度逐渐减小时,溢流室压力有增大的趋势。与之前的分析相同,进口角度越小,进入到溢流室内的浆流流量越大,随之转化为更多的静压能,使得溢流室压力上升。进口角度在40°~43°之间时,溢流室压力接近常压状态,易于实验室操作。当前条件下溢流室压力(Poverflow)与进口角度(δ)的关系表达式为:
4结束语
保密管理的本质是一种风险管理,做好保密监督检查工作是保密工作机构的重要工作内容,也是测试与校准实验室确保各类涉密人员保密责任制落实和规章制度执行的重要手段,因此,构建科学有效的保密监督检查体系将是企业不断改进管理,保证国家秘密安全的重要研究课题。
每到傍晚时分,团文化广场就变得热闹起来。随着欢快的音乐声响起,职工群众三三两两排起队形,跳起广场舞,孩子们成群结队追逐嬉戏,老人们坐在一起闲话家常。团场居民丰富的业余文化生活成为广场的一道靓丽风景线。
参考文献
[1] 郑欣然.关于新版质量管理体系标准中的“风险”解读[J].经济观察,2016(7).
[2] 国家军工保密资格认定办公室.武器装备科研生产单位一级保密资格标准[S].2017.
[3] 王少刚,吴金秋,李险峰.企业保密风险管理的应用与实践[J].保密科学技术,2014(11).
[4] 罗晓斌.人的不安全行为的成因及对策[J].安全生产与监督,2011(6).
[5] 吴俊杰.霍静萍.社会认知偏差对管理活动的影响[J].湖州师范学院学报.2007(1).
PracticeofConfidentialitySupervisionandInspectioninTestingandCalibrationLaboratory
ZHOU Ye YANG Qi WANG Jing LIU Xiao-li
(Beijing Institute of Radio Metrology and Measurement,Beijing 100039,China)
AbstractAccording to the confidentiality inspection requirements of latest qualification standard,we propose a confidentiality supervision and inspection system that is basing on risk analysis and taking risk control as the core.In addition,we propose a confidentiality supervision and inspection pyramid model and a designing method of all kinds of confidentiality inspection that can guide the work of confidentiality supervision and inspection of testing and calibration laborafory.
KeywordsConfidentiality management Risk management Risk analysis Confidentiality supervision and inspection
文章编号:1000-7202(2019)05-0093-04
DOI:10.12060/j.issn.1000-7202.2019.05.18
中图分类号:C931.2
文件标识码:A
收稿日期:2019-07-29,修回日期:2019-09-10
作者简介:周晔(1979.03-),女,高级工程师,硕士,主要研究方向:计算机科学技术及保密管理。
标签:风险论文; 保密工作论文; 监督检查论文; 部门论文; 人员论文; 社会科学总论论文; 管理学论文; 管理技术与方法论文; 《宇航计测技术》2019年第5期论文; 北京无线电计量测试研究所论文;