涉密信息系统集成资质和国家秘密载体印制资质申请单位在保密管理体系建设过程中,存在一些共性的重难点问题,主要包括保密风险评估、保密管理与单位日常管理相融合、以及初次申请涉密资质单位进行涉密人员界定、要害部位划分和涉密项目管理等具体问题。
保密风险评估
申请单位须按要求开展保密风险评估,评估报告是涉密资质书面审查和现场审查评分的重要组成部分。资质单位应严格按照业务和工作流程查找风险点,由业务部门负责人主导,对主要风险点进行全面、准确识别,区别不同风险等级,制定具有针对性和可操作性的风险防控措施。
资质单位开展保密风险评估主要作用是:一是实现保密管理全程化。具体是指国家秘密存在的整个周期,既包括从产生、流转到解除的逻辑形式,也包括从制作、使用到销毁的物理状态,国家秘密在哪里,保密工作就做到哪里。二是风险评估报告可作为涉密人员保密教育培训的重要组成部分,指导普通涉密人员熟知自己所在岗位的风险点和防控措施。三是帮助保密管理人员(保密总监、涉密业务负责人和保密管理办公室成员)确定日常保密检查重点。四是协助保密工作领导小组成员全面掌握本单位业务流程中的主要风险点,并针对不同等级的风险合理分配人力、财力、物力,落实防控措施。
保密管理与日常管理相融合
主要体现在以下三个方面:一是制度融合,即保密管理制度与单位基本管理制度相融合;二是制度与实际相一致;三是保密管理档案与业务工作档案相一致。
第一,保密管理制度与单位基本管理制度相融合
资质单位应将有关保密标准要求和风险防控措施全面融入到项目管理制度、人员管理制度、资产管理制度、办公场所管理制度等单位的基本管理制度中,作为基本管理制度的一部分。表1择要点举例。
表1 保密管理制度与单位基本管理制度
基本管理制度
保密管理要求
1
项目管理制度:项目过程管理规定等
涉密项目保密协议签订,知悉范围划分,涉密资料归档和移交,宣传报道管理等管理流程及规定
2
人员管理制度:人员招聘、培训、绩效考核、离岗等
涉密人员上岗、培训、离岗、出国(境)等管理流程及规定
3
资产管理制度:设备采购、维修、报废等
涉密设备采购、维修、报废流程及规定
4
办公场所管理制度:门禁、视频监控等
涉密办公及研发场所管理流程及规定
第二,保密管理制度与生产经营管理实际情况相一致
资质申请单位要针对生产经营管理的实际情况,结合具体业务工作流程,制定出有效、操作性强的保密管理制度,并及时进行调整和更新。
第三,保密管理档案与业务工作档案相一致
保密管理档案应同业务工作档案一样,依据相关制度,在日常生产经营管理活动中自然产生的工作记录。此外,对保密标准规定的工作步骤和要求,要结合本单位实际情况,弄清楚其存在理由,避免为了迎检编造表格记录,在理解存在偏差的情况下,生搬硬套保密标准要求。
初次申请单位保密管理难点
第一,涉密人员的确定和分类
涉密人员的确定应采取“以岗定人”原则,在相应等级涉密岗位工作的人员就是该等级的涉密人员。而涉密岗位的确定依据是日常工作中接触秘密事项的密级和频率。在日常工作中产生、经管或经常接触、知悉绝密级(机密级、秘密级)国家秘密事项的岗位为核心(重要、一般)涉密岗位,在此类岗位工作的人员为核心(重要、一般)人员。
第二,保密要害部位划分与管理
保密要害部位是单位内部集中制作、存储、保管涉密载体的专用、独立、固定场所,如,保密室、档案室、涉密信息系统机房、涉密实验室等。初次申请涉密资质的单位在界定要害部位时应注意如下几点:一是要害部位应是集中制作、存储、保管涉密载体的专门场所,不能一室多用,同时用于存放涉密载体和其他非涉密档案和固定资产。二是要害部位须实行封闭式管理,安装门禁、监控、防资报警系统,安排专门人员值守,定期检查维护。保密要害部位应通过门禁系统确定进入人员范围,门禁授权的增加、减少或变更应严格履行审批手续,临时进入人员应有专人全程陪同并详细登记。三是建立并严格执行视频监控管理检查机制,安全保卫部门应定期对视频录像进行回看、检查,保密管理人员应定期对执行情况进行监督检查。
第三,涉密项目管理
在取得资质前,一方面,将保密标准要求落实到项目管理制度中,健全涉密项目管理制度和相关流程表格;另一方面,选取部分重点项目进行模拟演练,查找风险点,调整并完善相关制度,为日后承接涉密项目奠定基础。
(根据《保密科学技术》2015年11期相关文章整理)
