基于风险点辨识和评估的保密工作管理

文/北京长峰新联工程管理有限责任公司 于晨旭

军工单位主要承担着国家武器装备科研生产任务，是国家安全和国防建设的基础，安全保密管理工作历来是军工单位保发展、保生存的一项重要工作。对保密工作进行风险分析，目的是使保密监管由事后向事中、事前转移，防止失泄密事件的发生，最大限度地保证国家秘密安全。

在目前的保密监督管理当中，诸多单位对于风险行为的管控关注不够，导致保密监管趋于事后管理，往往造成难以弥补的损失。而且对于保密风险缺少科学的识别方法。本文利用安全生产管理中的危险源辨识方法中的故障树分析法和模糊综合评判方法，在对保密业务流程梳理的基础上，对保密工作中的风险点进行辨识和评估，从而提升保密业务管理水平。

一、保密工作风险点辨识

《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实施条例》以及《武器装备科研生产单位保密资格标准》等法律法规对保密工作涉及的保密责任、保密制度、保密管理等方面做了具体要求。依据这些标准和要求，对保密工作中的风险点进行辨识。目前国内外研究的危险源辨识方法主要分为定性和定量两大类。其中定性安全评价有安全检查表分析法、作业条件危险性评价法、MES评价法等。定量安全评价有故障树分析法、事件树评价法、风险矩阵分析法等。本文采用故障树分析方法进行保密工作风险点的辨识。

（一）故障树分析法。故障树分析法（简称FTA）是将事故因果关系形象地描述为一种有方向的“树”：把可能发生或者已发生的事故（顶上事件）作为分析起点，将导致事故原因的事件（底事件）按因果逻辑关系逐层列出，用树形图表示出来，构成一种逻辑模型。

（二）风险点的确立。由故障树分析法得到事故的基本原因确定危险源因子，结合危险源分类方法，将保密工作中的风险点分为第一类风险点和第二类风险点。第一类风险点为根源危险源，主要是指规章制度、教育培训、管理流程、三防建设等方面不规范、不完善、不闭环或者缺失等造成违规违法事件的发生。第二类风险点为状态危险源，主要是指由于人为因素，比如对保密知识掌握理解不到位、过失或故意违反相关规定等，造成保密违规违法事件的发生。

（三）应用说明。以对外宣传发生泄密事件为例进行说明。分析步骤如下：

1.构造对外宣传泄密事件故障树符号和意义。详见“表1”。

2.构造故障树模型，找出事故中的所有基本原因。详见“图1”所示。

图1 故障树模型

3.根据故障树写出故障树结构式：T=A1+A2=X1+X2+X3+X4+X5+X6+X7+X8。

4.风险点的确立。详见“表2”。

表2 风险点模式图

二、保密风险评估和分析及应用说明

（一）保密风险评估和分析。本文利用模糊综合评判方法，对保密工作中的风险点进行量化评价。主要是从风险发生可能性、风险造成严重程度、风险整改难易程度三方面进行评估。这三种因素即为保密工作中的风险评判因素集，即U={‘可能性’‘严重程度’‘整改难易程度’}。风险发生可能性指该风险事件发生概率的大小。风险事件评价标准可分为5个风险等级，分别是：非常高、高、中、低、极低，即V={‘非常高’‘高’‘中’‘低’‘极低’}，可令其量化指标分别为1分至5分，等级数值越大，表示出现的频率越高。1分表示该风险事件发生的可能性极低，几乎不可能发生；5分表示该风险事件发生概率极大，会发生。风险造成严重程度是指该风险发生后，对单位保密管理产生的影响。风险影响程度评价标准可分为5个风险等级，分别是：非常高、高、中、低、极低，即V={‘非常高’‘高’‘中’‘低’‘极低’}，可令其量化指标分别为1分至5分，等级数值越大，表示影响的程度越大。1分代表影响程度很低，5分代表影响非常高。

风险整改难易程度是指在单位当前的人员意识、管理措施和资源配置等条件下，风险进行整改的难易程度。风险整改难易程度评价标准可分为5个风险等级，分别是：非常高、高、中、低、极低，即V={‘非常高’‘高’‘中’‘低’‘极低’}，可令其量化指标分别为1分至5分，等级数值越大，表示整改难度越大。1分表示在现有的管理措施、资源配置等条件下，对发现的风险比较容易进行整改。5分表示依照目前的保密管理水平和硬件条件，对发现的风险无法进行整改。

根据表3、4、5中的风险评价等级定义，即可得到保密风险的评价矩阵，其中ri即为表2、3、4中保密工作每个评判因素对应的风险等级数值。对于保密风险评价函数中的三个评价因素的权重系数，本模型中分别取值0.3、0.6、0.1, 即A=（0.3，0.6，0.1），满足。综上可以得到保密风险的评价函数如下：

表3 风险发生可能性等级定义

表4 风险造成严重程度等级定义

表5 风险整改难易程度等级定义

其中，A=（0.3，0.6，0.1），根据表2、3、4中的定义进行取值。

根据评价函数结果定义保密风险等级，分为Ⅰ级、Ⅱ级、Ⅲ级、IV级四个等级。对应的处理级别分别是提醒、重要提醒、警告和严重警告。根据不同的处理级别采取相应的询问、提醒、检查和处理等措施。

表6 风险等级划分

（二）模型应用。假设某单位全年的宣传报道中，由于张某的过失行为，造成了一起泄密事件的发生，但给单位带来了较为严重的后果。根据“表3”，该行为发生的可能性等级可以判断为极低，分值为1；根据“表4”，风险造成的严重程度为高，分值为4；根据“表5”，风险整改难易程度为极低，分值为1。因而可以得到B=2.8＞2.5，处理级别是严重警告。

三、保密风险应对措施

安全保密工作的核心是通过对风险进行识别、评估和管理，从而达到对国家秘密风险的管控。要利用相关技术和管理措施减小风险事件发生的可能性，或者把可能的损失控制在一定的范围内。

（一）加强保密监督检查。“内审+外审”的检查方式，“飞行检查”和“专项检查”相结合的形式，加强对重点部门、重点项目和重大活动的检查，加大对保密风险的识别。针对发现的问题，要及时采取措施，将问题彻底清除，切实筑牢保密防线。

（二）利用数据系统进行风险管理。在人工进行保密风险识别和评估的基础上，借助数据管理系统，对保密管理数据进行累积和分析，能够发现很多人工无法发现的保密管理问题，从而有效进行风险评估、风险防范和风险监管。同时，设定科学的风险预警条件，一旦触发，系统可以自动向有关部门警示，将保密防范措施从事后向事中、事前转移，做到对保密风险行为发生前的监管，降低发生违规事件和失泄密事件的概率。

（三）提升保密技术防范能力。保密工作中一个最大风险就在于信息安全的管理。要做好信息系统、信息设备和存储设备的技术防范工作，就是要加大资金投入，进行硬件设施和软件工具的配备。同时，保密技术离不开人的管理和应用。因此，拥有专业素质过硬的人才队伍对于提升保密技术防范能力起着至关重要的作用。