论文部分内容阅读
摘要:在现代这个信息技术非常发达的社会中,为了提高主动防御能力,有针对性地防范企业泄密、窃密事件的发生,在深入解析企业保密风险管理体系中风险因子的基础上,把传统保密管理体系与信息安全管理体系结合起来,根据当前企业信息安全保密工作体制机制环境,运用全生命周期原理,构建了一套企业保密风险体系。该体系从风险的识别、评估、分析、应对等环节全生命周期展现了保密风险的管控过程,能确保企业信息安全。
关键词:风险管理;风险防控
引言
风险是一种不确定的时间或条件,一旦发生,就会对管理目标造成积极或消极的影响。风险管理是指如何在一个肯定有风险的环境里把风险减至到最低,用以降低风险的消极结果的管理和决策过程。作为项目管理活动之一,风险管理主要包括规划风险活动、识别风险,评估风险,应对风险,控制风险等等。在实践中,通过各种联系、风险管理和控制,不断提高对保密风险的认识。改进风险预防和控制措施,提高保密水平,确保国家机密的安全。
1保密风险防控管理的必要性
保密管理的主要目的是减少泄漏的可能性,从而减少泄漏的可能性。其次,风险管理是实现保密管理精益化的有效途径。精益保密是保密工作的基础,风险管理要求在仔细筛选企业的过程中,查明和确定这些风险因素中存在的保密风险点,评估风险水平和风险发生的可能性。在这方面,还需要根据企业的风险和特点系统地划分有限的资源,并采取预防和控制措施来实现目标。目前相关保密单位的保密工作还存在保密管理与企业的生产和经营分离的现象。基于风险管理的理念,保密管理措施在科和生产、人员管理、资产管理的基础上对企业过程进行分类。保密风险评估导致企业按照保密要求重组其生产和经营,并使保密要求与企业的各个方面密切相关规章制度相结合,从而实现保密管理与生产业务活动的有机融合。
2保密风险管理体系
2.1风险识别
作为风险管理的首要环节,风险的识别在于准确识别所面临的现存以及潜在风险,以确切掌控实施风险控制措施的最佳时机风险识别的基本特点。风险识别是对公司保密管理面临的各种风险进行确认的一个动态化和连续不断的过程,实质是一个寻找、探索、发现的过程,是风险管理在实施阶段的首要步骤。这个过程有三个基本特点:完整性:根据流程来识别其在工作开展过程中可能存在的风险因素,尽可能多地分析和查找风险点。主要是按照现有流程的顺序,逐一查找每个环节控制活动的所有潜在风险。准确性:按风险事件描述所遵循的规则,对于能直接或间接造成失泄密的事件,直切要害,一击命中。未来性:要充分考虑到未来性、不确定性和影响性。
2.2风险评估
风险评估是要求对识别出的各项风险点的风险因素及其发生的概率、可能造成的损害进行预估。在这个阶段,它可以细分为定性风险分析和定量风险分析,并有不同的侧重点。定性风险分析侧重于评估和综合分析风险的概率和影响,确定风险优先级,并关注高优先级风险,而定量风险分析侧重于客观分析风险发生的时间和环境等因素。在此基础上,了解管理风险的原因和发生概率。为准确地估量各项风险可能造成的影响,还应注意到各项风险之间的关联性,某些看来微不足道的风险。应根据风险的轻重缓急制定适应措施。处理共同风险的方法包括减少风险、减少风险和转移。风险评估和接受风险。考虑到风险管理的特殊性,在相关合格单位保密的情况下,如果发生事故,它将对国家安全和利益造成不可弥补的损失。
3保密管理风险识别和分析方法
风险识别主要可以采取三种方法。一是保密文档审查法。分析过去的保密工作文件,特别是总结保密检查等活动中发现的问题和薄弱环节,然后准确定位风险点。第二是信息收集方法。采取调查问卷或头脑风暴的形式,与业务工作人员进行沟通交流,深入了解各项业务的特点,听听建议。第三是业务流程分析方法。在精心梳理科研生产,人事管理,涉外管理等日常生产经营活动的基础上,通过图解手段对每个环节可能存在的保密风险进行可能的分析,可能导致可能的因素。风险识别的具体实施方法结合了分类单位的业务特点,采用“分类整理”方法,全面梳理和检查出以下“四类风险”:一,工作责任风险,是否为认真履行保密职责,实施保密制度。二是业务流程风险,主要表现在各项保密业务工作是否规范,是否有失泄密机会存在,以及可能造成失泄密的环节和因素,是否有效的履行了保密监督管理;三是制度风险,主要表现在单位的保密规章制度是否完善,具有可执行力,如保密要求,监督检查、考核奖惩制度等;四是外部环境风险,从国家安全工作角度,开展反奸防谍工作,警惕周边敌社情以及可疑人员可疑行为。从"点、线、面"流程管理方面排查结合岗位保密职责的点,分层分类地确定重点。对保密制度进行梳理,查找因制度不完善而存在的保密管理风险梳理。例如,涉密载体外出携带的方式及其存在的风险;光盘明文刻录,无加密保护措施;光盘外出携带无密封措施,交接过程不可控;光盘外出未按规定专车专人传递,缺少有效的技术监控措施;笔记本外出携带使用何种防丢器能够满足日常业务需求。淘宝购买便宜产品丢失报警距离短,贵的产品功能单一其双向通信是否满足现有保密需求,功能过于依赖智能手机,功能过多存在新的安全隐患。离身报警的有效性,仅声音报警在闹市区不适用等问题。必须通过健全的管理措施,并配合完善的技术手段,降低外出携带涉密载体丢失的风险。
4风险应对和控制
风险应对是改变风险的过程,风险管理者通过回避、转化、承受、降低或者分担风险,使风险转化或降低的一系列过程。面对复杂的保密工作,无论采取多么完美的安全保护措施,保密工作中的安全风险都不可能完全避免,完全消失,只有在对单位保密工作进行安全风险评估的基础上,找出高风险点,有针对性地提出安全风险控制策略,利用相关技术及管理措施才能降低风险,将风险控制在单位可控的范围之内。可以通过以下方法完成风险控制。一是要根据风险点特别是高风险点及时修订保密管理制度,设计合理可行的保密管理制度,能夠从制度上降低风险点,保障业务过程中的安全。二是要提高保密技术防范能力。根据高风险点事项加大计算机信息保密技术防范力度,积极应用防泄密反窃密新技术和新产品推进保密技术防护水平,降低风险。三是要及时做好每月反馈和总结。单位要根据高风险事项及时将风险点反馈给单位负责人,从领导层面重视风险点,及时总结风险事项和改进思路,形成良好的反馈机制。经过相关措施后,要再次对整个信息系统进行残余风险评估、风险控制应对,直到单位可以完全接受能够承担的风险为止,这样才能够及时化解单位信息安全风险,防患于未然。
结语
在新形势下,信息安全保密管理是一个全面而专业的管理科学,具有更多元化的特点、更具复杂性的内容,需要更专业的手段和更现代的方式实施信息安全管理规范,需要相关专业人士去深入研究和学习保密风险管理体系的理论和实践运作。
参考文献:
[1]费朵,皱家继.项目风险识别方法探讨.物流科技,2018(8):139-141.
[2]王少刚,吴金秋,李险峰.企业保密风险管理的应用与实践.保密科学技术,20148(11):21-26.
[3]丛兵.要加强信息安全保密管理工作.信息安全与通信保密,2018(11):6-7.
关键词:风险管理;风险防控
引言
风险是一种不确定的时间或条件,一旦发生,就会对管理目标造成积极或消极的影响。风险管理是指如何在一个肯定有风险的环境里把风险减至到最低,用以降低风险的消极结果的管理和决策过程。作为项目管理活动之一,风险管理主要包括规划风险活动、识别风险,评估风险,应对风险,控制风险等等。在实践中,通过各种联系、风险管理和控制,不断提高对保密风险的认识。改进风险预防和控制措施,提高保密水平,确保国家机密的安全。
1保密风险防控管理的必要性
保密管理的主要目的是减少泄漏的可能性,从而减少泄漏的可能性。其次,风险管理是实现保密管理精益化的有效途径。精益保密是保密工作的基础,风险管理要求在仔细筛选企业的过程中,查明和确定这些风险因素中存在的保密风险点,评估风险水平和风险发生的可能性。在这方面,还需要根据企业的风险和特点系统地划分有限的资源,并采取预防和控制措施来实现目标。目前相关保密单位的保密工作还存在保密管理与企业的生产和经营分离的现象。基于风险管理的理念,保密管理措施在科和生产、人员管理、资产管理的基础上对企业过程进行分类。保密风险评估导致企业按照保密要求重组其生产和经营,并使保密要求与企业的各个方面密切相关规章制度相结合,从而实现保密管理与生产业务活动的有机融合。
2保密风险管理体系
2.1风险识别
作为风险管理的首要环节,风险的识别在于准确识别所面临的现存以及潜在风险,以确切掌控实施风险控制措施的最佳时机风险识别的基本特点。风险识别是对公司保密管理面临的各种风险进行确认的一个动态化和连续不断的过程,实质是一个寻找、探索、发现的过程,是风险管理在实施阶段的首要步骤。这个过程有三个基本特点:完整性:根据流程来识别其在工作开展过程中可能存在的风险因素,尽可能多地分析和查找风险点。主要是按照现有流程的顺序,逐一查找每个环节控制活动的所有潜在风险。准确性:按风险事件描述所遵循的规则,对于能直接或间接造成失泄密的事件,直切要害,一击命中。未来性:要充分考虑到未来性、不确定性和影响性。
2.2风险评估
风险评估是要求对识别出的各项风险点的风险因素及其发生的概率、可能造成的损害进行预估。在这个阶段,它可以细分为定性风险分析和定量风险分析,并有不同的侧重点。定性风险分析侧重于评估和综合分析风险的概率和影响,确定风险优先级,并关注高优先级风险,而定量风险分析侧重于客观分析风险发生的时间和环境等因素。在此基础上,了解管理风险的原因和发生概率。为准确地估量各项风险可能造成的影响,还应注意到各项风险之间的关联性,某些看来微不足道的风险。应根据风险的轻重缓急制定适应措施。处理共同风险的方法包括减少风险、减少风险和转移。风险评估和接受风险。考虑到风险管理的特殊性,在相关合格单位保密的情况下,如果发生事故,它将对国家安全和利益造成不可弥补的损失。
3保密管理风险识别和分析方法
风险识别主要可以采取三种方法。一是保密文档审查法。分析过去的保密工作文件,特别是总结保密检查等活动中发现的问题和薄弱环节,然后准确定位风险点。第二是信息收集方法。采取调查问卷或头脑风暴的形式,与业务工作人员进行沟通交流,深入了解各项业务的特点,听听建议。第三是业务流程分析方法。在精心梳理科研生产,人事管理,涉外管理等日常生产经营活动的基础上,通过图解手段对每个环节可能存在的保密风险进行可能的分析,可能导致可能的因素。风险识别的具体实施方法结合了分类单位的业务特点,采用“分类整理”方法,全面梳理和检查出以下“四类风险”:一,工作责任风险,是否为认真履行保密职责,实施保密制度。二是业务流程风险,主要表现在各项保密业务工作是否规范,是否有失泄密机会存在,以及可能造成失泄密的环节和因素,是否有效的履行了保密监督管理;三是制度风险,主要表现在单位的保密规章制度是否完善,具有可执行力,如保密要求,监督检查、考核奖惩制度等;四是外部环境风险,从国家安全工作角度,开展反奸防谍工作,警惕周边敌社情以及可疑人员可疑行为。从"点、线、面"流程管理方面排查结合岗位保密职责的点,分层分类地确定重点。对保密制度进行梳理,查找因制度不完善而存在的保密管理风险梳理。例如,涉密载体外出携带的方式及其存在的风险;光盘明文刻录,无加密保护措施;光盘外出携带无密封措施,交接过程不可控;光盘外出未按规定专车专人传递,缺少有效的技术监控措施;笔记本外出携带使用何种防丢器能够满足日常业务需求。淘宝购买便宜产品丢失报警距离短,贵的产品功能单一其双向通信是否满足现有保密需求,功能过于依赖智能手机,功能过多存在新的安全隐患。离身报警的有效性,仅声音报警在闹市区不适用等问题。必须通过健全的管理措施,并配合完善的技术手段,降低外出携带涉密载体丢失的风险。
4风险应对和控制
风险应对是改变风险的过程,风险管理者通过回避、转化、承受、降低或者分担风险,使风险转化或降低的一系列过程。面对复杂的保密工作,无论采取多么完美的安全保护措施,保密工作中的安全风险都不可能完全避免,完全消失,只有在对单位保密工作进行安全风险评估的基础上,找出高风险点,有针对性地提出安全风险控制策略,利用相关技术及管理措施才能降低风险,将风险控制在单位可控的范围之内。可以通过以下方法完成风险控制。一是要根据风险点特别是高风险点及时修订保密管理制度,设计合理可行的保密管理制度,能夠从制度上降低风险点,保障业务过程中的安全。二是要提高保密技术防范能力。根据高风险点事项加大计算机信息保密技术防范力度,积极应用防泄密反窃密新技术和新产品推进保密技术防护水平,降低风险。三是要及时做好每月反馈和总结。单位要根据高风险事项及时将风险点反馈给单位负责人,从领导层面重视风险点,及时总结风险事项和改进思路,形成良好的反馈机制。经过相关措施后,要再次对整个信息系统进行残余风险评估、风险控制应对,直到单位可以完全接受能够承担的风险为止,这样才能够及时化解单位信息安全风险,防患于未然。
结语
在新形势下,信息安全保密管理是一个全面而专业的管理科学,具有更多元化的特点、更具复杂性的内容,需要更专业的手段和更现代的方式实施信息安全管理规范,需要相关专业人士去深入研究和学习保密风险管理体系的理论和实践运作。
参考文献:
[1]费朵,皱家继.项目风险识别方法探讨.物流科技,2018(8):139-141.
[2]王少刚,吴金秋,李险峰.企业保密风险管理的应用与实践.保密科学技术,20148(11):21-26.
[3]丛兵.要加强信息安全保密管理工作.信息安全与通信保密,2018(11):6-7.