物聯(lián)網(wǎng)時代企業(yè)秘密信息防控體系建設的思考與探索

王民玉

摘要：“物聯(lián)網(wǎng)”時代，移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代互聯(lián)網(wǎng)技術與各行各業(yè)有機融合，信息化發(fā)展呈現(xiàn)出大爆炸、大集中、大應用的特點，信息技術及互聯(lián)網(wǎng)技術在企業(yè)生產(chǎn)經(jīng)營活動中的應用日益深入，企業(yè)在商業(yè)活動中的商業(yè)秘密保護難度逐步加大，“物聯(lián)網(wǎng)”環(huán)境下商業(yè)秘密安全保護成為現(xiàn)代企業(yè)面臨的嚴峻問題。“物聯(lián)網(wǎng)”時代，只有逐步建立健全企業(yè)秘密信息防控體系，運用科學的管理方法和先進的應用工具，真正實現(xiàn)商業(yè)秘密信息全方位、全要素、全過程的系統(tǒng)控制和安全防護。

關鍵詞：物聯(lián)網(wǎng);防控體系;思考與探索

一、背景

（一）防控體系建立的重要性

商業(yè)秘密是企業(yè)的核心利益，是企業(yè)資產(chǎn)的重要表現(xiàn)形式，形成于企業(yè)發(fā)展規(guī)劃計劃和生產(chǎn)、經(jīng)營、管理活動之中，融合于生產(chǎn)、經(jīng)營、管理全過程。“物聯(lián)網(wǎng)”環(huán)境下商業(yè)秘密在保密措施、泄密形式、溯源審計上較以往的傳統(tǒng)方式有所不同，“物聯(lián)網(wǎng)”環(huán)境下的商業(yè)秘密具有使用和存儲的高度聚集性、保密和泄密的高技術性等特點，并且大部分企業(yè)由于其員工眾多、組織架構復雜、業(yè)務經(jīng)營范圍廣等原因，商業(yè)秘密保護項目開展起來難度大，缺乏商業(yè)秘密保護管理經(jīng)驗和有效的技術保護支撐，企業(yè)保護商業(yè)秘密的意識比較淡薄、保護措施滯后，致使侵害商業(yè)秘密權益的事件不斷增加，商業(yè)秘密信息失泄密現(xiàn)象屢屢發(fā)生。

（二）防控體系建立的必要性

在信息化高速發(fā)展、竊密與反竊密斗爭日益嚴峻的情況下，泄密事件呈高發(fā)態(tài)勢，通過建立有效的企業(yè)秘密信息防控體系，能針對以下五種泄密隱患，進行積極主動應對，從而大幅降低泄密事件的發(fā)生率。

二、研究與探索

（一）完善四個機制

1. 信用評級機制。通過建立涉密人員的可信度評價指標體系，實現(xiàn)對涉密人員身份、地位、工作性質、社會環(huán)境、歷史表現(xiàn)、性格特征、興趣愛好、感情穩(wěn)定性等可能影響其保密意志、立場、信念和執(zhí)行力的諸多因素綜合考評，對涉密人員的可信度進行跟蹤記錄，并記入其檔案或任職晉級的考核指標中。

2. 崗位認證機制。崗位認證的實質是為了加強對保密專（兼）職人員、涉密人員的教育培訓與保密知識、技能的考核。所有接觸涉密事項或參與涉密活動的人員，在上崗前，或者調整崗位時，必須取得相應等級、相應范圍的涉密崗位資格證書。

3. 監(jiān)管分離機制。責任分離是一種降低偶然或者蓄意泄密風險的方法。應當考慮把某些責任或者責任區(qū)的管理權與執(zhí)行權加以分離，減少對涉密載體、文件、系統(tǒng)未經(jīng)授權的訪問或者改動的機會。對涉密人員的管理也要充分體現(xiàn)管理（使用）權與監(jiān)督權相分離的原則。

4. 獎懲激勵機制。獎懲激勵機制是管理學常用的機制。保密存在風險，保密人員承擔著相應的責任，獎懲激勵體現(xiàn)的是責權利相結合的原則。相關部門在進行組織變動、人員調整、職位晉升、推先選優(yōu)時，對涉密人員要在其他同等條件下保留相應的優(yōu)先權。獎懲激勵機制的目的是充分調動人員的積極性，使他們從“要我保密”轉變到“我要保密”上來。

（二）構建三大體系

1. 加強宣傳教育。建立教育培訓長效機制，確保業(yè)務部門及從業(yè)人員了解、掌握必備的保密知識和技能，把握信息化條件下保密工作的規(guī)律特點，增強依法保密能力和高科技對抗能力，有效解決員工保密意識薄弱，保密能力不強的問題。

一是分層教育。結合業(yè)務工作特點，采取黨員活動日、專題黨課、學習研討等形式，分層次、有重點、多形式、多渠道地在本部門、本系統(tǒng)開展保密形勢任務、保密法律法規(guī)、保密規(guī)章制度、保密知識技能和保密警示案例等方面教育。

二是系統(tǒng)思考。提高對相關保密標準和要求的理解力，將應知應會的保密標準和要求學習好、掌握住，尤其是把標準要求與業(yè)務實際結合起來。提高對各類泄密風險的辨別力，應及時發(fā)現(xiàn)和辨別在業(yè)務工作中接觸涉密信息、設備、項目、場所等時機可能造成的風險。

三是積極創(chuàng)新。大膽借鑒其他行業(yè)保密工作的先進理論與做法，以理論創(chuàng)新帶動制度創(chuàng)新、技術創(chuàng)新，既做到“保放結合，確保重點”，又能更好地發(fā)揮黨對保密工作的領導作用。提高用新知識、新技術防范泄密風險的創(chuàng)造力，緊跟知識不斷更新，新產(chǎn)品、新技術不斷替代的發(fā)展形勢，探索泄密風險管控的思路和舉措。

2. 強化系統(tǒng)管控。制定本部門、本系統(tǒng)保密工作監(jiān)管目標，將保密工作要求納入部門職責，融入業(yè)務流程，加強業(yè)務系統(tǒng)指導，推動保密責任落實。

一是明目標。精準定位。梳理編制業(yè)務工作涉密事項、涉密文件資料清單，落實相應責任人員和保密措施，實現(xiàn)“由面到點”精準定位。精準定責。建立“通用+個性”保密責任書模式，在保密管理通用要求的基礎上，由保密部門會同業(yè)務部門根據(jù)每個涉密人員工作崗位特點，有針對性地設計個性化保密責任條款，提高末端落實的有效性和精準度。

二是控過程。圍繞生產(chǎn)經(jīng)營管理過程中涉及的人、設備、環(huán)境等環(huán)節(jié)，優(yōu)化工作流程，加強制度建設，抓好保密風險防控。統(tǒng)籌領導力量，解決體制機制運行不暢的問題。優(yōu)化保密管理機制，科學統(tǒng)籌領導力量，調整完善適應新體制的科學化、規(guī)范化保密機制。

三是強責任。健全本部門、本系統(tǒng)保密工作責任體系，建立責任清單，以簽訂責任書的形式逐級明確保密責任范圍、重點和責任人，并定期依據(jù)責任清單向發(fā)約人報告履行職責和保密責任落實情況。

3. 嚴格監(jiān)督檢查。圍繞業(yè)務流程關鍵環(huán)節(jié)，把人員、載體、信息、網(wǎng)絡作為監(jiān)管重點，定期對本部門、本系統(tǒng)進行監(jiān)督檢查，采取事前預防、事中參與、事后分析的全過程動態(tài)介入，查找存在問題，糾正違規(guī)行為，堵塞管理漏洞。

一是重抓事前預防。針對業(yè)務工作的關鍵環(huán)節(jié)，分析可能存在的保密風險，開展風險識別排查，形成風險清單，制定防控預案。（1）開展風險排查。廣泛收集和分析業(yè)務工作中由于規(guī)章制度不健全、執(zhí)行不到位、崗位職責不明晰、監(jiān)督措施不落實可能導致的失泄密風險事項或信息，逐項填寫《保密風險防控排查表》。（2）確定風險等級。根據(jù)保密風險的重要程度、危害程度和發(fā)生機率，將業(yè)務工作各個環(huán)節(jié)涉及的事項或信息劃分為A級、B級、C級，形成風險清單。

二是狠抓事中參與。通過建立保密檢查常態(tài)機制、運行機制和聯(lián)動機制抓好業(yè)務工作開展過程中的保密風險隱患整治。（1）建立保密檢查常態(tài)機制。依據(jù)保密風險清單，加大業(yè)務工作各個環(huán)節(jié)、各個階段失泄密隱患排查力度。（2）建立保密檢查的運行機制。通過建立和執(zhí)行失泄密隱患整改通知制度、整改情況反饋制度、整改情況回訪制度等。（3）建立保密檢查的聯(lián)動機制。整合涉密人員、保密干部和人事組織、紀檢監(jiān)察、生產(chǎn)經(jīng)營等部門人員，適時開展專項檢查。

三是嚴抓事后分析。對業(yè)務工作開展過程中產(chǎn)生的風險隱患和管理漏洞進行深入分析，查找根源，落實責任，進一步健全完善保密風險防控措施。（1）強化目標主導。堅持施壓推動，按照保密風險清單明確的風險等級、防控措施、具體管理者和責任領導，分析評價各項工作環(huán)節(jié)保密防控措施的落實情況、產(chǎn)生風險隱患和管理漏洞的原因、責任部門、責任人和責任領導，明確整改措施和獎懲辦法。（2）強化考核督導。將保密工作納入年度考核，納入各級綜合目標考核，納入評優(yōu)評先，以考核促進規(guī)范。（3）強化查處引導。嚴格執(zhí)行保密責任追究制，對責任履行情況動真格，警醒和教育干部員工在業(yè)務工作中切實擔負起應有的保密責任。

三、總結

當前，以物聯(lián)網(wǎng)技術為代表的信息技術日新月異，引領了社會生產(chǎn)新變革，創(chuàng)造了人類生活新空間，拓展了治理新領域。在保密工作進入“三期疊加”的非常時期，外部竊密壓力日增，內(nèi)部風險隱患凸顯，安全保密工作不容忽視。各級領導干部必須高度重視，采取有效措施，落實保密責任， 不斷構建以崗位確認、風險識別、流程管理和制度控制為主要內(nèi)容的企業(yè)秘密信息防控體系，通過落實領導保密責任，推進保密工作與業(yè)務工作的有效融合，確保企業(yè)秘密信息安全。