近年来,机关单位采购涉密工程、货物、服务或者委托企业事业单位从事涉密业务情况较为普遍,如涉密工程建设、涉密信息系统运行维护、涉密文件印制、涉密档案数字化等。但在实际工作中,乙方单位驻场施工、运维等人员违反保密规定问题多发,给国家秘密安全带来极大风险隐患,甚至导致失泄密案件的发生。其中,甲方机关单位保密管理责任不落实、监督管理不到位是一个重要因素,需要引起高度重视。
典型案例
涉密工程建设委托服务
案例1:2022年4月,某设计研究院承担某省直单位涉密工程规划设计工作,该省直单位要求项目组部分人员驻场开展工作,并提供一台涉密单机供项目组使用。但是,该单位仅口头简单提出保密要求,时间一长,项目组工作人员也放松了保密管理要求。某日,项目组工作人员钟某因工作任务紧急,使用刻录光盘方式将涉密项目材料从涉密计算机中拷出,并在微信群中传递,项目组成员周某又进一步转发。在案件调查中发现,项目组还存在应当确定为国家秘密的工程文件未定密,并在互联网计算机中处理等问题。案件发生后,相关责任人员均被给予纪律处分。
涉密信息系统运行维护委托服务
案例2:某涉密信息系统运维企业派驻至某省直单位的运维人员张某,在运维过程中发现涉密信息系统中某设备硬盘为固态硬盘,便起了私心,欲据为己有,趁人不备私自拆卸带回家并安装在个人电脑中。由于该硬盘上“三合一”程序运行正常,开机后启动违规外联告警。案件发生后,相关责任人员均被给予处理。
涉密档案数字化委托服务
案例3:2022年12月,某公司受委托为某市直机关开展档案数字化工作。其间,工作人员林某在整理档案时发现1份标密文件,出于炫耀心理,使用手机对文件首页进行拍照,在个人社交媒体账号发布,造成泄密。案件发生后,林某被开除,相关责任人员均受到处理。
案例剖析
以上案件的发生,暴露出机关单位在进行涉密业务委托时,忽视自身监管职责,对涉密项目“一托了之”,存在较大管理漏洞。一是保密监管职责区分不清。在项目委托服务过程中,虽然双方签订了保密协议,但对保密工作职责未进行明确划分。在开展委托服务前,甲方和乙方未就保密管理职责进行充分沟通,明确责任,导致出现“两不管”的空白地带,从而为失泄密事件埋下隐患。二是甲方单位过度“放权”。一些甲方单位虽然明知自己应当对驻场服务人员负有保密监管责任,但是出于“图省事”等心理,对驻场人员过度放权、过度“信任”。比如,有的涉密档案数字化工作既没有甲方人员监管,工作环境中也没有安装监控设施,更没有对计算机信息输出采取管控措施,给窃密人员留下可趁之机。
三是保密教育培训缺位。实践中,乙方单位“重效益轻管理、重应用轻安全”的现象普遍存在,对内部人员的保密教育培训不够重视,导致大部分服务人员保密意识淡薄、保密常识欠缺。一些甲方单位也未足够重视,以不属于自己单位人员为由,不对提供相关服务的人员进行保密教育培训和保密提醒,相关人员因不知、不懂造成泄密。
工作建议
明确责任防风险。机关单位在开展涉密委托服务项目时,要与乙方企业明确划分保密管理责任,在合同约定中明确责任内容,确保项目施工建设期间保密要求“有人提”,保密措施“有人落”,保密监督“有人盯”。要根据委托业务归口管理,将乙方企业的日常监管纳入保密日常管理职责范围,并将监管工作纳入年底绩效考核内容,进一步夯实保密管理主体责任。
加强管理堵漏洞。机关单位要加强对乙方单位的日常保密管理,制定管理制度,细化管理标准,优化管理流程,指导服务外包人员全面了解开展委托服务的各项保密管理要求,将委托业务与保密管理深度融合,同步推进。同时,对服务外包单位要实现全过程实时管理,定期排查问题隐患,把日常保密监督管理做细做实。常态教育保安全。机关单位要加强对乙方企业服务人员的保密教育培训,并将服务人员失泄密案例作为警示教育内容,以案为鉴,增强乙方企业服务人员保密法纪观念和防泄密反窃密能力本领,切实堵住失泄密漏洞。
网信羌塘
主审:柳跟象
审编:罗杰
编辑:旦珍
来源:保密观微信公众号