开展风险识别,应当对已发生但还未结束和在发展中可能出现的风险进行考虑,可采用GB/T 27921-2011中明确的风险评估技术对风险点进行识别。保密风险识别也是风险识别的一种,根据保密风险识别特点,在此介绍两种可行的识别方法供参考,在实际使用时,可以单独使用,也可联合使用。(1)头脑风暴法:是指以会议形式进行讨论、座谈,打破常规,积极思考,畅所欲言,充分发表意见,将识别出的保密风险点进行逐条登记,形成风险登记册的一种方法。组织者通过事先准备好的一系列问题引发参与者思考,以期发现潜在的保密风险隐患。比如,“如果一份存有涉密项目资料的U盘找不到了,它最可能在哪个环节以什么方式遗失”;“如果互联网上出现了本单位承接的某涉密项目资料,最有可能的泄露途径和方式是什么”;“如果有人故意窃取涉密项目委托方敏感资料,其最可能的实施方法是什么”;等等。(2)检查表法:检查表是一个保密风险隐患的清单。检查表法是基于已有经验为主的分析方法,风险评估人员针对评估对象根据经验列出若干潜在风险点,请适合的评估人员基于自己的认知作答,非专业人员也可以使用。保密风险点识别应涵盖保密管理的各个方面、各个环节,本文重点介绍涉密人员、信息设备、载体、业务、业务场所等方面的识别流程,其他对象的识别流程可根据各单位的实际情况自行确定。涉密人员管理应按照涉密岗位和涉密人员确定上岗、在岗、离岗的工作程序和业务流程进行识别;涉密信息设备管理应按照采购、配发、使用、外携、维修、报废的工作程序和业务流程进行识别;涉密载体管理应按照收发、制作、复制、传递、使用、外携、保管、维修、销毁的工作程序和业务流程进行识别;涉密业务管理应按照招投标、合同签订、实施阶段、验收阶段、运维阶段的工作程序和业务流程进行识别;涉密业务场所管理应按照从外到内、从人到物的工作程序和业务流程进行识别。风险分析要考虑导致风险的原因和风险源、风险事件的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系及风险的其他特性等,还要考虑控制措施是否存在及其有效性。根据保密风险识别特点,在此介绍两种可行的分析方法供参考,在实际使用时,可以单独使用,也可联合使用。(1)可能性分析:保密风险可能性分析是分析各种保密风险发生的机会(以下简称可能性),进行分级和赋值,评估人员可通过历史数据、故障树和事件树、主观概率评估等进行分析,对未来事件或趋势发展的可能性进行描述,以确定各风险发生的概率,可单独或组合使用,参考对照表如表1所示。
(2)后果分析:后果分析形式比较灵活,可以对后果简单描述,也可以制定详细的数量模型。保密风险后果分析是分析各种保密风险发生对国家秘密安全产生的后果的严重程度,进行分级和赋值,如表2所示。在完成风险分析后,将对保密风险等级进行评价。例如,可采用风险后果与可能性相乘来确定风险等级,即“风险等级=后果×可能性”,根据赋值结果判断是否可接受,以此来确定风险等级,如表3所示。保密风险自评估是一项持续的循环性工作,是一个系统化的动态管控过程,不能一蹴而就,应认真分析研究本单位保密风险点,并选择科学合理的风险自评估模型,以问题为导向,找准风险点,制定有效的风险防控措施,以应对可能发生的各类突发事件,切实做到“事前防范、事中控制、事后监督”的良性循环。【摘编自《保密科学技术》2024年9月刊《浅谈涉密信息系统集成资质单位如何开展保密风险自评估工作》一文,作者: 巩建辉、曾程、王磊】
