涉密信息系统集成资质单位(以下简称资质单位)的保密管理体系是否能管得住、管得好,是否存在漏洞和不足等,直接关系其所从事涉密业务相关的国家秘密安全。2024年5月1日施行的《中华人民共和国保守国家秘密法》规定“保密工作坚持总体国家安全观,遵循党管保密、依法管理,积极防范、突出重点,技管并重、创新发展的原则”,《涉密信息系统集成资质审查细则和评分标准》中明确要求资质单位应定期开展保密风险评估。因此,资质单位有必要认真组织开展保密风险自评估工作,不断查找并及时堵塞保密管理工作中的漏洞,不断完善保密管理体系,降低失泄密风险隐患,确保国家秘密安全。作为资质单位,在日常保密管理工作中,应以预防为主,做到防患于未然,最大程度减少失泄密事件的发生,这就要求涉密资质单位采用风险管理的思路和方法来加强保密管理。本期将为您介绍保密风险自评估工作的主要流程。《涉密信息系统集成资质审查细则和评分标准》规定,保密工作领导小组负责研究部署保密风险评估工作。法人或主要负责人的职责主要是提供人、财、物等条件保障,研究解决主要保密隐患和问题;保密总监的主要职责是保密风险自评估工作的组织、协调和监督,组织讨论、审核保密风险自评估报告;其他成员主要职责是组织和带领本部门人员对所承担的业务管理工作中存在的保密风险进行自评估并提出初步应对措施。保密风险自评估可以是对本单位保密管理全面工作进行风险评估,也可以对某项工作或某方面进行评估。因此,在开展保密风险自评估前,首先应当制定保密风险自评估工作开展方案,明确评估对象、评估范围、目标、参与人员、时间安排、解决哪些问题等内容。一个团队或组织要做成一件事,事前统一思想认识非常重要。开展保密风险自评估工作也是一样,保密工作领导小组的前期动员很关键,明确目标任务、时间节点,将大家的思想认识统一到一个方向或目标上来,并细化责任分工,使每项工作都能落实到人,避免出现推诿扯皮的情况,从而保证保密风险自评估工作效率和完成质量。在实施保密风险自评估过程中,各业务部门负责人及业务骨干组织本部门保密风险自评估,按照本部门的业务流程和工作程序,结合本部门业务实际全面梳理存在的保密风险点,并提出初步应对措施。保密管理办公室负责开展业务指导和各部门上报内容汇总,将汇总内容上报保密工作领导小组审核。保密风险自评估工作结束后,应形成保密风险点与防控措施一览表,资质单位应当组织全体涉密人员进行总结和学习,及时跟进落实,防止评估结束直接入柜,措施未融入制度和业务流程,评估结果无法得到有效利用。同时,在日常保密管理活动中,应将定期和不定期检查列入风险应对计划,通过常规检查、定期和不定期检查、监控已知风险等措施来验证防控措施在实施过程中是否持续有效。【摘编自《保密科学技术》2024年9月刊《浅谈涉密信息系统集成资质单位如何开展保密风险自评估工作》一文,作者: 巩建辉、曾程、王磊】