杂志汇新经济导刊

大型涉密项目管理风险应对

作者:文/王晓峰 齐立纲
针对大型涉密项目实施和管理中可能出现的涉密风险问题,及时采用对策措施,从而整体提升涉密信息系统集成资质单位保密管理能力

2015年以来,国家保密管理部门出台了一系列保密制度、文件和标准,进一步明确和加强了对涉密信息系统集成资质单位的管理标准和要求,对涉密信息系统集成资质单位现场保密管理工作、保密管理体系运转有效性提出了更高的要求。大型涉密项目涉及信息较多、人员庞杂、现场复杂、管理要求高的显著特点导致保密管理和实施的难度加大,需要针对大型涉密项目实施和管理中可能出现的涉密风险问题,及时采用对策措施,从而整体提升涉密信息系统集成资质单位保密管理能力。

大型涉密项目保密管理典型问题

一是信息较多。

大型涉密项目全生命周期各个环节产生的信息较多,从签订合同开始就会产生涉密信息,涉密信息判定工作量大、管理重点多。需要根据国家保密管理部门按照不同项目的密级要求,根据最小化原则及实际情况,对项目的技术文档、管理信息、过程文件是否涉密进行科学合理的判定。

二是人员庞杂。

大型涉密项目参与单位众多,人员数量大、素质参差不齐,并且分散在各实施地点。有的系统集成类项目的人员流动性较大。大部分参建人员保密意识薄弱、不具备保密技能,给涉密人员管理带来极大的挑战。

三是现场复杂。

大型涉密项目往往实施地点分散,有的甚至不在同一个行政区域。项目实施现场保密部位和非保密场所混杂,有的项目实施现场甚至周界模糊,安全保卫条件差,现场情况复杂。有的条件较差的项目实施现场,不具备设置保密环境的条件,给现场管理带来较大的困难。

四是管理要求高。

大型涉密项目由于关注度高,国家保密管理部门对其有明确的管理要求。项目实施各方必须根据国家保密管理部门对项目载体、人员、现场等方面的要求,制定细化的工作方案,并编制相应的应急预案。

提升大型涉密项目保密管理工作的必要性

首先,保密管理工作的需要。

我国已成为全球第二大经济体,面临着严峻的保密管理形势。一方面,大型涉密项目关注度高,保密要求严格;另一方面,涉密信息系统集成资质单位作为保密管理体系的组成部分之一,承担着重要的管理工作。加强对大型涉密项目的保密管理,是保密管理工作的需要。

其次,实施涉密项目的需要。

大型涉密项目有着较为明显的特点,需要从其全生命周期进行分析,从前期立项工作、招投标、项目实施、项目验收、使用运维等各个环节严格管理,采取有针对性的措施,这样才能满足保密管理对项目实施的要求。

再次,整体提升资质单位管理能力的需要。

涉密信息系统集成资质单位在建立保密体系后,在加强业务和保密工作融合的同时,有必要针对不同专业、不同规模、不同密级的项目形成有针对性的管理方案和措施,从而从整体上提升资质单位的管理能力。

大型涉密项目典型保密问题对策

第一,对项目各方及参与人员进行全面教育。

人员是保密管理中最重要的因素。在项目启动前,应在保密局备案的人中选派适合的项目负责人,组建得力的项目实施队伍,做到对项目负责人及项目成员的可信、可用和可靠。在项目启动后,应进行项目利益相关方分析,确定项目参与人员。对涉密人员进行项目前期情况交底、情况通报以及进行上岗前的保密教育、上岗后的保密教育,学习掌握项目的实施方案、现场管理方案。对参与项目的但是不接触涉密信息的非涉密人员,也应进行保密教育和提醒,切实做到所有参加项目的人员了解项目保密管理要求,做到知情况、明标准、懂技术、守规矩、尽职责。

及时采用项目实施中出现的保密管理案例对项目参与人员进行教育,起到有针对性的及时教育效果。定期对参与项目实施的人员进行保密培训学习、教育,对于调离、离职的人员做好脱密管理。大型项目的保密管理应设置专职的保密管理人员。

第二,明确涉密信息及管理措施。

保密就是保信息。在项目正式启动之前,资质单位就须根据国家保密管理部门对大型涉密项目的定级材料,通过与建设单位的充分沟通,确定项目技术文档、管理信息、过程文件中的涉密内容及知悉范围。在这一过程中,应坚持“最小化原则”,以便于明晰管理重点,同时降低不必要的管理工作量。对于大多数大型涉密项目,相关信息化场地、信息化基础环境和设施、未初始化涉密数据和涉密业务规则的软件系统以及部分过程性文档均不涉密,应做好保密管理区分。

在明确涉密信息后,在项目实施方案中确认各环节的输入、输出资料及成果的涉密事项和涉密等级,明确现场实施过程中的保密管理重点,报建设单位保密管理部门最终确定。

由于大型涉密项目建设的参与单位和人员多、信息传递的环节和界面多,项目的工作效率、工作方式必须服从安全保密要求。

第三,建立全覆盖的现场保密机制。

按照国家保密管理部门及项目建设的要求,结合项目的实际情况,从项目保密管理机构、管理人员、管理流程等方面进行设计和规划,建设全覆盖的现场保密机制。

配备充足的人员力量,根据国家保密管理部门的部署、资质单位管理制度和本项目现场管理制度以及项目实施中发现的问题等定期对项目现场进行各类安全保密检查,加强对重点部位的检查力度。对于现场保密检查中发现的问题,应及时进行分析总结,提出处理措施和方案,不得出现瞒报、隐瞒的现象。

辅以必要的、安全的技术手段,尽可能通过信息化和技术手段加强管控、规范行为,避免发生一些不良习惯。

第四,全面管理项目各类参与人员。

以接触涉密信息的人员为重点、并将其与参与项目人员全面纳入项目人员管理范畴。根据实际情况进行涉密人员定级调整,在根据项目人员实际需要进行人员调整的同时,严格履行相关手续。

对于在项目保密管理和实施中作出突出贡献的人员,须根据资质单位保密制度的规定,进行激励和奖励。

第五,完善现场安全保密条件保障。

努力通过多方协调,在项目建设现场建立满足管理要求的保密环境,满足保密介质、涉密计算机、涉密打印机、其它保密设备的管理要求,为现场项目实施和保密管理工作创造条件。配备专门的车辆,用于在资质单位保密室和项目实施现场传递保密介质,减少介质传递过程中丢失、遗漏的可能。

结语

资质单位必须深入学习国家保密法规和标准,结合对不同专业、不同规模、不同密级项目面临的保密管理典型问题进深入分析,结合业务管理和保密管理机制和特点,建立满足要求的有针对性的管理体系,才能将保密管理融入大型涉密项目管理工作中去,保守国家秘密安全。

(作者单位:北京国研信息工程监理咨询有限公司)

 

培育新动能,发展新经济

无人经济 重构人类的生产与消费

网络搜索可预测房地产

赋予海外园区助中企 FDI 的新优势

直面人工智能信息安全威胁

王一鸣:高质量发展对策

相关文章