郑州飞机装备有限责任公司 河南 郑州 450005
摘要:当前,我国面临的信息安全保密形势日益严峻,本文从军工企业信息安全保密管理的角度出发,结合某军工企业信息系统、信息设备和存储设备安全保密管理实际情况,从构建军工企业信息安全保密管理体系文件框架和结构设计、文件构建以及应用成果等方面描述了体系文件的建设过程。为军工企业建立一套专业、规范、适合保密认定新标准的管理方法,为企业信息安全管理提供了有力的保障。
关键词:信息安全;体系文件;构建
1前言
信息公开保密审查管理是以确保国家秘密、商业秘密、工作秘密为直接目的,通过提升学习力、保障执行力、加强管控力形成以“三力融合”为特征的信息公开保密审查管理机制,采取激励引导,建立案例分析、知识竞答、模拟演练等多形式的培训方法,制定涵盖重点任务、常规工作、敏感节点等的管理制度和工作流程,利用年度、季度、月度会议层层传递,自查互查专项检查处处加压,最终实现保密意识深入人心、保密行动贯彻始终、保密规则有据可依的保密工作氛围。
2主要做法
保密管理工作从学习力、执行力、管控力三个维度出发。以针对不同阶段、针对不同层次、针对不同岗位“三针对”提升学习力,以健全保密制度、健全保密范围“两健全”保障执行力,以形成保密工作闭环管理“一体系”加强管控力。基于“三力融合”践行保密工作,通过“三针对”提升学习力、“两健全”保障执行力和“一体系”加强管控力,积极拓展保密管理工作的广度,借鉴国网余姚市供电有限公司、宁波市高校和社会的优质保密案例,形成以国网余姚市供电有限公司本部为核心的保密管理阵地;不断挖掘保密管理工作的深度,增强重要涉密岗位保密管理工作的扩散作用,联结和带动其他公司员工,增强公司员工的保密意识和保密技能;有利保障保密管理工作的高度,在国际互联网广泛应用、经济全球化日益明显的大背景下,不断夯实员工保密能力与素质,实现保密意识深入人心、保密行动贯彻始终、保密规则有据可依。
2.1“三针对”提升学习力
一是针对不同阶段,将学习班组分为新员工入职培训、在职人员培训、离职人员(保密条例履行)。二是针对不同层次,将培训分为基层一线员工培训、中层管理人员培训、高层管理人员培训。三是针对不同岗位,将学习专业分为生产部门培训、审计部门培训、财务部门培训等。首先通过培训前期调研明确当前保密管理工作的缺项、急需解决的问题等物质因素,同时了解员工对培训的期望和真实想法,最大限度地保证培训内容真正契合工作实际和员工需求,有效减少无效培训;之后通过组织实施学习深入保密管理工作的内涵实质,进行保密理念教育、保密管理制度学习,重在强调保密的重要性,增强员工的保密意识,结合典型案例分析,通过多层次、多渠道、多形式的教育培训方法,做到浅显广泛,以点带面。最后开展学习效果评估,通过反应评估、学习评估、作为评估判断培训成果的转化,与培训前进行对照,确定学习力的贯彻情况。
2.2“两健全”保障执行力
一是健全保密管理工作的各项工作制度,从设备、信息、人员、载体及日常工作等多个角度制定相关文件措施,按照同业对标指标要求对相关工作制定刚性文件。二是健全人员配备,从领导、部室到基层班组,设立保密兼职人员,确保保密人员明确职责、完善分工,杜绝有制度无执行的情况发生。
2.3“一体系”加强管控力
通过制定流程图,明确保密工作合理流程体系,让保密人员在保密工作中有据可依、有章可循,避免半途而废的现象发生。同时采取文化软浸润,从年度会议到季度会议再到月度会议,层层传递;从自查到互查再到专项检查,处处加压,持续增强管控力。
期刊文章分类查询,尽在期刊图书馆
3军工企业构建全面保密管理体系
3.1建立体系文件建设机构,落实建设工作职能
(1)由企业信息化管理部门牵头,建立由信息化管理部门、保密管理部门、人事管理部门、保卫部门、资产管理部门、信息系统管理三员共同参加的体系建设工作领导小组、体系建设办公室。(2)落实体系建设办公室职能:全面掌握和熟悉国家及上级公司的信息安全保密管理相关的标准及制度;广泛收集企业相关部门对体系文件的意见,确保体系文件的广泛性和有效覆盖;制定体系、理顺流程、定期检查、强化考核。
3.2构建企业信息安全保密管理体系
文件框架解读标准可以看出,信息安全保密管理体系文件是由信息安全策略、管理制度和操作规程等组成。安全策略针对安全问题提出对策和解决方案,管理制度应当保障安全策略提出的对策和解决方案能够正确执行,操作规程是安全策略在信息系统、信息设备和存储设备上具体实现的操作步骤,这三部分既相互独立,又互相关联,缺一不可。
3.3安全策略文件结构设计
安全策略的制定应当以国家相关部门的法规、标准和技术要求为准绳,在制定安全策略前,应当分析信息系统、信息设备和存储设备等存在的脆弱性和威胁,识别安全隐患,根据单位涉密信息系统的保护等级、安全保密目标和范围、安全原则、安全方针,结合单位自身实际情况,提出解决安全问题的管理办法和控制措施。同时,应根据环境、系统和威胁变化情况,进行动态调整,以适应不断变化的涉密网络安全保密管理需求。针对安全策略涵盖的物理安全策略、技术防护策略、运行安全策略等方面进行结构设计,信息安全保密管理制度结构设计框架。
3.4管理制度文件结构设计
信息安全保密管理制度是信息安全保密管理体系运行的“交通法规”,是体系运行的流程,连接着操作规程和各项工作记录。信息安全保密的核心是确保信息系统内国家秘密的安全,针对涉密信息产生、存储、处理、传输、归档和销毁的全过程,建立健全稳定、有效的信息安全运行管理机制,使企业信息安全的管理有法可依、有章可循。信息安全保密管理制度应具有全生命周期大闭环和小闭环的特点。大闭环应基于信息系统管理的各个环节,从信息系统建设或整改计划、方案、实施、系统运行与监控、审计报告、风险自评估报告再到整改计划等形成持续改进的信息系统的运行管理模式。针对管理制度涵盖的人员管理、物理设施与环境管理、设备与介质管理、运行与开发管理、信息安全保密五个方面建立统一的信息安全保密管理制度框架。小闭环应基于管理制度中管理主体进行规划,以信息设备管理为例,全生命周期需要从设备的确定密级、申领(入网)、使用、变更、维修、停用或退出使用、报废、销毁等环节形成一个完整的闭环程序。
3.5操作规程结构设计
信息系统、信息设备和存储设备操作规程是对安全策略和管理制度某个步骤的具体操作的描述,是对安全策略和管理制度的有力支撑。操作规程涵盖信息系统管理员(三员)和信息系统用户的操作规范两个方面。信息系统、信息设备和存储设备管理员(三员)操作规程是执行信息安全策略,保密技术防护措施有效执行的具体部署操作,保证信息安全保密策略文件的实施和落实,应基于安全策略文件的结构进行设计编制。
4结束语
总而言之,保密工作是一项综合性很强的工作,秘书工作多而繁杂,但认真做好保密工作是供电企业秘书的职责所在,责无旁贷。面对新时代的保密新任务新要求,供电企业秘书必须更新知识和观念,严守规矩纪律,提升业务技能,运用防范技术做好各项日常保密工作,杜绝各类失泄密事件发生,确保企业健康持续发展。
参考文献:
[1]邢继扬.信息时代秘书保密工作研究[J].秘书之友,2018(04):17-22.
[2]樊光湘.秘书如何结合实际做好保密工作[J].秘书工作,1996(09):42-43.
论文作者:付美
论文发表刊物:《防护工程》2019年11期
论文发表时间:2019/8/30
标签:信息安全论文; 保密工作论文; 信息系统论文; 安全策略论文; 管理制度论文; 文件论文; 信息论文; 《防护工程》2019年11期论文;