國(guó)企保密合規(guī)管理實(shí)務(wù)研究
國(guó)企合規(guī)系列專業(yè)文章第二十一篇
導(dǎo)讀:本文閱讀目錄指引
一、國(guó)家保密管理立法梳理及重點(diǎn)解讀
二、國(guó)企加強(qiáng)保密合規(guī)管理的必要性分析
三、國(guó)企保密管理現(xiàn)狀分析
四、國(guó)企保密管理風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略
五、元正盛業(yè)律師關(guān)于國(guó)企保密合規(guī)管理的實(shí)操建議
六、律師在國(guó)企保密合規(guī)管理的作用和價(jià)值分析
引言
保密工作關(guān)系到國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定。黨中央高度重視保密工作,強(qiáng)調(diào)以服務(wù)大局、推動(dòng)保密工作高質(zhì)量發(fā)展為導(dǎo)向,筑牢安全保密防線。保密就是就是保安全、保發(fā)展。
國(guó)有企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的重要支柱,行業(yè)涉及國(guó)計(jì)民生重要產(chǎn)業(yè),所以在保密管理上,面臨保護(hù)國(guó)家秘密和企業(yè)商業(yè)秘密的雙重任務(wù)。因此,國(guó)企需要更加清醒地認(rèn)識(shí)保密工作的重要意義,準(zhǔn)確把握保密工作的新任務(wù)、新要求,更好地統(tǒng)籌安全和發(fā)展,確保國(guó)家安全和利益在哪里,保密工作就跟進(jìn)到哪里。
保密的立法和執(zhí)法作為我國(guó)建立法治國(guó)家、依法治國(guó)的一個(gè)側(cè)面,是依法治國(guó)的重要組成部分,保密管理是國(guó)有企業(yè)經(jīng)營(yíng)管理不可或缺的環(huán)節(jié)。尤其在《中央企業(yè)合規(guī)管理辦法》頒布后,如何切實(shí)有效做好保密合規(guī)管理工作,成為國(guó)有企業(yè)應(yīng)高度關(guān)注的重點(diǎn)工作之一。
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)基于長(zhǎng)期服務(wù)國(guó)有企業(yè)的實(shí)踐經(jīng)驗(yàn),在本文中對(duì)我國(guó)保密立法現(xiàn)狀、保密管控要求、國(guó)有企業(yè)保密管理的現(xiàn)狀、風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略進(jìn)行了專項(xiàng)研究,希望對(duì)國(guó)企保密合規(guī)管理工作有所幫助。
國(guó)家在保密管理立法梳理及重點(diǎn)解讀
我國(guó)關(guān)于保密管理的立法主要為《中華人民共和國(guó)保守國(guó)家秘密法》和《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施條例》,部分管理規(guī)定散落在其他法律法規(guī)和規(guī)范性文件當(dāng)中。
一、《中華人民共和國(guó)保守國(guó)家秘密法》
《中華人民共和國(guó)保守國(guó)家秘密法》(以下簡(jiǎn)稱《保密法》)共六章五十三條,包括立法宗旨,國(guó)家秘密的定義,保密工作的方針,保密工作的管理體制,國(guó)家秘密的范圍和密級(jí),保密制度,定密責(zé)任人,定密期限和權(quán)限,監(jiān)督管理,法律責(zé)任及附則。是我國(guó)國(guó)企保密制度主要引用的法律規(guī)范。2010年《保密法》修訂后,在以下方面加強(qiáng)了管理,國(guó)有企業(yè)應(yīng)重點(diǎn)關(guān)注。
(一)進(jìn)一步規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)保密管理
一是實(shí)行分級(jí)保護(hù),計(jì)算機(jī)信息系統(tǒng)要按照涉密程度不同,采取不同強(qiáng)度的管理措施。二是強(qiáng)化技術(shù)防護(hù),保密技術(shù)設(shè)施設(shè)備要按照國(guó)家標(biāo)準(zhǔn)配備,并與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行。三是明確列舉禁止事項(xiàng),如不得將涉密計(jì)算機(jī)和涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)等。四是明確網(wǎng)絡(luò)運(yùn)營(yíng)商、服務(wù)商的法律責(zé)任,主要是配合有關(guān)機(jī)關(guān)調(diào)查泄密事件,發(fā)現(xiàn)泄密事件要及時(shí)報(bào)告。
(二)對(duì)保密管理提出新思路
隨著市場(chǎng)經(jīng)濟(jì)發(fā)展,不可能完全禁止民營(yíng)企業(yè)、中介機(jī)構(gòu)等“體制外力量”參與涉密活動(dòng)、從事涉密業(yè)務(wù)。修訂后的保密法按照依法行政的要求,建立保密審查制度,對(duì)從事涉密載體制作、復(fù)制、維修、銷毀和武器裝備科研生產(chǎn)等業(yè)務(wù)的企事業(yè)單位實(shí)行依法管理。
(三)涉密人員管理體現(xiàn)責(zé)任與權(quán)益相適應(yīng)
修訂后的保密法,既確立了涉密人員分類管理、上崗培訓(xùn)、出境管理和脫密期管理等制度,又確立了涉密人員合法權(quán)益受法律保護(hù)的原則和相關(guān)的獎(jiǎng)勵(lì)制度,體現(xiàn)了對(duì)廣大涉密人員的關(guān)心愛護(hù)。
(四)責(zé)任追究的可操作性明顯增強(qiáng)
針對(duì)失泄密事件查處難問題,保密法修訂改“結(jié)果論”為“行為論”,規(guī)定不論是否產(chǎn)生泄密實(shí)際危害后果,只要發(fā)生列舉的12種嚴(yán)重違規(guī)行為之一,都將依法追究責(zé)任。同時(shí),還加大了處分監(jiān)督力度,對(duì)不依法給予處分的,保密部門應(yīng)當(dāng)提出糾正建議。
(五)保密工作責(zé)任制得到強(qiáng)化
較為突出的,一是對(duì)領(lǐng)導(dǎo)人員問責(zé),二是對(duì)保密部門問責(zé)。保密法規(guī)定實(shí)行保密工作責(zé)任制,對(duì)發(fā)生重大泄密案件或定密不當(dāng)?shù)膯挝恢苯迂?fù)責(zé)的主管人員,對(duì)不依法處分違規(guī)者的單位有關(guān)領(lǐng)導(dǎo)人員,要依法追究責(zé)任;對(duì)保密部門工作人員濫用職權(quán)、玩忽職守、徇私舞弊的,也要依法追究責(zé)任。
二、《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施條例》
《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施條例》(以下簡(jiǎn)稱《實(shí)施條例》)共六章四十五條,在加強(qiáng)保密管理方面作出新規(guī)定、提出新要求。國(guó)有企業(yè)應(yīng)關(guān)注的重點(diǎn)如下:
(一)在總則方面規(guī)定了保密工作責(zé)任制、保密工作裝備和經(jīng)費(fèi)保障,明確了保密單位開展保密宣傳教育的職責(zé)和義務(wù)。
(二)在定密制度方面明確了保密事項(xiàng)范圍的法律地位,細(xì)化了定密工作內(nèi)容和流程,規(guī)定了定密責(zé)任人及其具體職責(zé),細(xì)化了定密授權(quán)制度,對(duì)自行解密和審核解密作出進(jìn)一步規(guī)定。
(三)在保密制度方面細(xì)化了國(guó)家秘密載體保密管理制度,規(guī)定了涉密信息系統(tǒng)分級(jí)保護(hù)、投入使用審查、運(yùn)行使用管理,明確了從事涉密業(yè)務(wù)的企業(yè)事業(yè)單位應(yīng)當(dāng)具備的基本條件,對(duì)涉密人員管理立法作出授權(quán)性規(guī)定,對(duì)涉密采購(gòu)、涉密會(huì)議活動(dòng)提出明確保密管理措施。
(四)在監(jiān)督管理方面確立了保密工作情況報(bào)告制度,細(xì)化了保密檢查內(nèi)容,規(guī)范了保密檢查程序,規(guī)定了保密檢查可以采取的主要措施。
(五)在法律責(zé)任方面對(duì)單位隱瞞不報(bào)泄密事件和妨礙檢查,企業(yè)事業(yè)單位違規(guī)從事涉密業(yè)務(wù)、保密行政管理部門違規(guī)責(zé)任等作出了明確規(guī)定。
三、《國(guó)家秘密解密暫行辦法》
第15條:保密事項(xiàng)范圍明確規(guī)定保密期限為長(zhǎng)期的國(guó)家秘密,不得擅自解密。機(jī)關(guān)、單位經(jīng)審核認(rèn)為確需解密的,應(yīng)當(dāng)報(bào)規(guī)定該保密事項(xiàng)范圍的中央和國(guó)家機(jī)關(guān)批準(zhǔn)。
四、《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》
第9條:本法所稱的商業(yè)秘密,是指不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。
五、《中國(guó)共產(chǎn)黨紀(jì)律處分條例》
第128條:泄露、擴(kuò)散或者打探、竊取黨組織關(guān)于干部選拔任用、紀(jì)律審查、巡視巡察等尚未公開事項(xiàng)或者其他應(yīng)當(dāng)保密的內(nèi)容的,給予警告或者嚴(yán)重警告處分;情節(jié)較重的,給予撤銷黨內(nèi)職務(wù)或者留黨察看處分;情節(jié)嚴(yán)重的,給予開除黨籍處分。
六、《勞動(dòng)合同法》
第23條:用人單位與勞動(dòng)者可以在勞動(dòng)合同中約定保守用人單位的商業(yè)秘密和與知識(shí)產(chǎn)權(quán)相關(guān)的保密事項(xiàng)。
......
國(guó)企加強(qiáng)保密合規(guī)管理的必要性分析
一、防止保密信息被竊取或泄露
保密合規(guī)管理工作的目標(biāo)是企業(yè)以有效防控保密信息泄露為目的,以企業(yè)經(jīng)營(yíng)管理行為和員工履職行為為對(duì)象,配合企業(yè)合規(guī)管理而開展的全方位保密合規(guī)管理工作。保密合規(guī)管理體系并不是單一或散列的幾個(gè)制度或者是幾個(gè)人,保密合規(guī)管理體系更像是一張網(wǎng),全方位地保護(hù)企業(yè)的保密信息。保密合規(guī)管理體系的出發(fā)點(diǎn)和落腳點(diǎn)均為保護(hù)企業(yè)的保密信息不被竊取或泄露,在企業(yè)的保密信息與不應(yīng)知悉的主體之間建立一道防火墻。即使做不到密不透風(fēng),也能夠起到障礙重重、違法違規(guī)者風(fēng)險(xiǎn)重重,確保企業(yè)保密信息不會(huì)輕易被竊取或泄露。因此,企業(yè)應(yīng)當(dāng)聘請(qǐng)專業(yè)人員審查本單位現(xiàn)有的保密管理體系是否“合規(guī)”、是否完善、是否足以防范保密信息被竊取或泄露風(fēng)險(xiǎn)。
二、進(jìn)一步保守企業(yè)秘密,維護(hù)國(guó)有資產(chǎn)的安全
常見的涉及企業(yè)利益需要保密的信息包括:戰(zhàn)略規(guī)劃、管理方法、商業(yè)模式、并購(gòu)重組、產(chǎn)權(quán)交易、財(cái)務(wù)信息、投融資決策、產(chǎn)購(gòu)銷策略、資源儲(chǔ)備、客戶信息、招投標(biāo)事項(xiàng)等經(jīng)營(yíng)信息;設(shè)計(jì)、程序、產(chǎn)品配方、制作工藝、制作方法、技術(shù)訣竅等技術(shù)信息。前述各個(gè)領(lǐng)域、各個(gè)環(huán)節(jié)都不可避免會(huì)讓一定的業(yè)務(wù)人員涉及,但常會(huì)面臨業(yè)務(wù)人員因保密意識(shí)不強(qiáng)、通過信息獲利或者為了炫耀而將接觸到的企業(yè)涉密保密信息告訴他人。如招投標(biāo)中的泄密問題,企業(yè)一直面臨著工作人員出賣保密信息的情況,加強(qiáng)保密管理的重要作用就在于對(duì)泄密事件進(jìn)行預(yù)防,有效通過保密管理維護(hù)國(guó)有資產(chǎn)安全(具體防范措施見下文第六部分“元正盛業(yè)律師關(guān)于國(guó)企保密合規(guī)管理的實(shí)操建議”)。
三、降低國(guó)企領(lǐng)導(dǎo)的履職風(fēng)險(xiǎn)
目前,監(jiān)督國(guó)有企業(yè)領(lǐng)導(dǎo)的主體和國(guó)有企業(yè)領(lǐng)導(dǎo)應(yīng)遵守的法律、行政法規(guī)、部門規(guī)章、公司內(nèi)部制度較多,國(guó)家對(duì)于領(lǐng)導(dǎo)干部的監(jiān)管也越來越嚴(yán)。比如與保密有關(guān)的法律規(guī)定中,多數(shù)強(qiáng)調(diào)領(lǐng)導(dǎo)干部負(fù)有領(lǐng)導(dǎo)本單位保密工作的職責(zé),對(duì)本單位違反保密義務(wù)和發(fā)生的重大泄密事件,要承擔(dān)相應(yīng)的領(lǐng)導(dǎo)責(zé)任。做好企業(yè)的保密合規(guī)管理工作,一定程度上也是為了防范國(guó)企領(lǐng)導(dǎo)在保密工作方面的履職風(fēng)險(xiǎn)。
四、發(fā)生泄密事件有據(jù)可查、有章可循
有效的保密合規(guī)管理體系會(huì)明確保密工作責(zé)任人、保密責(zé)任清單、保密要害部門負(fù)責(zé)人及工作人員責(zé)任制等。通過明確相關(guān)人員保密工作職責(zé),并且將防泄密措施嵌入公司治理、管理、業(yè)務(wù)等環(huán)節(jié)進(jìn)行全方位布局,一旦發(fā)生泄密事件,可以快速地從人員、信息、傳播路徑、載體等方面進(jìn)行追查,在一定程度上起到有據(jù)可查的作用,并為下一步的處理和追責(zé)提供依據(jù)。
國(guó)企保密管理的現(xiàn)狀分析
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)對(duì)企業(yè)保密管理及現(xiàn)狀進(jìn)行專題研究,梳理出企業(yè)在保密管理的現(xiàn)狀和問題,與各位分享,以便國(guó)企在合規(guī)保密管理中引以為戒,有所警示。
一、企業(yè)領(lǐng)導(dǎo)及管理人員保密意識(shí)還需提升
部分國(guó)有企業(yè)領(lǐng)導(dǎo)和管理人員對(duì)保密管理工作重視程度不足,認(rèn)為企業(yè)涉及的信息上升不到保密管理層面,管理重點(diǎn)仍放在市場(chǎng)開拓等傳統(tǒng)生產(chǎn)經(jīng)營(yíng)管理方面,還未認(rèn)識(shí)到泄密的危害影響,甚至發(fā)生了泄密事件而不自知
二、保密管理所需的設(shè)備、技術(shù)等資源配備不足
保密管理需要投入必要的管理資源,如涉密計(jì)算機(jī)、防泄密的打印機(jī)、掃描儀、會(huì)議室電磁信號(hào)屏蔽機(jī)等設(shè)備,具備安全等級(jí)高、防泄密能力強(qiáng)的內(nèi)部管理系統(tǒng)和文件傳輸系統(tǒng),單獨(dú)的涉密辦公場(chǎng)所及涉密文檔保管場(chǎng)所等,而大多數(shù)企業(yè)在保密資源配備方面做的還不到位。
三、保密管理專業(yè)人員缺失
由于對(duì)保密管理的重視不足,大多企業(yè)沒有配備專業(yè)的保密管理人員,或是保密管理人員業(yè)務(wù)技術(shù)能力不合格,又缺少必要的學(xué)習(xí)和培訓(xùn),造成企業(yè)保密管理人才嚴(yán)重不足,在人員配備上不能滿足企業(yè)保密管理的需要。
四、保密管理與生產(chǎn)經(jīng)營(yíng)融合不夠
部分企業(yè)業(yè)務(wù)是業(yè)務(wù),保密是保密。沒有有效開展泄密風(fēng)險(xiǎn)識(shí)別,沒有將保密管理融入到具體的生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)當(dāng)中,造成業(yè)務(wù)管理人員不清楚自己崗位涉及的泄密風(fēng)險(xiǎn),也不知道怎么做才能有效防范泄密事件發(fā)生。
五、保密信息管理系統(tǒng)管理不規(guī)范
有的企業(yè)雖然配備了專業(yè)的管理信息系統(tǒng),對(duì)有效加強(qiáng)保密管理起到一定作用,但是在信息管理系統(tǒng)維護(hù)運(yùn)營(yíng)上重視不足,不能隨著企業(yè)經(jīng)營(yíng)的發(fā)展,將新業(yè)務(wù)、新業(yè)態(tài)、新管理流程及要求納入信息保密管理系統(tǒng),或者不能對(duì)信息管理保密系統(tǒng)及時(shí)進(jìn)行升級(jí),修補(bǔ)相關(guān)泄密漏洞,使在用信息系統(tǒng)存在保密安全隱患。
六、保密管理監(jiān)督檢查工作不到位
部分企業(yè)制定了相應(yīng)的保密制度,但忽視監(jiān)督檢查工作,有些企業(yè)審計(jì)、紀(jì)檢監(jiān)察等部門受監(jiān)督職責(zé)所限,要求保密管理部門對(duì)保密管理工作自行檢查或僅做形式檢查,這種自檢自查或不夠?qū)I(yè)的監(jiān)督檢查方式,很難保證保密管理的監(jiān)督檢查效果。
七、組織保密培訓(xùn)教育活動(dòng)較少
部分企業(yè)很少組織保密知識(shí)培訓(xùn),甚至未開展過保密知識(shí)培訓(xùn),更別說組織開展與保密管理有關(guān)的活動(dòng),在保密管理宣貫方面還需下大力氣加強(qiáng)工作效果。
國(guó)企保密管理風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略
元正盛業(yè)合規(guī)律師經(jīng)認(rèn)真研究,根據(jù)《保密法》等相關(guān)法律法規(guī)的明確規(guī)定,以及對(duì)保密管理實(shí)務(wù)研究,總結(jié)出國(guó)企在保密管理中需要關(guān)注的重要風(fēng)險(xiǎn),并提出相關(guān)應(yīng)對(duì)方案,具體如下:
一、涉密人員保密意識(shí)和能力不足風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:該風(fēng)險(xiǎn)通常體現(xiàn)在領(lǐng)導(dǎo)和管理人員對(duì)保密管理認(rèn)識(shí)不足、企業(yè)對(duì)保密教育不重視,最終導(dǎo)致企業(yè)上下保密意識(shí)不強(qiáng),欠缺相關(guān)的保密管理知識(shí);未全面識(shí)別企業(yè)泄密風(fēng)險(xiǎn),未制定有效管控措施;對(duì)保密管理隱患排查不徹底、制度執(zhí)行不落地、監(jiān)督檢查不到位;保密工作缺乏創(chuàng)新、缺乏協(xié)同配合,保密隊(duì)伍建設(shè)還須加強(qiáng)等。
2015年10月,保密檢查發(fā)現(xiàn),某國(guó)有企業(yè)集團(tuán)公司干部左某使用的非涉密計(jì)算機(jī)中存儲(chǔ)4份標(biāo)密文件。經(jīng)鑒定,4份文件均不屬于國(guó)家秘密,但屬于不應(yīng)公開的內(nèi)部資料。事件發(fā)生后,有關(guān)部門給予左某行政降級(jí)處分,扣除其半年績(jī)效獎(jiǎng)勵(lì),調(diào)離項(xiàng)目組且3年內(nèi)不得從事涉密工作,同時(shí)給予其黨內(nèi)警告處分。負(fù)有監(jiān)管責(zé)任的集團(tuán)公司保密辦主任葛某等4人向集團(tuán)公司保密委作出深刻檢查,并給予通報(bào)批評(píng)。
應(yīng)對(duì)策略:歸根結(jié)底,涉密載體的管理需要以人員為依托,所以需要國(guó)企切實(shí)做好人員管理工作,加強(qiáng)涉密載體管理人員的教育培訓(xùn)工作,使其能夠樹立起保密意識(shí)和責(zé)任意識(shí),認(rèn)真對(duì)待自己的工作,嚴(yán)格依照相關(guān)規(guī)范進(jìn)行涉密載體管理,盡可能減少人為因素引發(fā)的國(guó)家機(jī)密泄露問題。
二、涉密文件傳遞過程中的泄密風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:涉密文件傳遞過程風(fēng)險(xiǎn)控制存在一定難度。涉密文件傳遞過程中,包括單位內(nèi)部傳遞和單位對(duì)外提供,容易被文件持有人或其他人員復(fù)印、拍照,而此過程較難通過專人進(jìn)行監(jiān)控,增加了機(jī)密泄露的風(fēng)險(xiǎn)。
應(yīng)對(duì)策略:對(duì)于涉密載體的生產(chǎn)、傳遞、保存和使用,相關(guān)單位需要登記其保密等級(jí)、保密要點(diǎn)、保密期限等,依照實(shí)際需要將登記內(nèi)容告知參與人員,并做好必要的保密教育工作,確保相關(guān)人員能嚴(yán)格履行自身的保密義務(wù)。同時(shí),應(yīng)該盡可能依照最小化原則確定涉密載體的知悉范圍,盡量限定到個(gè)人。
如果需要復(fù)制文件,則應(yīng)指定復(fù)印機(jī)由專人操作,確保復(fù)制經(jīng)過審批登記。在文件傳遞環(huán)節(jié),必須嚴(yán)格依照相關(guān)制度要求做好保密和記錄工作,避免單純登記信封密級(jí)與編號(hào)的情況。使用的計(jì)算機(jī)設(shè)備和復(fù)印設(shè)備必須經(jīng)過全面系統(tǒng)的檢測(cè),定義為涉密設(shè)備,避免在非涉密設(shè)備上進(jìn)行涉密文件的各種操作。
員工向企業(yè)提出離職請(qǐng)求時(shí),企業(yè)應(yīng)當(dāng)將其使用的相關(guān)電腦、U盤、光盤、工作文件、圖紙、數(shù)據(jù)等相關(guān)材料進(jìn)行徹底、及時(shí)地交接,以防離職員工將載有企業(yè)商業(yè)秘密的資料帶出。
三、保密信息失竊風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:保密信息外泄一部分是涉密人員因故意或過失對(duì)外泄密,還有一部分是外部組織、企業(yè)或人員故意竊取企業(yè)機(jī)密造成的。在智能信息化產(chǎn)品普及的現(xiàn)代,竊密方式多種多樣,如使用竊聽技術(shù)竊取重要會(huì)議內(nèi)容,利用黑客技術(shù)查看重要郵件或竊取重要電子數(shù)據(jù),利用對(duì)智能設(shè)備維檢修之際獲取存儲(chǔ)部件信息等,給企業(yè)的保密工作帶來新的挑戰(zhàn),如果不加以注意和防范,極易留下保密漏洞和泄密隱患,甚至不經(jīng)意間泄密而不自知。
2017年4月,某單位綜合處處長(zhǎng)魏某為圖工作方便,違規(guī)安排工勤人員將1臺(tái)涉密計(jì)算機(jī)送外維修,致使維修人員將該計(jì)算機(jī)連接互聯(lián)網(wǎng),并在該機(jī)上交叉使用另個(gè)非涉密U盤,造成相關(guān)涉密文件失控。有關(guān)部門給予魏某黨內(nèi)警告處分。
應(yīng)對(duì)策略:企業(yè)要時(shí)刻保持警惕,切實(shí)采取相應(yīng)措施防范外部人員竊密風(fēng)險(xiǎn)。
一是謹(jǐn)慎選擇涉密場(chǎng)所智能設(shè)備供應(yīng)商。在機(jī)要室、文印室、保密檔案室、會(huì)議室等涉密場(chǎng)所和部位應(yīng)當(dāng)慎重安裝智能設(shè)備,對(duì)于必須安裝的,一定要對(duì)供應(yīng)商及其提供產(chǎn)品進(jìn)行嚴(yán)格審查,必要時(shí)交專業(yè)機(jī)構(gòu)進(jìn)行檢驗(yàn)。
二是對(duì)重大會(huì)議、涉密會(huì)議等事項(xiàng)做好會(huì)議前的保密技術(shù)檢查工作,在會(huì)議過程中可以使用電磁信號(hào)屏蔽設(shè)備,確保會(huì)議內(nèi)容不外泄。
三是嚴(yán)格管理智能設(shè)備的維修和報(bào)廢事項(xiàng)?,F(xiàn)代辦公經(jīng)常使用的打印機(jī)、復(fù)印機(jī)、智能電視、智能空調(diào)、智能冰箱等通常都具有存儲(chǔ)部件,因此,維修和報(bào)廢涉密場(chǎng)所使用的智能設(shè)備,應(yīng)當(dāng)按照維修和報(bào)廢涉密載體的規(guī)定,采取單位內(nèi)部維修、定點(diǎn)維修(需具有相關(guān)保密資質(zhì))的方式,統(tǒng)一維修、統(tǒng)一報(bào)廢銷毀,避免因隨意維修、出售、丟棄給外部竊密者有可乘之機(jī)。
四、信息系統(tǒng)泄密風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:信息系統(tǒng)講求的是互聯(lián)互通、遠(yuǎn)程訪問、資源共享,但這些也為攻擊者提供了實(shí)現(xiàn)攻擊的途徑。計(jì)算機(jī)信息系統(tǒng)操作系統(tǒng)程序量大,通信協(xié)議復(fù)雜,不可避免存在各種配置漏洞、操作系統(tǒng)漏洞、協(xié)議漏洞、后門、隱通道等,可被竊密者利用。
應(yīng)對(duì)策略:當(dāng)確有特殊情況需要使用涉密計(jì)算機(jī)、涉密信息系統(tǒng)時(shí),必須做好五點(diǎn):一是要嚴(yán)選供應(yīng)商,確保設(shè)備、系統(tǒng)來源安全可靠;二是必須采取只讀光盤和光驅(qū)的方式;三是使用時(shí)要嚴(yán)格與涉密網(wǎng)絡(luò)隔離;四是加強(qiáng)此類系統(tǒng)使用的監(jiān)管力度,增加審批和監(jiān)督環(huán)節(jié),對(duì)系統(tǒng)的介質(zhì)加強(qiáng)管理;五是定期對(duì)涉密信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,包括自評(píng)估、檢查評(píng)估與委托評(píng)估。
五、保密要害部門部位泄密風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:保密要害部門,是指機(jī)關(guān)、單位日常工作中產(chǎn)生、傳遞、使用和管理絕密級(jí)或較多機(jī)密級(jí)、秘密級(jí)國(guó)家秘密的內(nèi)設(shè)機(jī)構(gòu)。保密要害部位,是指機(jī)關(guān)、單位內(nèi)部集中制作、存儲(chǔ)、保管涉密載體的專門場(chǎng)所。保密要害部門、部位是保密管理重點(diǎn)、難點(diǎn)、風(fēng)險(xiǎn)多發(fā)點(diǎn)。涉密信息的產(chǎn)生、定密、存儲(chǔ)、傳遞、使用都與保密要害部門、部位息息相關(guān),任何一個(gè)環(huán)節(jié)都疏漏都可能引發(fā)泄密事件,需要企業(yè)高度關(guān)注、嚴(yán)加管理。
某涉密單位在保密自查時(shí)發(fā)現(xiàn),該單位工作人員王某因使用的涉密計(jì)算機(jī)出現(xiàn)故障,私自重裝操作系統(tǒng),且未及時(shí)請(qǐng)單位保密管理人員重裝訪問控制系統(tǒng),導(dǎo)致該涉密計(jì)算機(jī)技術(shù)防護(hù)能力明顯下降。事后,該單位給予王某行政警告處分,并進(jìn)行了嚴(yán)肅的批評(píng)教育。
應(yīng)對(duì)策略:切實(shí)加強(qiáng)保密要害部門部位重點(diǎn)涉密人員上崗、在崗、離崗的保密教育管理。無關(guān)人員不得隨意進(jìn)入保密要害部門部位,對(duì)要害部門部位要開展經(jīng)常性的保密檢查。
加強(qiáng)計(jì)算機(jī)系統(tǒng)的保密管理,明確區(qū)分涉密與非涉密計(jì)算機(jī),涉密計(jì)算機(jī)必須完全與互聯(lián)網(wǎng)、局域網(wǎng)和其他公共信息網(wǎng)絡(luò)物理隔離,并采取身份認(rèn)證、傳輸加密、配置防視頻泄密干擾器等保密防范措施。
離崗離職要嚴(yán)格審批,保密要害部門部位工作人員離開應(yīng)與原單位簽訂保密承諾書,并實(shí)行脫密期管理。企業(yè)可以結(jié)合自身實(shí)際情況,制定具體的脫密期管理制度,確定脫密期期限。一般情況下,核心涉密人員脫密期為2-3年;重要涉密人員脫密期為1-2年;一般涉密人員脫密期為6個(gè)月-1年。同時(shí)約定涉密員工離職需要交清涉密材料,在離職前必須將涉密材料全部交予接手人,防止涉密人員將企業(yè)機(jī)密帶出企業(yè)。
六、日常辦公泄密風(fēng)險(xiǎn)
經(jīng)對(duì)相關(guān)案件進(jìn)行梳理,日常辦公發(fā)生泄密常見情形有:?jiǎn)T工利用電子郵件、微信、微博、QQ等發(fā)送敏感信息,用移動(dòng)通信工具談?wù)摬灰斯_的事項(xiàng),涉密文件、資料不及時(shí)存入保險(xiǎn)柜,復(fù)印涉密文件不嚴(yán)格履行申請(qǐng)審批程序和未按原件管理等。
2017年10月,某單位辦公室副主任肖某,為向在外檢查工作的分管領(lǐng)導(dǎo)匯報(bào)工作,找到保密員趙某查閱文件,擅自用手機(jī)對(duì)1份機(jī)密級(jí)文件部分內(nèi)容進(jìn)行拍照,并用微信點(diǎn)對(duì)點(diǎn)方式發(fā)送給在外檢查工作的領(lǐng)導(dǎo)。案件發(fā)生后,有關(guān)部門撤銷肖某辦公室副主任職務(wù),并調(diào)離辦公室崗位;給予負(fù)責(zé)管理涉密文件的趙某行政警告處分;對(duì)負(fù)有領(lǐng)導(dǎo)責(zé)任或監(jiān)管責(zé)任的李某、秦某和邵某進(jìn)行誡勉談話,并責(zé)令作出書面檢查。
應(yīng)對(duì)策略:日常泄密事件頻發(fā),根源還是企業(yè)保密制度執(zhí)行不嚴(yán)、保密管理不到位,工作人員保密意識(shí)、保密常識(shí)欠缺等問題導(dǎo)致的。因此,最好的應(yīng)對(duì)措施就是加強(qiáng)保密教育培訓(xùn),規(guī)范公文處理流程,加強(qiáng)保密管理檢查,嚴(yán)肅處理泄密行為,不斷提高員工保密意識(shí),強(qiáng)化保密觀念,從而有效筑牢保密防線。
七、《保密法》規(guī)定的嚴(yán)重違法行為及對(duì)應(yīng)的風(fēng)險(xiǎn)點(diǎn)
(一)非法獲取、持有國(guó)家秘密載體的;
(二)買賣、轉(zhuǎn)送或者私自銷毀國(guó)家秘密載體的;
(三)通過普通郵政、快遞等無保密措施的渠道傳遞國(guó)家秘密載體的;
(四)郵寄、托運(yùn)國(guó)家秘密載體出境,或者未經(jīng)有關(guān)主管部門批準(zhǔn),攜帶、傳遞國(guó)家秘密載體出境的;
(五)非法復(fù)制、記錄、存儲(chǔ)國(guó)家秘密的;
(六)在私人交往和通信中涉及國(guó)家秘密的;
(七)在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國(guó)家秘密的;
(八)將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的;
(九)在未采取防護(hù)措施的情況下,在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的;
(十)使用非涉密計(jì)算機(jī)、非涉密存儲(chǔ)設(shè)備存儲(chǔ)、處理國(guó)家秘密信息的;
(十一)擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的;
(十二)將未經(jīng)安全技術(shù)處理的退出使用的涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備贈(zèng)送、出售、丟棄或者改作其他用途的。
上述法律明確列舉的風(fēng)險(xiǎn)點(diǎn),國(guó)企業(yè)需要高度關(guān)注,具體應(yīng)對(duì)方案在上文中均由涉及,不再另行贅述。
元正盛業(yè)律師關(guān)于國(guó)企保密合規(guī)管理的
實(shí)操建議
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)認(rèn)為,國(guó)企保密合規(guī)管理應(yīng)當(dāng)以依法規(guī)范、企業(yè)負(fù)責(zé)、預(yù)防為主、突出重點(diǎn)、便利工作、保障安全為方針。律師團(tuán)隊(duì)結(jié)合為國(guó)企提供保密合規(guī)服務(wù)的經(jīng)驗(yàn),具體建議如下:
一、建立健全保密合規(guī)管理體系及制度體系
針對(duì)保密事宜設(shè)立專門機(jī)構(gòu),專門機(jī)構(gòu)崗位由對(duì)企業(yè)忠誠(chéng)度、責(zé)任意識(shí)強(qiáng)的人員擔(dān)任。國(guó)有企業(yè)應(yīng)當(dāng)配備與經(jīng)營(yíng)規(guī)模、業(yè)務(wù)范圍、風(fēng)險(xiǎn)水平相適應(yīng)的專職保密管理人員,加強(qiáng)業(yè)務(wù)培訓(xùn),提升專業(yè)化水平。建立健全保密合規(guī)管理制度,包括但不限于公司的保密信息界定制度、保密信息定級(jí)制度、相關(guān)崗位的保密行為規(guī)范等,并在公司內(nèi)部依法公開公示,由全體人員知悉遵守。
二、將保密要求嵌入經(jīng)營(yíng)管理環(huán)節(jié)
保密合規(guī)管理制度建立后,要對(duì)保密具體措施予以梳理,通過將保密規(guī)定嵌入企業(yè)經(jīng)營(yíng)管理程序設(shè)計(jì)與整體布局當(dāng)中,以確保落實(shí)到位。按期召開保密工作會(huì)議,傳達(dá)學(xué)習(xí)保密最新工作部署和會(huì)議精神,研究解決保密工作中存在的重點(diǎn)、難點(diǎn)問題。定期組織簽訂《保密工作責(zé)任書》和《涉密人員保證書》,強(qiáng)化保密工作與業(yè)務(wù)工作實(shí)質(zhì)性融合。
三、嚴(yán)格做好企業(yè)定密、解密、劃定失密泄密風(fēng)險(xiǎn)等級(jí)
企業(yè)保密工作開展的前提,需要做好定密、解密條件設(shè)置、保密管理等有關(guān)基礎(chǔ)工作,再結(jié)合部門崗位職責(zé)和涉密事項(xiàng),編制《密級(jí)事項(xiàng)風(fēng)險(xiǎn)定性表》,將各類涉密事項(xiàng)細(xì)分到各業(yè)務(wù)部門及基層單位,并細(xì)化到部門內(nèi)部關(guān)鍵崗位人員,以便企業(yè)做到保密工作有制度可依,企業(yè)保密工作能正常開展。
四、實(shí)行單位保密積分評(píng)價(jià)機(jī)制
根據(jù)保密重點(diǎn)工作任務(wù),制定保密管理重點(diǎn)考核內(nèi)容,分類量化設(shè)計(jì)保密積分考核標(biāo)準(zhǔn),明確保密重點(diǎn)考核和“一票否決”事項(xiàng),編制形成《公司保密工作量化積分考核表》,按照季度評(píng)價(jià)、年度考核方式開展保密工作測(cè)評(píng),量化評(píng)價(jià)各單位保密責(zé)任落實(shí)情況。
五、做好內(nèi)部保密的同時(shí),加強(qiáng)外部保密管理工作
保密協(xié)議或保密條款既適用于內(nèi)部員工也適用于外部合作或交易主體。員工辦理入職時(shí)簽訂保密協(xié)議,同時(shí)對(duì)公司保密制度進(jìn)行學(xué)習(xí)。對(duì)于外部合作或交易主體而言,應(yīng)該在合作之前明確告知保密義務(wù)、保密范圍,或者是在正式合同之中,簽訂有關(guān)的保密協(xié)議或約定保密條款,確保企業(yè)保密工作無死角、達(dá)到保密閉環(huán)式嚴(yán)格管理要求。
六、加強(qiáng)保密宣傳培訓(xùn)教育,做好保密文化建設(shè)
企業(yè)健全保密合規(guī)管理體系,促進(jìn)保密機(jī)制和中心工作長(zhǎng)效融合后,需持續(xù)開展保密培訓(xùn)宣傳教育活動(dòng),保密宣貫和培訓(xùn)工作既要措施得力,又要覆蓋全面。通過專業(yè)系統(tǒng)的保密管理技能培訓(xùn)、保密法律培訓(xùn)、保密合規(guī)管理培訓(xùn)、職業(yè)道德培訓(xùn)等,讓企業(yè)有具備與保密管理工作要求相匹配的專業(yè)人員。在保密人員解決的同時(shí),還需關(guān)注保密文化建設(shè)工作。
一方面,企業(yè)應(yīng)在各管理層級(jí)、各業(yè)務(wù)領(lǐng)域通過組織培訓(xùn)、競(jìng)賽、案例分享、辦公場(chǎng)所張貼保密宣傳圖冊(cè),開展普法活動(dòng)、宣講活動(dòng)、征文活動(dòng)等方式,在企業(yè)內(nèi)部營(yíng)造保密文化建設(shè)氛圍;
另一方面,企業(yè)保密委員會(huì)、保密辦等相關(guān)部門應(yīng)定期開展保密檢查,并將檢查結(jié)果納入月度、季度、年度績(jī)效考核,以此穿透保密主體責(zé)任、強(qiáng)化保密意識(shí),實(shí)現(xiàn)保密工作的閉環(huán)反饋。保密宣貫與生產(chǎn)經(jīng)營(yíng)的融合交匯,從源頭提升全體員工的保密素養(yǎng)與行動(dòng)自覺,為培育企業(yè)特色保密文化夯實(shí)了制度機(jī)制和行為理念的雙重基礎(chǔ)。
律師在國(guó)企保密合規(guī)管理的
作用和價(jià)值分析
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)長(zhǎng)期為大中型國(guó)企提供法律顧問及各類專項(xiàng)法律服務(wù),有豐富的國(guó)企合規(guī)管理實(shí)務(wù)經(jīng)驗(yàn),以及保密合規(guī)管理專項(xiàng)服務(wù)經(jīng)驗(yàn)。律師團(tuán)隊(duì)在國(guó)企保密合規(guī)管理事務(wù)中,可以提供如下具體法律服務(wù)事項(xiàng):
一、幫助企業(yè)建立健全保密合規(guī)管理體系和制度體系,根據(jù)企業(yè)具體情況和需求,完善企業(yè)的涉密管理工作制度和工作流程,將保密審查規(guī)定嵌入企業(yè)經(jīng)營(yíng)管理活動(dòng);
二、梳理保密合規(guī)義務(wù),排查和評(píng)估企業(yè)涉密風(fēng)險(xiǎn),并形成保密清單;
三、審核和修改企業(yè)涉密相關(guān)合同、條款及相關(guān)法律文件;
四、做好涉密泄露的維權(quán)準(zhǔn)備工作,包括事實(shí)調(diào)查與分析,配合發(fā)送律師函,幫助取證,為后期訴訟維權(quán)奠定基礎(chǔ);
五、開展保密管理相關(guān)的合規(guī)培訓(xùn)、宣貫企業(yè)保密管理制度等。
以上是元正盛業(yè)律師合規(guī)團(tuán)隊(duì)針對(duì)國(guó)企保密合規(guī)管理做出的研究和實(shí)務(wù)建議,希望能助力國(guó)企依法規(guī)范保密管理工作、保障企業(yè)信息安全。