保密工作關(guān)系到國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定。黨中央高度重視保密工作，強(qiáng)調(diào)以服務(wù)大局、推動(dòng)保密工作高質(zhì)量發(fā)展為導(dǎo)向，筑牢安全保密防線。保密就是就是保安全、保發(fā)展。

國(guó)有企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的重要支柱，行業(yè)涉及國(guó)計(jì)民生重要產(chǎn)業(yè)，所以在保密管理上，面臨保護(hù)國(guó)家秘密和企業(yè)商業(yè)秘密的雙重任務(wù)。因此，國(guó)企需要更加清醒地認(rèn)識(shí)保密工作的重要意義，準(zhǔn)確把握保密工作的新任務(wù)、新要求，更好地統(tǒng)籌安全和發(fā)展，確保國(guó)家安全和利益在哪里，保密工作就跟進(jìn)到哪里。

保密的立法和執(zhí)法作為我國(guó)建立法治國(guó)家、依法治國(guó)的一個(gè)側(cè)面，是依法治國(guó)的重要組成部分，保密管理是國(guó)有企業(yè)經(jīng)營(yíng)管理不可或缺的環(huán)節(jié)。尤其在《中央企業(yè)合規(guī)管理辦法》頒布后，如何切實(shí)有效做好保密合規(guī)管理工作，成為國(guó)有企業(yè)應(yīng)高度關(guān)注的重點(diǎn)工作之一。

元正盛業(yè)合規(guī)律師團(tuán)隊(duì)基于長(zhǎng)期服務(wù)國(guó)有企業(yè)的實(shí)踐經(jīng)驗(yàn)，在本文中對(duì)我國(guó)保密立法現(xiàn)狀、保密管控要求、國(guó)有企業(yè)保密管理的現(xiàn)狀、風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略進(jìn)行了專項(xiàng)研究，希望對(duì)國(guó)企保密合規(guī)管理工作有所幫助。

《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施條例》（以下簡(jiǎn)稱《實(shí)施條例》）共六章四十五條，在加強(qiáng)保密管理方面作出新規(guī)定、提出新要求。國(guó)有企業(yè)應(yīng)關(guān)注的重點(diǎn)如下：

（一）在總則方面規(guī)定了保密工作責(zé)任制、保密工作裝備和經(jīng)費(fèi)保障，明確了保密單位開展保密宣傳教育的職責(zé)和義務(wù)。

（二）在定密制度方面明確了保密事項(xiàng)范圍的法律地位，細(xì)化了定密工作內(nèi)容和流程，規(guī)定了定密責(zé)任人及其具體職責(zé)，細(xì)化了定密授權(quán)制度，對(duì)自行解密和審核解密作出進(jìn)一步規(guī)定。

（三）在保密制度方面細(xì)化了國(guó)家秘密載體保密管理制度，規(guī)定了涉密信息系統(tǒng)分級(jí)保護(hù)、投入使用審查、運(yùn)行使用管理，明確了從事涉密業(yè)務(wù)的企業(yè)事業(yè)單位應(yīng)當(dāng)具備的基本條件，對(duì)涉密人員管理立法作出授權(quán)性規(guī)定，對(duì)涉密采購(gòu)、涉密會(huì)議活動(dòng)提出明確保密管理措施。

（四）在監(jiān)督管理方面確立了保密工作情況報(bào)告制度，細(xì)化了保密檢查內(nèi)容，規(guī)范了保密檢查程序，規(guī)定了保密檢查可以采取的主要措施。

（五）在法律責(zé)任方面對(duì)單位隱瞞不報(bào)泄密事件和妨礙檢查，企業(yè)事業(yè)單位違規(guī)從事涉密業(yè)務(wù)、保密行政管理部門違規(guī)責(zé)任等作出了明確規(guī)定。

第23條：用人單位與勞動(dòng)者可以在勞動(dòng)合同中約定保守用人單位的商業(yè)秘密和與知識(shí)產(chǎn)權(quán)相關(guān)的保密事項(xiàng)。

......

風(fēng)險(xiǎn)分析：該風(fēng)險(xiǎn)通常體現(xiàn)在領(lǐng)導(dǎo)和管理人員對(duì)保密管理認(rèn)識(shí)不足、企業(yè)對(duì)保密教育不重視，最終導(dǎo)致企業(yè)上下保密意識(shí)不強(qiáng)，欠缺相關(guān)的保密管理知識(shí)；未全面識(shí)別企業(yè)泄密風(fēng)險(xiǎn)，未制定有效管控措施；對(duì)保密管理隱患排查不徹底、制度執(zhí)行不落地、監(jiān)督檢查不到位；保密工作缺乏創(chuàng)新、缺乏協(xié)同配合，保密隊(duì)伍建設(shè)還須加強(qiáng)等。

2015年10月，保密檢查發(fā)現(xiàn)，某國(guó)有企業(yè)集團(tuán)公司干部左某使用的非涉密計(jì)算機(jī)中存儲(chǔ)4份標(biāo)密文件。經(jīng)鑒定，4份文件均不屬于國(guó)家秘密，但屬于不應(yīng)公開的內(nèi)部資料。事件發(fā)生后，有關(guān)部門給予左某行政降級(jí)處分，扣除其半年績(jī)效獎(jiǎng)勵(lì)，調(diào)離項(xiàng)目組且3年內(nèi)不得從事涉密工作，同時(shí)給予其黨內(nèi)警告處分。負(fù)有監(jiān)管責(zé)任的集團(tuán)公司保密辦主任葛某等4人向集團(tuán)公司保密委作出深刻檢查，并給予通報(bào)批評(píng)。

應(yīng)對(duì)策略：歸根結(jié)底，涉密載體的管理需要以人員為依托，所以需要國(guó)企切實(shí)做好人員管理工作，加強(qiáng)涉密載體管理人員的教育培訓(xùn)工作，使其能夠樹立起保密意識(shí)和責(zé)任意識(shí)，認(rèn)真對(duì)待自己的工作，嚴(yán)格依照相關(guān)規(guī)范進(jìn)行涉密載體管理，盡可能減少人為因素引發(fā)的國(guó)家機(jī)密泄露問題。

風(fēng)險(xiǎn)分析：涉密文件傳遞過程風(fēng)險(xiǎn)控制存在一定難度。涉密文件傳遞過程中，包括單位內(nèi)部傳遞和單位對(duì)外提供，容易被文件持有人或其他人員復(fù)印、拍照，而此過程較難通過專人進(jìn)行監(jiān)控，增加了機(jī)密泄露的風(fēng)險(xiǎn)。

應(yīng)對(duì)策略：對(duì)于涉密載體的生產(chǎn)、傳遞、保存和使用，相關(guān)單位需要登記其保密等級(jí)、保密要點(diǎn)、保密期限等，依照實(shí)際需要將登記內(nèi)容告知參與人員，并做好必要的保密教育工作，確保相關(guān)人員能嚴(yán)格履行自身的保密義務(wù)。同時(shí)，應(yīng)該盡可能依照最小化原則確定涉密載體的知悉范圍，盡量限定到個(gè)人。

如果需要復(fù)制文件，則應(yīng)指定復(fù)印機(jī)由專人操作，確保復(fù)制經(jīng)過審批登記。在文件傳遞環(huán)節(jié)，必須嚴(yán)格依照相關(guān)制度要求做好保密和記錄工作，避免單純登記信封密級(jí)與編號(hào)的情況。使用的計(jì)算機(jī)設(shè)備和復(fù)印設(shè)備必須經(jīng)過全面系統(tǒng)的檢測(cè)，定義為涉密設(shè)備，避免在非涉密設(shè)備上進(jìn)行涉密文件的各種操作。

員工向企業(yè)提出離職請(qǐng)求時(shí)，企業(yè)應(yīng)當(dāng)將其使用的相關(guān)電腦、U盤、光盤、工作文件、圖紙、數(shù)據(jù)等相關(guān)材料進(jìn)行徹底、及時(shí)地交接，以防離職員工將載有企業(yè)商業(yè)秘密的資料帶出。

風(fēng)險(xiǎn)分析：保密信息外泄一部分是涉密人員因故意或過失對(duì)外泄密，還有一部分是外部組織、企業(yè)或人員故意竊取企業(yè)機(jī)密造成的。在智能信息化產(chǎn)品普及的現(xiàn)代，竊密方式多種多樣，如使用竊聽技術(shù)竊取重要會(huì)議內(nèi)容，利用黑客技術(shù)查看重要郵件或竊取重要電子數(shù)據(jù)，利用對(duì)智能設(shè)備維檢修之際獲取存儲(chǔ)部件信息等，給企業(yè)的保密工作帶來新的挑戰(zhàn)，如果不加以注意和防范，極易留下保密漏洞和泄密隱患，甚至不經(jīng)意間泄密而不自知。

2017年4月，某單位綜合處處長(zhǎng)魏某為圖工作方便，違規(guī)安排工勤人員將1臺(tái)涉密計(jì)算機(jī)送外維修，致使維修人員將該計(jì)算機(jī)連接互聯(lián)網(wǎng)，并在該機(jī)上交叉使用另個(gè)非涉密U盤，造成相關(guān)涉密文件失控。有關(guān)部門給予魏某黨內(nèi)警告處分。

應(yīng)對(duì)策略：企業(yè)要時(shí)刻保持警惕，切實(shí)采取相應(yīng)措施防范外部人員竊密風(fēng)險(xiǎn)。

一是謹(jǐn)慎選擇涉密場(chǎng)所智能設(shè)備供應(yīng)商。在機(jī)要室、文印室、保密檔案室、會(huì)議室等涉密場(chǎng)所和部位應(yīng)當(dāng)慎重安裝智能設(shè)備，對(duì)于必須安裝的，一定要對(duì)供應(yīng)商及其提供產(chǎn)品進(jìn)行嚴(yán)格審查，必要時(shí)交專業(yè)機(jī)構(gòu)進(jìn)行檢驗(yàn)。

二是對(duì)重大會(huì)議、涉密會(huì)議等事項(xiàng)做好會(huì)議前的保密技術(shù)檢查工作，在會(huì)議過程中可以使用電磁信號(hào)屏蔽設(shè)備，確保會(huì)議內(nèi)容不外泄。

三是嚴(yán)格管理智能設(shè)備的維修和報(bào)廢事項(xiàng)?，F(xiàn)代辦公經(jīng)常使用的打印機(jī)、復(fù)印機(jī)、智能電視、智能空調(diào)、智能冰箱等通常都具有存儲(chǔ)部件，因此，維修和報(bào)廢涉密場(chǎng)所使用的智能設(shè)備，應(yīng)當(dāng)按照維修和報(bào)廢涉密載體的規(guī)定，采取單位內(nèi)部維修、定點(diǎn)維修（需具有相關(guān)保密資質(zhì)）的方式，統(tǒng)一維修、統(tǒng)一報(bào)廢銷毀，避免因隨意維修、出售、丟棄給外部竊密者有可乘之機(jī)。

風(fēng)險(xiǎn)分析：信息系統(tǒng)講求的是互聯(lián)互通、遠(yuǎn)程訪問、資源共享，但這些也為攻擊者提供了實(shí)現(xiàn)攻擊的途徑。計(jì)算機(jī)信息系統(tǒng)操作系統(tǒng)程序量大，通信協(xié)議復(fù)雜，不可避免存在各種配置漏洞、操作系統(tǒng)漏洞、協(xié)議漏洞、后門、隱通道等，可被竊密者利用。

應(yīng)對(duì)策略：當(dāng)確有特殊情況需要使用涉密計(jì)算機(jī)、涉密信息系統(tǒng)時(shí)，必須做好五點(diǎn)：一是要嚴(yán)選供應(yīng)商，確保設(shè)備、系統(tǒng)來源安全可靠；二是必須采取只讀光盤和光驅(qū)的方式；三是使用時(shí)要嚴(yán)格與涉密網(wǎng)絡(luò)隔離；四是加強(qiáng)此類系統(tǒng)使用的監(jiān)管力度，增加審批和監(jiān)督環(huán)節(jié)，對(duì)系統(tǒng)的介質(zhì)加強(qiáng)管理；五是定期對(duì)涉密信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，包括自評(píng)估、檢查評(píng)估與委托評(píng)估。

風(fēng)險(xiǎn)分析：保密要害部門，是指機(jī)關(guān)、單位日常工作中產(chǎn)生、傳遞、使用和管理絕密級(jí)或較多機(jī)密級(jí)、秘密級(jí)國(guó)家秘密的內(nèi)設(shè)機(jī)構(gòu)。保密要害部位，是指機(jī)關(guān)、單位內(nèi)部集中制作、存儲(chǔ)、保管涉密載體的專門場(chǎng)所。保密要害部門、部位是保密管理重點(diǎn)、難點(diǎn)、風(fēng)險(xiǎn)多發(fā)點(diǎn)。涉密信息的產(chǎn)生、定密、存儲(chǔ)、傳遞、使用都與保密要害部門、部位息息相關(guān)，任何一個(gè)環(huán)節(jié)都疏漏都可能引發(fā)泄密事件，需要企業(yè)高度關(guān)注、嚴(yán)加管理。

某涉密單位在保密自查時(shí)發(fā)現(xiàn)，該單位工作人員王某因使用的涉密計(jì)算機(jī)出現(xiàn)故障，私自重裝操作系統(tǒng)，且未及時(shí)請(qǐng)單位保密管理人員重裝訪問控制系統(tǒng)，導(dǎo)致該涉密計(jì)算機(jī)技術(shù)防護(hù)能力明顯下降。事后，該單位給予王某行政警告處分，并進(jìn)行了嚴(yán)肅的批評(píng)教育。

應(yīng)對(duì)策略：切實(shí)加強(qiáng)保密要害部門部位重點(diǎn)涉密人員上崗、在崗、離崗的保密教育管理。無關(guān)人員不得隨意進(jìn)入保密要害部門部位，對(duì)要害部門部位要開展經(jīng)常性的保密檢查。

加強(qiáng)計(jì)算機(jī)系統(tǒng)的保密管理，明確區(qū)分涉密與非涉密計(jì)算機(jī)，涉密計(jì)算機(jī)必須完全與互聯(lián)網(wǎng)、局域網(wǎng)和其他公共信息網(wǎng)絡(luò)物理隔離，并采取身份認(rèn)證、傳輸加密、配置防視頻泄密干擾器等保密防范措施。

離崗離職要嚴(yán)格審批，保密要害部門部位工作人員離開應(yīng)與原單位簽訂保密承諾書，并實(shí)行脫密期管理。企業(yè)可以結(jié)合自身實(shí)際情況，制定具體的脫密期管理制度，確定脫密期期限。一般情況下，核心涉密人員脫密期為2-3年；重要涉密人員脫密期為1-2年；一般涉密人員脫密期為6個(gè)月-1年。同時(shí)約定涉密員工離職需要交清涉密材料，在離職前必須將涉密材料全部交予接手人，防止涉密人員將企業(yè)機(jī)密帶出企業(yè)。

經(jīng)對(duì)相關(guān)案件進(jìn)行梳理，日常辦公發(fā)生泄密常見情形有：?jiǎn)T工利用電子郵件、微信、微博、QQ等發(fā)送敏感信息，用移動(dòng)通信工具談?wù)摬灰斯_的事項(xiàng)，涉密文件、資料不及時(shí)存入保險(xiǎn)柜，復(fù)印涉密文件不嚴(yán)格履行申請(qǐng)審批程序和未按原件管理等。

2017年10月，某單位辦公室副主任肖某，為向在外檢查工作的分管領(lǐng)導(dǎo)匯報(bào)工作，找到保密員趙某查閱文件，擅自用手機(jī)對(duì)1份機(jī)密級(jí)文件部分內(nèi)容進(jìn)行拍照，并用微信點(diǎn)對(duì)點(diǎn)方式發(fā)送給在外檢查工作的領(lǐng)導(dǎo)。案件發(fā)生后，有關(guān)部門撤銷肖某辦公室副主任職務(wù)，并調(diào)離辦公室崗位；給予負(fù)責(zé)管理涉密文件的趙某行政警告處分；對(duì)負(fù)有領(lǐng)導(dǎo)責(zé)任或監(jiān)管責(zé)任的李某、秦某和邵某進(jìn)行誡勉談話，并責(zé)令作出書面檢查。

應(yīng)對(duì)策略：日常泄密事件頻發(fā)，根源還是企業(yè)保密制度執(zhí)行不嚴(yán)、保密管理不到位，工作人員保密意識(shí)、保密常識(shí)欠缺等問題導(dǎo)致的。因此，最好的應(yīng)對(duì)措施就是加強(qiáng)保密教育培訓(xùn)，規(guī)范公文處理流程，加強(qiáng)保密管理檢查，嚴(yán)肅處理泄密行為，不斷提高員工保密意識(shí)，強(qiáng)化保密觀念，從而有效筑牢保密防線。

（一）非法獲取、持有國(guó)家秘密載體的；

（二）買賣、轉(zhuǎn)送或者私自銷毀國(guó)家秘密載體的；

（三）通過普通郵政、快遞等無保密措施的渠道傳遞國(guó)家秘密載體的；

（四）郵寄、托運(yùn)國(guó)家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國(guó)家秘密載體出境的；

（五）非法復(fù)制、記錄、存儲(chǔ)國(guó)家秘密的；

（六）在私人交往和通信中涉及國(guó)家秘密的；

（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國(guó)家秘密的；

（八）將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；

（九）在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的；

（十）使用非涉密計(jì)算機(jī)、非涉密存儲(chǔ)設(shè)備存儲(chǔ)、處理國(guó)家秘密信息的；

（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；

（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備贈(zèng)送、出售、丟棄或者改作其他用途的。

上述法律明確列舉的風(fēng)險(xiǎn)點(diǎn)，國(guó)企業(yè)需要高度關(guān)注，具體應(yīng)對(duì)方案在上文中均由涉及，不再另行贅述。

企業(yè)健全保密合規(guī)管理體系，促進(jìn)保密機(jī)制和中心工作長(zhǎng)效融合后，需持續(xù)開展保密培訓(xùn)宣傳教育活動(dòng)，保密宣貫和培訓(xùn)工作既要措施得力，又要覆蓋全面。通過專業(yè)系統(tǒng)的保密管理技能培訓(xùn)、保密法律培訓(xùn)、保密合規(guī)管理培訓(xùn)、職業(yè)道德培訓(xùn)等，讓企業(yè)有具備與保密管理工作要求相匹配的專業(yè)人員。在保密人員解決的同時(shí)，還需關(guān)注保密文化建設(shè)工作。

一方面，企業(yè)應(yīng)在各管理層級(jí)、各業(yè)務(wù)領(lǐng)域通過組織培訓(xùn)、競(jìng)賽、案例分享、辦公場(chǎng)所張貼保密宣傳圖冊(cè)，開展普法活動(dòng)、宣講活動(dòng)、征文活動(dòng)等方式，在企業(yè)內(nèi)部營(yíng)造保密文化建設(shè)氛圍；

另一方面，企業(yè)保密委員會(huì)、保密辦等相關(guān)部門應(yīng)定期開展保密檢查，并將檢查結(jié)果納入月度、季度、年度績(jī)效考核，以此穿透保密主體責(zé)任、強(qiáng)化保密意識(shí)，實(shí)現(xiàn)保密工作的閉環(huán)反饋。保密宣貫與生產(chǎn)經(jīng)營(yíng)的融合交匯，從源頭提升全體員工的保密素養(yǎng)與行動(dòng)自覺，為培育企業(yè)特色保密文化夯實(shí)了制度機(jī)制和行為理念的雙重基礎(chǔ)。

元正盛業(yè)合規(guī)律師團(tuán)隊(duì)長(zhǎng)期為大中型國(guó)企提供法律顧問及各類專項(xiàng)法律服務(wù)，有豐富的國(guó)企合規(guī)管理實(shí)務(wù)經(jīng)驗(yàn)，以及保密合規(guī)管理專項(xiàng)服務(wù)經(jīng)驗(yàn)。律師團(tuán)隊(duì)在國(guó)企保密合規(guī)管理事務(wù)中，可以提供如下具體法律服務(wù)事項(xiàng)：

一、幫助企業(yè)建立健全保密合規(guī)管理體系和制度體系，根據(jù)企業(yè)具體情況和需求，完善企業(yè)的涉密管理工作制度和工作流程，將保密審查規(guī)定嵌入企業(yè)經(jīng)營(yíng)管理活動(dòng)；

二、梳理保密合規(guī)義務(wù)，排查和評(píng)估企業(yè)涉密風(fēng)險(xiǎn)，并形成保密清單；

三、審核和修改企業(yè)涉密相關(guān)合同、條款及相關(guān)法律文件；

四、做好涉密泄露的維權(quán)準(zhǔn)備工作，包括事實(shí)調(diào)查與分析，配合發(fā)送律師函，幫助取證，為后期訴訟維權(quán)奠定基礎(chǔ)；

五、開展保密管理相關(guān)的合規(guī)培訓(xùn)、宣貫企業(yè)保密管理制度等。