國(guó)企保密合規(guī)管理實(shí)務(wù)研究
國(guó)企合規(guī)系列專業(yè)文章第二十一篇
一��、國(guó)家保密管理立法梳理及重點(diǎn)解讀
二�、國(guó)企加強(qiáng)保密合規(guī)管理的必要性分析
三、國(guó)企保密管理現(xiàn)狀分析
四����、國(guó)企保密管理風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略
五、元正盛業(yè)律師關(guān)于國(guó)企保密合規(guī)管理的實(shí)操建議
六�����、律師在國(guó)企保密合規(guī)管理的作用和價(jià)值分析
保密工作關(guān)系到國(guó)家安全�、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定。黨中央高度重視保密工作�����,強(qiáng)調(diào)以服務(wù)大局��、推動(dòng)保密工作高質(zhì)量發(fā)展為導(dǎo)向��,筑牢安全保密防線�。保密就是就是保安全、保發(fā)展�。
國(guó)有企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的重要支柱����,行業(yè)涉及國(guó)計(jì)民生重要產(chǎn)業(yè)�����,所以在保密管理上���,面臨保護(hù)國(guó)家秘密和企業(yè)商業(yè)秘密的雙重任務(wù)�����。因此����,國(guó)企需要更加清醒地認(rèn)識(shí)保密工作的重要意義�����,準(zhǔn)確把握保密工作的新任務(wù)�、新要求����,更好地統(tǒng)籌安全和發(fā)展����,確保國(guó)家安全和利益在哪里�����,保密工作就跟進(jìn)到哪里����。
保密的立法和執(zhí)法作為我國(guó)建立法治國(guó)家、依法治國(guó)的一個(gè)側(cè)面�,是依法治國(guó)的重要組成部分,保密管理是國(guó)有企業(yè)經(jīng)營(yíng)管理不可或缺的環(huán)節(jié)�����。尤其在《中央企業(yè)合規(guī)管理辦法》頒布后����,如何切實(shí)有效做好保密合規(guī)管理工作,成為國(guó)有企業(yè)應(yīng)高度關(guān)注的重點(diǎn)工作之一���。
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)基于長(zhǎng)期服務(wù)國(guó)有企業(yè)的實(shí)踐經(jīng)驗(yàn)�����,在本文中對(duì)我國(guó)保密立法現(xiàn)狀��、保密管控要求�����、國(guó)有企業(yè)保密管理的現(xiàn)狀�����、風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略進(jìn)行了專項(xiàng)研究���,希望對(duì)國(guó)企保密合規(guī)管理工作有所幫助���。
國(guó)家在保密管理立法梳理及重點(diǎn)解讀
我國(guó)關(guān)于保密管理的立法主要為《中華人民共和國(guó)保守國(guó)家秘密法》和《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施條例》,部分管理規(guī)定散落在其他法律法規(guī)和規(guī)范性文件當(dāng)中����。
一、《中華人民共和國(guó)保守國(guó)家秘密法》
《中華人民共和國(guó)保守國(guó)家秘密法》(以下簡(jiǎn)稱《保密法》)共六章五十三條��,包括立法宗旨����,國(guó)家秘密的定義����,保密工作的方針�����,保密工作的管理體制�,國(guó)家秘密的范圍和密級(jí)���,保密制度�,定密責(zé)任人�����,定密期限和權(quán)限����,監(jiān)督管理,法律責(zé)任及附則�����。是我國(guó)國(guó)企保密制度主要引用的法律規(guī)范。2010年《保密法》修訂后�����,在以下方面加強(qiáng)了管理�����,國(guó)有企業(yè)應(yīng)重點(diǎn)關(guān)注�����。
(一)進(jìn)一步規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)保密管理
一是實(shí)行分級(jí)保護(hù)�,計(jì)算機(jī)信息系統(tǒng)要按照涉密程度不同,采取不同強(qiáng)度的管理措施�。二是強(qiáng)化技術(shù)防護(hù),保密技術(shù)設(shè)施設(shè)備要按照國(guó)家標(biāo)準(zhǔn)配備�,并與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)�����、同步運(yùn)行��。三是明確列舉禁止事項(xiàng)���,如不得將涉密計(jì)算機(jī)和涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)等���。四是明確網(wǎng)絡(luò)運(yùn)營(yíng)商�����、服務(wù)商的法律責(zé)任,主要是配合有關(guān)機(jī)關(guān)調(diào)查泄密事件�,發(fā)現(xiàn)泄密事件要及時(shí)報(bào)告。
(二)對(duì)保密管理提出新思路
隨著市場(chǎng)經(jīng)濟(jì)發(fā)展�����,不可能完全禁止民營(yíng)企業(yè)�����、中介機(jī)構(gòu)等“體制外力量”參與涉密活動(dòng)����、從事涉密業(yè)務(wù)。修訂后的保密法按照依法行政的要求�����,建立保密審查制度,對(duì)從事涉密載體制作���、復(fù)制�����、維修����、銷毀和武器裝備科研生產(chǎn)等業(yè)務(wù)的企事業(yè)單位實(shí)行依法管理�����。
(三)涉密人員管理體現(xiàn)責(zé)任與權(quán)益相適應(yīng)
修訂后的保密法����,既確立了涉密人員分類管理、上崗培訓(xùn)����、出境管理和脫密期管理等制度,又確立了涉密人員合法權(quán)益受法律保護(hù)的原則和相關(guān)的獎(jiǎng)勵(lì)制度��,體現(xiàn)了對(duì)廣大涉密人員的關(guān)心愛護(hù)���。
(四)責(zé)任追究的可操作性明顯增強(qiáng)
針對(duì)失泄密事件查處難問題��,保密法修訂改“結(jié)果論”為“行為論”���,規(guī)定不論是否產(chǎn)生泄密實(shí)際危害后果����,只要發(fā)生列舉的12種嚴(yán)重違規(guī)行為之一����,都將依法追究責(zé)任�。同時(shí),還加大了處分監(jiān)督力度���,對(duì)不依法給予處分的����,保密部門應(yīng)當(dāng)提出糾正建議�。
(五)保密工作責(zé)任制得到強(qiáng)化
較為突出的,一是對(duì)領(lǐng)導(dǎo)人員問責(zé)�,二是對(duì)保密部門問責(zé)。保密法規(guī)定實(shí)行保密工作責(zé)任制�����,對(duì)發(fā)生重大泄密案件或定密不當(dāng)?shù)膯挝恢苯迂?fù)責(zé)的主管人員,對(duì)不依法處分違規(guī)者的單位有關(guān)領(lǐng)導(dǎo)人員���,要依法追究責(zé)任���;對(duì)保密部門工作人員濫用職權(quán)、玩忽職守����、徇私舞弊的,也要依法追究責(zé)任��。
二��、《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施條例》
《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施條例》(以下簡(jiǎn)稱《實(shí)施條例》)共六章四十五條����,在加強(qiáng)保密管理方面作出新規(guī)定、提出新要求����。國(guó)有企業(yè)應(yīng)關(guān)注的重點(diǎn)如下:
(一)在總則方面規(guī)定了保密工作責(zé)任制、保密工作裝備和經(jīng)費(fèi)保障�����,明確了保密單位開展保密宣傳教育的職責(zé)和義務(wù)。
(二)在定密制度方面明確了保密事項(xiàng)范圍的法律地位����,細(xì)化了定密工作內(nèi)容和流程,規(guī)定了定密責(zé)任人及其具體職責(zé)�,細(xì)化了定密授權(quán)制度,對(duì)自行解密和審核解密作出進(jìn)一步規(guī)定����。
(三)在保密制度方面細(xì)化了國(guó)家秘密載體保密管理制度,規(guī)定了涉密信息系統(tǒng)分級(jí)保護(hù)����、投入使用審查����、運(yùn)行使用管理,明確了從事涉密業(yè)務(wù)的企業(yè)事業(yè)單位應(yīng)當(dāng)具備的基本條件����,對(duì)涉密人員管理立法作出授權(quán)性規(guī)定,對(duì)涉密采購(gòu)�、涉密會(huì)議活動(dòng)提出明確保密管理措施����。
(四)在監(jiān)督管理方面確立了保密工作情況報(bào)告制度�,細(xì)化了保密檢查內(nèi)容,規(guī)范了保密檢查程序�,規(guī)定了保密檢查可以采取的主要措施。
(五)在法律責(zé)任方面對(duì)單位隱瞞不報(bào)泄密事件和妨礙檢查��,企業(yè)事業(yè)單位違規(guī)從事涉密業(yè)務(wù)��、保密行政管理部門違規(guī)責(zé)任等作出了明確規(guī)定���。
第15條:保密事項(xiàng)范圍明確規(guī)定保密期限為長(zhǎng)期的國(guó)家秘密,不得擅自解密���。機(jī)關(guān)���、單位經(jīng)審核認(rèn)為確需解密的,應(yīng)當(dāng)報(bào)規(guī)定該保密事項(xiàng)范圍的中央和國(guó)家機(jī)關(guān)批準(zhǔn)����。
四�、《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》
第9條:本法所稱的商業(yè)秘密�,是指不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息����、經(jīng)營(yíng)信息等商業(yè)信息。
五���、《中國(guó)共產(chǎn)黨紀(jì)律處分條例》
第128條:泄露�、擴(kuò)散或者打探���、竊取黨組織關(guān)于干部選拔任用�����、紀(jì)律審查�����、巡視巡察等尚未公開事項(xiàng)或者其他應(yīng)當(dāng)保密的內(nèi)容的,給予警告或者嚴(yán)重警告處分�����;情節(jié)較重的,給予撤銷黨內(nèi)職務(wù)或者留黨察看處分�;情節(jié)嚴(yán)重的,給予開除黨籍處分���。
第23條:用人單位與勞動(dòng)者可以在勞動(dòng)合同中約定保守用人單位的商業(yè)秘密和與知識(shí)產(chǎn)權(quán)相關(guān)的保密事項(xiàng)�。
......
國(guó)企加強(qiáng)保密合規(guī)管理的必要性分析
保密合規(guī)管理工作的目標(biāo)是企業(yè)以有效防控保密信息泄露為目的���,以企業(yè)經(jīng)營(yíng)管理行為和員工履職行為為對(duì)象��,配合企業(yè)合規(guī)管理而開展的全方位保密合規(guī)管理工作�。保密合規(guī)管理體系并不是單一或散列的幾個(gè)制度或者是幾個(gè)人�����,保密合規(guī)管理體系更像是一張網(wǎng)�����,全方位地保護(hù)企業(yè)的保密信息。保密合規(guī)管理體系的出發(fā)點(diǎn)和落腳點(diǎn)均為保護(hù)企業(yè)的保密信息不被竊取或泄露���,在企業(yè)的保密信息與不應(yīng)知悉的主體之間建立一道防火墻�。即使做不到密不透風(fēng)���,也能夠起到障礙重重�����、違法違規(guī)者風(fēng)險(xiǎn)重重���,確保企業(yè)保密信息不會(huì)輕易被竊取或泄露。因此�,企業(yè)應(yīng)當(dāng)聘請(qǐng)專業(yè)人員審查本單位現(xiàn)有的保密管理體系是否“合規(guī)”、是否完善����、是否足以防范保密信息被竊取或泄露風(fēng)險(xiǎn)。
二�����、進(jìn)一步保守企業(yè)秘密�����,維護(hù)國(guó)有資產(chǎn)的安全
常見的涉及企業(yè)利益需要保密的信息包括:戰(zhàn)略規(guī)劃���、管理方法�、商業(yè)模式�����、并購(gòu)重組�、產(chǎn)權(quán)交易、財(cái)務(wù)信息�����、投融資決策����、產(chǎn)購(gòu)銷策略、資源儲(chǔ)備����、客戶信息、招投標(biāo)事項(xiàng)等經(jīng)營(yíng)信息�����;設(shè)計(jì)、程序�、產(chǎn)品配方、制作工藝���、制作方法����、技術(shù)訣竅等技術(shù)信息��。前述各個(gè)領(lǐng)域����、各個(gè)環(huán)節(jié)都不可避免會(huì)讓一定的業(yè)務(wù)人員涉及,但常會(huì)面臨業(yè)務(wù)人員因保密意識(shí)不強(qiáng)�、通過信息獲利或者為了炫耀而將接觸到的企業(yè)涉密保密信息告訴他人。如招投標(biāo)中的泄密問題�,企業(yè)一直面臨著工作人員出賣保密信息的情況,加強(qiáng)保密管理的重要作用就在于對(duì)泄密事件進(jìn)行預(yù)防�,有效通過保密管理維護(hù)國(guó)有資產(chǎn)安全(具體防范措施見下文第六部分“元正盛業(yè)律師關(guān)于國(guó)企保密合規(guī)管理的實(shí)操建議”)。
三�、降低國(guó)企領(lǐng)導(dǎo)的履職風(fēng)險(xiǎn)
目前,監(jiān)督國(guó)有企業(yè)領(lǐng)導(dǎo)的主體和國(guó)有企業(yè)領(lǐng)導(dǎo)應(yīng)遵守的法律��、行政法規(guī)、部門規(guī)章��、公司內(nèi)部制度較多�,國(guó)家對(duì)于領(lǐng)導(dǎo)干部的監(jiān)管也越來越嚴(yán)�����。比如與保密有關(guān)的法律規(guī)定中��,多數(shù)強(qiáng)調(diào)領(lǐng)導(dǎo)干部負(fù)有領(lǐng)導(dǎo)本單位保密工作的職責(zé)�,對(duì)本單位違反保密義務(wù)和發(fā)生的重大泄密事件,要承擔(dān)相應(yīng)的領(lǐng)導(dǎo)責(zé)任���。做好企業(yè)的保密合規(guī)管理工作��,一定程度上也是為了防范國(guó)企領(lǐng)導(dǎo)在保密工作方面的履職風(fēng)險(xiǎn)�����。
四��、發(fā)生泄密事件有據(jù)可查����、有章可循
有效的保密合規(guī)管理體系會(huì)明確保密工作責(zé)任人、保密責(zé)任清單�����、保密要害部門負(fù)責(zé)人及工作人員責(zé)任制等�。通過明確相關(guān)人員保密工作職責(zé),并且將防泄密措施嵌入公司治理�、管理、業(yè)務(wù)等環(huán)節(jié)進(jìn)行全方位布局�,一旦發(fā)生泄密事件,可以快速地從人員����、信息、傳播路徑��、載體等方面進(jìn)行追查���,在一定程度上起到有據(jù)可查的作用��,并為下一步的處理和追責(zé)提供依據(jù)�。
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)對(duì)企業(yè)保密管理及現(xiàn)狀進(jìn)行專題研究�����,梳理出企業(yè)在保密管理的現(xiàn)狀和問題,與各位分享�,以便國(guó)企在合規(guī)保密管理中引以為戒,有所警示����。
一、企業(yè)領(lǐng)導(dǎo)及管理人員保密意識(shí)還需提升
部分國(guó)有企業(yè)領(lǐng)導(dǎo)和管理人員對(duì)保密管理工作重視程度不足��,認(rèn)為企業(yè)涉及的信息上升不到保密管理層面�����,管理重點(diǎn)仍放在市場(chǎng)開拓等傳統(tǒng)生產(chǎn)經(jīng)營(yíng)管理方面����,還未認(rèn)識(shí)到泄密的危害影響��,甚至發(fā)生了泄密事件而不自知
二�、保密管理所需的設(shè)備、技術(shù)等資源配備不足
保密管理需要投入必要的管理資源��,如涉密計(jì)算機(jī)����、防泄密的打印機(jī)����、掃描儀��、會(huì)議室電磁信號(hào)屏蔽機(jī)等設(shè)備����,具備安全等級(jí)高、防泄密能力強(qiáng)的內(nèi)部管理系統(tǒng)和文件傳輸系統(tǒng)����,單獨(dú)的涉密辦公場(chǎng)所及涉密文檔保管場(chǎng)所等,而大多數(shù)企業(yè)在保密資源配備方面做的還不到位���。
由于對(duì)保密管理的重視不足�����,大多企業(yè)沒有配備專業(yè)的保密管理人員�����,或是保密管理人員業(yè)務(wù)技術(shù)能力不合格,又缺少必要的學(xué)習(xí)和培訓(xùn)��,造成企業(yè)保密管理人才嚴(yán)重不足���,在人員配備上不能滿足企業(yè)保密管理的需要�。
四���、保密管理與生產(chǎn)經(jīng)營(yíng)融合不夠
部分企業(yè)業(yè)務(wù)是業(yè)務(wù)�,保密是保密���。沒有有效開展泄密風(fēng)險(xiǎn)識(shí)別,沒有將保密管理融入到具體的生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)當(dāng)中����,造成業(yè)務(wù)管理人員不清楚自己崗位涉及的泄密風(fēng)險(xiǎn),也不知道怎么做才能有效防范泄密事件發(fā)生�����。
五��、保密信息管理系統(tǒng)管理不規(guī)范
有的企業(yè)雖然配備了專業(yè)的管理信息系統(tǒng)���,對(duì)有效加強(qiáng)保密管理起到一定作用����,但是在信息管理系統(tǒng)維護(hù)運(yùn)營(yíng)上重視不足,不能隨著企業(yè)經(jīng)營(yíng)的發(fā)展�,將新業(yè)務(wù)、新業(yè)態(tài)��、新管理流程及要求納入信息保密管理系統(tǒng)�,或者不能對(duì)信息管理保密系統(tǒng)及時(shí)進(jìn)行升級(jí),修補(bǔ)相關(guān)泄密漏洞��,使在用信息系統(tǒng)存在保密安全隱患����。
部分企業(yè)制定了相應(yīng)的保密制度���,但忽視監(jiān)督檢查工作�,有些企業(yè)審計(jì)�����、紀(jì)檢監(jiān)察等部門受監(jiān)督職責(zé)所限��,要求保密管理部門對(duì)保密管理工作自行檢查或僅做形式檢查,這種自檢自查或不夠?qū)I(yè)的監(jiān)督檢查方式���,很難保證保密管理的監(jiān)督檢查效果���。
七、組織保密培訓(xùn)教育活動(dòng)較少
部分企業(yè)很少組織保密知識(shí)培訓(xùn)�����,甚至未開展過保密知識(shí)培訓(xùn)���,更別說組織開展與保密管理有關(guān)的活動(dòng)��,在保密管理宣貫方面還需下大力氣加強(qiáng)工作效果����。
國(guó)企保密管理風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略
元正盛業(yè)合規(guī)律師經(jīng)認(rèn)真研究�,根據(jù)《保密法》等相關(guān)法律法規(guī)的明確規(guī)定����,以及對(duì)保密管理實(shí)務(wù)研究,總結(jié)出國(guó)企在保密管理中需要關(guān)注的重要風(fēng)險(xiǎn)�,并提出相關(guān)應(yīng)對(duì)方案,具體如下:
一、涉密人員保密意識(shí)和能力不足風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:該風(fēng)險(xiǎn)通常體現(xiàn)在領(lǐng)導(dǎo)和管理人員對(duì)保密管理認(rèn)識(shí)不足��、企業(yè)對(duì)保密教育不重視�,最終導(dǎo)致企業(yè)上下保密意識(shí)不強(qiáng),欠缺相關(guān)的保密管理知識(shí)���;未全面識(shí)別企業(yè)泄密風(fēng)險(xiǎn)�,未制定有效管控措施�����;對(duì)保密管理隱患排查不徹底���、制度執(zhí)行不落地��、監(jiān)督檢查不到位�����;保密工作缺乏創(chuàng)新����、缺乏協(xié)同配合��,保密隊(duì)伍建設(shè)還須加強(qiáng)等。
2015年10月����,保密檢查發(fā)現(xiàn),某國(guó)有企業(yè)集團(tuán)公司干部左某使用的非涉密計(jì)算機(jī)中存儲(chǔ)4份標(biāo)密文件����。經(jīng)鑒定,4份文件均不屬于國(guó)家秘密���,但屬于不應(yīng)公開的內(nèi)部資料�����。事件發(fā)生后�,有關(guān)部門給予左某行政降級(jí)處分���,扣除其半年績(jī)效獎(jiǎng)勵(lì)�,調(diào)離項(xiàng)目組且3年內(nèi)不得從事涉密工作����,同時(shí)給予其黨內(nèi)警告處分��。負(fù)有監(jiān)管責(zé)任的集團(tuán)公司保密辦主任葛某等4人向集團(tuán)公司保密委作出深刻檢查,并給予通報(bào)批評(píng)����。
應(yīng)對(duì)策略:歸根結(jié)底,涉密載體的管理需要以人員為依托�����,所以需要國(guó)企切實(shí)做好人員管理工作���,加強(qiáng)涉密載體管理人員的教育培訓(xùn)工作�����,使其能夠樹立起保密意識(shí)和責(zé)任意識(shí)�����,認(rèn)真對(duì)待自己的工作����,嚴(yán)格依照相關(guān)規(guī)范進(jìn)行涉密載體管理�,盡可能減少人為因素引發(fā)的國(guó)家機(jī)密泄露問題。
二����、涉密文件傳遞過程中的泄密風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:涉密文件傳遞過程風(fēng)險(xiǎn)控制存在一定難度����。涉密文件傳遞過程中�����,包括單位內(nèi)部傳遞和單位對(duì)外提供���,容易被文件持有人或其他人員復(fù)印�����、拍照����,而此過程較難通過專人進(jìn)行監(jiān)控��,增加了機(jī)密泄露的風(fēng)險(xiǎn)����。
應(yīng)對(duì)策略:對(duì)于涉密載體的生產(chǎn)、傳遞�����、保存和使用�����,相關(guān)單位需要登記其保密等級(jí)��、保密要點(diǎn)�、保密期限等,依照實(shí)際需要將登記內(nèi)容告知參與人員�����,并做好必要的保密教育工作����,確保相關(guān)人員能嚴(yán)格履行自身的保密義務(wù)。同時(shí)��,應(yīng)該盡可能依照最小化原則確定涉密載體的知悉范圍�����,盡量限定到個(gè)人��。
如果需要復(fù)制文件,則應(yīng)指定復(fù)印機(jī)由專人操作����,確保復(fù)制經(jīng)過審批登記。在文件傳遞環(huán)節(jié)�,必須嚴(yán)格依照相關(guān)制度要求做好保密和記錄工作,避免單純登記信封密級(jí)與編號(hào)的情況����。使用的計(jì)算機(jī)設(shè)備和復(fù)印設(shè)備必須經(jīng)過全面系統(tǒng)的檢測(cè),定義為涉密設(shè)備�����,避免在非涉密設(shè)備上進(jìn)行涉密文件的各種操作�。
員工向企業(yè)提出離職請(qǐng)求時(shí),企業(yè)應(yīng)當(dāng)將其使用的相關(guān)電腦�����、U盤�����、光盤、工作文件��、圖紙���、數(shù)據(jù)等相關(guān)材料進(jìn)行徹底、及時(shí)地交接��,以防離職員工將載有企業(yè)商業(yè)秘密的資料帶出���。
三����、保密信息失竊風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:保密信息外泄一部分是涉密人員因故意或過失對(duì)外泄密����,還有一部分是外部組織、企業(yè)或人員故意竊取企業(yè)機(jī)密造成的�����。在智能信息化產(chǎn)品普及的現(xiàn)代��,竊密方式多種多樣����,如使用竊聽技術(shù)竊取重要會(huì)議內(nèi)容����,利用黑客技術(shù)查看重要郵件或竊取重要電子數(shù)據(jù)����,利用對(duì)智能設(shè)備維檢修之際獲取存儲(chǔ)部件信息等,給企業(yè)的保密工作帶來新的挑戰(zhàn)�,如果不加以注意和防范,極易留下保密漏洞和泄密隱患�����,甚至不經(jīng)意間泄密而不自知�����。
2017年4月�����,某單位綜合處處長(zhǎng)魏某為圖工作方便����,違規(guī)安排工勤人員將1臺(tái)涉密計(jì)算機(jī)送外維修,致使維修人員將該計(jì)算機(jī)連接互聯(lián)網(wǎng),并在該機(jī)上交叉使用另個(gè)非涉密U盤�����,造成相關(guān)涉密文件失控����。有關(guān)部門給予魏某黨內(nèi)警告處分。
應(yīng)對(duì)策略:企業(yè)要時(shí)刻保持警惕�����,切實(shí)采取相應(yīng)措施防范外部人員竊密風(fēng)險(xiǎn)����。
一是謹(jǐn)慎選擇涉密場(chǎng)所智能設(shè)備供應(yīng)商��。在機(jī)要室���、文印室�����、保密檔案室�����、會(huì)議室等涉密場(chǎng)所和部位應(yīng)當(dāng)慎重安裝智能設(shè)備�����,對(duì)于必須安裝的��,一定要對(duì)供應(yīng)商及其提供產(chǎn)品進(jìn)行嚴(yán)格審查����,必要時(shí)交專業(yè)機(jī)構(gòu)進(jìn)行檢驗(yàn)。
二是對(duì)重大會(huì)議���、涉密會(huì)議等事項(xiàng)做好會(huì)議前的保密技術(shù)檢查工作�����,在會(huì)議過程中可以使用電磁信號(hào)屏蔽設(shè)備���,確保會(huì)議內(nèi)容不外泄。
三是嚴(yán)格管理智能設(shè)備的維修和報(bào)廢事項(xiàng)?,F(xiàn)代辦公經(jīng)常使用的打印機(jī)、復(fù)印機(jī)�、智能電視���、智能空調(diào)、智能冰箱等通常都具有存儲(chǔ)部件�,因此,維修和報(bào)廢涉密場(chǎng)所使用的智能設(shè)備��,應(yīng)當(dāng)按照維修和報(bào)廢涉密載體的規(guī)定����,采取單位內(nèi)部維修、定點(diǎn)維修(需具有相關(guān)保密資質(zhì))的方式�,統(tǒng)一維修、統(tǒng)一報(bào)廢銷毀���,避免因隨意維修、出售���、丟棄給外部竊密者有可乘之機(jī)�。
四����、信息系統(tǒng)泄密風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:信息系統(tǒng)講求的是互聯(lián)互通、遠(yuǎn)程訪問�����、資源共享,但這些也為攻擊者提供了實(shí)現(xiàn)攻擊的途徑����。計(jì)算機(jī)信息系統(tǒng)操作系統(tǒng)程序量大,通信協(xié)議復(fù)雜��,不可避免存在各種配置漏洞�����、操作系統(tǒng)漏洞�����、協(xié)議漏洞����、后門、隱通道等�,可被竊密者利用。
應(yīng)對(duì)策略:當(dāng)確有特殊情況需要使用涉密計(jì)算機(jī)����、涉密信息系統(tǒng)時(shí)���,必須做好五點(diǎn):一是要嚴(yán)選供應(yīng)商,確保設(shè)備����、系統(tǒng)來源安全可靠;二是必須采取只讀光盤和光驅(qū)的方式����;三是使用時(shí)要嚴(yán)格與涉密網(wǎng)絡(luò)隔離;四是加強(qiáng)此類系統(tǒng)使用的監(jiān)管力度��,增加審批和監(jiān)督環(huán)節(jié)�����,對(duì)系統(tǒng)的介質(zhì)加強(qiáng)管理�����;五是定期對(duì)涉密信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估�,包括自評(píng)估��、檢查評(píng)估與委托評(píng)估���。
五�、保密要害部門部位泄密風(fēng)險(xiǎn)
風(fēng)險(xiǎn)分析:保密要害部門,是指機(jī)關(guān)���、單位日常工作中產(chǎn)生��、傳遞�、使用和管理絕密級(jí)或較多機(jī)密級(jí)��、秘密級(jí)國(guó)家秘密的內(nèi)設(shè)機(jī)構(gòu)���。保密要害部位���,是指機(jī)關(guān)、單位內(nèi)部集中制作���、存儲(chǔ)���、保管涉密載體的專門場(chǎng)所。保密要害部門���、部位是保密管理重點(diǎn)��、難點(diǎn)�、風(fēng)險(xiǎn)多發(fā)點(diǎn)。涉密信息的產(chǎn)生�����、定密�����、存儲(chǔ)�、傳遞、使用都與保密要害部門����、部位息息相關(guān),任何一個(gè)環(huán)節(jié)都疏漏都可能引發(fā)泄密事件�����,需要企業(yè)高度關(guān)注���、嚴(yán)加管理。
某涉密單位在保密自查時(shí)發(fā)現(xiàn)�,該單位工作人員王某因使用的涉密計(jì)算機(jī)出現(xiàn)故障�����,私自重裝操作系統(tǒng)��,且未及時(shí)請(qǐng)單位保密管理人員重裝訪問控制系統(tǒng)�����,導(dǎo)致該涉密計(jì)算機(jī)技術(shù)防護(hù)能力明顯下降���。事后,該單位給予王某行政警告處分�,并進(jìn)行了嚴(yán)肅的批評(píng)教育。
應(yīng)對(duì)策略:切實(shí)加強(qiáng)保密要害部門部位重點(diǎn)涉密人員上崗��、在崗�����、離崗的保密教育管理�����。無關(guān)人員不得隨意進(jìn)入保密要害部門部位,對(duì)要害部門部位要開展經(jīng)常性的保密檢查��。
加強(qiáng)計(jì)算機(jī)系統(tǒng)的保密管理��,明確區(qū)分涉密與非涉密計(jì)算機(jī)����,涉密計(jì)算機(jī)必須完全與互聯(lián)網(wǎng)、局域網(wǎng)和其他公共信息網(wǎng)絡(luò)物理隔離�����,并采取身份認(rèn)證��、傳輸加密�����、配置防視頻泄密干擾器等保密防范措施����。
離崗離職要嚴(yán)格審批,保密要害部門部位工作人員離開應(yīng)與原單位簽訂保密承諾書�����,并實(shí)行脫密期管理。企業(yè)可以結(jié)合自身實(shí)際情況���,制定具體的脫密期管理制度,確定脫密期期限���。一般情況下�����,核心涉密人員脫密期為2-3年�;重要涉密人員脫密期為1-2年����;一般涉密人員脫密期為6個(gè)月-1年。同時(shí)約定涉密員工離職需要交清涉密材料����,在離職前必須將涉密材料全部交予接手人,防止涉密人員將企業(yè)機(jī)密帶出企業(yè)�。
經(jīng)對(duì)相關(guān)案件進(jìn)行梳理����,日常辦公發(fā)生泄密常見情形有:?jiǎn)T工利用電子郵件、微信、微博�����、QQ等發(fā)送敏感信息����,用移動(dòng)通信工具談?wù)摬灰斯_的事項(xiàng),涉密文件���、資料不及時(shí)存入保險(xiǎn)柜����,復(fù)印涉密文件不嚴(yán)格履行申請(qǐng)審批程序和未按原件管理等�。
2017年10月,某單位辦公室副主任肖某�,為向在外檢查工作的分管領(lǐng)導(dǎo)匯報(bào)工作,找到保密員趙某查閱文件�,擅自用手機(jī)對(duì)1份機(jī)密級(jí)文件部分內(nèi)容進(jìn)行拍照,并用微信點(diǎn)對(duì)點(diǎn)方式發(fā)送給在外檢查工作的領(lǐng)導(dǎo)����。案件發(fā)生后,有關(guān)部門撤銷肖某辦公室副主任職務(wù)����,并調(diào)離辦公室崗位���;給予負(fù)責(zé)管理涉密文件的趙某行政警告處分;對(duì)負(fù)有領(lǐng)導(dǎo)責(zé)任或監(jiān)管責(zé)任的李某���、秦某和邵某進(jìn)行誡勉談話,并責(zé)令作出書面檢查����。
應(yīng)對(duì)策略:日常泄密事件頻發(fā),根源還是企業(yè)保密制度執(zhí)行不嚴(yán)�、保密管理不到位,工作人員保密意識(shí)����、保密常識(shí)欠缺等問題導(dǎo)致的。因此�,最好的應(yīng)對(duì)措施就是加強(qiáng)保密教育培訓(xùn),規(guī)范公文處理流程��,加強(qiáng)保密管理檢查�����,嚴(yán)肅處理泄密行為,不斷提高員工保密意識(shí)����,強(qiáng)化保密觀念,從而有效筑牢保密防線��。
七��、《保密法》規(guī)定的嚴(yán)重違法行為及對(duì)應(yīng)的風(fēng)險(xiǎn)點(diǎn)
(一)非法獲取�、持有國(guó)家秘密載體的;
(二)買賣����、轉(zhuǎn)送或者私自銷毀國(guó)家秘密載體的;
(三)通過普通郵政�����、快遞等無保密措施的渠道傳遞國(guó)家秘密載體的���;
(四)郵寄����、托運(yùn)國(guó)家秘密載體出境��,或者未經(jīng)有關(guān)主管部門批準(zhǔn),攜帶���、傳遞國(guó)家秘密載體出境的�����;
(五)非法復(fù)制��、記錄���、存儲(chǔ)國(guó)家秘密的��;
(六)在私人交往和通信中涉及國(guó)家秘密的��;
(七)在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國(guó)家秘密的��;
(八)將涉密計(jì)算機(jī)���、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的��;
(九)在未采取防護(hù)措施的情況下���,在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的�����;
(十)使用非涉密計(jì)算機(jī)�、非涉密存儲(chǔ)設(shè)備存儲(chǔ)�、處理國(guó)家秘密信息的;
(十一)擅自卸載��、修改涉密信息系統(tǒng)的安全技術(shù)程序��、管理程序的��;
(十二)將未經(jīng)安全技術(shù)處理的退出使用的涉密計(jì)算機(jī)��、涉密存儲(chǔ)設(shè)備贈(zèng)送����、出售、丟棄或者改作其他用途的�。
上述法律明確列舉的風(fēng)險(xiǎn)點(diǎn),國(guó)企業(yè)需要高度關(guān)注����,具體應(yīng)對(duì)方案在上文中均由涉及,不再另行贅述��。
元正盛業(yè)律師關(guān)于國(guó)企保密合規(guī)管理的
實(shí)操建議
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)認(rèn)為,國(guó)企保密合規(guī)管理應(yīng)當(dāng)以依法規(guī)范����、企業(yè)負(fù)責(zé)、預(yù)防為主�、突出重點(diǎn)、便利工作���、保障安全為方針���。律師團(tuán)隊(duì)結(jié)合為國(guó)企提供保密合規(guī)服務(wù)的經(jīng)驗(yàn),具體建議如下:
一�����、建立健全保密合規(guī)管理體系及制度體系
針對(duì)保密事宜設(shè)立專門機(jī)構(gòu)����,專門機(jī)構(gòu)崗位由對(duì)企業(yè)忠誠(chéng)度�、責(zé)任意識(shí)強(qiáng)的人員擔(dān)任。國(guó)有企業(yè)應(yīng)當(dāng)配備與經(jīng)營(yíng)規(guī)模����、業(yè)務(wù)范圍���、風(fēng)險(xiǎn)水平相適應(yīng)的專職保密管理人員,加強(qiáng)業(yè)務(wù)培訓(xùn)�����,提升專業(yè)化水平���。建立健全保密合規(guī)管理制度����,包括但不限于公司的保密信息界定制度�����、保密信息定級(jí)制度�、相關(guān)崗位的保密行為規(guī)范等,并在公司內(nèi)部依法公開公示���,由全體人員知悉遵守�����。
二�、將保密要求嵌入經(jīng)營(yíng)管理環(huán)節(jié)
保密合規(guī)管理制度建立后,要對(duì)保密具體措施予以梳理����,通過將保密規(guī)定嵌入企業(yè)經(jīng)營(yíng)管理程序設(shè)計(jì)與整體布局當(dāng)中,以確保落實(shí)到位����。按期召開保密工作會(huì)議,傳達(dá)學(xué)習(xí)保密最新工作部署和會(huì)議精神����,研究解決保密工作中存在的重點(diǎn)、難點(diǎn)問題���。定期組織簽訂《保密工作責(zé)任書》和《涉密人員保證書》�����,強(qiáng)化保密工作與業(yè)務(wù)工作實(shí)質(zhì)性融合。
三��、嚴(yán)格做好企業(yè)定密��、解密、劃定失密泄密風(fēng)險(xiǎn)等級(jí)
企業(yè)保密工作開展的前提�����,需要做好定密�、解密條件設(shè)置、保密管理等有關(guān)基礎(chǔ)工作��,再結(jié)合部門崗位職責(zé)和涉密事項(xiàng)����,編制《密級(jí)事項(xiàng)風(fēng)險(xiǎn)定性表》,將各類涉密事項(xiàng)細(xì)分到各業(yè)務(wù)部門及基層單位��,并細(xì)化到部門內(nèi)部關(guān)鍵崗位人員�,以便企業(yè)做到保密工作有制度可依,企業(yè)保密工作能正常開展���。
四����、實(shí)行單位保密積分評(píng)價(jià)機(jī)制
根據(jù)保密重點(diǎn)工作任務(wù)�,制定保密管理重點(diǎn)考核內(nèi)容,分類量化設(shè)計(jì)保密積分考核標(biāo)準(zhǔn)��,明確保密重點(diǎn)考核和“一票否決”事項(xiàng),編制形成《公司保密工作量化積分考核表》��,按照季度評(píng)價(jià)�、年度考核方式開展保密工作測(cè)評(píng),量化評(píng)價(jià)各單位保密責(zé)任落實(shí)情況�����。
五��、做好內(nèi)部保密的同時(shí)�����,加強(qiáng)外部保密管理工作
保密協(xié)議或保密條款既適用于內(nèi)部員工也適用于外部合作或交易主體���。員工辦理入職時(shí)簽訂保密協(xié)議���,同時(shí)對(duì)公司保密制度進(jìn)行學(xué)習(xí)。對(duì)于外部合作或交易主體而言����,應(yīng)該在合作之前明確告知保密義務(wù)、保密范圍����,或者是在正式合同之中,簽訂有關(guān)的保密協(xié)議或約定保密條款����,確保企業(yè)保密工作無死角、達(dá)到保密閉環(huán)式嚴(yán)格管理要求��。
六�����、加強(qiáng)保密宣傳培訓(xùn)教育�����,做好保密文化建設(shè)
企業(yè)健全保密合規(guī)管理體系���,促進(jìn)保密機(jī)制和中心工作長(zhǎng)效融合后���,需持續(xù)開展保密培訓(xùn)宣傳教育活動(dòng),保密宣貫和培訓(xùn)工作既要措施得力���,又要覆蓋全面���。通過專業(yè)系統(tǒng)的保密管理技能培訓(xùn)�����、保密法律培訓(xùn)�、保密合規(guī)管理培訓(xùn)�、職業(yè)道德培訓(xùn)等,讓企業(yè)有具備與保密管理工作要求相匹配的專業(yè)人員�����。在保密人員解決的同時(shí)�����,還需關(guān)注保密文化建設(shè)工作����。
一方面,企業(yè)應(yīng)在各管理層級(jí)�、各業(yè)務(wù)領(lǐng)域通過組織培訓(xùn)、競(jìng)賽���、案例分享����、辦公場(chǎng)所張貼保密宣傳圖冊(cè)����,開展普法活動(dòng)、宣講活動(dòng)��、征文活動(dòng)等方式����,在企業(yè)內(nèi)部營(yíng)造保密文化建設(shè)氛圍;
另一方面��,企業(yè)保密委員會(huì)�、保密辦等相關(guān)部門應(yīng)定期開展保密檢查,并將檢查結(jié)果納入月度����、季度、年度績(jī)效考核�����,以此穿透保密主體責(zé)任��、強(qiáng)化保密意識(shí),實(shí)現(xiàn)保密工作的閉環(huán)反饋�����。保密宣貫與生產(chǎn)經(jīng)營(yíng)的融合交匯���,從源頭提升全體員工的保密素養(yǎng)與行動(dòng)自覺�����,為培育企業(yè)特色保密文化夯實(shí)了制度機(jī)制和行為理念的雙重基礎(chǔ)�����。
律師在國(guó)企保密合規(guī)管理的
作用和價(jià)值分析
元正盛業(yè)合規(guī)律師團(tuán)隊(duì)長(zhǎng)期為大中型國(guó)企提供法律顧問及各類專項(xiàng)法律服務(wù)��,有豐富的國(guó)企合規(guī)管理實(shí)務(wù)經(jīng)驗(yàn)��,以及保密合規(guī)管理專項(xiàng)服務(wù)經(jīng)驗(yàn)�。律師團(tuán)隊(duì)在國(guó)企保密合規(guī)管理事務(wù)中��,可以提供如下具體法律服務(wù)事項(xiàng):
一���、幫助企業(yè)建立健全保密合規(guī)管理體系和制度體系�����,根據(jù)企業(yè)具體情況和需求�����,完善企業(yè)的涉密管理工作制度和工作流程���,將保密審查規(guī)定嵌入企業(yè)經(jīng)營(yíng)管理活動(dòng);
二���、梳理保密合規(guī)義務(wù)�����,排查和評(píng)估企業(yè)涉密風(fēng)險(xiǎn)��,并形成保密清單�����;
三��、審核和修改企業(yè)涉密相關(guān)合同��、條款及相關(guān)法律文件����;
四、做好涉密泄露的維權(quán)準(zhǔn)備工作�,包括事實(shí)調(diào)查與分析,配合發(fā)送律師函�,幫助取證,為后期訴訟維權(quán)奠定基礎(chǔ)����;
五、開展保密管理相關(guān)的合規(guī)培訓(xùn)�����、宣貫企業(yè)保密管理制度等�。
以上是元正盛業(yè)律師合規(guī)團(tuán)隊(duì)針對(duì)國(guó)企保密合規(guī)管理做出的研究和實(shí)務(wù)建議,希望能助力國(guó)企依法規(guī)范保密管理工作���、保障企業(yè)信息安全����。
國(guó)企保密合規(guī)管理實(shí)務(wù)研究
