保密风险评估，是什么与怎么做？

新修订的保密法第五十五条提出，设区的市级以上保密行政管理部门建立保密风险评估机制，这是贯彻保密工作积极防范原则的有效举措，也是把问题解决在一线、化解在萌芽状态的生动运用。

01 保密风险评估的内涵

保密风险评估即在风险发生前，对尚未发生的潜在因素、事件等系统分析归类、识别辨别，进而采取相应的方式加以处置，将损失降低到最低的管理过程。

保密风险评估不是一个新名词，在国家秘密载体印制资质、涉密信息系统集成资质、涉密载体出境、对外合作等保密管理中，已提出过相关要求。这次保密法的修订，以法律条款的形式对设区的市级以上保密行政管理部门明确提出这一要求，再次明确了保密风险评估的意义与价值，以便未来在更大范围加以应用。

借鉴其他行业风险评估的经验，保密风险评估主要包含4方面内容。

01

识别风险点

找出保密管理中易导致失泄密的人员、环境、事件、环节、行为等。

02

评估风险概率

通过分析历史资料、相关行业(区域)事件，摸清失泄密风险发生的规律，预判风险发生的概率。

03

评判风险等级

分析失泄密风险发生后的直接后果和间接后果，得出对国家安全和利益造成的损害，评判风险强度和等级。

04

制定防控对策

针对具体风险设定相应措施，消除或减少风险发生的因素，进而控制风险生成，避免或降低损害。

02 保密风险评估的分类

不同于以往保密资质（资格）管理办法中，要求各单位对自身开展风险评估的做法，新修订保密法对设区的市级以上保密行政管理部门建立保密风险评估机制提出要求，二者的适用范围、评估视角都有很大区别，笔者尝试对照新修订保密法要求，站在宏观角度，对可能涉及的保密风险评估作出如下分类。

1、行业保密风险评估与区域保密风险评估

行业保密风险评估是以行业为划分的局部评估，具体行业的保密风险应以该行业保密事项范围为出发点，围绕国家秘密的产生、处理、应用等业务流程，关联分析有关人、事、物及行为风险点。这类风险评估具体应由相关行业主管部门组织，梳理评估行业内各层级、各业务分支、各岗位风险，形成分层分类的风险评估结果。

区域保密风险评估

区域保密风险评估是针对某一区域，在整合各行业评估结果的基础上，形成的全覆盖、全地域的分析结果，既包括不同行业的共性风险，又涵盖不同行业的个性风险；既要结合不同地区、不同层级特点，又要关注特殊时期、特殊事件等带来的阶段性风险。这类风险评估可借力各地各级保密委员会深入开展，作为重要议题加以讨论确定。

2、常规保密风险评估与特殊保密风险评估

常规保密风险评估主要围绕两方面展开：

一是保密管理的共性环节与要素

如人员、网络、场所、载体等，是所有行业保密管理的重点和难点，也是保密风险评估不容忽视的关键点。

二是受到重点关注的区域领域

如能源、电力、通信、交通等领域，它们是社会运转的中枢神经，也是保密风险评估的重点。

特殊保密风险评估主要围绕三方面展开。

一是专项任务的风险评估

如各类专项整治行动，其风险评估应结合具体任务，分析涉及的行业领域以及专项任务的背景、目标等，深入查找风险点。

二是新技术新应用的保密风险评估

随着新业态、新模式的发展，以及新主体、新手段的参与及应用，不断衍生网络共享、网络附属存储、数据汇聚等新情况新问题，需要结合涉及的新情况、新要素，透过现象抓本质，作出全面的分析评估。

三是常规管理中的特殊环节、对象、行为等

如涉密科研管理中的研究生、因工作需要知悉国家秘密的境外人员、涉密咨询活动及其实施者、涉密服务活动及其从业人员等，这些往往是常规风险评估难以全面覆盖的点，要从日常管理中找出这些特殊因素，针对性查找风险、制定对策。

3、行业保密风险评估与区域保密风险评估

已知保密风险可根据已有窃密泄密案件，以及单位日常、专项检查结果，或经简单推理后得出，后果也可预见，因此评估和制定应对举措的难度相对较小，较易开展。针对这类风险，需要各单位及保密行政管理部门注意收集检查中发现的问题线索，对保密风险进一步拆解分析。

前瞻性风险存在隐蔽性，又囿于当前认知局限，可能无法准确判断，但也有一些迹象可循。如人工智能运用中的安全保密风险，要跳出现有保密管理格局，充分征求相关方面专家意见，用发展的眼光，尽可能挖掘分析可能出现的问题，提前防范部署。

03 保密风险评估的开展

1、纵向查找探深度

在各类保密检查、自查中，发现失泄密问题隐患的，检查单位和被检查单位要及时上报行业主管部门和保密行政管理部门。各单位要戒除遮丑护短心态，真实反映问题，便于上级单位和保密行政管理部门掌握和处置。与此同时，保密行政管理部门也要加强检查平台的应用，发挥其记录、反馈、汇总、分析等功能，对检查数据进行有效挖掘。

发现失泄密问题隐患的单位要及时复盘推演问题发生的过程，细致查找风险点，特别是苗头性问题，深挖表象背后的隐患，分析问题产生的原因，区分是个别现象还是需要系统防范的普遍性问题。对于保密制度落实方面存在问题的，要区分是未建立相关制度，还是制度不实用、难执行等，以便后期分类制定对策。

2、横向分析拓广度

保密风险评估主体应紧紧围绕保密管理的共性堵点和个性难点，发挥领导者、执行者、管理者、监督者4类主体责任，尤其要避免因问题隐患存在过久、解决难度大、新问题不知如何应对等而放过风险点的梳理。

在这一过程中，要充分发挥各级保密委员会及各单位保密工作领导小组作用，突破行业边界，相互取长补短，如保险业、银行业等较为擅长风险分析，相关方法也可为其他行业吸收借鉴，尤其是全流程分析法，可全面地梳理所有环节的风险。

3、细致入微提精度

各单位要抓住风险细节，制定有针对性的解决方案，其中整改措施和预防手段要以形成系统的能力建设为目标，在全面分析的基础上形成风险专报，报告单位主要领导，从而促进多方联动，推动问题的解决。例如，同样是涉密人员保密知识缺乏，要区分是宣教方式的问题，还是人员对象的问题，制定不同的解决对策。各单位要结合实际，拟订贴近需求的培训计划，还要根据人员岗位特点、知识背景，选择实用、易操作的培训方式。