大家好,跟大家聊聊在过去几年里,小编看到的、了解到的、总结的,一些企事业单位在申请涉密资质,现场审查时经常发现的丢分项,也正是这些小细节问题,导致很多企业浪费了初次机会,导致需要重新等待审核,错过了很多机会成本。
1
组织机构建设方面
保密组织机构建设,是开展保密工作的组织保证。保密组织不健全、不作为,必然导致单位保密工作一盘散沙。
这点很重要,但很多中小型公司没有具体经验,又没有寻求zi深专家协助指点,自行摸索,内部解决,所以很多时候经办人员为求快速,未对此重视,认为有董事会、总经理就好,保密工作领导小组(保密委员会)是个名义上的虚设机构,不起什么作用,便随意进行填写编造,导致失分。
有些企业则顾虑占用人力成本,经济上不划算,为了应付达标,就下了个空头文件,给有关人员安上了保密的“头衔”,让“外行人”兼职干着,实际上人员和工作并不到位。尤其是相关专职保密管理人员很多都是有名无实,不了解保密知识,更别说保密工作。
具体扣分如下:(1)保密总监由担任其他职务的人员兼任,并非专职;(2)保密工作办公室虚设,有的作为综合部门中的内设机构,并非同级职能部门;(3)未配备专职保密管理人员;(4)保密工作领导小组(保密委员会)未落实例会制度;(5)保密工作领导小组(保密委员会)组长(主任)、保密总监、业务副总等保密管理人员职责不清、履职不到位;(6)对本单位保密工作情况不熟悉、不掌握。
2
保密制度制定方面
保密制度具有规范性、稳定性、约束力,对保密工作健康运行发挥着不可或缺的保障作用。
说到保密制度,这可以说是保密审核人员蕞为头痛的一项之一。可以说10家单位里有6-8家单位是有问题的,大大小小,层出不穷,蕞关键重新修改反馈回来的制度,依旧不得要领,出现反复错误,或上下不符,轻则导致重复修改,重则审批失败,待重新再来。
深不进去、融不到位是根本原因!
保密标准要求,制定保密制度要与日常管理制度相融合。很多单位保密制度,业内人士随意一翻便知道是假的编的,更别说审核专家。为什么这么说呢,这是因为你单位的保密制度跟你公司规模,具体业务,不相融合。换句话说,你不能平平无奇,没点特色,能搞保密业务的,你弄的跟一普通办公制度一样,跟普通厂一样,搞出来的东西没一点日常管理制度的特点与保密标准的刚性要求和程序性特点的关系,定出来的制度“保密是保密,业务是业务”,形成“两张皮”现象,这样的制度,审核专家凭啥给你过。
具体扣分如下:
(1)保密制度照抄照搬,无针对性;(2)制度不健全,可操作性不强;(3)部分制度未在实际工作中执行;(4)保密管理制度和日常管理制度未实现有机融合;(5)无年度工作计划或工作总结;(6)未建立保密工作责任制;(7)奖惩激励制度不兑现、不落实。
3
涉密人员管理方面
保密工作的成败得失因人而异、尽在人为。对涉密人员的管理是保密工作的重中之重、难中之难。涉密人员保密管理是一个多环节的过程管理,涉及人员挑选、考察政审、教育培训、签订承诺书、确定岗位密级、日常管理、考核评价等。
涉密人员管理是审核中的一个小难点,但却是企业保密工作中的一个大难点。说难很难,说不难也不难,关键在于涉密人员的选择。为什么这么说呢,这是因为涉密人员管理是一个动态管理的过程,人员的密级变化、家庭重大变故、出国(境)审批、离岗离职脱密期管理等,都是保密管理的范畴。
如果涉密人员频繁调整或变动,那么所有东西可能就得重新推翻重来。所以涉密人员的稳定是重中之重,这也是我说为啥它难又不难的原因。当然涉密人员日常管理还有很多难题,我会另开一篇文章进行说明,这里就不展开讲了。感兴趣的朋友,可以持续关注下本公众号。
具体扣分如下:
(1)涉密人员密级界定不准,过宽或过窄、过高或过低;(2)涉密人员审批确定或者等级发生变化时未履行规定程序;(3)保密教育培训时间或内容不落实,保密常识测试平均成绩不及格,或者成绩全部一样,涉嫌造假;(4)未对在岗涉密人员进行定期考核评价;(5)对涉密人员因私出国(境)未按保密要求进行管理;(6)未严格执行涉密人员离岗离职脱密期管理制度。
4
设备载体管理方面
设备载体的管理是真烦,这点很多业内朋友表示认可,且或多或少都有这方面的苦恼。
毕竟,很多涉密工作人员就因为涉密设备和载体使用管理不当,轻则批评扣工资,重则严重事故,“企”破人亡。一个没做好,不留神,就是个定时zha弹了。
对涉密设备和载体管理工作,国家保密标准对jun工保密资格单位、涉密信息系统集成资质单位、国家秘密载体印制资质单位的涉密设备和载体管理都作出了严格规定。现场审查中,许多单位对这方面的知识明显掌握不够,从设备和载体的标识、登记、使用、借用、携带到维修、报废等多个环节都做得不规范,这些基本都是雷点,容易出现了较多的丢分。
具体表现如下:(1)未按要求建立单位涉密载体台账或个人留存涉密载体台账; (2)涉密设备、载体台账账物不符,相关表格要素不全;(3)涉密设备和载体标识不规范;(4)涉密载体打印、刻录、借阅、发放未严格履行审批手续; 涉密设备、载体带出审批记录不完备;(5)无设备维修、报废、销毁审批记录;(6)部分保密安全产品不能提供规定的检测证书;(7)个别涉密计算机未拆除无线蓝牙模块;(8)身份鉴别、访问控制、安全审计措施不符合要求;(9)涉密信息输出未采取有效管控措施。
5
涉密场所管理方面
涉密场所是涉密人员开展涉密业务的经常性活动空间。武器装备技术研发、生产、测试、改进的全过程要在涉密场所进行;涉密信息系统集成、软件开发、系统咨询等,也离不开涉密场所;国家秘密载体印制、档案数字化加工等更需要在保密安全的空间环境中进行。一句话,硬件都搞不好,那真没啥好说的了。在这里,八戒劝一句,真的,初次进行资质申请的企业,您真是还是花点小钱去请个行内人或专家帮你看下,设计下,这样帮你省下许多不需要花的钱,还省下大把时间,大把精力,蕞重要的是没走弯路,直接一把通过。真没必要在蕞后关卡因为节约这几小钱,而申请失败,功败垂成。
具体表现如下:(1)门禁后台无法查看;(2)未对门禁、视频监控、防盗报警系统进行定期维护;(3)视频监控未全面覆盖,或者监控方向不正确;(4)监控记录不能完整反映场所内日常保密管理情况;(5)无视频监控检查记录或监督检查记录;(6)视频监控信息保存时间不足3个月。
6
涉密项目管理方面
加强涉密项目保密管理,是涉密资质单位保密工作的重要任务和重点环节。涉密项目实施中往往头绪繁多、变化较快、环境复杂,保密管理的难度常常难以预料。
各家企业有各家企业的难点,需具体问题具体分析,这里不展开说明了。
若仅从单位内部保密管理的审查情况看,项目管理工作中不规范的问题主要有如下表现:
总得来说,今后资质申请困难程度会不断提高,通过率也可能会逐渐降低。毕竟国家现在越来越重视这方面,而且随着外部环境的倒逼,国产化,自主化也将越来越摆到台面上来,没点真技术还真玩不来。所以如果有需要进行申请的企业,真需“且行且珍惜”,珍惜现在的美好时光。
好了,本期分析暂时到这里,当然资质申请中还有很多各种各样的问题、难题,比如很多企业单位经常反映的,涉密计算机使用及管理、病毒库更新、系统补丁等扣分问题,这些以后小编也会抽空整理出来,跟大家分享讨论。