闲话保密委员会与信息安全委员会“两委”合一

新形势下,泄密渠道越来越互联网化和计算机化,而信息科技的不断创新让保密和信息安全越走越近,是否要实现信息安全委员会与保密委员会“两委”合一呢?两会上有代表提出了这个提议。

其实,不仅仅是保密与信息安全,很多职能都有交叉重复的地方。昆明亭长朗然科技有限公司科技有限公司信息安全与保密教育专员董志军说:将信息安全与保密“两委”合并与否,其实并不重要。因为两者之间无论如何都少不了竞争与合作,如何促进良性的竞争与紧密的合作,才是我们更应该考虑的问题。

信息安全与保密工作在侧重点方面虽然各有不同,但是将“两委”合一,如果可以发挥一加一大于二的效果,那就合了划算;如何合并起来,不但不能发挥一加一大于二的效果,反倒造成信安或保密工作的倒退或失误,那还是分开的好。这的确好像是些废话,事实上,有不少机构的保密和信息安全工作是由同一个团队负责的,特别是那些涉密行业。因为其中的大部分工作越来越近似和重合,传统上来讲,信息安全团队更具有技术优势,而保密团队更具有规程优势;而在新形势下,每个部门都想要积极出彩,都必须强化核心功能部分,同时扩充边界职能部分。如果“两委”或两个职能部门恶性竞争的话,不仅会损伤整体,也会伤及自身,好在“两委”的一把手往往都是同一位领导。

富有远见的保密委员会和信息安全委员会显然都能看到这一点,所以,及早规划和调整组织人员结构、制定“两委”分工与合作细则,是不可或缺的一项工作内容。比如,将信息安全意识宣教和保密知识宣教合并起来,不仅可以节省培训资源,更能为学员创造出单一的安全泄密事件报告接口,提升防泄密的治理水平。

说了这么多,“两委”合一与否,关键的因素还得看业务对信息安全和保密工作的需求,以及对合并之后能否发挥一加一大于二的效果评判。不过不管如何,某些交叉和重合的工作内容是绝对可以整合的,比如信息安全和保密意识的宣教。

infosec-teamwork-w-confidentiality-merge

信息化环境下的政府部门保密工作问题研究

随着国家信息化进程的不断加快,信息安全问题也越来越突出,引起了党和政府的高度重视及社会各界的广泛关注。信息安全关系到国家的政治安全、军事安全、经济安全、科技安全和社会安全,关系到改革开放和社会主义现代化建设事业的兴衰成败,党中央、国务院在部署全国信息化建设中,把信息安全保密工作提上了战略地位,指出要一手抓信息化建设,一手抓信息安全保障工作。

电子政务的推进将使政府大量的管理、服务职能采用信息化手段,借助于计算机网络来实现。在计算机网络上传输的信息具有公开透明、共享程度高、复制成本低和传送速度快等特点,这就使得保密工作面对的环境将从一个相对封闭的物理场所,变成一个完全开放的、全球性的虚拟空间。同时,信息化的核心技术被少数国家所垄断,计算机网络上存在着严重的黑客破坏活动,国际互联网成为计算机病毒传播的主要途径,加上信息化技术本身所存在的缺陷,使保密工作面临的形势将更为复杂。

一、信息化条件下政府部门保密工作的现状

信息化条件下,计算机网络的使用和各类移动存储介质的普及化,使政府部门的保密工作体现出以下特点:

(一)电子文件的应用使保密工作面临新的挑战。随着信息化的不断发展,工作文件的的形成,从起草、成文、运转到储存,正经历着“有形”到“无形”的转变。保密工作从过去单纯的纸制文件保密,逐步发展到计算机信息系统和移动存储介质等的保密。这样一来,使得通过技术手段窃密成为一种新的窃密方式,如利用黑客技术侵入内部网络窃取信息、截取互联网上传输的信息等手段被广泛使用,这就使得窃密不用通过内部涉密人员这个环节,单纯依靠技术手段就可以窃取机密信息,保密工作面临严峻的考验。

(二)泄密渠道增多。随着信息技术和通信技术的发展应用,涉密信息的可控性不断降低。计算机、复印机、传真机以及各类移动存储介质等办公自动化设备的使用,使泄密渠道增多,作为日常通讯工具的电话、手机也成为重要的泄密渠道。信息技术的发展,使得窃密技术更加先进,方式更加隐蔽,窃密行为更加难以察觉和防范。

(三)泄密的后果更加严重。由于电子政务的发展,使得数据库的应用更加广泛,各类电子文件将会集中存储在一个或数个文件中,然而不适宜以数据库形式存贮在计算机中的政府各类文件和资料,往往也会集中保管,存放在计算机的存储设备上。这就使得一次失密涉及的信息不再是零碎的、局部的,而是相关数据一次性同时失密。同时,由于电子文件所占空间小,便于复制,各类移动载体如U盘、移动硬盘等,体积小、便于携带,机密信息即使被窃取或泄露,也不会留下痕迹,不能够立即被察觉,从而无法有效地采取相应手段进行补救,致使失密后的危害增大。

(四)对保密工作人员的素质要求更高。信息化时代,保密工作人员既是各类信息的直接管理者,也是信息安全的第一责任人,要适应这样的角色要求,保密工作人员必须不断提高自身的素养,树立强烈的信息安全保密意识,努力提高信息化技术的应用能力,及时掌握最新的反窃密手段和方法,以提高自身应对复杂局面的能力。

二、信息化条件下政府部门保密工作存在的问题

随着窃密与反窃密斗争的日趋激烈、信息技术的迅猛发展、经济全球化和政府信息公开,使保密工作的环境背景发生了重大的变化,保密工作存在着一些亟待解决的问题。

(一)保密意识薄弱,管理不到位。纵观近年来发生的泄密事件,绝大多数是由于工作人员的保密意识淡薄造成的。个别工作人员在处理涉密时随意性强、疏忽大意,比如:将涉密文件、涉密资料随意存放,导致涉密文件和资料丢失或被盗;出差时携带涉密笔记本电脑,造成涉密文件资料被盗或丢失;工作中图省事、图方便,违规操作,将涉密计算机、涉密笔记本电脑违规连接互联网或局域网,或在连接互联网的计算机上存储、处理涉密信息,或将移动存储介质在涉密计算机和非涉密计算机之间交叉使用,造成泄密;在互联网上发布信息时审查不严,将涉密信息在网上发布,导致泄密等。

(二)制度建设相对落后,管理不规范。随着计算机的普及和办公自动化系统的发展,使相当一部分涉密信息的处理依赖电脑。按照规定,传统的文件从起草之时就要标注密级,并按相应的密级进行管理。但是,利用电脑处理涉密信息却没有完善的管理办法。同样的,目前多数单位对磁介质国家秘密载体的保密管理重视不够,普遍缺乏具体制度和有效措施。虽然各机关依照国家有关保密法律法规,结合实际,制定了相应的保密工作规章制度,但是在实际的保密管理过程中,对于保密规章制度的落实却并不到位,保密检查欠缺力度,保密管理中还存在一些漏洞和死角。

(三)载体管理滞后。现在存储涉密文件资料,不但有传统的纸介质,还有电脑、复印机、多功能一体机等自动化办公设备和U盘等的移动存储介质,这一类新型的电子类涉密载体在实际使用和保存上都存在不少难题。例如一台涉密的电脑很难控制只提供给一个人使用,而可能是多方公用,这就使保密工作的难度严重加大。而且,伴随电子安全技术的进一步发展,电子产品泄密的途径进一步扩大,如计算机电磁波辐射泄密、计算机剩余磁效应泄密等事件日益增多。随着载体种类的增加,相应的管理措施却没有跟上,甚至忽略了这些载体的保密,致使在诸多环节上存在泄密隐患。

(四)保密工作队伍建设有待加强。保密工作是一项长期而艰巨的工作,需要有专门的组织机构和专职的保密工作队伍。但是,有的单位至今一直没有明确保密要害部门,对保密工作的范围和职责落实不清,保密工作完全处于一种“自发”的状态中。对在涉密岗位工作的涉密人员教育不严、管理不严,没有按要求落实保密责任制。同时,懂技术、善管理的业务干部极为缺乏。

三、信息化条件下保密工作的对策

面对当前保密工作的严峻形势,各政府部门要充分认识保密工作的重要性和紧迫性,采取切实有效措施,提高综合防范能力,做好保密工作。针对信息化条件下机关保密工作暴露出的种种问题,结合实际,提出以下对策:

(一)强化保密意识教育。保密工作首要任务是强化教育,进一步增强政府部门工作人员的保密意识。除了经常性地进行保密提醒外,还要通过观看保密警示教育片、组织保密教育专题讲座以及利用政府网站等多种形式和方法,大范围高密度地进行保密教育。同时,保密教育要联系国际、国内窃密与反窃密斗争的实际,联系人们在保密工作方面的思想实际,联系具体案例,做到有的放矢,真正起到警示教育作用。要增强保密教育和宣传的针对性和实效性,重点强化各机关涉密人员的警觉性和自觉性,把保密工作的职责讲清,把泄密的危害和后果讲足,让涉密工作人员充分认识到保密工作的重要性和必要性。同步使用多种保密教育和宣传方式,特别推荐使用昆明亭长朗然公司出品的“圣诺灯”信息安全与保密意识宣传系统。

(二)建立健全保密制度。目前,政府部门保密工作的法律法规依据主要是《保密法》《保密法实施办法》等主要法律,但面对信息技术的飞速发展,保密工作也要与时俱进,建立健全新的保密制度以保证保密工作每处地方都有法可依、有据可循。在实际工作中,保密制度要结合具体情况具体落实,明确各个环节的保密管理制度,并认真贯彻和实施。

(三)加强涉密计算机系统的管理。一是做好计算机涉密信息系统保护建设工作,实行涉密信息等级保护制度,切实提高涉密网络的防范水平,增强泄密隐患和泄密事故的排查和处理能力,认真贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》精神。二是严格执行内、外网物理隔离,坚决杜绝非法互联,有效解决移动介质内、外网互用,公私混用等违规现象。三是严格执行涉密文件在传递、传阅、存储等各个环节的保护标准,堵住泄密源头。四是是妥善处理信息公开和保密的关系,严格执行上网信息安全审查工作。五是规范保密介质的使用和管理,制定切实可行的购买、管理、销毁配套制度,严防涉密信息失泄。

(四)加大保密工作检查力度,建立保密工作责任制。保密检查是推动保密工作深入开展、落实保密工作责任的重要手段。进一步加强经常性的保密监督检查,是及时发现并消除泄密隐患的重要举措。定期不定期的检查涉密计算机、非涉密计算机、自动化办公网络、移动存储介质使用管理、相关规章制度的建设和落实情况和涉密载体的使用管理情况,对存在的安全隐患要及时提出整改意见。并按照“谁使用,谁负责”的原则,督促每一位工作人员能我检查,确保保密工作万无一失。对造成失密后果的,要按照相关制度的有关规定追究责任。

四、总结

当前保密工作形势非常严峻,各位保密工作者要立即行动起来,彻底落实中央保密工作精神,及早使用业界领先的保密警示教育课件,以及百部保密警示教育短片,普及《保密法》、《保密法实施办法》等的宣传。

confidentiality-protection-law-training-course