瞎扯国有企业保密工作1

企业保密工作是管理技术的组成部分，所以国企的领导，必须掌握一点保密技术。下面瞎扯一点。

前几天CCTV在报道西南某单位泄密导致巨大损失。

按照我的理解，这种泄密是最简单的泄密，其实是各岗位不作为导致的，并非是保密体系出问题了，而是体系执行的人出问题。

中国的国有大型制造业，就算不是专业军工企业，也一般都有一些需要保密的部门，或多或少都有军工任务，有的是一个分厂，有的是一个车间，有的是一条生产线。

一般情况下，我国大型国有制造业企业的保密工作第一责任人是总经理或厂长，出问题首先找这个人问责，因为我们《保密法》就是这样规定的：“谁主管，谁负责，党政一把手对本单位要害部位管理负全面责任”。所以国企的领导对保密工作是很熟悉的，一切以不熟悉工作，疏忽来推卸责任的都是耍流氓，因为他不熟悉这块工作，任职资格考核根本就无法通过，就无法上任。

目前世界上主要保密体制是两种，一种是美国式的分权保密，也即定密，执行，监督，解密权力分离；一种是来源于苏联的保密体制，属于集权保密，由一个保密行政管理机构负全部责任（我国是给国家保密局）。我们制造业的保密体制是与156项一起从苏联引进的，与美国保密体制不同。

在介绍之前，先得普及一下保密的基本工作流程。

一、保密工作基本流程

1、定密

保密首先得有密可保。所以首先得确定什么是需要保密的，这就是定密。（定密一般必须有法律理由，美国是宪法及其一堆法律，中国是《保密法》及一堆国务院和部委的规章制度）。

定密是一个工作流程，包括规定定密标准、密级、定密范围、保密期限、保密标识、定密禁止和限制、定密异议等的工作方法，操作流程，作业规范，专业标准。

一般说来，我国大型国有制造业企业有专业的部门负责做出定密初步建议方案，然后报上级主管部门，例如企业主管的中央部委的保密委员会和国家保密局，由他们决定批准保密方案（有时他们决定不了，还得上报更高当局，甚至中央军委）。一般定密的人员都是行业内的专家。

我国目前保密级别分：绝密，机密和秘密三级，低级别的机构和个人没有权力知道高级别秘密。

我国国企的定密范围一般包括：立项、调研、可行性报告、概念设计、计划任务书、合同、项目文件、初步设计、工程设计、工艺设计、验证产品、原型产品、各种定型试验、成果鉴定等完整过程，以及上述过程中的各种计算、设计、验证等各环节产生的小结、报告、软件程序、实验数据等阶段成果，以及研发人员在研究过程中的构思、草图、原始记录等等都是保密对象。

目前我国在军工企业，大概生产战略武器的是绝密级（例如核武器，洲际导弹，反导系统，核潜艇，侦查卫星，预警系统，电子战和指挥自动化等等），生产一般常规武器的是秘密级（例如陆军单兵武器等等），其他介于其中的是机密级。但是这个规律有时也不一定对，例如一些生产特殊材料的企业和有特殊工艺技术的企业是机密级。退出现役的常规武器会解密。

2、定密权授予

定密是一个巨大的权力，因为一旦被批准保密，保密对象就会获得法律授予的各种豁免权力，例如银行账号，银行存款，企业内部资料等等全部进入保密，非特殊单位授权（一般是定密方案批准单位）无权了解，也不能公开，甚至一般军警宪特单位都无法进入。例如法院，检察院，公安部门都无权查看企业的进入保密程序的资料，也无权监督（例如很多巨型企业的保密方案是中央军委批准的，一般地方司法机构只能望洋兴叹）。所以定密权是一个与拥有暴力机构使用权力一样的垄断权力。

谁能拥有定密权，目前虽然有保密法之类限定，但是实际操作其实复杂得很。我国目前定密权是需要详细的书面权力授权清单确定的，并需由更高级官员（一般必须高两级的保密机构授权，国家保密局授权必须最高当局）。

目前我国规定绝密级定密除非特殊授权，一般由国家保密局决定，机密级定密可以由省级保密局和部委保密委员会决定，秘密级定密可以由地市级保密局决定。不过任何涉及军事秘密的定密，全部由中央军委决定。

我国国企目前定密依据包括《国家秘密及其密级具体范围》；上级部门下达的《计划任务书》、《合同书》及协作单位的《协议书》标定的密级等等。

密级变更依据包括《科学技术保密规定》；《关于国防科学技术成果国家秘密的保密和解密办法》；《国防科技工业定密与变更密级管理要求》。

岗位定密依据主要是以项定岗，以岗定人。

目前我国国企定密的责任部门为企业的涉密部门、保密办公室和保密委员会。企业接到上级部门下达的密级项目后，企业保密委员会会组织队伍分解秘密环节，拟定定密方案，并报国家保密管理机构审批。

密级项目定密程序一般是项目负责人在项目下达十日内以项目合同书、协议书、任务书等的密级和保密期限为依据，填写《项目密级审批表》和《涉密项目基本信息登记表》，并附合同书、协议书或任务书，报所在部门负责人审核，部门负责人签署初审意见后报保密办公室审核，最后报公司分管保密工作负责人、保密委员会审批。各级审核、审批时间累计不得超过十日。然后根据密级报国家保密管理机构审批（绝密报国家保密局，机密报部委保密委，秘密报地方保密局，或直接报中央军委）。

秘密载体定密程序一般是由秘密载体材料起草人在秘密载体制作之前，根据相关规定提出密级意见，填写《秘密载体密级审批表》，经部门负责人签署初审意见后报总经办审核，最后报公司分管保密工作负责人、保密委员会审批。各级审核、审批时间累计不得超过十日。然后根据密级报国家保密管理机构审批（绝密报国家保密局，机密报部委保密委，秘密报地方保密局，或直接报中央军委）。

岗位定密程序一般是涉密部门或密级项目负责人按照涉密岗位等级界定原则和具体范围，对本部门或本项目涉密岗位和岗位涉密等级逐一做出初步界定，并填写《涉密人员基本信息登记表》和《涉密人员涉密等级审定表》，新进入涉密岗位的人员还需填写《涉密人员资格审查表》，报保密办公室审核后，报公司分管保密工作负责人、保密委员会审批。各级审核、审批时间累计不得超过十日。然后根据密级报国家保密管理机构备案（绝密报国家保密局，机密报部委保密委，秘密报地方保密局，或直接报中央军委）。

新进入涉密岗位的涉密人员的资格审查随时进行，涉密人员资格审查每5年复审一次。

3、保护措施

定密确定后，就是对秘密的保护措施。也即保护到什么程度。保密的的成本非常高，过度采取措施，得不偿失。

保密措施最简单的就是接触秘密的人员资格限制、资格审查和接触秘密流程的复式监控；涉密人员的行为规范监控，保甲连坐执行监控和接触秘密人员行踪追溯；涉密信息的分发范围控制和信息追溯；对外界人员与涉密人员接触的监控和资格审查等等。

保密措施成本最高的就是定向对可能窃密或泄密的人群长期24小时跟踪和监控。

4、解密和降密

任何秘密都有解密的一天。但是谁有资格决定解密，却是大问题，一般要承担巨大的政治风险或技术风险，也即责任巨大。所以解密权限一般掌握在最高当局特别授权并有失察豁免权的机构手里（例如保密局或保密委员会）。

有权解密机构或单位决定授权对某一秘密解密后，就要向非秘密管理单位移交解密降密文档（例如从保密室移交到公开的资料室），解密信息系统代码，解密技术审查。这些技术问题其实都很简单，是例行公事的流程。但是确定解密的范围和内容，需要最高当局政治决定或授权相关专业机构做成本效益评估，权衡得失利弊，当解密获得得政治利益和经济利益远远大于其风险时，才会决定解密。

5、保密实施和审查

美国，中国（引进苏联模式，与现在俄罗斯保密体系也已经不完全一样）在保密实施办法制定的机构及实施办法的具体内容上是不同的，国家保密管理机构的主要职能也不同。总的来说，美国是分权的，也即定密，定密复议机构，保密措施实施监督机构等等是分别设立的，相关权力也是分散的，互相监督，互不信任（例如保密监督权属于美国部际安全定密复议委员会，包括国务卿、国防部长、司法部长、中央情报局局长、国家档案馆馆长、总统国家安全助理等高级官员组成，保密执行权属于信息安全监督办公室(isoo)，它对美国总统负责，对美国联邦整个行政机关的保密制度执行进行监督,对各机关重要的保密决定进行审查,协调行政机关间有关保密制度的事项,对各个行政机关进行现场检查,接受来自各方面的意见和申诉,并向总统报告总统命令的执行情况等等。 行政机关的一些重要的保密行为要得到它的批准。它还会对各个行政机关的保密制度和保密行为进行成本核算,搜集整个行政机关在保密制度的执行和运作中的各种信息）。而中国的保密管理机构设置、规则程序和主要职能基本是统一在一个权利单位内的，所以处理涉密信息的部门领导需要承担的责任是无法推卸的。相对来讲，中国保密体系成本低，效率高，但是风险大，一旦被突破，就全盘突破。

6、保密计划

保密工作分流程型保密和项目型保密。

流程型保密，是持续保密，与企业生产流程相伴始终，企业一天不结束，保密计划一天不取消，没有明确的起止时间和终止条件。

项目型保密计划，与项目进度一致，有明确的起止时间，项目结束，保密计划结束。

中国，美国对重大项目都有特殊的保密计划，例如美国的曼哈顿工程，北极星工程，中国的就更多了。两个国家的项目保密计划的特点都一样：人盯人防守，保甲连坐，复式控制。

在国有制造业企业中，主要的保密工作还是连续型的流程型保密计划。

必须强调一点是企业保密制度来自于国家保密体系，而不是自己想当然的原创。甚至企业保密工作的主导者不是企业自己，而是国家保密机构。

例如美国《接触秘密信息的规定》和《关于政府雇员、合同雇员接触国家秘密信息资格的审查制度》都有为政府服务的合同商、顾问、中介组织等在接触或知悉国家秘密时，需要专门机关进行安全性审查的硬性规定。俄罗斯《联邦国家秘密法》和《保密许可证管理条例》等也一样。

目前我国国家保密局对涉及国家秘密制造、涉及国家秘密的信息系统集成和武器装备科研生产单位，实行了保密资质管理。这是符合国际惯例的。在美国和俄罗斯，企业保密工作管理的实际负责人都是政府部门，而不是企业自己。

美国是国家安全委员会负责为国家工业安全方案提供全面的政策指导，信息监督管理局负责国家工业安全方案的执行与监督，监督政府部门、订约单位、执照持有单位和被授权单位的工作，确保其全面贯彻有关要求，并有权对有关单位执行国家工业安全方案的情况进行实地检查。

而俄罗斯是联邦部际保密委员会负责统一协调管理保密许可证颁发工作，审查企业许可证申请，组织专门评估和考核，颁发、中止或吊销许可证。各授权机关每季度向部际保密委员会报告颁发和吊销许可证情况，例如国防部负责所有私营企业涉密信息设施的管理、检查和鉴定；国家情报局负责地方政府部门和私营企业有关情报资源渠道、方法和活动等涉密信息方案和设施的管理；从业活动中使用国家秘密情报的企业，由联邦安全局及其地方机关、联邦对外情报局负责颁发许可证；从事信息保护设施建设的企业，由联邦技术和出口监督局及其地方机关、联邦对外情报局、联邦国防部和联邦安全局负责颁发许可证；为涉密活动提供服务的企业，由联邦安全局及其地方机关、联邦对外情报局负责颁发许可证。

而且企业的保密项目规定很周详，项目也不是企业自己能够决定的。

例如美国第12829号总统行政命令《国家工业安全法案》规定，为保护国家利益，美国政府需要与非政府组织签订合同、颁发证书和授权；并对保护联邦政府提供给联邦政府订约单位、执照持有单位和被授权单位秘密信息的安全做出了专门规定。要求在有关业务活动中需要接触秘密信息的单位，对该信息应当采用与政府行政部门内部保密方式相同的方式加以保密，不管这些信息是经过政府部门提供给先前、目前或未来的订约单位，还是提供给执照持有单位、被授权单位。

再例如《俄罗斯联邦国家秘密法》则规定，企业使用国家秘密情报、从事信息保护设施建设和为涉密活动提供保密服务时，应按照联邦政府规定的程序，获取相应的保密许可证。

美国《国家产业安全规划》规定，国土安全部作为地方政府和私营部门安全保密项目的执行机构，负责鉴定、监管和定期检查地方各政府部门的涉密信息设施；根据主管部门要求确认人员安全资质，存档备案人员安全许可证明；制订和完善地方政府涉密信息设施的安全管理规定；制定地方政府和私营部门的安全培训计划。

俄罗斯《保密许可证管理条例》规定，发放保密许可证前应当首先对企业进行专门的评估和考核，具体审查内容是：检查企业是否遵守俄罗斯联邦保密法律法规，是否采取有效措施保护国家秘密，是否设立保护国家秘密的机构、配备一定数量的工作人员，是否设有符合保密要求的保护设施。颁发许可证的机关可以建立专门的评审机构负责评估和考核工作，评审机构应当首先获得许可证。

待续