一些SM资质(申请)单位和个人暴露出保密意识不强、规章制度落实不力、面对新形势、新情况应对措施不足等问题。针对保密检查存在的共性问题,本文对此进行了梳理和总结。
(一)国家有关标准理解不到位,责任履行存在不足。保密归口管理要求落实不到位,存在未指定归口部门或者归口部门设置不合理的情况,未将保密工作纳入绩效考核范畴。
(二)定密管理水平参差不齐,日常管理形同虚设。定密工作不规范,未按保密要求对定密责任人进行培训,存在岗位密级界定不准确、《国家秘密事项范围细目》内容编制不规范、擅自扩大知悉范围等情况。特别要提一句,新标准要求明确保密期限,但有些单位还是沿用老标准的做法,缺省了保密期限,说明单位对新标准的宣贯不彻底。
(三)保密工作“以人为本”,SM人员管理仍需加强。SM人员上岗保密审查不够严格,关键信息未及时审查到;SM人员信息备案不及时,存在漏备的情况;SM人员因私出境管理不规范,存在行前教育缺少、回访记录不全等现象;SM人员岗位变动未及时办理载体和设备的交接,特别是SM计算机的交接;SM人员离岗离职前SM载体交接清单内容记录不详实;SM人员脱密期管理不符合要求,相关内容编造痕迹明显。
(四)SM载体管控不扎实,亟须完善全生命周期管理。载体台账不完善,未能准确体现真实情况;SM载体标识、保管、借阅、传递、销毁不符合要求。
(五)保密要害管理薄弱,相关要求和制度执行不到位。保密要害部位出入登记不全、保密审批不及时;SM机房门禁未采用双因子双向的认证方式;保密要害部位视频监控记录存储时长不符合要求,入侵报警装置形同虚设,长期未开启或不了解其开启方法。
(六)信息化管控存在技术和管理漏洞,“防内”意识和应对措施不强:未对计算机机箱进行铅封处理,仅用纸质标签粘贴,计算机硬盘的物理安全存在极大风险;未对计算机启动顺序进行有效管控,存在利用PE绕过安全保密产品拷贝数据的风险;手机管理不到位,存在使用手机拍照电脑屏幕的情况;信息输出审查不严,存在压缩包里夹带SM文件输出或将SM文件按照非密文件输出的情况;非密输出未进行内容复核,甚至有些单位对此要求毫不知情;对试验、测试计算机等特殊设备管理措施不到位,存在将SM文件混入数据文件并私自通过试验设备导出的情况;SM便携式计算机使用管理不规范,存在长期借用不归还的情况。
(七)新闻宣传保密管理不够,具体工作监督缺失。对新闻宣传的管理不严,相关信息的发布未及时履行保密审批手续,其中单位微信公众号信息发布是重灾区;宣传报道的审查流程设计不合理,未准确体现归口管理的作用。