相信辦理保密資質(zhì)的朋友都了解，根據(jù)2017版《武器裝備科研生產(chǎn)單位保密資格認定辦法》在公司建立符合標準的保密體系，包括保密責任、涉密人員培訓、教育、歸口管理，保密組織機構(gòu)、保密要害設立、改造，監(jiān)督與保障，涉密計算機配置，保密工作檔案收集等等。

一、什么是保密資質(zhì)?

保密資質(zhì)就是從事保密業(yè)務或者銷售保密產(chǎn)品的資格，分為單位資質(zhì)和產(chǎn)品資質(zhì)兩種。

單位的保密資質(zhì)是指企事業(yè)單位從事涉密相關(guān)業(yè)務的法定資格。這些業(yè)務包括系統(tǒng)集成、系統(tǒng)咨詢、軟件開發(fā)、

綜合布線、安防監(jiān)控、屏蔽室建設、運行維護、數(shù)據(jù)恢復、

工程監(jiān)理、國家秘密載體印制以及國家保密行政管理部門審查批準的其他業(yè)務。

企事業(yè)單位的保密資質(zhì)按照承擔業(yè)務的范圍和等級劃分為甲級和乙級兩種。甲級資質(zhì)單位可以在全國范圍內(nèi)從事絕密級、機密級和秘密級信息系統(tǒng)集成和其他業(yè)務。乙級資質(zhì)單位可以在注冊地省、自治區(qū)、直轄市行政區(qū)域內(nèi)從事機密級和秘密級信息系統(tǒng)集成和其他業(yè)務。甲級資質(zhì)由國家保密行政管理部門許可，乙級資質(zhì)由省、自治區(qū)、直轄市國家保密行政管理部門許可。

保密產(chǎn)品資質(zhì)是安全保密產(chǎn)品的資格認定。只有具有保密產(chǎn)品資質(zhì)的產(chǎn)品才能用于涉密信息的保護。保密產(chǎn)品有多種：網(wǎng)絡類的，比如防火墻;電磁類的，比如手機干擾器;終端類的，比如主機防護;銷毀類的，比如消磁機等。原則上，用于安全保密的產(chǎn)品都可以送國家保密科技測評中心測試并申請產(chǎn)品資質(zhì)。但是防病毒類、密碼類產(chǎn)品不能申請保密產(chǎn)品資質(zhì)，這兩類產(chǎn)品分別由公安機關(guān)和國家密碼管理部門管理。國家保密科技測評中心承接對安全保密產(chǎn)品的檢測任務，按照相應的產(chǎn)品標準進行測試認證T作。

二、軍工“四證”是指

武器裝備質(zhì)量管理體系證——國軍標認證

武器裝備科研生產(chǎn)單位保密資格證——保密認定

武器裝備科研生產(chǎn)許可證——許可證認證

裝備承制單位資格名錄認證——名錄認證

三、什么是分保?

分保，是涉密信息系統(tǒng)實施分級保護的簡稱。所謂分級保護，是指涉密信息系統(tǒng)的建設使用單位根據(jù)分級保護管理辦法和有關(guān)技術(shù)標準，對涉密信息系統(tǒng)分秘密、機密和絕密三個等級實施保護。各級保密工作管理部門根據(jù)涉密信息系統(tǒng)的保護等級實施監(jiān)督管理，確保系統(tǒng)和信息安全。

與分保相對應的是等保。等保，是等級保護的簡稱。所謂等級保護是指對國家、法人和其他組織及公民的專有信息以及公開信息和儲存、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

分保的保護對象是涉密信息系統(tǒng)，等保的保護對象是非涉密信息系統(tǒng)。

四、保密風險評估的流程與方法

廣義的保密風險評估是指整體保密風險管理工作，狹義的保密風險評估則僅指對風險的分析與評價。保密風險評估的方法是指對保密管理工作可能產(chǎn)生影響和損失的風險事件進行確認的方式和手段，解決的是如何開展風險保密的問題。一般來講，風險評估工作的流程大致包括確定目標工作、風險識別、風險分析、風險評價、風險應對等。

1.目標確定。確定目標是指保密風險評估開始之初，確定風險評估的具體內(nèi)容，明確各參與部門及人員的分工，了解自身風險評估所要圍繞的目標，是在明確整體保密風險評估內(nèi)容的基礎上，各參與主體進一步明確各自的職責和要直接評估的具體對象。通常，保密風險評估是單位內(nèi)部定期循環(huán)開展的工作，這就要求每一次評估都應當有具體的目標，杜絕搞大而化之的“文字游戲”。例如，對參與風險評估工作的涉密項目實施人員，應當首先明確告知其所應反映的內(nèi)容，如涉密人員管理、涉密載體管理、項目過程控制等，既要描述出現(xiàn)行管理中存在的問題或者漏洞，又要提出針對性的建議。

2. 風險識別。風險識別是尋找和確認風險的過程，即通過對保密工作開展情況的梳理，從一個理性人的角度，客觀地查找可能出現(xiàn)失泄密事件的隱患和問題。這里所說的風險是保密風險，即對保密工作可能產(chǎn)生影響和損失的風險問題，應當具有相關(guān)性，例如某單位在保密風險評估報告中體現(xiàn)的關(guān)于食品安全的風險點，則與之無關(guān)。此外，確認的風險應當與本單位的實際情況相符，一是需要體現(xiàn)本單位業(yè)務和工作特點，二是本單位不存在的情況則無需識別，前者如涉密項目保密風險識別，系統(tǒng)咨詢類涉密項目與軟件開發(fā)等不同業(yè)務類型的涉密項目，由于它們在業(yè)務特點和工作開展方式及流程上存在明顯的差別，因此可能存在的風險也就不同。最后，識別出的風險還應當具有明確性，風險是指某種損失發(fā)生的可能性，因此風險識別的結(jié)果應當是明確什么樣的問題可能導致發(fā)生損失，具體來說，應在對風險的描述中，準確地指出問題。例如，有的風險評估報告中描述的風險點為：涉密載體管理的風險。這只指出了風險存在的方面，未說明風險具體存在環(huán)節(jié)，及其具體表現(xiàn)形式，這樣的風險就是明確的。

風險識別的方法有很多，如問卷調(diào)查法、情景分析法、流程分析法、現(xiàn)場勘查法等等。本文結(jié)合標準規(guī)定，選取流程分析法進行討論。流程分析法是對流程的每一階段、每一環(huán)節(jié)逐一進行調(diào)查分析，從中發(fā)現(xiàn)潛在的風險，找出導致風險發(fā)生的因素的過程。流程在管理工作中無處不在，研發(fā)有研發(fā)的流程，人事有人事的流程，因此流程分析法具有一定的普適性。

本文再從人員管理的保密風險評估出發(fā)，簡要介紹流程分析法的適用步驟。

(1)明確涉密人員管理工作環(huán)節(jié)，繪制涉密人員管理流程圖。涉密人員的流程一般包括涉密人員范圍的擬定、涉密人員崗前審查、培訓與考核、上崗承諾書簽訂、在崗培訓與考核、績效考核、崗位(含涉密等級)變動、在崗定期審查、本人事項變動報告、出國(境)管理、涉密人員情況報備、離崗審核、離崗提醒、脫密期管理等等。

(2)對照各管理環(huán)節(jié)所涉的保密法律法規(guī)及標準要求，查找涉密人員管理中的薄弱環(huán)節(jié)。

(3)從涉密人員管理狀況中對查找出的風險隱患進行驗證。

(4)形成本部門風險識別表。

最后：保密室主要包含：物理防護(門、墻、窗)，技防設施(監(jiān)控系統(tǒng)、紅外報警系統(tǒng)、電子門禁系統(tǒng))，人防措施(值班人員)，保密設備(涉密計算機、紅黑電源、視頻干擾器、涉密打印機、密碼文件柜等)。