信息安全已经成为国家安全的基石，直接而深刻的影响普通民众的生活和工作，涉密信息更是信息安全防护的重点。当前我国的涉密信息安全防护以涉密信息系统的安全防护和涉密人员的保密管理为重点。　　随着涉密信息系统安全防护技术不断加强和保密管理的不断完善提高，使用传统攻击手段获取国家秘密已经呈现出风险大、成本高、效果差的特点。但攻击手段和防护手段总是呈现出螺旋式上升，目前泄密事件中社会工程学攻击手段的使用越来越明显，利用民众特别是涉密单位内部人员去获取国家的机密情报，相比传统技术手段，这种方式更加隐蔽、成本更小、追踪难度更大，给国家安全带来的威胁更加严重。涉密单位的内部人员已经成为泄密事件中最活跃、最危险、最难分析的因素。信息安全木桶的短板已经发生了实质性的变化，涉密单位内部人员的信息安全防护能力成为了涉密单位和国家主管部门不得不重点考虑的问题。　　涉密单位的内部人员是涉密信息安全防护的重要力量，他们能够掌握、知悉、接触和管理涉密文件，他们的保密风险直接影响了涉密信息的安全状态。人民科学家钱学森曾强调，计算机发展的思路是“人机（网）结合，以人为主”，而不是“人机（网）结合，以机（网）为主”，只有坚持人的主导地位才能发挥系统安全最佳性能。在涉密信息系统的安全防护上，我们也应该遵循相同的思路，强调内部人员对于涉密信息安全的影响，将涉密信息系统的安全关注的重点从技术层面转移到内部人员层面，实现以人为本的涉密信息安全防护。目前针对信息系统的风险评估方法日趋完善，但针对人的保密风险评估方法研究尚处于起步阶段。　　目前对军工单位人员保密风险评估相关领域的研究不够广泛和深入，但对于军工单位来讲却是一个相当迫切的需求。本文利用成熟度理论在信息技术系统安全工程、人力资源管理领域的成功实践经验，结合我国的涉密信息系统安全测评经验，建立了适合军工单位使用的人员保密风险评估模型。军工单位人员保密风险评估模型采用了能力维度、过程维度以及人员维度的三维结构，能力维度将评估结果分为五个能力等级，和成熟度的结论具有一致性和通用性，过程维度包含了人员保密风险评估的各个方面，人员维度将内部人员按照工作类型划分了不同类型和层次进行区别评估，实现了人员评估的合理性。评估的报告适用于军工单位的保密、信息化和人力资源部门参考，是一个比较综合性的人员保密风险评估结果。　　军工单位人员保密风险评估模型能够较好的发现涉密单位内部人员在涉密信息安全防护领域的风险意识和防护能力的不足之处，可以帮助保密部门开展有针对性的安全保密培训，可以帮助信息化部门调整技术方案，可以帮助人力资源部门在引进人才时改进评估方法，对于整个单位的涉密信息安全防护能力具有重要的辅助作用。