保密风险评估方案

保密风险评估方案

目录4075_WPSOffice_Level1一、概述 325536_WPSOffice_Level1二、评估依据 313265_WPSOffice_Level1三、评估流程 38416_WPSOffice_Level1四、评估方法 316923_WPSOffice_Level21.风险级别定义 325760_WPSOffice_Level22.对原有风险点的评估。 427685_WPSOffice_Level23.新风险识别 417231_WPSOffice_Level24.部门评估 4978_WPSOffice_Level25.公司评估 425011_WPSOffice_Level1附件1：参评人员和部门提交文件一览表 625851_WPSOffice_Level1附件2：风险评估表 731307_WPSOffice_Level1附件3：风险评估汇总表 825939_WPSOffice_Level1附件4：风险评估参与人员表 918942_WPSOffice_Level1附件5：风险点列表 10

一、概述公司作为涉密信息系统集成资质单位，对保守国家秘密有相应义务并承担重要的责任。为切实有效地保护国家秘密，必须事先做好保密风险评估工作，让保密工作有的放矢。为了让风险评估达到应有的成果，并有序进行，特制定本方案。二、评估依据《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实旋条例》《涉密信息系统集成资质单位保密标准》《涉密信息系统集成资质管理办法》公司保密管理制度三、评估流程风险评估包括风险识别、风险分析、风险评价。具体评估流程如下：1.保密办根据当前已有的风险防控措施和保密管理制度出具风险点列表（见附件<风险点列表>）；2.各部门安排本部门涉密人员对风险点列表进行分析；3.涉密人员将评估结果以电子档递交本部门负责人；4.部门负责人汇总后形成风险评估汇总表，并打印签字；5.部门负责人将风险评估汇总表纸质文档和电子文档递交保密办；6.保密办汇总后出具风险评估报告。四、评估方法1.风险级别定义风险级别定义是对风险点进行风险评估的基础。根据不同的风险级别需制定不同的风险防控措施。具体定义见下表：风险等级风险级别定义很高如果被利用，将对业务或资产造成完全损害。高如果被利用，将对业务或资产造成重大损害。中如果被利用，将对业务或资产造成一般损害。低如果被利用，将对业务或资产造成较小损害。很低如果被利用，对业务或资产造成损害可忽略。2.对原有风险点的评估。参加评估的人员对原有风险点的风险等级和防控措施进行评估。评估风险等级是否准确，防控措施是否有效。对识别出的问题，按修改后的风险等级和建议防控措施填写到风险评估表中。序号按原风险点序号填写。3.新风险识别参评人员根据日常工作情况和工作流程识别出的新风险，在风险评估表中填写识别项目、风险点、风险等级和建议防控措施。序号不填。4.部门评估各参评人员把风险评估表以电子档递交到部门负责人。部门组织参评人员讨论评估结果，形成最终结论后汇总评估表。各参评人员和部门提交文件见附件。5.公司评估各部门将评估结果汇总表以电子档和纸质档递交保密办，保密办组织各部门讨论评估结果。根据评估结果提出最终评估报告，并向公司提出防控措施意见和建议。保密办

附件1：参评人员和部门提交文件一览表附件2：风险评估表附件3：风险评估汇总表附件4：风险评估参与人员表附件5：风险点列表

附件1：参评人员和部门提交文件一览表序号文件名称文档形式提交人接收人1风险评估表电子档参评人部门负责人2风险评估汇总表纸质、电子档部门负责人保密办3风险评估参与人员表电子档部门负责人保密办4风险评估报告纸质保密办保密领导小组5防控措施建议纸质保密办保密领导小组

附件2：风险评估表部门：评估人：序号识别项目风险点风险等级防控措施101102

附件3：风险评估汇总表部门：部门负责人签字：序号识别项目风险点风险等级防控措施101102

附件4：风险评估参与人员表序号姓名部门电话

附件5：风险点列表序号识别项目风险点风险等级现有防控措施人员101涉密人员上岗管理人员没有进行保密审查中上岗前先进行保密审查，填写保密审查表，审查流程为人事部－保密办－保密领导小组。102人员保密审查内容不全面中审查表主要内容见《涉密人员保密审查表》103涉密人员没有经岗前培训考核中审查完成时进行岗前培训和考核104涉密人员没有签订保密承诺书或保密协议中岗前培训和考核通过后签订保密承诺书105涉密人员在岗管理没有开展日常保密教育培训或培训内容流干形式低涉密人员每年至少接受10h保密培训。培训内容包括保密法律法规、公司制度、泄密案例、保密意识、保密常识、分级保护相关知识等内容106人员涉密等级变更没有进行审批中人员密级变更有按照相应审批流程进行。107涉密人员上岗或变更后没有及时到出入境管理局和重庆市国家保密局备案中在涉密人员上岗或变更后五日内到出入境管理局和重庆市国家保密局备案。108没有对涉密人员证件进行管理或涉密人员证件丢失中对涉密人员的因私护照、港澳通行证、台湾地区通行证进行统一管理。如需使用必须经先审批后领取。109涉密人员出国（境）没有进行审批高须先审批，后办理出国（境）。110没有对涉密人员进行定期复审中重要涉密人员每三年复审，一般涉密人员每五年复审。111没有把保密管理纳入绩效低按部门和工作岗位每月开展绩效评价112没有及时向涉密人员发放保密补贴低按月发放保密补贴113涉密人员离岗离职管理没有进行涉密人员离岗审批高涉密人员离职离岗审批表114离岗离职没有进行相关资料移交高离岗离职前要进行资料移交115涉密人员没有签订离岗保密承诺书中须签订保密承诺书116没有对离岗离职涉密人员进行保密提醒谈话中由保密办进行提醒谈话，并做好谈话记录117没有对脱密期人员进行委托管理或委托其他单位进行管理中尚未对脱密期人员进行委托管理118没有对脱密期人员进行回访中对脱密期内人员每年进行一次回访119涉密人员档案管理没有建立涉密人员档案或档案信息不全高档案信息包括：姓名、性别、身份证号、部门、职务、密级、上岗日期、在岗状态、复审日期、脱密期、是否备案120没有对涉密人员进行分类管理和动态管理中建立涉密人员台账和动态管理台账场所201涉密场所安防设备没有安防监控、防盗报警、门禁系统高有门禁、监控、防盗报警设备202没有安装铁门、铁窗，没有配备保密文件柜高有防盗门、防盗窗、保密文件柜203安防监控记录存储时间不足三个月中监控存储时长大于三个月204没有定期对安防监控设备、防盗报警设备、门禁设备工作是否正常进行检查高每月检查，目前检查人员为方武茂205没有定期对安防监控记录、门禁记录进行检查中每月检查，目前检查人员为方武茂206人员进出管理没有对出入人员进行审批、登记高除白名单人员外，其他涉密人员进出须登记、非涉密人员和外来人员须先审批再进入207没有定期对白名单进行复审中白名单人员每年一审涉密信息设备301信息设备台账没有建立涉密信息设备台账高设备台账内容包括：设备名称、型号类型、出厂编号、保密编号、密级、操作系统安装日期、硬盘序列号、IP地址、MAC地址、三合一安装情况、安放位置、责任人、设备状态、启用日期、报废日期、测评证书编号、证书有效期302涉密信息设备台账信息与实物不符低每年组织一次保密检查303信息设备使用维修没有对涉密信息设备的维修、报废进行审批和记录中有相应审批和记录304对涉密信息设备的外带没有进行审批和登记高有相应审批和记录305没有及时对使用后归还的涉密信息设备进行保密检查高对涉密电脑、涉密U盘使用后须进行保密检查载体401涉密载体台账没有建立涉密载体台账高有台账402涉密载体信息要素不全中台账内容包括：载体名称、形式、编号、份数、单份页数、密级、保密期限、来源、时间、责任人、接触范围/知悉程度、存放位置、外送退回日期403涉密载体信息与实物不符高每年进行一次保密检查404涉密载体生产制作涉密载体的生产制作没有经过审批中涉密载体生产制作须审批405涉密载体生产制作后没有登记入载体台账高制作后由保密办登记入台账406没有有效控制涉密载体生产制作、输出权限范围中目前涉密室仅一台电脑有打印刻录权限。407涉密载体借阅传递涉密载体借阅、传递给不在知悉范围内的人员高知悉范围内人员借阅须登记408涉密载体借阅、传递无审批无记录中知悉范围外人员借阅须先审批，后借阅并登记409涉密载体外送无审批、无回执高外送须先审批后外送并提交回执业务流程501项目招投标投标小组成员是为非涉密人员；高投标小组成员必须经过审批，并且为涉密人员502投标小组成员没有签订保密协议、保密承诺书或保密责任书中确定为投标小组成员后必须签订保密协议、保密承诺书或保密责任书503投标小组成员没有保密意识或保密意识不强高对投标小组成员进行保密培训或宣讲保密管理规定。加强日常保密培训工作。504投标小组成员有泄露标底的情况；高投标小组应加强对标书的保密管理，涉及记载标底的文件不能随意摆放，应视同保密材料一样保管于涉密办公室505投标文件没有定密高按照项目密级对相关文件进行定密506投标文件虽然经过定密但没有按照密件管理要求标识密级、保密期限、编号、指定接触范围和涉密等级中按照定密密级和密件管理要求对投标文件进行管理。对投票文件进行统一编号，标识密级、保密期限、编号，并确定接触范围和涉密等级。507投标文件等涉密文件没有在保密室制作或保密室不符合保密标准要求高投标文件必须在保密室制作。保密室必须有符合保密要求的铁门、铁窗、保密文件柜、门禁、监控、防盗报警等设施设备。508使用非涉密信息设备制作投标文件等涉密文件高非涉密信息设备不得带入保密室，确需带入保密室的要经过审批，做到先审批再带入。带入的非涉密信息设备不得处理投标文件等涉密信息。投标文件制作过程中应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带，投标文件编写必须在涉密办公室内进行，如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行，保密领导小组同意方可。509投标文件等涉密文件的制作没有经过审批高投标文件等涉密文件的输出做到相对集中，仅授权一台电脑进行打印、刻录等输出工作。文件制作输出时要做到先审批后输出。510投标文件等涉密文件传递没有记录高投标文件等涉密文件的所有递交、传阅、包括去向必须进行登记记录。511投标文件等涉密文件没有纳入涉密载体台账管理高投标文件等涉密文件按照涉密载体管理要求进行登记，包括载体名称、密级、保密期限、生产日期、份数、单份页数、责任人、接触范围、知悉程度、存放位置、去向等进行登记。512方案设计设计人员为非涉密人员高确定方案设计小组人员须进行审批并核实人员涉密等级。对非涉密人员或涉密等级不符合的人员不得确定为设计人员。513设计人员没有签订保密协议、保密承诺书或保密责任书中确定为设计小组成员后必须签订保密协议、保密承诺书或保密责任书后方可上岗514设计人员没有保密意识或保密意识不够高方案设计小组成员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在确定为方案设计小组成员后要进行保密教育或宣讲保密管理规定。515设计人员有泄露设计方案的情况高设计小组成员应加强对标书的保密管理，涉及方案设计的文件不能随意摆放，应视同保密材料一样保管于涉密办公室。516设计方案没有在保密室制作或保密室不能满足涉密资质标准要求高设计方案文件必须在保密室制作。保密室必须有符合保密要求的铁门、铁窗、保密文件柜、门禁、监控、防盗报警等设施设备。517使用非涉密设备制作设计方案高非涉密信息设备不得带入保密室，确需带入保密室的要经过审批，做到先审批再带入。带入的非涉密信息设备不得处理投标文件等涉密信息。方案设计过程中应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带，方案编写必须在涉密办公室内进行，如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行，保密领导小组同意方可。518在非涉密计算机上传递设计方案或涉密项目信息高必须在涉密计算机上处理涉密项目，不允许在非涉密计算机上处理或传递涉密项目信息。也不允许将涉密信息通过任何方式拷贝、复印拿出涉密办公室。519设计方案等涉密文件的制作没有经过审批高设计方案等涉密文件的输出做到相对集中，仅授权一台电脑进行打印、刻录等输出工作。文件制作输出时要做到先审批后输出。520设计方案等涉密文件传递没有记录高设计方案等涉密文件的所有递交、传阅、包括去向进行登记记录。521设计方案等涉密文件没有纳入涉密载体台账管理高设计方案等涉密文件按照涉密载体管理要求进行登记，包括载体名称、密级、保密期限、生产日期、份数、单份页数、责任人、接触范围、知悉程度、存放位置、去向等进行登记。522合同签订涉密合同信息泄露高涉密合同的签订过程必须是涉密人员参与，并有相应知悉权限，对涉密合同的送交应采用专人递送，严禁采用普通快递、邮件等无保密措施的递送方式。523设备采购设备采购人员不是涉密人员高设备采购人员须进行审批并核实人员涉密等级。对非涉密人员或涉密等级不符合的人员不得确定为设计人员。524设备采购人员没有保密意识或保密意识不够高方案设计小组成员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在确定为方案设计小组成员后要进行保密教育或宣讲保密管理规定。525设备采购过程中，供应商泄露项目信息中涉密项目的设备采购应单独采购设备采购应为专人，不与其它项目的设备一起采购，与供应商签署保密承诺书,并承诺不泄露项目信息、设备价格。526现场实施涉密项目主要参与人员不是涉密人员高涉密项目签订的涉密合同必须由专职涉密人员进行登记、归档，存放于涉密办公室内的密码文件柜内。527没有对项目施工人员、第三方厂商调试人员等非涉密人员进行管理高要求通过对所有项目参与人员包括施工人员、第三方厂商调试人员等非涉密人员登记身份信息、联系方式等，加强管理。528项目参与人员没有保密意识或保密意识不够高对于主要项目参与人员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在确定为项目参与人员后要进行保密教育或宣讲保密管理规定。对于参与项目的其他非涉密人员在参与前要进行保密教育或宣讲保密管理规定。529涉密项目参与人没有签订保密协议中对确定的主要项目参与人和其他非涉密人员参与人必须签订保密协议、保密承诺书或保密责任书后方可上岗530涉密项目参与人信息没有报保密办备案，或涉密项目人员发生变化没有报保密办备案高涉密项目参与人确定后须要报保密办备案，备案后方可实施。项目负责人要对人员进行动态管理，对项目实施过程中人员发生变动和变化的，要及时报保密办备案。531项目实施前没有制定保密工作方案并交保密办备案中项目负责人在项目实施前编制项目保密工作方案，方案交保密办备案后项目方可实施。532项目实施过程中产生制作涉密载体没有经过审批高项目实施过程中严禁在外私自打印刻录涉密载体，产生制作涉密载体的输出做到相对集中，仅授权一台电脑进行打印、刻录等输出工作。文件制作输出时要做到先审批后输出。533项目涉密载体没有标识密级、保密期限，没有统一编号，没有规定接触范围和知悉程度高按照定密密级和密件管理要求对项目实施过程中产生制作的涉密载体进行管理。对涉密文件进行统一编号，标识密级、保密期限、编号，并确定接触范围和涉密等级。534项目载体文件没有定密高按照项目密级对相关文件进行定密。相关文件包括方案、图纸、施工日志、验收资料和验收报告等535没有建立项目涉密载体管理台账高项目涉密载体等涉密文件按照涉密载体管理要求进行登记，包括载体名称、密级、保密期限、生产日期、份数、单份页数、责任人、接触范围、知悉程度、存放位置、去向等进行登记。536在施工过程中有涉密人员离职或调岗，导致涉密信息泄露中调岗或离职的涉密人员必须进行脱密期处理，并签署涉密人员离岗保密承诺书。不得在脱密期间出国