风险评估方案（word版）

1、传播优秀Word版文档 ，希望对您有帮助，可双击去除！ 保密风险评估方案一、目的对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估，识别、分析和评估业务流程中存在的风险，提出具体防控措施。二、评估的对象、范围通过系统集成业务项目、涉密人员、涉密信息设备与载体介质、保密管理及涉密场所等主要管理活动进行保密风险评估。三、方法与参与人员公司成立保密风险评估工作小组，组长为主管保密工作的负责人，组员为综合管理中心、销售部、交通工程事业部、移动警务事业部负责人。组长职责为监督保密风险评估工作，解决保密风险评估工作中出现的重要问题；审批保密风险评估方案、文件、报告；为公司顺利开展保密风险评估工

2、作提供人力、财力、物力等条件保障。组员职责为负责依据各自业务流程，对保密风险进行识别、分析和评估，提出具体防控措施；负责实施防控措施并整改。组员通过讨论、走访调研、流程梳理、检查等方式对保密风险进行识别、分析和评估，制定具体防控措施。四、风险等级本公司确定相应风险等级为严重、重要、一般三个等级，严重风险等级是指该风险失控会造成严重的安全和利益损害；重要风险等级是指该风险失控会造成较为严重的安全和利益损害；一般风险等级是指该风险失控会造成一定的安全和利益损害。对于严重和重要风险等级，要制定防范措施，对于一般风险等级，在日常保密检查中实施监控整改。五、主要管理活动公司保密风险从涉密人员、涉密场所、

3、涉密信息设备与载体、涉密项目、保密管理等方面进行识别、分析和评估。六、评估日期范围从2018年7月1日2018年11月30日七、主要风险识别、分析和评估及防控措施风险名称风险点内容风险等级产生原因防控措施责任部门涉密人员资格风险涉密人员资格是否符合规定基本条件要求严重理解标准不够，涉密人员有严格的身份政审要求。1、对涉密人员进行资格审查，须符合以下基本条件：综合管理中心保密办传播优秀Word版文档 ，希望对您有帮助，可双击去除！A社会关系清楚，本人及配偶为中国境内公民；B热爱祖国，拥护中华人民共和国宪法；C公司正式职工，并在其他单位无兼职；D品行端正，作风正派，无不良嗜好；E社会关系清楚，遵纪

4、守法，无违法犯罪记录；F具备胜任涉密岗位所要求的业务素质和能力；G无其他可能影响国家安全利益的倾向。2、综合管理中心会同保密管理综合管理中心、交通工程事业部、移动警务事业部、总工室、销售部依据公司涉密岗位，把在涉密岗位工作的人员拟定为涉密人员，均定为一般涉密人员。3、对通过保密资格审查的人员，经人员所在部门主管、公司保密工作负责人审核，公司总经理审批确定为涉密人员。涉密人员上岗前风险涉密人员在正式进入涉密岗位工作前上岗要求、保密教育培训缺失一般没有对涉密人员上岗前有具体要求1、涉密人员在正式进入涉密岗位工作前，综合管理中心会同保密管理综合管理中心组织与涉密人员签订保密承诺书；2、涉密人员应参加

5、保密教育培训经考核合格后才能上岗，综合管理中心负责把岗前保密教育培训纳入年度培训计划中。涉密人员岗前保密教育培训时间应不少于2学时，内容包括当前保密工作主要形势、保密法、相关涉密资质标准及保密承诺书内容等。综合管理中心保密办涉密人员在岗资格风险涉密人员在岗期间资格基本条件发生变化严重已审批涉密人员自身条件变化未进行管理1、公司发现涉密人员有重大异常情况时，要及时向浙江省国家保密局报告，并采取必要的补救措施。涉密人员个人有关事项发生重大变更时，要及时向保密管理综合管理中心报告。综合管理中心每年年底掌握涉密人员涉密人员重大事项变化情况。2、公司对涉密人员进行复审，一般涉密人员每5年复审一次。涉密人

6、员发生岗位变动或涉密等级调整时，及时进行复审。涉密人员个人情况发生重大变化的，要根据工作需要，视综合管理中心保密办传播优秀Word版文档 ，希望对您有帮助，可双击去除！情况进行复审。复审中发现涉密人员不宜继续在涉密岗位工作的，应立即终止其涉密资格，调离涉密岗位，并采取相应措施消除泄密隐患。涉密人员在岗教育培训风险涉密人员在岗教育培训缺失一般没有培训计划或未实施培训计划1、综合管理中心负责把在岗保密教育培训纳入年度培训计划中，公司结合涉密岗位专业要求，组织对在岗涉密人员进行专门教育培训，年度培训时间应不少于10学时。内容包括保密工作指导思想、方针政策法律、法规、标准及保密制度、保密技术防范知识及

7、措施、网络安全保密知识及防范措施及其它保密宣传教育内容等。2、保密教育培训要有具体培训教材，如有考试，须有成绩单。3、涉密人员长期无故不参加保密教育培训或多次考核成绩不合格的，将其调离涉密岗位，取消其从事涉密工作的资格。4、保密教育培训的情况和考核成绩要记入涉密人员档案，并作为评选先进及年度考核的重要依据。综合管理中心涉密人员出国（境）风险涉密人员出国（境）未经审批及教育缺失一般未履行审批未进行教育1、涉密人员出入境证件护照、通行证等上缴公司综合管理中心统一保管，并承诺对于护照和通行证等未上缴的，后果自负。2、涉密人员在岗因私出国（境），保密工作领导小组审批同意后办理手续。综合管理中心会同保密

8、管理综合管理中心对其行前保密提醒谈话，谈话应由两人以上参加，并与之签订涉密人员因私出国（境）保密承诺书。3、涉密人员出国（境）可能对国家安全造成危害或对国家利益造成重大损失的，公司严禁批准其出国（境）。 4、涉密人员出国（境）回国10日内，综合管理中心会同保密管理综合管理中心对其在国（境）外期间的有关情况进行回访。综合管理中心保密办传播优秀Word版文档 ，希望对您有帮助，可双击去除！5、涉密人员因私出入境证件，在回国（境）10日内，交综合管理中心统一保管。6、涉密人员经审批取得出入境证件后，因故未按时出国（境）的，应及时将申领的出入境证件交综合管理中心统一保管。7、涉密人员逾期不上交出入境证

9、件或不执行上述证件管理规定的，暂停其因私出国（境）审批。涉密人员离岗离职风险涉密人员离岗离职未经审批及教育缺失一般未履行审批未进行教育1、涉密人员离岗离职前要由综合管理中心、涉密人员所在部门及保密管理综合管理中心审核，总经理批准。2、涉密人员离岗离职前，须清退所有涉密项目、涉密载体（包括电子文件）、涉密信息设备物品等，办理清退手续。3、涉密人员离岗离职前，综合管理中心组织与其签订离岗离职保密承诺书。4、涉密人员离岗离职前，综合管理中心及保密管理综合管理中心对其进行保密提醒谈话并记录，告知其承担保守国家秘密的法律义务，参与谈话的不少于2人。5、涉密人员实行离岗离职脱密期管理，一般涉密人员脱密期限

10、为半年。6、脱密期内人员不得到境外（驻华）机构、组织及外商独资企业工作，不得为境外（驻华）机构、组织、人员及外商独资企业提供劳务、咨询或其他服务。如发现脱密期内人员上述从业情形的，公司应及时报告浙江省国家保密局。综合管理中心销售部事业部离岗离职出国（境）风险离岗离职出国（境）未经审批及教育缺失一般未履行审批未进行教育1、脱密期内人员未经批准不得出国（境），确需申请的，根据公司在岗涉密人员出国（境）管理的有关程序要求办理。脱密期内人员现所在单位进行出国（境）审批时，须征求本公司的意见。2、脱密期内人员的出入境证件仍由本公司保管，经批准同意出国（境）的，凭现所在单位审批手续向本公司办理领用手续，具

11、体管理要求根据公司在岗涉密人员出国（境）管理的有关证件管理程序要求执行。综合管理中心保密办传播优秀Word版文档 ，希望对您有帮助，可双击去除！涉密人员脱密期资格风险涉密人员脱密期期间资格基本条件发生变化严重级脱密期期间涉密人员自身条件变化未进行管理1、脱密期内人员，本人情况发生重大变化等情形，根据公司在岗涉密人员个人重大事项报告要求，及时向本公司报告。2、保密管理综合管理中心每季度对脱密期内人员进行回访。3、对脱密期限届满的离岗离职的原涉密人员，公司要及时向浙江省国家保密局提交办理相关撤销备案的书面申请，办理撤销备案手续。保密办涉密人员考核风险涉密人员奖惩不严，一般未进行有效的考核1、每月对

12、涉密人员发放保密津贴；2、制定涉密人员奖惩制度进行考核。综合管理中心保密办涉密信息设备采购风险涉密信息设备采购不符合相关要求严重未按标准要求配置采购1、公司的涉密信息设备经总经理批准后由保密管理综合管理中心负责采购。2、采购应优先选用国产设备，确需选用进口设备的，应进行详细调查和论证，不得选用国家保密局禁用的设备。保密办涉密信息设备配发风险涉密信息设备配发不符合相关要求一般未按标准要求标识，责任人不清。1、涉密信息设备须有密级标识，包括设备编号、设备名称、部门、责任人、密级等信息。2、当涉密信息设备使用人或密级等发生变动时，应及时更新，粘贴新标识。3、确定涉密信息设备的责任人，办理配发领用手续

13、。如因工作需要、岗位调动或离职等原因，涉密信息设备责任人需要变更，办理变更手续。综合管理中心保密办涉密计算机安全策略配置风险涉密计算机安全策略错误严重未按标准要求配置安全策略1、必须依据涉密计算机的密级，安装必要的安全保密产品。2、安全保密产品应按照保密要求管理和使用，并根据安全策略文件进行设置和部署，不得随意更改。3、由专人负责涉密计算机违规外联、端口管理及移动存储介质使用保密管理系统的安装。4、由专人负责涉密计算机安全打印审计系统和光盘刻录审计系统的安装。综合管理中心保密办传播优秀Word版文档 ，希望对您有帮助，可双击去除！涉密计算机病毒风险涉密计算机感染病毒一般未按标准要求安装杀毒软件

14、及未及时更新杀毒软件1、涉密计算机须安装经公安机关认证的国产瑞星、金山或其他杀毒软件。2、每次以不超过15天升级病毒和恶意代码样本库，进行病毒和恶意代码全盘查杀。3、采取刻录一次性只读光盘或单项导入的方式，将计算机病毒和恶意代码升级样本库导入涉密计算机，不得通过互联网或其他公共信息网络进行在线更新。综合管理中心保密办涉密计算机身份鉴别风险涉密计算机无开机、登录及屏保密码严重未按要求设置开机、登录及屏保密码1、由专人负责设置涉密计算机基本输入输出系统（bios）开机密码、操作系统登录口令及屏幕保护口令。2、秘密级涉密计算机口令长度不得少于8个字符(口令采用大小写英文字母、数字、字符混合方式，不得

15、单独采用大小写英文字母、字符或数字设置口令)。3、更换口令周期不得超过30天，同时须设置屏幕保护程序启动时间，时间设置不超过10分钟。4、设置开机密码输错5次后的锁定时间为480分钟。保密办涉密信息设备携带外出风险未经审批擅自携带涉密笔记本电脑或涉密U盘外出一般未经审批擅自携带1、携带涉密电脑或涉密U盘外出前，须经批准后方可外带。2、携带涉密电脑或涉密U盘外出，应采取有效防护措施，随时掌握涉密电脑或涉密U盘的去向，确保其在有效控制下，不得携带涉密电脑或涉密U盘参加涉外活动。3、涉密电脑或涉密U盘带出前及带回后须由专人进行保密检查。综合管理中心销售部事业部涉密信息设备维修风险未按规定维修涉密信息

16、设备一般未按规定维修1、涉密信息设备需要维修时，办理相关审批手续。2、如在公司内部进行维修，须有专人全程监督，严禁维修人员读取或复制涉密信息。3、如无法在公司内部进行维修的，送外维修。4、送外维修须拆除硬盘等涉密信息存储部件。5、送外维修须送交有保密维护资质的单位维修，并与维修单位和维修人员签订保密协议书。综合管理中心保密办传播优秀Word版文档 ，希望对您有帮助，可双击去除！6、严禁未经批准擅自将涉密信息设备送交非指定单位维修。涉密信息设备报废销毁风险违规报废销毁涉密计算机、涉密U盘、打印机、复印机一般未按规定报废销毁1、不再使用或无法使用的涉密计算机、涉密U盘、打印机、复印机等需要报废时，

17、办理相关销毁审批手续。2、将所有存储过涉密信息的硬件、固件、存储介质及无法拆除存储过涉密信息的硬件、固件等整机由保密管理综合管理中心送交浙江省国家保密局指定的单位进行销毁，并由公司两人涉密人员以上押送。3、不得私自销毁涉密计算机、涉密U盘、打印机、复印机等。4、严禁涉密计算机、涉密U盘、打印机、复印机改作非涉密设备使用。综合管理中心保密办涉密场所位置风险涉密场所所处位置不符合严重未按规定选择所处位置1、采用相对安全独立的区域作为保密室。2、实行封闭式管理，保证周边环境安全可控。综合管理中心涉密场所安防风险涉密场所内外安防不符合严重未按规定安装内外安防设施1、保密室安装防盗门、铁护栏防盗（窗）。

18、2、安装独立自主可控门禁系统。3、保密室周边过道、门口内外及保密室窗口安装视频监控系统。4、保密室窗口安装有线防盗报警系统。5、保密室内禁止安装、使用无绳电话、手机和其它无安全保障的通信设备。6、保密室配备密码文件柜、碎纸机等安全可靠的设备。综合管理中心涉密场所人员进出风险保密室人员随意进出重要未规定进出保密室人员范围1、保密管理综合管理中心对进入保密室的人须根据工作需要进行门禁授权审批，确定进入保密室的人员范围。2、门禁授权的增加、减少或变更应严格履行审批手续。3、对发放的门禁卡或录入的指纹进行登记，未经批准禁止无关人员进入，门禁后台应能查看进出时间及人员信息。4、非涉密人员因工作需要进入保

19、密室的，须经批准，由保密室的相关涉密人员全程陪同监管。综合管理中心保密办传播优秀Word版文档 ，希望对您有帮助，可双击去除！涉密场所带入电子设备风险进入保密室的人员随意带入手机、有录音、录像、拍照、信息存储等功能的设备一般未经审批1、保密室门口安放储存柜。2、进入保密室的人员，须把手机、有录音、录像、拍照、信息存储等功能的设备存放在保密室门口的储存柜中，未经批准禁止携带上述物品进入保密室。综合管理中心销售部事业部涉密项目承接风险涉密项目投标标书不符合要求送达一般未按规定送达标书1、标书须由涉密人员专人或通过纪要通道送达给指定地点进行投标。2、标书的包装要安全可靠包装密封，密封袋上应标明密级、

20、编号和收发件单位名称等，携带涉密项目标书的外出人员应确保涉密文件资料始终处于有效控制下。3、携带涉密项目标书外出送达经批准后方可外带，并在带出前须由专人进行保密检查。4、送达标书应办理送达接交手续。5、涉密项目落标时，相关的投标保密资料须统一收缴上交招标部门或经公司审批自行销毁。销售部事业部涉密项目信息知悉风险涉密项目信息知悉范围扩大严重未规定知悉范围1、成立项目小组，确定项目经理及成员。2、明确项目组成员里的管理人员、技术人员、实施人员、保密检查人员分工职责，项目成员签订项目保密承诺书。3、该涉密项目的知悉范围只能是项目组成员。4、项目组以外的人员要知悉项目信息，须经过批准。销售部事业部涉密项目实施风险涉密项目实施各环节管控未到位一般未按项目实施流程进行1、在涉密项目合同签订后及实施中，项目经理组织项目组成员召开项目例会，必要时保密管理综合管理中心参加。 2、在项目实施前，由项目经理编制项目保密实施方案并提交保密管理综合管理中心备案登记。3、保密管理综合管理中心、技术中心或项目组保密检查人员应在涉密项目实施过程中监督检查保密工作情况，在检查中发现的问题要进行整改的，整改结束后由保密管理综合管理中心进行复查。保密办综