保密风险评估

1、报告XXXXXt限公司201xx 年 xx 月1 / 191 概述针对公司主要业务流程进行风险评估，其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。2 评估目的通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患，分析可能面临的风险，为保密风险防控措施的落实提供依据。3 评估依据涉密信息系统集成资质单位保密标准中华人民共和国保守国家秘密法中华人民共和国保守国家秘密法实旋条例涉密信息系统集成资质管理办法4 评估内容4.1 人力资源管理风险评估根据涉密信息系统集成资质单位保密标准及公司 安全保密管理制度中 涉密人员管理制度

2、中的规定，从人员上岗、在岗、 离岗管理三方面分析公司涉密人员管理现状，对公司涉密人员管理的业务流程进行风险评估，识别并评估风险点，进而制2 / 19定由风险防控措施。4.1.1 风险级别定义风险严重程度级别参考书级别标识定义很局小果被利用，将对资产或业务造成完全损害高“果被利用，将对资产或业务造成重大损害中等“果被利用，将对资产或业务造成一般损害低"口果被利用，将对资产或业务造成较小损害很低“果被利用，将对资产或业务造成的损害可以忽略4.1.2 风险点对从事涉密业务的人员进行审查，是否符合条件，符合条件 的方可将其确定为涉密人员。是否对涉密人员进行保密教育 培训，并签订保密承诺书后方

3、能上岗。对涉密人员是否保守国家秘密，严格遵守各项保密规章制度 进行审查，是否符合以下基本条件：(1)遵纪守法，具有良好的品行，无犯罪记录；(2)属于公司正式职工，并在其他公司无兼职；(3)社会关系清楚，本人及其配偶为中国境内公民。审查公司与涉密人员签订的劳动合同或补充协议，是否已签署。公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训，培训的时间应不少于10个学时。公司是否对在岗涉密人员进行定期考核评价。公司是否向涉密人员发放保密补贴。公司涉密人员在离岗离职时，是否经公司保密审查，签订保 密承诺书，并按相关保密规定实行脱密期管理。4.1.3风险分析编号风险点描述严重程度1涉密人员资格审查

4、对涉密人员进行资格审查低2涉密人员岗前培训考核涉密人员保密教育培训考核/、严格中等3涉密人员教育培训管理对涉密人员进行保密教育与保密技能培训10学时低4涉密人员离岗离职管理对离岗离职涉密人员的保密审查到位低5涉密人员发放保密补贴对公司涉密人员发放保密补贴审查到位低4.1.4风险防控措施编号风险点严重程度1涉密人员资格审查低计划人员招聘阶段，确定该人员是否为 公司涉密人员；对涉密人员进行社会关 系的审查，确定其直系亲属是否均为中 国境内公民；若此人员为前单位离职人 员，应和前单位进行确认，确定其在其 它单位无兼职2涉密人员 岗前培训 考核中等涉密人员经过保密教育培训后，必须保 证考试合格，并与公

5、司签订公司涉密 人员保密责任书后方能上岗3涉密人员 教育培训 管理低必须严格按照相关规定对涉密人员进行教育培训，必须保证培训学时不低于io学时。公司保密工作领导小组必须对此项工作进行监督管理。4涉密人员离岗离职低涉密人员离岗离职前，保密办公司人员 必须对其在岗期间所负责的涉密信息系管理统集成的信息和资料进行审查，并确保 所有信息资料交回公司保密办；为规避 人员离职离岗后发生泄密风险，必须和 离岗离职的涉密人员签订保密承诺书， 并经公司领导批准方能离职离岗。对离 岗离职人员实行脱密期管理。5涉密人员发放保密补贴低公司应对涉密人员发放保密补贴。4.2资产管理风险评估根据涉密信息系统集成资质单位保密

6、标准及公司安全保密管理制度中涉密载体管理制度、信息系统、信息设备 和安全保密防护设备设施管理规定、资质证书的使用和管理规 定中的规定，从涉密载体管理、信息系统及设备管理及资质证书管理等方面分析公司涉密资产管理现状，对公司涉密资产管理的业务流程进行风险评估，查找风险点，并进行风险防控。4.2.1 风险级别定义风险严重程度级别参考表性别标识很高定义,果被利用，将对主要业务造成完全损彳高如果被利用，将对主要业务造成重大损害中等如果被利用、得对主要业务造成一般损害低“果被利用，将对主要业务造成较小损害很低“果被利用，将对主要业务造成的损害可以忽略4.2.2 风险点审查涉密信息设备是否符合国家保密标准，

7、有密级、编号、 责任人标识，并建立管理台帐。检查涉密信息设备的使用是否符合相关保密规定。禁止涉密 信息设备接入互联网及其他公共信息网络；禁止涉密信息设 备接入内部非涉密信息系统；禁止使用非涉密信息设备和个 人设备存储、处理涉密信息；禁止超越计算机、移动存储介 质的涉密等级存储、处理涉密信息；禁止在涉密计算机和非 涉密计算机之间交叉使用移动存储介质；禁止在涉密计算机 与非涉密计算机之间共用打印机、扫描仪等信息设备。检查涉密信息设备是否采取身份鉴别、访问控制、违规外联 监控、安全审计、移动存储介质管控等安全保密措施，并及 时升级病毒和恶意代码样本库，定期进行病毒和恶意代码查 杀。检查采购的安全保密

8、产品是否选用经过国家保密行政管理部 门授权机构检测、符合国家保密标准要求的产品，计算机病 毒防护产品应当选用公安机关批准的国产产品，密码产品应 当选用国家密码管理部门批准的产品。检查涉密信息打印、刻录等输由是否相对集中、有效控制，并采取相应审计措施。检查涉密计算机及办公自动化设备是否拆除具有无线联网功 能的硬件模块，禁止使用具有无线互联功能或配备无线键盘、 无线鼠标等无线外围装置的信息设备处理国家秘密。检查涉密信息设备的维修，是否在本公司内部进行，是否指 定专人全程监督，严禁维修人员读取或复制涉密信息。检查涉密计算机及移动存储介质携带外由是否履行审批手 续，带生前和带回后，是否进行保密检查。4

9、.2.3风险分析编号风险点描述严重程度1涉密载体台账管理建立涉密载体台账，但台账信息 不够完整。中等2涉密载体使用管理需要接收、交付、传递、保存、 销毁涉密载体时，履行了登记手 续，但需要维修时，记录不完整，中等也没有指定的维修厂家。3涉密信息设备台账管理建立信息设备台账，但台账信息不够完整中等4涉密信息设备维修、报废管理对于涉密设备的维修、报废的审批流程不够清晰中等5涉密信息设备携带管理涉密计算机携带外由，只履行登 记手续，审批流程不完整中等6涉密信息设备管理涉密计算机与非涉密计算机之 间共用打印机、扫描仪高4.2.4风险防控措施编号风险点严重问题1涉密载体台账管理中等必须按照要求建立涉密载

10、体台账，明确 涉密载体的名称、编号、密级、保密期 限等信息。并对涉密载体进行动态管理， 及时做好涉密载体的新增、减少等记录。2涉密载体使用管理中等建立涉密载体的维修商家名录，并对维 修商家的资格进行核查，当涉密载体需要维修时，只能送到指定的维修商家进 行维修。3涉密信息设备台账管理中等必须按照要求建立涉密信息设备挑战， 明确涉密载体的名称、编号、密级、责 任人标识等信息。并对涉密信息设备进 行动态管理。及时做好涉密信息设备的 新增、减少等记录。4涉密信息设 备维修、报 废管理中等建立涉密信息设备的售后商家名录，并 对售后商家的资格进行核查，当涉密信 息设备需要维修时，只能送到指定的维 修商家进

11、行维修。如必须有外来人员进 行修理时，应有保密办人员全程陪同， 必须指定专人负责，对维修人员、维修 对象、维修内容、维修前后状况进行监 督并详细记录。涉密信息设备需要报废 时，应填写设备与介质销毁保密审批 表，送交保密行政管理部门设立的销 毁工作机构或者保密行政管理部门指定 的公司销毁彻，彻底清除其中的涉密信 息后，对涉密信息存储部件和介质进行 清点、登记、销毁。5涉密信息设备携带管理中等携带涉密信息设备和介质外生，不能只 做登记处理，必须报公司保密工作领导 小组批准。未获批携带涉密信息设备外 出,公司将对携带人员和保密办公室人 员实行惩罚机制；外由时，携带人应严 格采取保护措施，介质始终处于

12、有效控 制之下，防止由现丢失、被盗、被毁以 及泄密等情况。6涉密信息设备管理高涉密计算机必须单独使用打印机、扫描 仪，不能与非涉密计算机之间共用，确 保涉密信息打印、刻录等输出相对集中、 有效控制，并采取相应审计措施。4.3涉密场所管理风险评估根据涉密信息系统集成资质单位保密标准及公司安全保密管理制度中涉密信息系统集成场所保密管理规定中的规定，从场所由入、门禁系统、监控系统、防盗报警系统等方面查看并分析公司涉密场所管理现状，对公司涉密场所管理的业务 流程进行风险评估，查找风险点，并进行风险防控。4.3.1 风险级别定义风险严重程度级别参考表11 / 19级别标识定义很高如果被利用，将对主要业务

13、造成完全损害高如果被利用，将对主要业务造成重大损害中等如果被利用，将对主要业务造成一般损害低如果被利用，将对主要业务造成较小损害很低如果被利用，将对主要业务造成的损害可以忽略4.3.2 风险点公司的涉密办公场所是否固定在相对独立的楼层或区域。检查公司涉密办公场所是否安装门禁、视频监控、防盗报警等安防系统，是否实行封闭式管理。监控机房是否安排人员 值守。是否建立视频监控的管理检查机制，公司安全保卫部门是否 定期对视频监控信息进行回看检查，保密管理办公室是否对执行情况进行监督。视频监控信息保存时间不少于3个月检查门禁系统、视频监控系统和防盗报警系统等是否定期检 查维护，确保系统处于有效工作状态。检

14、查公司涉密办公场所是否明确允许进入的人员范围，其他 人员进入，是否履行审批、登记手续，是否由接待人员全程陪同检查公司是否未经批准，不得将具有录音、录像、拍照、存 储、通信功能的设备带入涉密办公场所。4.3.3风险分析编号风险点描述严重程度1视频监控管理检查机制管理部门对视频监控信息的回 看检查/、及时。中等2视频监控、门禁、防盗 报警系统管 理对各个安防系统的检查维护不 及时，安防系统由现故障才给予 维修，造成系统无法有效工作。中等3涉密场所由入管理对非涉密人员进入涉密场所履 行了登记、审批手续，但对进入 人员是否随身携带具有录音、录 像、拍照、存储、通信功能的设 备检查不仔细，增加了涉密资料

15、 泄密风险。高4.3.4风险防控措施编号严重风险点防控指她程度1视频监控管理检查机制中等严格按照公司涉密信息系统集成场 所保密管理规定的规定，安排专人 对视频监控机房施行 24小时值班， 值班人员要每天调看视频监控录像， 并详细做好值班登记表，发现可 疑情况，立即向公司分管领导报告， 并对查看结果作书面记录。并保证视 频监控信息保存时间/、得少于 3个 月。2视频监控、 门禁、防盗报警系统管 理中等公司保密办每季度应对集成场所的 保密管理工作和安全防护设施进行 检查，对安防设施进行维护和检修， 发现问题及时整改，并建立检查整改 记录。确保制度落实、防护设施运行 正常。3涉密场所由入管理中等将涉

16、密场所相关管理规定张贴在明 显处，并对公司人员进行宣贯。进入 涉密场所的人员必须由保密办工作 人员全程陪同，严禁进入人员以任何方式私自录音、录像和摄影。4.4业务流程管理风险评估根据涉密信息系统集成资质单位保密标准 及公司安全 保密管理制度、软件开发管理制度 中的相关规定，从软件开 发各个里程碑分析公司软件开发香米管理现状， 对公司软件开发 项目管理的业务流程进行风险评估， 查找风险点，并进行风险防 控。由于公司处于资质申请阶段，没有承接涉密相关业务的资 格，既不能建设涉密信息系统，故仅能对公司目前的软件开发项目的主要业务流程进行风险评估，查找现有的项目管理业务流程是否与保密管理相融合。4.4

17、.1 风险级别定义风险严重程度级别参考表级别标识定义很高如果被利用，将对主要业务造成完全损害高如果被利用，将对主要业务造成重大损害中等如果被利用，将对主要业务造成一般损害低如果被利用，将对主要业务造成较小损害4.4.2 风险点检查公司进入委托方现场进行系统集成项目开发、工程施工、运行维护等是否严格执行现场工作制度和流程。现场项目开发、工程施工、运行维护是否在委托方的监督下 进行。未经委托方检查和书面批准，不得将任何电子设备带 入项目现场。公司是否对现场项目开发、工程施工、运行维护的工作情况 进行详细记录并存档备查。4.4.3 风险分析编号风险点描述严重程度1制度执行能力制定了软件开发管理制度及

18、开发工 作流程，但执行力度不足。高2项目进程管理需求开发制度，会发现对用户及产品的 需求分析不到位的情况，导致设计成果 和用户期望存在一定的差距中等3系统设计阶段，按照开发流程进行了设计准备、确定影响系统设计的约束因 素、确定设计策略、系统分解与设计，但撰写体系结构设计文档时不够严谨，无法将软件系统概述、影响设计的约束 因素、实际策略、系统总体结构、子系 统的结构与模块功能、系统集成策略及 开发、测试、运行所需的软硬件环境等 内容完整表述。4.4.4风险防控措施编号风险点严重程度1制度执行能力严重定期组织部门人员学习软件开 发管理制度及工作流程，形成 培训记录；部门负责人应将制度 中的各里程碑的要求落实到位， 主管领导和公司内审机构每月对 落实情况进行审查，审查不合格， 需由部门负责人作由书面说明， 并由