保密风险评估报告

1、XXXXXXXXXXX 公司保密风险评估报告（2020 年度）编制：XXX 审核：XXX 批准：XXX日期：202X 年 X 月 X 日保密风险评估报告（202X 年度）一、单位概况：XXXXXXXXXXX 公司（以下简称“公司”）成立于 X 年，现注册资本约X 亿元，注册地XXXXXX。XXXX XXXX XXXX XXXX二、评估目的与范围保密风险评估的目的保密风险评估是企业确定保密安全需求的一个重要途径，属于企业保密管理体系策划的过程，是企业开展保密工作的一个主要内容，通过事先分析、评价，制定保密风险控制措施，实现管理关口前移、事前预防，达到消减危害、降低控制风险，由保密风险评估领导小组

2、负责进行危害因素识别和风险评估工作，最终实现企业“零失泄密”。保密风险评估的范围保密风险评估，是指针对公司不同业务和日常管理流程，识别存在的可能发生失泄密风险的危害因素，分析可能产生的直接后果以及次生、衍生后果，评估各种后果的危害程度和影响范围，提出防范和控制风险措施的过程。评价范围如下：（1）涉密人员的保密管理要求落实情况；（2）（2）信息设备的保密管理要求落实情况；（3）（3）涉密系统集成业务的保密管理要求落实情况；（4）（4）涉密软件开发业务的保密管理要求落实情况。三、评估流程图组成评估小组收集资料、现场检查风险类型风险辨识风险发生原因监测风险等级风险评价风险可能发生性审查风险严重程度制

3、定风险控制计划风险控制落实减少或防范风险的措施四、评估依据保密风险评估工作依据中华人民共和国保守国家秘密法、涉密信息系统集成资质保密标准、XXXXXXXXXXX 公司保密管理制度汇编等相关法律法规及公司管理制度。五、保密风险评估过程风险评估人员基于中华人民共和国保守国家秘密法、涉密信息系统集成资质保密标准、公司保密管理制度汇编等相关制度及管理办法的要求及内容，对照公司机构、人员、制度等体系，对系统集成业务及管理过程进行分析、查找存在的问题并进行改进。六、保密风险等级设定保密风险等级划分为低级、一般、中级、高级四个等级，按照风险等级评价影响程度评定具体风险点的风险等级。七、评估组织人员为做好保密

4、风险评估工作，公司成立了风险评估小组，公司负责人直接负责风险评估工作，组织制定风险评估程序，明确风险评估的目的、范围，选择科学合理的评价方法和评价准则，进行风险评估，确定风险等级。全体员工积极组织、参与风险评估工作。公司风险评估小组成员如下：组 长：XXX 副组长：XXX成 员：XXX、XXX、XXX、XXX、XXX、XXX 八、风险评估涉密人员保密风险评估涉密人员管理分成上岗，在岗，离岗三个阶段。上岗管理主要是涉密人员基本条件审查，密级界定，培训和考核，签订承诺书；在岗管理包括因私出境备案，日常教育培训，保密补贴发放，保密责任考核，动态管理等；离岗管理主要是离岗审批，载体及信息设备清退，脱密

5、期管理。涉密人员管理流程图：确定涉密岗位根据涉密岗位初步确定涉密人员上岗教育、考核、签订承诺书上岗管理保密审查、定岗、签订责任书日常保密教育培训、考试全在岗管理责任考核、检查、发放保密补贴程管理因私出国境管理、备案离岗审批、载体清退、教育离岗管理脱密期回访此次风险评估主要针对涉密人（1）涉密人员有过犯罪记录，不是中国公民，有外国永久居住权，有涉外婚姻关系；（2）涉密人员上岗前未接受过保密知识培训及考核；（3）涉密人员未与公司签订保密承诺书，保密协议，保密责任书及涉密人员考核评价考表；（4）未按照公司要求开展保密知识培训，加强涉密人员的保密意识；员管理三个阶段中可能出现的风险点进行识别。涉密人员

6、日常管理可能存在的风险点：（5）涉密人员离岗时未签订离岗保密承诺书，保密工作领导小组未对其进行脱密期管理；（6）涉密项目驻点开发时，未展开保密教育培训，将甲方保密管理要求告知于驻点工作人员；（7）涉密项目驻点开发时，未对涉密人员进行定期检查，管控驻点工作人员的行为；（8）各部门未定期对员工进行保密教育培训和检查；（9）派遣非密人员参与涉密项目。信息设备保密风险评估信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描机、照相机、摄像机等具有信息存储和处理功能的设备。信息设备应严格区分涉密与非涉密的信息设备，应当统一采购、登记、标识、配备，明确使用管理责任人、密级。在日常使用严禁越级使用信息

7、设备存储和处理信息。信息设备日常管理可能存在的风险点：公司非密信息设备未进行管控，无登记无标识；公司非密信息设备未限制信息输入输出，导致非密设备存储有涉密信息；使用非密信息设备处理涉密项目，超越计算机密级处理涉密信息；涉密计算机有违规操作；涉密计算机端口插过其他非密存储介质；涉密计算机未配备三合一防护系统,存在恶意代码攻击与病毒感染的可能；涉密计算机存在被非法使用或拷贝文件；涉密办公室自动化设备外借使用；公司涉密计算机及信息系统未做到与国际互联网和其他公共网络物理隔离；涉密计算机存在电磁泄露的可能；涉密计算机的启动项（硬盘启动）不是唯一；BIOS 未设置高强度密码；涉密计算机未禁用系统还原类工

8、具；涉密计算机屏幕对窗；涉密电脑存在涉密人员与非涉密人员交叉使用；涉密办公自动化设备存在遗失风险；涉密计算机及办公自动化设备维修、更换、报废无法管理。涉密项目驻点开发时，使用非密计算机进行项目开发；涉密项目驻点开发时，在无保护措施的场所使用涉密计算机、涉密办公自动化设备和移动存储介质等涉密信息设备；涉密项目驻点开发时，涉密计算机、涉密办公自动化设备和移动存储介质的搬运、保存不符合保密管理要求。涉密系统集成业务保密风险评估涉密系统集成业务分为售前、售中、售后三个阶段。本次评估主要针对这三个阶段可能发生的风险点。涉密系统集成项目工作流程图：涉密系统集成业务日常管理可能存在的风险点： 售前阶段涉密系

9、统集成项目现场踏勘有非密人员，接触到超出其知悉范围的涉密信息；涉密系统集成项目前期方案设计及数据收集有非密人员，接触到超出其知悉范围的涉密信息；涉密系统集成项目合同的签订、保存有非密人员，接触到超出其知悉范围的涉密信息。售中阶段未明确了涉密项目各类人员的保密责任，监督其落实保密责任；未对项目组成员进行保密教育培训；未与项目组成员签订保密承诺书，明确保密义务与责任和相关的奖惩措施；未明确项目过程中获取、产生的项目各阶段性成果的知悉范围， 保密责任人，涉密文件的存储、传递、权限管理措施等；未建立完善的监督检查机制；未做好项目保密风险评估工作。涉密系统集成项目方案设计在非密办公场所进行编写；涉密系统

10、集成项目方案设计在非密计算机上进行编写；涉密系统集成项目方案设计在非密计算机上进行数据传输；涉密系统集成项目现场实施时未对施工人员进行保密审查，严格控制其知悉范围；涉密系统集成项目进行现场测试时，使用非密计算机； 售后阶段涉密系统集成项目验收有非密人员参与，接触到超出其知悉范围的涉密信息；涉密系统集成项目后期运维时有非密人员参与，接触到超出其知悉范围的涉密信息；涉密软件开发业务保密风险评估涉密软件开发业务分为售前、售中、售后三个阶段。本次评估主要针对这三个阶段可能发生的风险点。1与客户沟通软件开发意向涉密软件开发项目工作流程图： 售前2 为客户提供策划建议方案3 与客户确定合作意向4 签订协议

11、并交预付款5 客户提供与项目相关的资料5 客户提供与项目相关的6 设计软件详细方案7 客户审核售中8 软件制作与开发9 客户测试并验收售后10 支付余款11 洽谈后期事项涉密软件开发业务日常管理可能存在的风险点： 售前阶段涉密软件开发项目售前与甲方沟通的工作人员为非密人员，接触超过其知悉范围的信息；涉密软件开发项目前期方案设计及数据收集有非密人员，接触到超出其知悉范围的涉密信息；涉密软件开发项目合同的签订、保存有非密人员，接触到超出其知悉范围的涉密信息。售中阶段:未明确了涉密项目各类人员的保密责任，监督其落实保密责任；未对项目组成员进行保密教育培训；未与项目组成员签订保密承诺书，明确保密义务与

12、责任和相关的奖惩措施；未明确项目过程中获取、产生的项目各阶段性成果的知悉范围， 保密责任人，涉密文件的存储、传递、权限管理措施等；未建立完善的监督检查机制；未做好项目保密风险评估工作。涉密软件开发项目在非密办公场所进行开发；涉密软件开发项目在非密计算机上进行数据传输；设计阶段产生的设计文档，包括技术架构设计、数据库设计、详细设计等文档未按照涉密文件资料管理；需求研讨和评审会、设计讨论和评审会、工作例会等会议未按照涉密会议要求进行管理；涉密项目驻点开发时，涉密项目的调研报告、用户需求书、需求规格书、设计文档等资料未按照保密标准要求进行保密管理；涉密项目驻点开发时，涉密项目的需求研讨和评审会、设计

13、讨论和评审会、工作例会等会议未按照涉密会议保密管理要求进行保密管理。涉密项目驻点开发时，技术架构、技术实现原理、程序源代码、可执行代码、测试报告等文件未按照保密标准要求进行保密管理；涉密项目驻点开发时，所产生的阶段性成果如需求文档、设计文档等的浏览或复制、打印要求未按照保密标准要求进行登记、审批；涉密项目驻点开发时，程序代码的开发未在有保密条件的场所和计算机上进行；涉密项目驻点开发时，定期或随机对涉密项目的保密管理进行监督检查部符合要求。售后阶段验收文档与相关资料档案部完整、准确和安全；涉密项目相关资料位按照保密要求与甲方进行了移交；与甲方移交完成后剩余的涉密项目资料未按照要求带回公司， 并按

14、照涉密载体要求进行保存；未对项目的保密管理工作进行总结与评估；后期运行维护的人员部是涉密人员，未明确涉密人员的职责， 保密意识不足；在对系统进行维护时，使用非涉密计算机进行操作；运行维护人员在交谈中泄露涉密信息；维护记录未保存好，可能产生记录丢失、泄露的情况。9、风险点风险点评估序号风险点涉密人员管理涉密人员有过犯罪记录，不是中国公民，有外国永久居住权，1.有涉外婚姻关系风险等级低级2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.涉密人员上岗前未接受过保密知识培训及考核低级涉密人员未与公司签订保密

15、承诺书，保密协议，保密责任书低级及涉密人员考核评价考表未按照公司要求开展保密知识培训，加强涉密人员的保密意低级识涉密人员离岗时未签订离岗保密承诺书，保密工作领导小组低级未对其进行脱密期管理涉密项目驻点开发时，未展开保密教育培训，将甲方保密管低级理要求告知于驻点工作人员涉密项目驻点开发时，未对涉密人员进行定期检查，管控驻低级点工作人员的行为各部门未定期对员工进行保密教育培训和检查低级派遣非密人员参与涉密项目一般信息设备保密管理公司非密信息设备未进行管控，无登记无标识低级公司非密信息设备未限制信息输入输出，导致非密设备存储一般有涉密信息使用非密信息设备处理涉密项目，超越计算机密级处理涉密一般信息涉

16、密计算机有违规操作低级涉密计算机端口插过其他非密存储介质低级涉密计算机未配备三合一防护系统,存在恶意代码攻击与病低级毒感染的可能涉密计算机存在被非法使用或拷贝文件低级涉密办公室自动化设备外借使用低级公司涉密计算机及信息系统未做到与国际互联网和其他公低级共网络物理隔离涉密计算机存在电磁泄露的可能低级涉密计算机的启动项（硬盘启动）不是唯一低级BIOS 未设置高强度密码低级涉密计算机未禁用系统还原类工具低级涉密计算机屏幕对窗低级涉密电脑存在涉密人员与非涉密人员交叉使用低级涉密办公自动化设备存在遗失风险一般涉密计算机及办公自动化设备维修、更换、报废无法管理 低级涉密项目驻点开发时，使用非密计算机进行项

17、目开发 一般涉密项目驻点开发时，在无保护措施的场所使用涉密计算一般机、涉密办公自动化设备和移动存储介质等涉密信息设备29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.涉密项目驻点开发时，涉密计算机、涉密办公自动化设备和低级移动存储介质的搬运、保存不符合保密管理要求涉密系统集成项目管理涉密系统集成项目现场踏勘有非密人员，接触到超出其知悉低级范围的涉密信息涉密系统集成项目前期方案设计及数据收集有非密人员，接低级触到超出其知悉范围的涉密信息涉密系统集成项目合同的签订、保存有非密人员，接触到超低级

18、出其知悉范围的涉密信息未明确了涉密项目各类人员的保密责任，监督其落实保密责低级任未对项目组成员进行保密教育培训低级未与项目组成员签订保密承诺书，明确保密义务与责任和相低级关的奖惩措施未明确项目过程中获取、产生的项目各阶段性成果的知悉范一般围，保密责任人，涉密文件的存储、传递、权限管理措施等未建立完善的监督检查机制低级未做好项目保密风险评估工作低级涉密系统集成项目方案设计在非密办公场所进行编写 低级涉密系统集成项目方案设计在非密计算机上进行编写 低级涉密系统集成项目方案设计在非密计算机上进行数据传输 低级涉密系统集成项目现场实施时未对施工人员进行保密审查，一般严格控制其知悉范围涉密系统集成项目进

19、行现场测试时，使用非密计算机一般涉密系统集成项目验收有非密人员参与，接触到超出其知悉低级范围的涉密信息涉密系统集成项目后期运维时有非密人员参与，接触到超出一般其知悉范围的涉密信息涉密软件开发项目管理涉密软件开发项目售前与甲方沟通的工作人员为非密人员，低级接触超过其知悉范围的信息涉密系统集成项目前期方案设计及数据收集有非密人员，接低级触到超出其知悉范围的涉密信息涉密系统集成项目合同的签订、保存有非密人员，接触到超低级出其知悉范围的涉密信息未明确了涉密项目各类人员的保密责任，监督其落实保密责低级任未对项目组成员进行保密教育培训低级未与项目组成员签订保密承诺书，明确保密义务与责任和相低级关的奖惩措施未明确项目过程中获取、产生的项目各阶段性成果的知悉范低级围，保密责任人，涉密文件的存储、传递、权限管理措施等未建立完善的监督检查机制低级未做好项目保密风险评估工作低级55.56.57.58.59.60.61.62.63.64.65.66.67.68.69.70.71.72.涉密软件开发项目在非密办公场所进行开发低级涉密软件开发项目在非密计算机上进行数据传输一般设计阶段产生的设计文档，包括技术架构设计、数据库设