保密风险评估方案

保密风险评估方案

目录

一、概述................................................................................3

二、评估依据............................................................................3

三、评估流程............................................................................3

四、的古方法............................................................................3

1.风险级别定义....................................................................3

2.对原有风险点的i阴古。............................................................4

3.新风场只别......................................................................4

4.部门i锚........................................................................4

5.公司两古.........................................................................4

附件1：参评人员和部门提交文件一览表....................................................6

附件2:风险评估表......................................................................7

附件3:风险评估汇总表..................................................................8

附件4:风险评估参与人员表...............................................................9

附件5:风险点列表10

2

一、概述

公司作为涉密信息系统集成资质单位，对保守国家秘密有相

应义务并承担重要的责任。为切实有效地保护国家秘密，必须事

先做好保密风险评估工作，让保密工作有的放矢。

为了让风险评估达到应有的成果，并有序进行，特制定本方

案。

二、评估依据

《中华人民共和国保守国家秘密法》

《中华人民共和国保守国家秘密法实旋条例》

《涉密信息系统集成资质单位保密标准》

《涉密信息系统集成资质管理办法》

公司保密管理制度

三、评估流程

风险评估包括风险识别、风险分析、风险评价。具体评估流

程如下：

1.保密办根据当前已有的风险防控措施和保密管理制度出具

风险点列表（见附件〈风险点列表＞）;

2•各部门安排本部门涉密人员对风险点列表进行分析；

3.涉密人员将评估结果以电子档递交本部门负责人；

4部门负责人汜总后形成风险评估汇总表，并打印签字；

5部门负责人将风险评估汇总表纸质文档和电子文档递交保

密办；

6.保密办汇总后出具风险评估报告。

3

很低如果被利用，对业务或资产造成损害可忽略。

2.对原有风险点的评估。

参加评估的人员对原有风险点的风险等级和防控措施进行评

估。评估风险等级是否准确，防控措施是否有效。对识别出的问

题，按修改后的风险等级和建议防控措施填写到风险评估表中。

序号按原风险点序号填写。

3.新风险识别

参评人员根据日常工作情况和工作流程识别出的新风险,在

风险评估表中填写识别项目、风险点、风险等级和建议防控措施。

序号不填。

4.部门评估

各参评人员把风险评估表以电子档递交到部门负责人。部门

组织参评人员讨论评估结果，形成最终结论后汇总评估表。各参

评人员和部门提交文件见附件。

5.公司评估

各部门将评估结果汇总表以电子档和纸质档递交保密办，保密

办组织各部门讨论评估结果。根据评估结果提出最终评估报告，

并向公司提出防控措施意见和建议。

保密办

5

附件1:参评人员和部门提交文件一览表

附件2:风险评估表

附件3:风险评估汇总表

附件4:风险评估参与人员表

附件5:风险点列表

6

附

件

1:

参

评

人

员

和

部

门文件名称文档形式提交人接收人

提

交

文

件

览

表

序

号

部门负责

1风险评估表电子档参评人

人

风险评估汇总纸质、电子

2部门负责人保密办

表档

3风险评估参与电子档部门负责人保密办

7

人不表

保密领导

4风险评估报告纸质保密办

小组

保密领导

5防控措施建议纸质保密办

小组

8

附件2:风险评估表

评估人：

部门：

部门：

识别风险

序号风险点防控措施

项目等级

101

102

9

附件3:风险评估汇总表

部门负责人签字：

部门：

部门：

识别风险

序号风险点防控措施

项目等级

101

102

10

附件

4:风

险评

估参姓名部门电话

与人

员表

序号

II

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

人员

上岗前先进行保密审查，

填与保密审查表，审查流

人员没有进行保密

101中程为人事部-保密办-保

密领导小组。

涉密

人员人员保密审查内容审查表主要内容见《涉密

102中

上岗不全面人员保定审查表》

涉密人员没有经岗审查完成时进行岗刖培训

103中

前培训考核和

涉密人员没有签订

岗前培训和考核通过后签

104保密承诺书或保密中

订保密承诺书

协议

涉密人员每年至少接受

涉密

没有开展日常保密10h保密培训。培训内容

人员

105教育培训或培训内低包括保密法律法规、公司

在岗

台Mb干形式制度、泄密案例、保密意

管理

识、保密常识、分级保护

12

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

相关知识等内容

人员涉密等级变更人员密级变更有按照相应

106中

没有进行审批审批流程进行。

涉密人员上岗或变

在涉密人员上岗或变更后

更后没有及时到出

107中五日内到出入境管理局和

入境管理局和重庆

重庆市国家保密局备条。

市国家保密局备案

对涉密人员的因私护照、

没有对涉密人员证港澳通行证、台湾地区通

108件进行管理或涉密中行证进行统一管理。如需

人员证件丢失使用必须经先审批后领

取。

须先审批，后办理出国

涉密人员出国（境）

109高（境）。

没有进行审批

重要涉密人员每二年复审,

没有对涉密人员进一般涉密人员每五年复

110中

行定期复审审。

13

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

没有把保密管理纳按部门和工作岗位每月开

111低

入绩效展绩效评价

没有及时向涉密人

112低按月发放保密补贴

员发放保密补贴

没有进行涉密人员

113高涉密人员离职离岗审批表

离岗审批

离岗离职没有进行离岗离职前要进行资料移

114iW)

相关资料移交交

涉密人员没有签订

115中须签订保密承诺书

涉密离岗保密承诺书

人员没有对离岗离职涉由保密办进行提醒谈话，

116离岗密人员进行保密提中并做好谈话记录

离职醒谈话

管理没有对脱密期人员

进行委托管理或委尚未对脱密期人员进行委

117中

托其他单位进行管托管理

理

没有对脱密期人员对脱密期内人员每年进行

118中

进行回访一次回访

14

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

档案信息包括：姓名、性

别、身份证号、部门、职

没有建立涉密人员

务、密级、上岗日期、在

119涉密档案或档案信息不高

岗状态、复审日期、脱密

人员全

期、是否备案

档案

管理

没有对涉密人员进

建立涉密人员台账和动态

120行分类管理和动态中

管理台账

管理

场所

没有安防监控、防有门禁、监控、防盗报警

201高

盗报警、门禁系统设备

涉密没白安装铁门、铁

场所窗，没有配备保密有防盗门、防盗窗、保密

202高

安防文件柜文件柜

设备

安防监控记录存储

203中监控存储时长大于三个月

时间不足三个月

15

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

没有定期对安防监

控设备、防盗报警每月检查，目前检查人员

204设备、门禁设备工高为方武茂

作是否正常进行检

查

没有定期对安防监每月检查，目前检查人员

205控记录、门禁记录中为方武茂

进行检查

除白名单人员外，其他涉

空人员进出须登记、非涉

没有对出入人员进

206人员高密人员和外来人员须先审

行审批、登记

进出批再进入

管理

没后定期对白名单

207中白名单人员每年一审

进行复审

涉密信息设备

信息没有建立涉密信息设备台账内容包括：设备

301高

设备设备台账名称、型号类型、出厂编

16

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

台账号、保密编号、密级、操

作系统安装日期、硬盘序

列号、IP地址、MAC地址、

三合一安装情况、安放位

置、责任人、设备状态、

启用日期、报废日期、测

评证书编号、证书有效期

涉密信息设备台账

302低每年组织一次保密检查

信息与实物不符

没有对涉密信息设

303备的维修、报废进中有相应审批和记录

行审批和记录

信息

对涉密信息设备的

设备

304外带没有进行审批高有相应审批和记录

使用

和登记

维修

没有及时对使用后

对涉密电脑、涉密U盘使

305归还的涉密信息设高

用后须进行保密检查

备进行保密检查

17

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

载体

没有建立涉密载体

401高有台账

台账

台账内容包括：载体名称、

形式、编号、份数、单份

涉密页数、密级、保密期限、

涉密载体信息要素

402载体中来源、时间、责任人、接

不全

台账触范围/知悉程度、存放位

置、外送退回日期

涉密载体信息与实

403高每年进行一次保密检查

物不符

涉密载体的生产制

404中涉密载体生产制作须审批

涉密作没有经过审批

载体涉密载体生产制作

制作后由保密办登记入台

405生产后没有登记入载体高

账

制作台账

406没有有效控制涉密中目刖涉密室仅一台电脑有

18

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

载体生产制作、输打印刻录权限。

出权限范围

涉密载体借阅、传

知悉范围内人员借阅须登

407递给不在知悉范围高

记

涉密内的人员

载体知悉范围外人员借阅须先

涉密载体借阅、传

408借阅中审批，后借阅并登记

递尢审批无记录

传递

涉密载体外送无审外送须先审批后外送并提

409高

批、无回执交回执

业务流程

投标小组成员必须经过审

投标小组成员是为

501高批，并且为涉密人员

非涉密人员；

项目

招投投标小组成员没有

确定为投标小组成员后必

标签订保密协议、保

502中须签订保密协议、保密承

密承诺书或保密责

诺书或保密责任书

任书

19

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

对投标小组成员进行保密

投标小组成员没有

培训或宣讲保密管理规

503保密意识或保密意高

定。加强日常保密培训工

识不强

作。

投标小组应加强对标书的

保密管理，涉及记载标底

投标小组成员有泄的文件不能随意摆放，应

504IWI

露标底的情况；视同保密材料一样保管十

涉密办公室

按照项目密级对相关文件

505投标文件没有定密高

进行定密

按照定密密级和密件管理

投标文件虽然经过

要求对投标文件进行管

定密但没有按照密

理。对投票文件进行统一

件管理要求标识密

506中编号，标识密级、保密期

级、保密期限、编

限、编号，并确定接触范围

号、指定接触范围

和涉密等级。

和涉密等级

20

件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

投标文件必须在保密室制

投标文件等涉密文作。

件没有在保密室制保密室必须有符合保密要

507高

作或保密室不符合求的铁门、铁窗、保密文

保密标准要求件柜、门禁、监控、防盗

报警等设施设备。

非涉密信息设备不得带入

保密室，确需带入保密室

的要经过审批，做到先审

批再带入。带入的非涉密

信息设备不得处理投标文

件等涉密信息。

使用非涉密信息设

投标文件制作过程中应用

508备制作投标文件等高

到的所有设备设施必须为

涉密文件

涉密专用设备、杜绝涉密

设备与非涉密设备混用。

涉密信息存储设备必须随

身携带，投标文件编写必

须在涉密办公室内进行，

如要将涉密文件等信息带

21

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

出涉密办公室必须严格按

照保密管理制度执行，保

密领导小组同意方可。

投标文件制作过程中应用

到的所有设备设施必须为

涉密专用设备、杜绝涉密

设备与非涉密设备混用。

涉密信息存储设备必须随

身携带，投标文件编写必

须在涉密办公室内进行，

如要将涉密文件等信息带

出涉密办公室必须严格按

照保密管理制度执行，保

密领导小组同意方可。

投标文件等涉密文件的输

出做到相对集中，仅授权

投标文件等涉密文

一台电脑进行打印、刻录

509件的制作没有经过高

等输出工作。文件制作输

审批

出时要做到先审批后输

出。

22

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

投标文件等涉密文件的所

投标文件等涉密文

510高有递交、传阅、包括去向

件传递没有记录

必须进行登记记录。

投标文件等涉密文件按照

涉密载体管理要求进行登

记，包括载体名称、密级、

投标文件等涉密文

保密期限、生产日期、份

511件没有纳入涉密载

数、单份页数、责任人、

体台账管理

接触范围、知悉程度、存

放位置、去向等进行登记。

确定方案设计小组人员须

进行审批并核实人员涉密

设计人员为非涉密

512高等级。对非涉密人员或涉

方案人员

密等级不符合的人员不得

设计

确定为设计人员。

设计人员没有签订确定为设计小组成员后必

513中

保密协议、保密承须签订保密协议、保密承

23

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

诺书或任书诺书或保密责任书后方可

上岗

方案设计小组成员必须经

过严格筛选，参加保密培

设计人员没有保密训及考核合格后方能上

514意识或保密意识不高岗。在确定为方案设计小

组成员后要进行保密教育

够

或宣讲保密管理规定。

设计小组成员应加强对标

书的保密管理，涉及方案

设计人员有泄露设设计的文件不能随意摆放,

515高

计方案的情况应视同保密材料一样保管

于涉密办公室。

设计方案没有在保设计方案文件必须在保密

密室制作或保密室室制作。

516高

不能满足涉密资质保密室必须有符合保密要

求的铁门、铁窗、保密文

标准要求

24

件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

件柜、门禁、监控、防盗

报警等设施设备。

非涉密信息设备不得带入

保密室，确需带入保密室

的要经过审批，做到先审

批再带入。带入的非涉密

信息设备不得处理投标文

件等涉密信息。方案设计

过程中应用到的所有设备

设施必须为涉密专用设

使用非涉密设备制备、杜绝涉密设备与非涉

517高

作设计方案密设备混用。涉密信息存

储设备必须随身携带，方

案编写必须在涉密办公室

内进行，如要将涉密文件

等信息带出涉密办公室必

须严格按照保密管理制度

执行，保密领导小组同意

方可。

25

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

必须在涉密计算机上处理

涉密项目，不允许在非涉

在非涉密计算机上密计算机上处理或传递涉

518传递设计方案或涉高密项目信息。也不允许将

涉密信息通过任何方式拷

密项目信息

贝、复印拿出涉密办公室。

设计方案等涉密文件的输

出做到相对集中，仅授权

设计方案等涉密文一台电脑进行打印、刻录

519件的制作没有经过高等输出工作。文件制作输

审批出时要做到先审批后输

出。

设计方案等涉密文件的所

设计方案等涉密文

520高有递交、传阅、包括去向

件传递没有记录

进行登记记录。

设计方案等涉密文设计方案等涉密文件按照

521高

件没有纳入涉密载涉密载体管理要求进行登

26

件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

体台账管理记，包括载体名称、密级、

保密期限、生产日期、份

数、单份页数、责任人、

接触范围、知悉程度、存

放位置、去向等进行登记。

涉密合同的签订过程必须

是涉密人员参与，并有相

应知悉权限，对涉密合同

合同的送交应采用专人递送，

522涉密合同信息泄露高

签订严禁米用普通快递、邮件

等无保密措施的递送方

式。

设备采购人员须进行审批

并核实人员涉密等级。对

设备设备米购人员不是

523高非涉密人员或涉密等级不

采购涉密人员

符合的人员不得确定为设

计人员。

27

件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

方案设计小组成员必须经

过严格筛选，参加保密培

设备采购人员没有训及考核合格后方能上

524保密意识或保密总高岗。在确定为方案设计小

组成员后要进行保密教育

识不够

或宣讲保密管理规定。

涉密项目的设备采购应单

独采购设备采购应为专人,

设备采购过程中，

不与其它项目的设备一起

供应商泄露项目信

525中采购，与供应商签署保密

息

承诺书，并承诺不泄露项目

信息、设备价格。

涉密项目签订的涉密合同

必须由专职涉密人员进行

现场涉密项目主要参与

526高登记、归档，存放于涉密办

实施人员不是涉密人员

公室内的密码文件柜内。

28

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

要求通过对所有项目参与

没有对项目施工人人员包括施工人员、第二

员、第二方1商调方J商调试人员等非涉密

527高

试人员等非涉密人人员登记身份信息、联系

方式等，加强管理。

员进行管理

对于主要项目参与人员必

须经过严格筛选，参加保

密培训及考核合格后方能

上岗。在确定为项目参与

项目参与人员没有

人员后要进行保密教育或

528保密意识或保密意高

宣讲保密管理规定。

识不够对于参与项目的其他非涉

密人员在参与前要进行保

密教育或宣讲保密管理规

定。

对确定的主要项目参与人

涉密项目参与人没和其他非涉密人员参与人

529中

有签订保密协议必须签订保密协议、保密

承诺书或保密责任书后方

29

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

可上岗

涉密项目参与人确定后须

涉密项目参与人信

要报保密办备案，备案后

息没有报保密办备方可实施。项目负责人要

案，或涉密项目人对人员进行动态管理，对

530高

员发生变化没有报项目实施过程中人员发生

变动和变化的，要及时报

保密办备案

保密办备案。

项目负责人在项目实施前

项目实施前没有制编制项目保密工作方案，

531定保密，作方案并中方案交保密办备案后项目

交保密办备案方可实施。

项目实施过程中严禁在外

项目实施过程中产私自打印刻录涉密载体，

532生制作涉密载体没产生制作涉密载体的输出

做到相对集中，仅授权一

有经过审批

台电脑进行打印、刻录等

30

件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

输出工作。文件制作输出

时要做到先审批后输出。

按照定密密级和密件管理

项目涉密载体没有

要求对项目实施过程中产

标识密级、保密期生制作的涉密载体进行管

限，没有统一编号,理。对涉密文件进行统一

533IWI

没有规定接触范围编号，标识密级、保密期

限、编号，并确定接触范围

和知悉程度

和涉密等级。

按照项目密级对相关文件

项目载体文件没有进行定密。相关文件包括

534高

定密方案、图纸、施工日志、

验收资料和验收报告等

项目涉密载体等涉密文件

没有建立项目涉密按照涉密载体管理要求进

535高

载体管理台账行登记，包括载体名称、密

级、保密期限、生产日期、

31

附件

5:风

识别风险

险点风险点现有防控措施

项目等级

列表

序号

份数、单份页数、责任人、

接触范围、知悉程度、存

放位置、去向等进行登记。

调岗或离职的涉密人员必

在施工过程中有涉

须进行脱密期处理，并签

密人员离职或调

署涉密人员离岗保密承诺

536岗，导致涉密信息中

书。不得在脱密期间出国

泄露或在外资企业工作。

施工现场周围不允许有大

使馆、外资企业等；如有

施工现场环境不;两请做好保密防护措施，如：

537足涉密项目环境要息1安装视频监控系统、防盗

求报警系统等。加强施_L±见

场保密环境。

现场