保密风险评估方案

12目录 二、评估依据 三、评估流程 2.对原有风险点的评估 4 44.部门评估 45.公司评估 4附件1:参评人员和部门提交文件一览表 6附件2:风险评估表 7附件3:风险评估汇总表 附件4:风险评估参与人员表 附件5:风险点列表103公司作为涉密信息系统集成资质单位，对保守国家秘密有相应义务并承担重要的责任。为切实有效地保护国家秘密，必须事先做好保密风险评估工作，让保密工作有的放矢。为了让风险评估达到应有的成果，并有序进行，特制定本方二、评估依据《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实旋条例》《涉密信息系统集成资质单位保密标准》《涉密信息系统集成资质管理办法》公司保密管理制度三、评估流程风险评估包括风险识别、风险分析、风险评价。具体评估流1.保密办根据当前已有的风险防控措施和保密管理制度出具风险点列表(见附件<风险点列表>);2.各部门安排本部门涉密人员对风险点列表进行分析；3.涉密人员将评估结果以电子档递交本部门负责人；4.部门负责人汇总后形成风险评估汇总表，并打印签字；5.部门负责人将风险评估汇总表纸质文档和电子文档递交保密办；6.保密办汇总后出具风险评估报告。4四、评估方法风险级别定义是对风险点进行风险评估的基础。根据不同的风险级别需制定不同的风险防控措施。具体定义见下表：风险等级风险级别定义很高高中如果被利用，将对业务或资产造成一般损害。低5很低参加评估的人员对原有风险点的风险等级和防控措施进行评估。评估风险等级是否准确，防控措施是否有效。对识别出的问题，按修改后的风险等级和建议防控措施填写到风险评估表中。序号按原风险点序号填写。3.新风险识别参评人员根据日常工作情况和工作流程识别出的新风险，在4.部门评估各参评人员把风险评估表以电子档递交到部门负责人。部门组织参评人员讨论评估结果，形成最终结论后汇总评估表。各参评人员和部门提交文件见附件。5.公司评估各部门将评估结果汇总表以电子档和纸质档递交保密办，保密办组织各部门讨论评估结果。根据评估结果提出最终评估报告并向公司提出防控措施意见和建议。保密办6附件1:参评人员和部门提交文件一览表附件2:风险评估表附件3:风险评估汇总表附件4:风险评估参与人员表附件5:风险点列表7评人员和交文件览表序号文件名称文档形式1风险评估表电子档参评人部门负责人2风险评估汇总表纸质、电子档部门负责人保密办3风险评估参与电子档部门负责人保密办8人员表4风险评估报告纸质保密办保密领导小组5防控措施建议纸质保密办保密领导9附件2:风险评估表部门：部门：评估人：序号识别风险点风险等级附件3:风险评估汇总表部门：部门：序号识别风险点风险等级防控措施序号姓名部门险点序号识别项目风险点风险等级现有防控措施人员涉密人员上岗管理人员没有进行保密审查中上岗前先进行保密审查，填写保密审查表，审查流程为人事部-保密办-保人员保密审查内容不全面中审查表主要内容见《涉密涉密人员没有经岗前培训考核中审查完成时进行岗前培训和考核涉密人员没有签订保密承诺书或保密协议中岗前培训和考核通过后签订保密承诺书涉密人员在岗管理没有开展日常保密教育培训或培训内容流干形式低涉密人员每年至少接受10h保密培训。培训内容包括保密法律法规、公司制度、泄密案例、保密意识、保密常识、分级保护附件5:风险点列表序号识别风险点风险等级现有防控措施相关知识等内容人员涉密等级变更没有进行审批中人员密级变更有按照相应涉密人员上岗或变更后没有及时到出入境管理局和重庆市国家保密局备案中在涉密人员上岗或变更后五日内到出入境管理局和重庆市国家保密局备案。没有对涉密人员证件进行管理或涉密人员证件丢失中对涉密人员的因私护照、使用必须经先审批后领涉密人员出国(境)没有进行审批高须先审批，后办理出国没有对涉密人员进行定期复审中附件5:风险点列表序号识别风险点风险等级现有防控措施没有把保密管理纳入绩效低按部门和工作岗位每月开展绩效评价没有及时向涉密人员发放保密补贴低按月发放保密补贴涉密人员离岗离职管理没有进行涉密人员离岗审批高涉密人员离职离岗审批表离岗离职没有进行相关资料移交高离岗离职前要进行资料移交涉密人员没有签订离岗保密承诺书中须签订保密承诺书没有对离岗离职涉密人员进行保密提醒谈话中由保密办进行提醒谈话，并做好谈话记录没有对脱密期人员进行委托管理或委托其他单位进行管理中尚未对脱密期人员进行委托管理没有对脱密期人员进行回访中对脱密期内人员每年进行一次回访附件5:风险点列表序号识别风险点风险等级现有防控措施涉密人员档案管理没有建立涉密人员档案或档案信息不全高档案信息包括：姓名、性别、身份证号、部门、职务、密级、上岗日期、在岗状态、复审日期、脱密期、是否备案没有对涉密人员进行分类管理和动态管理中建立涉密人员台账和动态管理台账场所涉密场所安防设备没有安防监控、防盗报警、门禁系统高有门禁、监控、防盗报警设备没有安装铁门、铁窗，没有配备保密文件柜高有防盗门、防盗窗、保密文件柜安防监控记录存储时间不足三个月中监控存储时长大于三个月附件5:风险点列表序号识别风险点风险等级现有防控措施没有定期对安防监控设备、防盗报警设备、门禁设备工作是否正常进行检查高每月检查，目前检查人员为方武茂没有定期对安防监控记录、门禁记录进行检查中每月检查，目前检查人员为方武茂人员进出管理没有对出入人员进行审批、登记高除白名单人员外，其他涉密人员进出须登记、非涉密人员和外来人员须先审批再进入没有定期对白名单进行复审中白名单人员每年一审涉密信息设备信息设备没有建立涉密信息设备台账高设备台账内容包括：设备名称、型号类型、出厂编险点序号识别风险点风险等级现有防控措施台账列号、IP地址、MAC地址、置、责任人、设备状态、涉密信息设备台账信息与实物不符低每年组织一次保密检查信息设备使用维修没有对涉密信息设备的维修、报废进行审批和记录中有相应审批和记录对涉密信息设备的外带没有进行审批和登记高有相应审批和记录没有及时对使用后归还的涉密信息设备进行保密检查高对涉密电脑、涉密U盘使用后须进行保密检查险点序号识别项目风险点等级载体涉密载体台账没有建立涉密载体台账高有台账涉密载体信息要素不全中页数、密级、保密期限、涉密载体信息与实物不符高每年进行一次保密检查涉密载体生产制作涉密载体的生产制作没有经过审批中涉密载体生产制作须审批涉密载体生产制作后没有登记入载体台账高制作后由保密办登记入台账没有有效控制涉密中目前涉密室仅一台电脑有附件险点列表序号识别风险点风险等级现有防控措施载体生产制作、输出权限范围涉密载体借阅传递涉密载体借阅、传递给不在知悉范围内的人员高知悉范围内人员借阅须登记涉密载体借阅、传递无审批无记录中知悉范围外人员借阅须先审批，后借阅并登记涉密载体外送无审批、无回执高外送须先审批后外送并提交回执业务流程招投标投标小组成员是为非涉密人员；高投标小组成员必须经过审批，并且为涉密人员投标小组成员没有签订保密协议、保密承诺书或保密责任书中确定为投标小组成员后必须签订保密协议、保密承诺书或保密责任书附件5:风险点列表序号识别风险点风险等级现有防控措施投标小组成员没有保密意识或保密意识不强高对投标小组成员进行保密培训或宣讲保密管理规定。加强日常保密培训工作。投标小组成员有泄露标底的情况；高投标小组应加强对标书的保密管理，涉及记载标底的文件不能随意摆放，应视同保密材料一样保管于涉密办公室投标文件没有定密高按照项目密级对相关文件进行定密投标文件虽然经过定密但没有按照密件管理要求标识密级、保密期限、编号、指定接触范围和涉密等级中按照定密密级和密件管理要求对投标文件进行管理。对投票文件进行统一编号，标识密级、保密期附件5:风险点列表序号识别风险点风险等级现有防控措施投标文件等涉密文件没有在保密室制作或保密室不符合保密标准要求高投标文件必须在保密室制保密室必须有符合保密要求的铁门、铁窗、保密文件柜、门禁、监控、防盗报警等设施设备。使用非涉密信息设备制作投标文件等涉密文件高非涉密信息设备不得带入保密室，确需带入保密室的要经过审批，做到先审批再带入。带入的非涉密信息设备不得处理投标文件等涉密信息。投标文件制作过程中应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带，投标文件编写必须在涉密办公室内进行，如要将涉密文件等信息带险点序号识别项目风险点风险等级现有防控措施出涉密办公室必须严格按照保密管理制度执行，保密领导小组同意方可。投标文件制作过程中应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带，投标文件编写必须在涉密办公室内进行，如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行，保密领导小组同意方可。投标文件等涉密文件的制作没有经过审批高投标文件等涉密文件的输出做到相对集中，仅授权一台电脑进行打印、刻录等输出工作。文件制作输出时要做到先审批后输附件险点序号识别风险点风险等级现有防控措施投标文件等涉密文件传递没有记录高投标文件等涉密文件的所有递交、传阅、包括去向投标文件等涉密文件没有纳入涉密载体台账管理高数、单份页数、责任人、方案设计设计人员为非涉密人员高确定方案设计小组人员须进行审批并核实人员涉密等级。对非涉密人员或涉密等级不符合的人员不得确定为设计人员。设计人员没有签订保密协议、保密承中确定为设计小组成员后必须签订保密协议、保密承附件险点序号识别风险点风险等级现有防控措施诺书或保密责任书诺书或保密责任书后方可上岗设计人员没有保密意识或保密意识不够高方案设计小组成员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在确定为方案设计小组成员后要进行保密教育设计人员有泄露设计方案的情况高于涉密办公室。设计方案没有在保密室制作或保密室不能满足涉密资质标准要求高设计方案文件必须在保密保密室必须有符合保密要求的铁门、铁窗、保密文险点序号识别风险点风险等级现有防控措施件柜、门禁、监控、防盗使用非涉密设备制作设计方案高非涉密信息设备不得带入保密室，确需带入保密室的要经过审批，做到先审批再带入。带入的非涉密信息设备不得处理投标文件等涉密信息。方案设计过程中应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带，方案编写必须在涉密办公室内进行，如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行，保密领导小组同意方可。附件险点序号识别风险点风险等级现有防控措施在非涉密计算机上传递设计方案或涉密项目信息高设计方案等涉密文件的制作没有经过审批高设计方案等涉密文件的输出做到相对集中，仅授权一台电脑进行打印、刻录等输出工作。文件制作输出时要做到先审批后输设计方案等涉密文件传递没有记录高设计方案等涉密文件的所有递交、传阅、包括去向进行登记记录。设计方案等涉密文件没有纳入涉密载高设计方案等涉密文件按照涉密载体管理要求进行登险点序号识别风险点风险等级现有防控措施体台账管理数、单份页数、责任人、合同签订涉密合同信息泄露高涉密合同的签订过程必须是涉密人员参与，并有相应知悉权限，对涉密合同的送交应采用专人递送，严禁采用普通快递、邮件等无保密措施的递送方设备采购设备采购人员不是涉密人员高设备采购人员须进行审批并核实人员涉密等级。对非涉密人员或涉密等级不符合的人员不得确定为设附件险点列表序号识别风险点风险等级现有防控措施设备采购人员没有保密意识或保密意识不够高方案设计小组成员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在确定为方案设计小组成员后要进行保密教育供应商泄露项目信息中不与其它项目的设备一起采购，与供应商签署保密信息、设备价格。现场实施涉密项目主要参与人员不是涉密人员高涉密项目签订的涉密合同必须由专职涉密人员进行公室内的密码文件柜内。附件5:风险点列表序号识别风险点风险等级现有防控措施没有对项目施工人员、第三方厂商调试人员等非涉密人员进行管理高要求通过对所有项目参与人员包括施工人员、第三方厂商调试人员等非涉密人员登记身份信息、联系方式等，加强管理。项目参与人员没有保密意识或保密意识不够高对于主要项目参与人员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在确定为项目参与人员后要进行保密教育或宣讲保密管理规定。对于参与项目的其他非涉密人员在参与前要进行保密教育或宣讲保密管理规涉密项目参与人没有签订保密协议中对确定的主要项目参与人和其他非涉密人员参与人必须签订保密协议、保密承诺书或保密责任书后方险点序号识别风险点风险等级现有防控措施可上岗涉密项目参与人信息没有报保密办备案，或涉密项目人员发生变化没有报保密办备案高涉密项目参与人确定后须要报保密办备案，备案后方可实施。项目负责人要对人员进行动态管理，对项目实施过程中人员发生变动和变化的，要及时报保密办备案。项目实施前没有制定保密工作方案并交保密办备案中项目负责人在项目实施前编制项目保密工作方案，方案交保密办备案后项目方可实施。项目实施过程中产生制作涉密载体没有经过审批高项目实施过程中严禁在外私自打印刻录涉密载体，产生制作涉密载体的输出做到相对集中，仅授权一台电脑进行打印、刻录等险点序号识别项目风险点风险等级现有防控措施输出工作。文件制作输出和知悉程度高按照定密密级和密件管理要求对项目实施过程中产生制作的涉密载体进行管理。对涉密文件进行统一编号，标识密级、保密期项目载体文件没有定密高方案、图纸、施工日志、验收资料和验收报告等没有建立项目涉密载体管理台账高险点序号识别项目风险点风险等级现有防控措施在施工过程中有涉密人员离职或调岗，导致涉密信息泄露中调岗或离职的涉密人员必须进行脱密期处理，并签署涉密人员离岗保密承诺书。不得在脱密期间出国或在外资企业工作。施工现场环境不满足涉密项目环境要求高场保密环境。现场施工