涉密项目保密风险评估及防控措施
保密风险评估报告
保密风险评估报告汇报人:日期:批准:日期:保密风险评估报告1.风险评估过程根据2023年3月份制定的《保密风险评估方案》,3月24日保密办通知各部门根据公司实际工作流程和具体情况识别泄密风险、记录风险。
要求各部门要结合今年的工作情况以及保密检查发现的问题去识别风险。
3月14日-23日,各部门分别进行识别,针对保密风险隐患初步提出了防控措施。
3月24日,保密管理办公室主任汇总了风险分析表情况,组织大家共同研讨防控措施。
研讨过程中,大家针对此次梳理工作流程发现的一些问题制定风险防控措施,作为第一版风险防控方案。
后续将根据防控措施实施效果来评估措施的有效性。
同时各部门根据此次风险评估的结果、制定的防控措施,将风险隐患的防控措施融入到日常监管。
此次风险评估后,要求各部门应将保密风险隐患的防控措施融入到日常工作流程中,持续评估防控措施的有效性,对风险进行闭环管理。
2.风险识别及定级按照风险评估方案确定的评估要素逐项进行分析,将风险发生概率和影响程度体现在最终的风险评估汇总表中。
从风险的概率和风险的影响程度两个方面对每一项风险打分,均为5分制。
根据风险值确定高级、中级、低级三个风险等级。
风险值=风险概率分值×风险影响分值,风险值范围1~25分,分值越高,风险越大。
16分以上为高级风险,6~15为中级风险,低于5分为低级风险。
风险定级后,制定防控措施,以便实现对保密风险的有效管控。
此次风险评估识别出来的风险点一共有26项,按管理模块分布如下:3.风险分析总结总的来说,此次风险评估识别出的中高风险主要存在于涉密人员管理风险、涉密场所管理风险、涉密项目管理风险、国家秘密载体管理风险、保密工作经费管理风险和宣传报道管理风险等。
针对识别出的风险,公司在考虑防控措施的可行性和可靠性、先进性和保密性、经济合理性及公司的经营运行情况下,制定了切实可行的防控措施,并指定措施执行人和监督人,确保防控措施得到有效落实。
保密风险评估报告(原创)
保密风险评估报告XXXXX开发有限公司XXXX年1月9日目录1.概述 (4)1.1背景 (4)1.2风险评估的依据 (6)1.3风险评估的目的 (7)1.4风险评估的措施 (7)2.风险评估 (9)2.1涉密人员风险评估 (10)2.2涉密载体风险评估 (11)2.3涉密设备风险评估 (13)2.4涉密场所风险评估 (14)2.5涉密项目风险评估 (15)2.5.1招投标风险评估 (15)2.5.2设计方案风险评估 (16)2.5.3系统集成过程风险评估 (17)2.5.3.1分保方案使用风险评估 (18)2.5.3.2设备采购风险评估 (18)2.5.3.3现场实施风险评估 (19)2.5.3.4审查验收风险评估 (20)2.5.3.5项目材料移交风险评估 (21)2.5.3.6运行维护风险评估 (21)2.5.3.7项目流程图 (22)3.持续性改进机制 (26)4.风险评估小结 (30)1.概述1.1背景●公司发展历史及现状●XXXXXXX于XXXXXXX年4月20日注册成立, 注册地址位于XXXXXX,注册资金XXX万元, 公司员工XXX人。
公司成立初期主要业务范围是以XXXXXXX。
●为了公司发展需要, 注册资金经过多次变更, 由最初的XXXX万元增资到XXXX万人民币。
公司也在此期间取得了本行业相关的资质:ISO9001:2000质量体系认证;信息系统集成三级资质和公共安全技术防范壹级资质, 并且是中央政府采购网的协议供货商及合格的竞价谈判供应商, 并具备XXXXXXX政府及XXXXXXX政府的供应商资格, 还是XXXXXXX集团和XXXXXXX集团的合法供应商。
目前公司现经营地址为XXXXXXX, 拥有办公场地XXXX多平方米, 客户遍及政府, 金融及保险, 能源, 军队等各大行业和机构, 现已成为一家有着深厚技术实力和良好合作支持,以系统集成,软件开发, 网络维护及集成, 音视频会议集成, 监控设计及安装调试,应用开发与服务为主的综合性IT企业。
(完整word版)保密风险评估与管理
保密风险评估与管理1.保密风险评估的重要性保密风险评估是保密工作的重要组成部分。
保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。
保密风险一词包括了两方面的内涵。
其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断.从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。
简单概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。
2.风险点及风控措施1)涉密人员风险评估可能存在的风险点a)招聘时人员是否满足涉密人员要求;b)审核时竞聘人员是否有过犯罪记录,是否为中国公民;c)上岗前是否接受过保密知识培训及考核;d)是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价考表;e)部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;f)涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。
●风险防控措施a)应聘员工应满足公司对涉密人员的聘用标准;b)上岗必须学习岗位保密业务,且保密知识考核成绩合格;c)与公司签署保密协议、保密承诺书、保密责任书;d)员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工作为涉密人员的考核内容;e)保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。
f)涉密人员在离岗后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理。
2)涉密载体风险评估●可能存在的风险点纸质文件:a)涉密文件、资料是否有专人管理;b)涉密文件收发是否有记录,是否有文件丢失、泄露;c)涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;d)涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;e)涉密文件是否及时归档,档案目录是否及时更新。
保密风险评估与管理
保密风险评估与管理1.保密风险评估的重要性保密风险评估是保密工作的重要组成部分。
保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。
保密风险一词包括了两方面的内涵。
其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。
从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。
简单概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。
2.风险点及风控措施1)涉密人员风险评估可能存在的风险点a)招聘时人员是否满足涉密人员要求;b)审核时竞聘人员是否有过犯罪记录,是否为中国公民;c)上岗前是否接受过保密知识培训及考核;d)是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价考表;e)部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;f)涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。
●风险防控措施a)应聘员工应满足公司对涉密人员的聘用标准;b)上岗必须学习岗位保密业务,且保密知识考核成绩合格;c)与公司签署保密协议、保密承诺书、保密责任书;d)员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工作为涉密人员的考核内容;e)保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。
f)涉密人员在离岗后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理。
2)涉密载体风险评估●可能存在的风险点纸质文件:a)涉密文件、资料是否有专人管理;b)涉密文件收发是否有记录,是否有文件丢失、泄露;c)涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;d)涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;e)涉密文件是否及时归档,档案目录是否及时更新。
保密风险评估管理制度
竭诚为您提供优质文档/双击可除保密风险评估管理制度篇一:涉密信息系统安全风险评估涉密信息系统安全风险评估的探讨国家保密技术研究所杜虹引言20xx年9月7日中共中央办公厅、国务院办公厅以中办发[20xx]27号文件转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》。
其中强调了要重视信息安全风险评估工作。
20xx年1月9日国家召开了全国信息安全保障工作会议,黄菊同志在讲话中指出:要开展信息安全风险评估和检查。
根据风险评估的结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。
国家高度重视信息安全风险评估工作,并进一步明确了信息安全风险评估在国家信息安全保障工作中的地位和作用。
本文将对信息安全风险评估的基本概念和涉及国家秘密的信息系统(以下简称“涉密信息系统”主要风险评估的作用、形式、步骤、方法等进行讨论。
一、信息系统安全风险评估的基本概念信息系统的安全是一个动态的复杂过程,它贯穿于信息系统的整个生命周期。
信息系统安全的威胁来自内部破坏、外部攻击、内外勾结进行的破坏以及信息系统本身所产生的意外事故,必须按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,选择适当的安全措施,妥善应对可能发生的安全风险。
因此,对信息系统特别是重要的信息系统进行不断的安全风险评估是十分必要的。
1.信息系统安全风险评估的定义所谓信息系统安全风险评估是指依据国家有关技术标准,对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估活动。
风险评估是识别系统安全风险并决定风险出现的概率、结果的影响,补充的安全措施缓和这一影响的过程,它是风险管理的一部分。
风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。
它是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定信息资产的风险等级和优先风险控制顺序。
工程保密方案及措施
工程保密方案及措施一、保密意识的培训1. 制定保密宣传计划,包括制作宣传册、组织保密宣讲等形式,加强对员工保密意识的培训和教育,使员工深刻理解和认识到保密的重要性。
2. 加强对涉密人员的保密教育,特别是对涉密人员进行专业的保密培训,提高其保密能力。
二、保密档案管理1. 对工程项目的资料、文件、电子数据等涉密信息进行严格管理,设置专人对各种保密资料进行登记、备案、归档管理,规范资料的存储和使用。
2. 严格控制保密资料的传递和使用,采取加密、密码保护等措施,确保保密资料的安全。
三、设备保密措施1. 针对工程项目中使用的涉密设备和设施,采取物理隔离、密码加密等措施,限制非授权人员的使用权限,确保设备和设施的安全性。
2. 对需要外借或调动的设备和设施进行严格审批和管理,防止设备和设施的丢失或泄露。
四、人员保密管理1. 建立健全的人员保密管理制度,对员工进行全面排查和审核,确保人员的资质和背景符合保密要求。
2. 严格控制工程项目的人员流动,加强对人员的身份验证和访问审批,防止不法分子的潜入和渗透。
五、网络信息安全1. 加强对工程项目的网络系统的安全防护,包括加密传输、防火墙设置、网络监控等措施,杜绝网络攻击和信息泄露。
2. 加强对员工网络行为的监管和控制,设立审查机制,防止员工利用网络泄露保密信息。
六、外部合作保密1. 对工程项目的外部合作方进行严格的审查和筛选,确保合作方具有良好的信誉和保密意识,避免合作方泄露保密信息。
2. 在对外合作中签订严格的保密协议,规定合作方对保密信息的保护义务和责任,确保保密信息的安全。
七、紧急应对措施1. 制定紧急事件的应急预案,建立应急联络机制,对发生泄密事件时的处置程序和责任分工进行明确规定。
2. 对泄密事件采取及时、果断的处理措施,包括封锁信息源、调查事件原因、追究责任等,最大限度地减少泄密的影响。
八、保密管理督导1. 建立保密管理机构,负责对工程项目保密工作的监督和检查,对保密制度的执行情况进行跟踪和评估。
重大涉密工程专项保密制度
重大涉密工程专项保密制度为加强我国重大涉密工程的保密工作,确保国家重要利益和国家安全不受损害,制定并实施重大涉密工程专项保密制度,是我国信息安全体系的重要组成部分。
本制度旨在建立起一套科学、有效的保密管理机制,保障重大涉密工程的信息安全,维护国家安全和社会稳定。
以下针对重大涉密工程专项保密制度进行详细介绍。
一、重大涉密工程的定义重大涉密工程是指对国家重要利益和社会安全具有重大影响的工程项目,涉及到国家机密、商业秘密等敏感信息的收集、处理、传输和存储等活动。
这类工程通常包括国防工程、基础设施工程、能源工程、信息化工程等领域。
对于这些工程项目,必须严格遵守国家相关法律法规和保密制度,确保信息安全和国家安全。
二、重大涉密工程专项保密管理机制1.保密责任制度:重大涉密工程项目的相关部门、单位和个人必须履行保密责任,保护国家机密和商业秘密不受泄露。
各级领导机关要明确保密责任的范围和内容,建立保密责任追究制度,对违反保密规定的人员进行严肃处理。
2.保密审查制度:对于设计、施工、运行等阶段的重大涉密工程项目,必须进行保密审查。
审查范围包括项目的重要性、风险等级、涉密信息的安全性等方面,确保项目不受外界干扰和破坏。
3.安全保密措施:在重大涉密工程项目的各个阶段,必须采取安全保密措施,包括信息加密、权限管理、访问控制等。
保障项目的敏感信息不被非法获取和篡改,保证项目的顺利推进和顺利完成。
4.风险评估和管控:针对重大涉密工程项目可能面临的各种风险,必须进行风险评估和管控。
建立项目风险管理机制,及时应对风险事件,减小损失和影响。
5.保密培训和教育:对于从事重大涉密工程项目的相关人员,必须进行保密培训和教育。
加强他们的保密意识和能力,提高他们对保密工作的重视和重视保密事宜,确保项目的信息安全和顺利完成。
6.危机应对和应急预案:针对重大涉密工程项目可能发生的危机事件,必须制定危机应对和应急预案。
建立应急响应机制,快速有效应对突发事件,减小损失和影响。
工程项目保密措施方案
工程项目保密措施方案一、引言随着科技的发展和全球化的发展,工程项目的保密性变得越来越重要。
工程项目往往涉及到一些敏感的技术和商业信息,如果泄露的话可能会给公司带来巨大的损失。
因此,制定科学合理的保密措施方案对于工程项目的成功实施至关重要。
本文将就工程项目保密措施方案进行系统综合分析和讨论。
二、保密意识培训为了保证工程项目的保密工作顺利实施,公司需要加强对员工的保密意识培训。
这包括对员工的保密责任、意识、保密政策和规定的宣传教育,以及对员工的保密知识、技能的培训和考核。
员工要签署保密协议,严格遵守公司的保密规定,并承担相应的法律责任。
另外,公司领导和管理人员也需要接受有关保密知识和管理技能的培训,提高管理层对保密工作的认识和重视程度。
三、保密组织管理在工程项目实施中,公司需要设立专门的保密管理部门或保密管理小组,对工程项目的保密工作进行全面协调、监督和管理。
保密管理部门要建立健全的保密制度和管理制度,制定相应的保密管理规定和操作规程,并组织实施,加强对工程项目的保密工作的指导和监督。
同时,要建立健全的监察和检查机制,定期对工程项目的保密工作进行检查和评估,发现问题及时整改,确保保密工作的顺利运行。
四、控制保密风险在工程项目的实施过程中,要及时发现、评估和控制可能存在的保密风险,采取相应的技术、管理和法律措施进行控制。
在合同签订阶段,要明确双方的保密义务和责任,并在合同中对保密事项进行详细的规定。
在技术开发和设计阶段,要限制相关人员的权限和访问范围,采取物理隔离、网络隔离、密码保护等技术措施对重要信息进行保护。
在施工和生产阶段,要对涉密设备和工艺进行保护,加强对员工的保密教育和管理,防止泄密事件的发生。
五、信息安全保障在工程项目中,信息安全是保密工作的关键环节。
公司需要建立健全的信息安全管理制度,采取多层次、多维度的防御措施,确保重要信息的保密和安全。
这包括对信息系统和网络的安全防护,对数据和文件的加密保护,对通信和传输的安全管理,以及对信息利用和处置的控制等方面的工作。
严格控制项目涉密信息范围的措施
严格控制项目涉密信息范围的措施严格控制项目涉密信息范围的措施是保护项目重要信息安全的一种方法。
在现代信息时代,信息安全已经成为企业和组织的一项重要任务。
特别是对于那些涉及到国家利益、商业机密、个人隐私等敏感信息的项目来说,严格控制涉密信息范围显得尤为重要。
下面将从以下几个方面介绍严格控制项目涉密信息范围的重要措施。
1.划定涉密信息范围:首先,项目组织需要明确涉密信息的范围。
这包括明确项目中所涉及的敏感或机密信息的种类、等级以及具体的保密要求。
例如,国家机密、商业竞争机密、个人隐私等。
明确涉密信息范围有助于项目组织对相关信息进行有针对性的保护措施。
2.制定保密政策与流程:项目组织需要建立一套保密政策与流程,明确保密管理的具体要求和流程。
这包括设立保密责任主体,明确保密责任人和责任部门,建立相应的保密工作机构和职责体系。
同时,还需要对项目工作流程中可能涉及的各个环节进行评估和分级,制定相应的保密措施和操作指南。
3.限制涉密信息的访问权限:为了保证涉密信息的安全,项目组织可以通过限制访问权限的方式控制敏感信息的获取和使用。
例如,只有经过授权的人员才能访问涉密信息,同时可以对访问权限进行细分,根据项目成员的职务、需要和信任程度等设定不同的权限级别,确保信息的最小化传递原则。
4.加强信息传递和存储的加密:对于涉密信息的传递和存储,项目组织可以采用加密技术进行保护。
通过对信息进行加密,能够有效地防止信息在传递过程中被非法获取或解读。
5.强化人员安全意识培训:项目组织应当加强对项目成员的安全意识培训。
只有让项目成员具备基本的信息安全意识,才能够减少因人为失误导致的信息泄露风险。
培训内容可以包括保密知识的普及、安全操作规范的宣传、实际案例的分享等。
6.控制外部交流与合作:项目涉密信息的安全还需要控制项目组织与外部单位的交流与合作。
对于与外部单位的信息交流和合作,项目组织应当签订保密协议,明确信息的保密义务和责任。
涉密业务保密风险评估(模板)--附件1
涉密业务保密风险评估(模板)--附件1涉密业务保密风险评估与风险防控措施一览表涉密业务部门名称:序号项目风险类型潜在的风险描述可能性严重性风险值风险等级风险防控措施措施落实部门/人员残余风险是否可控1 立项与招投标售前业务部门人员不是涉密人员 8 1 8 很低公司规定涉密业务部门发现商机后需先确定项目背景是否为涉密项目及时将项目情况转给涉密人员参与涉密项目售前工作是2 项目风险售前业务人员未及时确定是否为涉密项目及项目密级 9 1 9 很低3 项目风险未按照资质类别、等级承接涉密业务 8 1 8 很低公司保密制度里规定,应按照资质等级、类别承接涉密业务,不得将资质证书出借或转让。
4 业务/工作流程风险未安排相应密级涉密人员负责涉密项目工作 8 1 8 很低公司已根据项目流程确定了各岗位的涉密人员,能够确保参与涉密项目的人员均为涉密人员,业务部门安排投标人员时,须安排涉密人员是5 项目风险未及时指定项目经理及项目组成员 8 1 8 很低6 项目风险项目经理未对项目组成员进行明确分工 9 1 9很低8 载体风险未中标项目文件资料未及时清退或销毁 8 1 8很低 1、公司保密制度中规定未中标的项目资料应按照甲方要求及时归还,甲方未回收应及时进行销毁。
2、加强人员教育,如投标失败,要求人员将招标文件归还甲方,甲方未回收应履行销毁手续,由保密管理办公室组织统一销毁。
3、加强涉密计算机检查工作,对涉密计算机文档清理情况进行检查,督促人员将未中标项目涉密文件电子档及时清除。
9 人员风险参与标书制作人员为非密人员 8 1 8 很低10 载体风险涉密载体制作未及时履行清点、登记、编号手续 9 1 9 很低公司规定涉密载体制作需要履行审批手续。
11 设备风险投标文件制作未履行信息输入输出手续 8 1 8 很低使用与互联网或公共信息网络连接的信息设备存储和处理涉密信息,使用个人电脑编写涉密项目投标文件。
12 设备风险使用与互联网或公共信息网络连接的信息设备存储和处理涉密信息 9 1 9 很低13 设备风险使用个人电脑编写涉密项目投标文件 8 1 8 很低涉密业务保密风险评估与风险防控措施一览表涉密业务部门名称:序号项目风险类型潜在的风险描述可能性严重性风险值风险等级风险防控措施措施落实部门/人员残余风险是否可控1 立项与招投标售前业务部门人员不是涉密人员 8 1 8 很低公司规定涉密业务部门发现商机后需先确定项目背景是否为涉密项目,及时将项目情况转给涉密人员参与涉密项目售前工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
涉密项目保密风险评估及防控措施陕西华信智能建筑有限责任公司工程部目录1、概述 (1)1.1 风险评估的依据 (1)1.2 评估的目的 (1)2、常见风险评估及防控措施 (2)2.1 参与涉密项目人员风险评估 (2)2.1.1 可能存在的风险点 (2)2.2.2 风险防控措施 (2)2.2 涉密载体风险评估 (3)2.2.1 可能存在的风险点 (3)2.2.2 风险防控措施 (4)2.3 涉密设备风险评估 (5)2.3.1 可能存在的风险点 (5)2.3.2 风险防控措施 (5)2.4 涉密场所风险评估 (6)2.4.1 可能存在的风险点 (6)2.4.2 风险防控措施 (7)3、涉密项目风险评估 (8)3.1 招投标风险评估 (8)3.1.1 可能存在的风险点 (8)3.2 设计方案风险评估 (9)3.2.1 可能存在的风险点 (9)3.2.2 风险防控措施 (9)3.3 分包方案使用风险评估 (10)3.3.1 可能存在的风险点 (10)3.3.2 风险控制措施 (10)3.4 设备采购风险评估 (11)3.4.1 可能存在的风险点 (11)3.4.2 风险控制措施 (11)3.5 现场实施风险评估 (12)3.5.1 可能存在的风险点 (12)3.5.2 风险防控措施 (12)3.6 审查验收风险评估 (13)3.6.1 可能存在的风险点 (13)3.6.2 风险防控措施 (13)3.7 项目材料移交风险评估 (14)3.7.1 可能存在的风险点 (14)3.7.2 风险防控措施 (14)3.8 运行维护风险评估 (14)3.8.1 可能存在的风险点 (14)1、概述1.1 风险评估依据《中华人民共和国保守国家秘密法》《涉密信息系统集成资质保密标准》BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》BMB23《涉及国家秘密的信息系统分级保护管理规范》1.2 评估目的涉密项目保密风险评估是涉密项目保密工作的重要组成部分。
保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。
近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。
涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险,进行重点防控提供科学依据。
2、常见风险评估及防控措施2.1 参与涉密项目人员风险评估2.1.1 可能存在的风险点项目部组建时人员是否满足涉密人员要求;上岗前是否接受过保密知识培训及考核;是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价表;部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。
2.1.2 风险防控措施应聘员工应满足公司对涉密人员的聘用标准;上岗必须学习岗位保密业务,且保密知识考核成绩合格; 与公司签署保密协议、保密承诺书、保密责任书;员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工的涉密考核内容;保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。
涉密人员在离开项目后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理要求。
2.2 涉密载体风险评估2.2.1 可能存在的风险点纸质文件:涉密文件、资料是否有专人管理;涉密文件是否有收发记录;涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;涉密文件是否及时归档,档案目录是否及时更新。
电子文件:是否指派专人对涉密电子文件进行管理;制作涉密电子文件时,是否记录使用范围及制作数量;是否在非涉密计算机中传递涉密电子文件;在携带涉密电子文件外出时,是否有专人携带;涉密电子文件是否及时归档;报废的涉密电子文件如何处理。
2.2.2 风险防控措施纸质文件所有保密文件、文档、材料由项目保密专员统一管理,统一登记并存入密码柜,定期进行清查,避免发生资料泄露或丢失。
严禁其他人员随意翻看保密资料,如有其他保密人员要借阅使用,由保密专员进行登记,写明借阅时间及借阅理由,并保证不拿到涉密办公室以外的地方使用。
保密材料严格按保密领导办公室批准的份数印刷,不得擅自多印多留,复印件视同原件管理,复印过程中产生的废纸、废件应及时销毁;在复印材料之前,需由保密办公室管理员登记后方可进行,标明使用理由、复印份数;传递保密材料要有保密措施,传递应专人专送,不得办理无关事项,携带密件不得进入不利于保密的场所;外出工作需携带保密材料的,要经保密工作领导小组批准。
保密资料未经许可,不得擅自摘抄、翻印、复印、转借或损坏;一旦造成损失由当事人承担责任。
电子文件:指定专人负责项目涉密电子文件的日常管理工作。
制作涉密电子文件,应当依照有关文件,规定使用范围及制作数量,并编号记录。
传递涉密电子文件,应当履行登记、签收等手续。
禁止在任何非涉密网络上传递涉密电子文件。
严禁在非涉密机上处理或存储涉密电子文件。
阅读、使用、复制和销毁涉密电子文件,应经保密工作领导小组批准,同时办理登记、签字手续。
复制的电子文件视同原件管理。
定期对涉密电子文件及载体进行清查、核对,发现问题及时向保密管理办公室汇报。
2.3 涉密设备风险评估2.3.1 可能存在的风险点涉密计算机是否有违规操作;涉密计算机端口是否插过其他存储介质;涉密计算机是否配备三合一防护系统;办公场所自动化设备是否外借使用;涉密计算机及办公场所自动化设备维修、更换、报废如何管理。
2.3.2 风险防控措施涉密计算机安装主机监控与审计系统进行端口审计;涉密计算机安装江民病毒防护软件,由专人进行病毒软件更新,更新周期不超过15天;每台涉密计算机都配备三合一防护系统,严格控制了计算机内涉密信息的流失;涉密计算机配置10位数以上的密码,由专人统一管理、记载;办公室自动化设备均为涉密办公室处理涉密项目专用,不得外借使用;涉密计算机及办公室自动化设备由保密工作领导小组确定专人使用,机器明确标明使用人姓名并登记入册;使用人发生变化时,报保密工作领导小组审核,审核通过后进行变更; 涉密计算机及办公室自动化设备(打印机、刻录机)维修、更换、报废由涉密办公室管理员负责,做好相关登记;维修应由保密领导小组批准后进行;涉密计算机维修应到保密局指定的地点维修,维修前应卸下硬盘等敏感部件,维修后应进行安全检测后方可使用;更换涉密计算机应事先提交涉密设备变更申请表,写明更换原因,经保密工作领导小组批准后进行。
在更换涉密计算机前应卸下硬盘,卸下的硬盘不得在非涉密计算机上使用,硬盘交由涉密办公室保密管理员登记备案;硬盘留存于保密办公室,不得使用、外借;涉密计算机报废不得当作废品出售,在申请报废后先到保密办公室保密管理员处登记,卸下硬盘并由专人上交保密局工作部门进行集中销毁处理,报废涉密计算机应报保密局备案并履行相应的销毁制度。
2.4 涉密场所风险评估2.4.1 可能存在的风险点涉密办公场所内是否存在网络端口;非涉密人员进出涉密办公室是否有记录;涉密办公场所是否按照国家保密局要求配备了门禁系统、防盗报警系统、视频监控系统;涉密人员进出涉密办公室时是否携带相机,手机,录音笔等其它可存储介质。
2.4.2 风险防控措施由安全保密管理员定期检查涉密办公室的门禁、防盗报警、视频监控等设备的完好状态,确保保密材料安全。
非授权人员进出涉密场所,须经公司保密领导小组审批并由授权人员进行全程陪同方可进入,同时建立涉密场所非授权人员进入登记册,对临时进出的人员登记;标明进出时间及事由。
建立视频监控的检查管理机制,公司的安全保卫部门应当定期对视频监控信息进行回看检查,保密办公室应当对执行情况进行监督。
视频监控信息保存时间不少于3个月。
未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公室。
3、涉密项目风险评估3.1 招投标风险评估3.1.1 可能存在的风险点投标小组成员是否为涉密人员,是否有保密意识;是否有泄露标底的情况;是否做好投标文件的保密情况;是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况;评标机构是否做好保密工作。
3.1.2 风险防控措施投标小组成员必须为涉密人员,必须与公司签署保密协议,保密承诺书及保密责任书后方可进入小组。
标底作为评标的主要依据,是工程招标保密工作的重中之重,标底如果泄露可能会导致工程招标成本的提高。
因此,投标小组应加强对标书的保密管理,涉及记载标底的文件不能随意摆放,应视同保密材料保管于保密办公室。
投标文件是投标人的商业秘密。
既然投标人信任招标代理机构,招标代理机构也应把投标人递交的投标文件保存好。
因此,招标代理机构有义务对投标文件进行保密,以避免投标人遭受损失。
由专人负责对投标文件的管理,没有保密工作领导小组领导的允许,除投标小组成员外,其他人员不得翻阅投标文件。
对每一个投标单位的资格预审应当单独进行。
资格预审结束后,招标人应当对资格预审合格单位的名单予以保密,并以书面或电话的方式单独通知每一个报名单位其是否通过资格预审。
招标人根据工程招标项目的具体情况,可以组织潜在投标人勘查项日现场。
由于保密问题的存在,招标人不能同时组织所有潜在投标人进行现场勘查。
招标人可以制定现场勘查的时间安排表,然后分别组织潜在投标人进行勘查。
3.2 设计方案风险评估3.2.1 可能存在的风险点设计人员是否为涉密人员,是否有保密意识;涉密人员素质是否良好,是否会泄露设计方案;办公环境是否满足涉密资质标准要求;使用设备是否为涉密设备,是否满足标准;是否在非涉密计算机上传递涉密项目信息。
3.2.2 风险防控措施在整个设计过程中,应确定领导小组组织结构,严格按照班组成员划分岗位职责,严禁杜绝滥用职权、擅离职守、推卸责任等情况的出现。
加强领导保密意识培训,起好表率作用。
在设计过程中保密意识应时刻体现在工作中,从现场的勘察、资料的整理、汇总、后期资料的加工、方案的修改、资料的传输、最终方案的保存等都应该时刻提高保密意识,加强保密管理。
方案设计小组成员必须经过严格筛选,参加保密培训及考核合格后方能上岗。
在工作中时刻注意警惕自己是涉密人员,增强保密意识。