文档介绍：该【保密风险评估报告(原创) 】是由【1781111****】上传分享，文档一共【30】页，该文档可以免费在线阅读，需要了解更多关于【保密风险评估报告(原创) 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..保密风险评估报告(原创)保密风险评估报告XXXXX开发有限公司XXXX年1月9日:........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................222:............................................................................................303:..?公司发展历史及现状XXXXXXX于XXXXXXX年4月20日注册成立,注册地址位于XXXXXX,注册资金XXX万元,公司员工XXX人。公司成立初期主要业务范围是以XXXXXXX。为了公司发展需要,注册资金经过多次变更,由最初的XXXX万元增资到XXXX万人民币。公司也在此期间取得了本行业相关的资质:ISO9001:2000质量体系认证;信息系统集成三级资质和公共安全技术防范壹级资质,并且是中央政府采购网的协议供货商及合格的竞价谈判供应商,并具备XXXXXXX政府及XXXXXXX政府的供应商资格,还是XXXXXXX集团和XXXXXXX集团的合法供应商。目前公司现经营地址为XXXXXXX,拥有办公场地XXXX多平方米,客户遍及政府,金融及保险,能源,军队等各大行业和机构,现已成为一家有着深厚技术实力和良好合作支持,以系统集成,软件开发,网络维护及集成,音视频会议集成,监控设计及安装调试,应用开发与服务为主的综合性IT企业。公司近三年系统集成项目金额达XXXXX万元。?公司人员组织结构公司注重团队建设和人才的培养,现拥有员工XXXX人,.%以上是本科以上文化程度,技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书,并且也取得国际认证的软、硬件工程师证书及各4:..XXXX生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理X人,高级项目经理X人,均具有本行业多年从业经验,并参与了各种系统集成大型项目的设计与施工。公司的技术经理从业X年,独立完多项系统集成项目设计及管理工作。XXXXXXX2015年组织结构表总经理副总经理财务部技术部经理商务部人力资源部销售部系统集成部软件开发部技术服务部?公司所在周边地理环境我公司XXXXXXX,处于XXXX主干道上,西面有XXX,东临XXXXXXX领地居民小区,北面有xxx居民小区。地处松嫩平原南部,不处在地震带和沉降带,地质结构稳定;远离海边江河,高于XXXXXXX城区高点45米,不受洪水、海啸和台风威胁;远离山区,不受山洪和泥石流侵害;区域内无核电站、强污染源及重盐害。存在风险:5:..XXXXa)公司周边是否有驻外大使馆b)公司周边是否存在外资企业c)公司周边是否有商业区针对风险点的防控措施:我公司位于XXXXXXX路上,周边不存在驻外大使馆、外资企业及商业区,进出入办公楼均有收发人员管理登记。?公司内部物理环境XXXXXXX位于XXXXXXX路XX号XXX楼,此楼XXX层为XXXX店有单独的入口;XXXX楼为办公楼区,有独立的入口。一楼大厅有收发人员登记,并在电梯口处有视频监控系统。在我公司单位门口也有本单位自己的视频监控系统。存在的风险:a)外来人员随意进出b)附近的双太电子城聚集了多家IT企业,IT企业人员众多、混杂,对保密信息的安全性造成潜在的安全隐患。针对存在风险点的防控措施:在公司入口处设立登记处,由专人来负责登记和接待。《涉密信息系统集成资质保密标准》、BMB17《涉及国家秘密的信息系统分级保护技术要求》、BMB20《涉及国家秘密的信息系统分级保护管理规范》、BMB23《涉及国家秘密的信息系统分级保护管理规范》:..XXXX保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。保密风险一词包括了两方面的内涵。其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。因此,要真正领悟企业保密风险的本质,就必须弄清这三个概念及其相互联系。引起风险事故导致不良影响风险因素简单概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。保密风险评估,作为企业开展保密工作的前提,能为单位领导准确把握本单位保密工作所面临的风险,进行重点防控提供科学依据。根据对本公司保密状况的分析,认为本公司应当主要从加强保密条件建设方面进一步采取积极有效的措施:a)进一步加强保密“软件建设”。保密条件建设分为“软件建7:..XXXX设”和“硬件建设”两大类,其中“软件建设”是灵魂,“硬件建设”是基础。加强保密“软件建设”,就是要从根本上进一步强化人员的保密意识,建议有关部门领导要加强教育,统一思想,通过认真学****保密法》和《保密法实施条例》,切实开展好保密工作的教育与宣传。及时传达贯彻上级保密工作会议精神及保密局文件精神,按照工作要求落实措施,对重点涉密人员进行经常性的保密教育。通过宣传教育,使涉密人员的保密意识明显提高,政治责任感进一步增强。同时,要结合本单位保密工作面临的实际情况,进一步完善本公司《保密制度》,严肃保密工作纪律,发生失密、泄密,视情节轻重、危害大小,依据国家有关保密规定给予批评教育或处分。将保密工作列入重要议事日程,从思想教育入手,将保密工作摆在突出位置。努力做到领导不唱“独角戏”,全员上阵抓保密,及时纠正“关好门、锁好柜、封住嘴、管好件”就能万事大吉的认识偏差,形***人参与保密的氛围,努力为本单位的安全保密工作筑牢思想上的“防火墙”。b)进一步加强信息设备的安全建设。随着信息技术的发展,各种高技术信息设备不断涌现,它们在为员工日常工作、学****训练提供便利的同时,也给保密工作带来了更多挑战。为此,要进一步加强信息设备的安全建设,对一些存在较大安全隐患的设备坚决不能引进使用,使用时要制定严格的使用规则。另外对本单位的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、彻底的保密清查,将所有设备登记入册,进一步明确使用范围和责任人,同时对这些信息设备要进行不定时检查,将有隐患的设备及时处理。同8:..XXXX时,要制定必要的防范措施,对网站要进行全天候监控,严防病毒攻击与木马植入,涉密计算机软件要安装先进软件,安装防辐射、即时杀毒、备份软件,涉密信息设备要有防电磁辐射、防内置、防失控、防失窃功能。多管齐下、全方位防护,为本单位信息设备的安全使用开辟一条“绿色通道”。c)进一步完善保密工作机制。俗话说:“无规矩不成方圆。”同样,企业保密工作也需要完善的保密机制来保障。近年来,随着保密形势的日益严峻,对保密机制提出了更高的要求。所以,建议单位保密部门领导要加强制度建设,始终把落实规章制度作为抓好保密工作的关键环节,认真贯彻落实《保密法》及有关保密工作的规定,从文件的登记、收发、传递、归档、销毁等各个环节都严格按照规范流程,落实管理规定,做到了按制度管人管事。d)和公司员工签署保密协议、保密责任书及保密承诺书。用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。范围、地域、期限由用人单位与劳动者约定,不得违反法律、法规的规定。面对日益严峻的保密形势,保密风险的控制更为困难。所以,建议保密部门领导要建立良好的保密秩序,有效遏制泄密问题的发生;要努力做到领导不唱“独角戏”,全员上阵抓保密,保密工作人人抓,常抓不懈的良好局面;要建立长效机制,有章可循,真查实改。公司领导要带头做好保密工作,齐抓共管、综合治理,要适应新要求、采取新措施,9:..保密工作,努力促进本公司的保密工作再上一个新台阶。)招聘时人员是否满足涉密人员要求;b)审核时竞聘人员是否有过犯罪记录,是否为中国公民;c)上岗前是否接受过保密知识培训及考核;d)是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价考表;e)部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;f)涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。?风险防控措施a)应聘员工应满足公司对涉密人员的聘用标准;b)上岗必须学****岗位保密业务,且保密知识考核成绩合格;c)与公司签署保密协议、保密承诺书、保密责任书;d)员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工作为涉密人员的考核内容;e)保密办公室应在年初做好本年度保密知识培训计划及考核计划,组10:..f)涉密人员在离岗后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理。:a)涉密文件、资料是否有专人管理;b)涉密文件收发是否有记录,是否有文件丢失、泄露;c)涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;d)涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;e)涉密文件是否及时归档,档案目录是否及时更新。电子文件:a)是否指派专人对涉密电子文件进行管理;b)制作涉密电子文件时,是否记录使用范围及制作数量;c)是否在非涉密计算机中传递涉密电子文件;d)在携带涉密电子文件外出时,是否有专人携带;e)涉密电子文件是否及时归档;f)报废的涉密电子文件如何处理。?风险防控措施纸质文件11:..所有保密文件、文档、材料由涉密办公室管理员统一管理,统一登记入密码柜,定期进行清查,避免发生资料泄露及丢失。严禁其他人员随意翻看保密资料,如有其他保密人员要借阅使用,由涉密办公室管理员进行登记,写明借阅时间及借阅理由,并保证不拿出涉密办公室以外的地方使用。b)保密材料严格按领导批准的份数印刷,不得擅自多印多留,复印件视同原件管理,复印过程中产生的废纸、废件应及时销毁;在复印材料之前,需由涉密办公室管理员登记后进行,标明使用理由、复印份数;c)传递保密材料要有保密措施,传递应专人专送,不得办理无关事项,密件不得携入不利于保密的场所;外出工作须携带保密材料,要经保密工作领导小组批准后进行。d)对保密资料未经许可,不得擅自摘抄、翻印、复印、转借或损坏;一旦造成损失由当事人承担责任。电子文件:a)指定专人负责本单位涉密电子文件的日常管理工作。b)制作涉密电子文件,应当依照有关规定文件内,使用范围及制作数量,并编号记录。c)传递涉密电子文件,应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。d)阅读、使用、复制和销毁涉密电子文件,应经保密工作领导小组批准,同时办理登记、签字手续。复制的电子文件视同原件管理。12:..定期对涉密电子文件及载体进行清查、核对,发现问题及时向保密工作领导小组汇报。)涉密计算机是否有违规操作;b)涉密计算机端口是否插过其他存储介质;c)涉密计算机是否配备三合一防护系统;d)办公室自动化设备是否外借使用;e)涉密计算机及办公室自动化设备维修、更换、报废如何管理。?风险防控措施a);b)涉密计算机安装了360杀毒软件,由专人进行病毒软件更新,更新周期不超过15天;c)每台涉密计算机都配备了三合一防护系统,严格控制了计算机内涉密信息的流失;d)涉密计算机配置了10位数以上的密码,由专人统一管理、记载;e)办公室自动化设备均为涉密办公室处理涉密项目专用,不得外借使用;f)涉密计算机及办公室自动化设备由保密工作领导小组确认专人使用,机器明确标识使用人姓名并登记入册;使用人发生变化时,报保密工作领导小组审核,审核通过后进行变更;13:..涉密计算机及办公室自动化设备(打印机、刻录机)维修、更换、报废由涉密办公室管理员负责,做好相关登记;维修应由保密领导小组批准后进行;h)涉密计算机维修应到XXXXXXX保密局指定的地点维修,维修前应卸下硬盘等敏感部件;维修后应进行安全检测后方可使用;i)更换涉密计算机应事先提交涉密设备变更申请表,写明更换原因,经保密工作领导小组批准后进行。在更换涉密计算机前应卸下硬盘,卸下的硬盘不得在非涉密计算机上使用,硬盘交由涉密办公室保密管理员登记备;硬盘留存于保密办公室,不得使用、外借;j)涉密计算机报废不得当作废品出售,在申请报废后先到涉密办公室保密管理员处登记,卸下硬盘并由专人上交XXXXXXX国家保密局工作部门进行集中销毁处理,报废涉密计算机应报XXXXXXX国家保密局备案。)涉密办公室内是否存在网络端口;b)非涉密人员进出涉密办公室是否有记录;c)涉密办公室是否按照XXXXXXX国家保密局要求配备了门禁系统、防盗报警系统、视频监控系统;d)涉密人员进出涉密办公室时是否携带相机,手机,录音笔等其它可存储介质。?风险防控措施14:..由安全保密管理员定期检涉密办公室的门禁、防盗报警、监控等设备的完好状态,确保保密材料安全。b)非授权人员进出入涉密场所,须经公司保密领导小组审批并由授权人员进行陪同方可进入,同时建立涉密场所非授权人员进入登记册,对临时进出的人员记录登记;标明进出入时间及事由。c)建立视频监控的管理检查机制,公司的安全保卫部门应当定期对视频监控信息进行回看检查,保密办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。d)未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公室。)投标小组成员是否为涉密人员,是否有保密意识;b)是否有泄露标底的情况;c)是否做好投标文件的保密情况;d)是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况;e)评标机构是否做好保密工作。?风险防控措施a)投标小组成员必须为涉密人员,必须与公司签署保密协议,保密承诺书及保密责任书后方可进入小组。15:..XXXXb)标底作为评标的主要依据,是工程招标保密工作的重中之重,标底如果泄露可能会导致工程招标成本的提高。因此,投标小组应加强对标书的保密管理,涉及记载标底的文件不能随意摆放,应视同保密材料一样保管于涉密办公室。c)投标文件是投标人的商业秘密。既然投标人信任招标代理机构,招标代理机构也应把投标人递交的投标文件保存好。因此,招标代理机构有义务对投标文件进行保密,以避免投标人遭受损失。由专人负责对投标文件的管理,没有保密工作领导小组领导的允许,除投标小组成员外,其他人员不得翻阅投标文件。d)对每一个投标单位的资格预审应当单独进行。资格预审结束后,招标人应当对资格预审合格的单位名单予以保密,并以书面或电话的方式单独通知每一个报名单位其是否通过资格预审。e)招标人根据工程招标项目的具体情况,可以组织潜在投标人踏勘项日现场。由于保密问题的存在,招标人不能同时组织所有潜在投标人进行现场踏勘。招标人可以制定现场踏勘的时间安排表,然后分别组织潜在投标人进行踏勘。?可能存在的风险点a)设计人员是否为涉密人员,是否有保密意识;b)涉密人员素质是否良好,是否会泄露设计方案;c)办公环境是否满足涉密资质标准要求;d)使用设备是否为涉密设备,是否满足标准;16:..XXXXe)是否在非涉密计算机上传递涉密项目信息。?风险防控措施a)在整个设计过程中,应确定领导小组组织结构,严格按照班组成员划分岗位职责,严谨杜绝滥用职权、擅离职守、推卸责任等情况的出现。加强领导保密意识培训,起好带头表率作用。在设计过程中保密意识应随时体现在工作中,从现场的勘察、资料的整理、汇总、后期资料的加工、方案的修改、资料的传输、最终方案的保存等都应该时刻提高保密意识,加强保密管理。b)方案设计小组成员必须经过严格筛选,参加保密培训及考核合格后方能上岗。在工作中时刻注意警惕自己是涉密人员,增强保密意识。c)在设计过程中对现在勘察时对周边环境应仔细查找风险点,避免一切安全隐患的发生,不满足要求的及时整改。后期资料整合。方案编写都应该在涉密办公室进行,防止涉密信息外漏。d)方案设计过程中所应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带,方案编写必须在涉密办公室内进行,如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行,保密领导小组组长同意方可。e)必须在涉密计算机上处理涉密项目,不允许在非涉密计算机上处理或传递涉密项目信息。也不允许将涉密信息通过任何方式拷贝、复印拿出涉密办公室。:..?可能存在的风险点a)在现场使用时,信息是否产生泄露;b)涉密人员是否将图纸存放与他人手里或放在施工现场,导致项目设计方案泄露。?风险控制措施a)加强涉密人员保密意识;b)涉密项目前期设计需由专人在涉密计算机上进行编写,并用光盘进行信息存储,并由委托方指定人员进行交接。不得将光盘存于他人手中或施工现场。c)严禁使用外网计算机查询任何涉密项目信息,涉密项目方案的制定均应在涉密办公室内的涉密计算机上进行编写。?可能存在的风险点a)工程建设周期导致从投标到采购的周期过长,存在供应商库存风险和技术偏离风险;b)市场信息不够完全、充分、透明,供应商在一定范围内能影响价格;c)设备采购过程中,供应商泄露项目信息。?风险控制措施a)工程建设周期导致从投标到采购的周期过长,存在供应商库存风险和技术偏离风险,可从三方面进行规避:一方面可建立供应商预警机制,对价格、库存、技术等风险出现前进行供方预警;一方面,18:..XXXX对于项目前期设备的选型,应考虑项目建设周期因素,应避免选择市场寿命短的产品;另一方面,应在签订项目合同时,对于设备的更新换代条款,应进行明示。b)加大市场信息获取力度,使市场信息准确而全面,从而保证市场分析、成本分析等数据的可靠性;依据适用原则选择供应商并改善与供应商的关系,避免成为强势供应商价格联盟的受害者。c)涉密项目的设备采购应单独采购,由涉密业务管理小组下的设备采购小组组长设立专人,不与其它项目的设备一起采购,与供应商签署保密承诺书,并承诺不泄露项目信息、设备价格。?可能存在的风险点a)合同及各项审核工作时间太长,导致项目信息泄露;b)在施工过程中有涉密人员离职或调岗,导致涉密信息泄露;c)施工现场环境是否满足涉密项目环境要求;d)现场施工时,是否有除委托方及现场施工人员以外的人员进出现场;e)设备安装调试时,是否通过非涉密计算机进行操作。?风险防控措施a)涉密项目签定的涉密合同必须由专职涉密人员进行登记、归档,存放于涉密办公室内的密码文件柜内。b)调岗或离职的涉密人员必须进行脱密期处理,并签署涉密人员离岗保密承诺书。不得在脱密期间出国或在外资企业工作。c)施工现场周围不允许有大使馆、外资企业等;如有请做好保密防护19:..XXXX措施,如:安装视频监控系统、防盗报警系统等。加强施工现场保密环境。d)现场施工时,不允许除委托方及现场施工人员以外的人员进出现场。除保密工作领导小组指定人员外,其他人员不得进入施工现场。e)调试设备时,必须用涉密计算机进行调试,不得用非涉密计算机进行。避免通过非涉密计算机传递涉密信息,导致涉密项目信息泄露。?可能存在的风险点a)审查验收人员是否为涉密人员,是否是保密工作领导小组指定;b)审查验收记录是否是由专人负责保管,是否产生记录丢失、泄露;c)对用户进行设备使用培训,但用户保密意识不强,无意间泄露保密信息。?风险防控措施a)审查验收人员必须为涉密人员,必须由保密工作领导小组下的运行维护小组组长指派专人验收。b)审查验收记录由专人携带,带回公司后交于涉密办公室管理员处登记备案,存放于密码柜中。c)在审查验收时,应对用户进行相关保密知识培训。?可能存在的风险点a)项目材料移交时是否是在保密环境下进行,记录是否齐全;20:..XXXXb)接收材料人员是否是涉密人员,是否由保密工作领导小组指定;c)接收材料人员是否携带材料出入公共场所,导致信息泄露。?风险防控措施a)移交材料时,需在保密环境下进行,检查验收记录是否齐全,不能有记录不完整,不能在公共场所下进行。由专人进行材料交接,并将材料封存于档案袋中。b)接收材料的人员必须是由保密工作领导小组指定的人。c)接收材料后,必须马上携带资料返回公司,不得在公共场所逗留,避免发生资料丢失,产生资料泄密。?可能存在的风险点a)后期运行维护的人员是否是涉密人员,是否明确涉密人员的职责,是否有保密意识;b)在对设备维护时,是否使用非涉密计算机进行操作;c)运行维护人员是否在交谈中泄露涉密信息;d)维护记录是否保存好,是否产生记录丢失、泄露。?风险防控措施a)运行维护人员必须是涉密人员,要有保密意识。在上岗前是否参加涉密人员培训,是否与公司签订保密协议、保密责任书及保密承诺书。b)运行维护人员需由保密工作领导小组指定,记录需要专人保存并带回公司,交于涉密办公室保密管理员处,登记存于密码文件柜中。21:..XXXXc)运行维护人员在维护设备时,相关信息一定要在涉密计算机中处理。d)运行维护人员要有保密意识,时刻警惕自己为涉密人员。不泄露任何项目信息。:参与者是否对项目标底进2根据项目需求安排相应工程师响应需求,配合业行保密,是否对工务部门的工作(参与者均为涉密人员)风险点:资格预审时潜程项目投标情况在投标人是否保密以3是否需要对客户进行现场服务(现场勘察)及现场踏勘中标人是是否风险点:,(客户境存在商业求,填写(调查报告)需求报告)区、大使馆等风险点:涉密项4汇总所有的项目数据,开会对项目情况进行讨论,判断项目可行性目前期设计阶段,项目信息泄风险点:设计人员露5进行解决方案的设计与制作保密意识风险、人员素质能力风险、风险点:是否做好工作方式风险6对方案可行性进行,:内外网计算7制订(技术方案、)目信息及技术文件22通过外网计算机产生泄露:..:涉密合同书信息泄露9签定合同书10根据项目施工方案确立项目施工组织计划表,,明确分工、职责,并出具各项计划、图表项目台账(项目出、入库单)(项目计划总表)(项目工程进度表)13根据项目大会的讨论结果,项目实施部门开项目实施前准备会,明确施工人员,进行施工计划、施工方案等技术交底工作,做好施工前准备(所有涉密人员持证上岗)风险点:设备采风险点:供应购时是否产生商是否泄密涉密信息泄露14进入甲方施工现场,安排休息区与库房,做好各项施工准备工作,包括外包施工人员分组,工作安排等工作。材料设备收货。风险点:在施工过程中有涉密人15开始进行项目的施工,根据分组情况,各分员离职或调岗,项目负责人监督施工,并将发现的问题及时上导致涉密信息泄报项目经理露16项目经理在工程施工过程中对各分段项目的各个环节进行抽查,及时发现问题并现场提供指导23:..XXXX17各分段项目结束后分段项目负责人提供阶段工程竣工报告,项目经理安排进行下一阶段施工18全部项目完成后,各分段负责人提供安装文档,整理场地卫生,检查合格后施工人员与部分技术人员离场,设备安装调试人