保密风险评估与控制策略
摘 要
针对问题一,首先,本文对军队保密风险的相关因素进行了全面分析,给出军队保密风险的定义,根据军队保密工作的现状和实际,从全面性、协调性和层次性的要求出发,确定了指标体系的原则,建立了递阶层次结构模型;然后,根据每项指标应具有独立性、可量化和通用性的要求,确定军队保密风险评估指标原则,构建了指标;最后,建立了军队保密风险评估指标体系(见图3和表1)。
针对问题二,建立军队保密风险评估和控制策略的数学模型。首先,针对主观赋值法和客观赋值法确定权重系数的缺陷,本文采用了粗糙集理论确定权重系数,按最大隶属度原则,通过多级模糊综合评估模型对被评估对象进行风险评估;然后,运用全寿命周期管理思想,以总成本最小为目标,建立数学规划模型
()()
∑∑∑++==BC i Y C i Q C
i
G G G
f
G f G min
确定被评估对象的风险控制策略;最后,采用调整系数法对模型进行改进。
针对问题三,首先,按照问卷调查法对甲单位控制点数据进行采集,根据构建的分级标准(见表2和表3)对采集的数据进行量化(见表5),得出控制点的风险概率r 和风险影响程度s ;然后,运用所建立的模型对甲单位存在的保密风险进行综合评估;最后,用蒙特卡罗仿真法验证了该模型的合理性和实用性。
对于问题四,依据模型求出的结果,向甲单位的保密工作主管部门提出了加强“软件建设”、加强军事设施的安全建设、加强信息设备的安全建设和完善保密机制的建议。 关键词:递阶层次结构 多级模糊综合评估 蒙特卡罗仿真法 全寿命周期管理
一、问题重述
随着现代科学技术的发展信息化程度越来越高,军队保密工作已成为部队的中心工作之一。在信息化条件下,军队的保密工作既是一项复杂的系统工程,同时也关系到部队的正常工作是否能够正常顺利进行。
“保密是军队永恒的战斗力,泄密是军队失败的导火索。”军队保密风险评估是军队保密工作的重要组成部分,是促进军队全面发展和保障部队正常建设的有效措施。军队保密风险评估要坚持以科学发展观为指导,深入调查研究,全面掌握军队保密风险因素及其影响,进而准确掌握军队保密工作面临的形势、存在的问题和努力方向。有效控制知悉范围、降低保密负荷、增强保密能力、防范窃密活动、消除泄密隐患、确保秘密安全,这是做好保密工作的基本要求。要实现这一目标,就要对军事秘密存在的风险进行识别、分析和评估,并对客观存在的风险和潜在的风险进行有效的控制与防范。通过对军队保密风险的科学评估,准确把握涉密单位和涉密人员所掌管的秘密面临的风险,为进一步控制保密风险提供科学依据,实现军队保密工作的前馈管理。
请你们结合军队保密管理工作的实际情况,研究解决下列问题:
1.根据军队保密工作的现状和实际,分析研究军队保密风险的相关因素,并确定军队保密风险评估的指标体系。
2.根据评估指标体系,分析说明指标数据的采集和量化处理方法,并建立军队保密风险定量综合评估的数学模型。
3.利用你们的模型,试对某单位的保密工作存在的风险进行综合评估,并说明模型的合理性和实用性。(注:论文中不涉及具体的单位名称)
4.根据你们的模型和应用情况,提出做好保密工作和保密风险的控制策略,并给该单位的保密工作主管部门写一份建议书。
二、模型的假设与符号说明
2.1模型的假设
1.假设问卷调查能够如实反映甲单位的保密工作现状。
2.假设采用最大隶属度原则有多个值相同时取最严重的等级。 2.2符号说明
U :军队保密风险因素集合;
i U :军队保密风险因素的所包含的第一级指标;
ij u :军队保密风险因素第二级指标中的子指标,其中m j ∧=,2,1,m 为二级评估指标的个数;
V :风险概率和风险影响程度的综合评价集合;
k v :风险概率和风险影响程度的评估结果,其中p k ∧=,2,1,p 为评估等级数;
r :控制点的风险概率矩阵;
s :控制点的风险影响程度矩阵;
i w :表示第i 个指标在第j 级的权重,m 为指标的个数;
ij v :表示第i 个指标在第j 级的评估值;
)4(ij r :第四级风险指标模糊综合评估中,每个控制点的风险概率,其中5,2,1∧=j ,为5个风险等级;
)
4(ij
s :第四级风险指标模糊综合评估中,每个控制点的风险影响程度,其中5,2,1∧=j ,为5个风险等级;
1i w :第i 个控制点的风险概率权重; 2i w :第i 个控制点的风险影响程度权重;
)4(i R :为第四级的判断矩阵,表示每个控制点关于分级标准的隶属关系; )4(i B :第四级的模糊综合评价集;
)3(R :第三级判断矩阵;
)3(j W :第三级指标因素的权重;
)3(j B :第三级中第j 个因素的模糊综合评估;
B :风险综合评估集;
1k :对控制点风险概率r 的调整系数;
2k :对控制点风险影响程度s 的调整系数;
G :军队保密风险全寿命管理的成本;
∑Q C i
G 为军队保密风险全寿命管理前期策划阶段有效控制点的成本值; ∑YC i
G
为军队保密风险全寿命管理运行阶段有效控制点的成本; ∑BC i
G
为军队保密风险全寿命管理报废处理阶段有效控制点的成本;
三、问题分析
3.1 军队保密风险分析 3.1.1 军队保密风险定义
目前,国内外学术界对风险的概念有多种解释和规定,主要观点包括:
1.Williams 认为风险概念包括两个方面,即危险事件发生的可能性和它发生时所产生的影响。
2.Jaaf aril 则将项目的风险定义为损失/获益发生的可能性和损失/获益数量的乘积。
3.al Williamset 将风险定义为:在给定情况下和特定时间内可能发生的结果间的差异,这种差异越大,风险就越大。
军队保密风险是一个相对比较新的概念。根据以上风险的定义,现定义军队保密风
险为军队保密工作中危险事件的发生率和潜在威胁发生的可能性,以及发生危险事件对部队正常工作的影响。所谓的潜在威胁是指现在没有发生但是在日后可能会发生的威胁。
军队保密风险一词包括了两方面的内涵。其一,风险意味着会对部队正常的工作带来影响;其二,这种影响出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。从上述可知,风险因素、风险事故和影响密切相关,它们构成了军队保密风险存在与否的基本条件。因此,要真正领悟军队保密风险的本质,就必须弄清这三个概念及相互联系,见图1。
图1 风险因素、风险事故,影响关系图
简单概括而言:风险因素引起风险事故,风险事故导致对部队带来影响。
3.1.2 军队保密风险的特征
风险主要有以下几个特征:客观性、偶然性、复杂性、可变性。
军队保密风险不同于一般的风险,它具有部队自身的特殊情况,所呈现的特征具体如下:
1.广泛性:军队是一个大集体,涉及的单位和人员繁多,军队保密风险的从地域上和范围上都体现出它的广泛性。因此军队保密风险的因素也种类繁多。
2.主观性:军队的基本组成元素是有人员,军队的秘密也是有人员掌控的,人员的思想有很大的不确定性和不稳定性。军队保密风险也有很强的主观性。
3.复杂性:军队保密风险的复杂性可以体现在很多方面,有构成风险的原因,构成风险的因素,风险带来的影响,总之军队保密风险是一个庞大的系统工程。
4.多样性:军队的任务繁多,工作环节复杂,军队秘密的样式很丰富,军队保密风险就具有多样性。
3.1.3 军队保密风险的识别
军队保密风险识别是指通过调查与分析来识别军队保密工作面临和存在的风险。由于风险存在的客观性与普遍性及风险识别的主观性两者之间的差异,使正确识别风险成为风险管理中最重要,也是最困难的工作。风险的识别是一项连续性工作,新技术的应用、新装备的开发、人员的调动等都能改变军队保密工作内外风险的性质和来源,如果没有连续的风险识别,就难以发现军队保密工作中所存在的风险。
3.1.4 军队保密风险的因素
关于保密风险因素的研究目前有:
1.党夏宁认为风险因素:效率因素、信息因素、资金因素、外来风险因素;
2.张存禄认为风险因素:时间风险、质量风险和成本风险;
3.马士华认为风险因素:内部风险(道德风险、信息风险、合作关系风险、物流风险)和外来风险(政治风险、经济风险、法律风险、技术风险、供应风险和需求风险)。
相对国内来说,国外对风险因素的研究起步稍早,源于1995年,对风险识别主要有:
1.Chopraetal
Sunil认为风险因素:破裂风险、延迟风险、知识产权风险、系统风险、
预测风险、采购风险、库存风险、生产能力风险、可接受风险;
2.l
Harlandeta认为风险因素:战略、作业、供应、客户、制度、竞争、信誉、税收、资产和法律;
3.a1
Hallikaset认为风险因素:需求相关风险、交货履约能力、财务相关风险和定价风险;
4.Management
School
Cranfield认为风险因素:外部环境风险因素(供应和需求)
of
和内部风险因素(流程、控制、环境、制度、应急计划与响应措施)。
依据上述的所述可以确定军队保密风险因素有内部因素和外部因素,但是根据部队保密工作的情况,以上为建立军队保密风险评估的指标体系奠定了理论基础。
3.2 军队保密风险评估的指标体系分析
3.2.1 确定指标体系的原则
对风险评估而言,如何选择一个合适的指标体系是一个关键问题。对于指标体系的构建,冯珊[7],张于心等[8]邱东等[9]刘贤龙等[10],王黔英[11],邵强等[12]和王璐等[13]等研究分析了综合评估指标体系的构建与选择问题,指出评估指标的选择主要关注三个方面:一是单个指标的内容;二是指标体系的内部结构;三是指标体系的构建原则。
1.指标内容
指标的内容从本质上来说就是反映研究对象属性和特征的概念,是指标所要揭示、解释和度量的研究对象之属性和特征。在实际的综合评估活动中,每个指标都是表征研究对象固有的某一“属性”,即它是衡量研究对象某个属性状态特征的“指标”。“属性”和“指标”可按层次从属于某一评估目标。因此,指标、属性、目标从内容上看可分别被称为指标体系、属性体系和目标体系,它们之间存在层次递阶结构关系。
2.指标体系内部结构
指标体系的内部结构关系是构建指标体系重点考虑的问题,要求具有全面性、协调性和层次性。由于综合评估工作是主客观因素的结合,这就导致了评估指标体系的建立过程也必然是主观和客观的有机结合。一般来说,递阶层次结构可以较为方便地描述系统功能依存关系,同时也是分解复杂系统的较为方便的方式,更重要的是这种描述方式符合人类处理复杂事物的思维习惯。
3.指标体系构建原则
对于指标体系构建的原则,代表性的观点是指标的科学合理性、代表性、可验证性和指标体系的全面性。
3.2.2 军队保密风险评估指标体系
1.总体指标与分类指标。总体性评估与军队保密风险评估的理论范式和基础框架相结合,可以为分类性评估打下良好的基础。但由于它所体现的是军队保密风险的一般特性,所以很难不经改造而直接应用于对各类系统的评估。分类性评估可以针对各种不同的系统进行深入研究,充分揭示不同类型系统之间的差异性。但仅仅靠分类性评估,又很难全面反映存在于所有系统之中的本质规律。只有将这两类评估有机结合起来,才能真正解决好安全风险评估中的同一性与差异性问题。因此采用分成多级来构造指标体系。
2.军队保密风险评估不可能完全使用客观指标,因为信息系统的服务对象是人,人的需求、愿望和满意度都是非常重要的主观指标。由于主观指标具有模糊性、不确定性
和缺乏可比性,因此在评估指标体系设计中,应当尽量使用客观指标,加大客观指标在总分结构中的权重,对主观指标可以相对“硬化”,即划分若干等级如满意、比较满意、不满意,并换算成相应分数,也可以按照《保密工作条例》进行打分量化。
3.3 军队保密风险评估体系的数学模型分析
军队保密风险评估是在单个风险水平估计的基础上确定军队保密工作整体风险水平的过程,因而是风险的综合评估。目前综合评估方法较多,这些评估方法各有它们的特点,但大体可以分为两类:主观赋权法和客观赋权法,各有优缺点。于是,综合评估方法选择不仅要考虑方法的特点,而且要注意评估目标和评估对象的类型与评估方法的对应问题。由于军队保密风险评估是围绕军队战斗力建设构建的动态网络,从现实的实践来看,大多缺乏原始数据,也无法给出客观的概率分布,主要依靠人的经验和主观判断,而对军队保密风险的判断一般带有极大的模糊性。因此,考虑到军队保密工作的特征,本文选择粗糙模糊综合评估来建立军队保密风险评估模型。
粗糙集模糊理论是一种新的研究不完整数据、模糊的和不确定性知识的表达、学习及归纳的数学工具。该理论的主要特点是:不需提供问题所需处理的数据集合之外的任何先验信息,仅根据观测数据删除冗余信息,分析不完整知识的程度、属性间的依赖性与重要性,生成分类军队保密风险分担的研究或决策规则。具体做法为:根据所建立的军队保密风险评估体系,对每个控制点可能发生的概率和产生的影响进行量化,采用多级评估来综合评估军队保密工作当前的风险状态,设定风险评估等级,如果当前的风险状态达到所要求风险等级则不需要改进,如果没有则按级寻找造成风险的指标,进而搜索出危险控制点,对其进行控制调整,再次评估风险直到达到所要求风险等级。具体流程如图2。
图2 军队保密风险评估流程图
3.4 军队保密风险的全寿命管理控制策略分析
关于军队保密工作管理周期,原来是以静态的,离散的军队保密工作项目为主,文中转变为以动态的,连续的军队保密工作运营为主的全寿命模式,这样能更全面地考虑军队保密工作所面临的机遇和挑战,更有利于提高军队保密工作的综合效益。
3.4.1 军队保密风险全寿命管理的定义
全寿命周期管理 (Life Cycle Cost,简称LCC),早在20世纪60年代出现在美国军界,主要用于军队航母、激光制导导弹、先进战斗机等高科技武器的管理上。从20世纪70年代开始,全寿命周期管理理念被各国广泛应用于交通运输系统、航天科技、国防建设、能源工程等各领域。所谓全寿命周期管理,就是从长期效益出发,应用一系列先进的技术手段和管理方法,统筹规划、建设、生产、运行和退役等各环节,在确保规划合理、工程优质、生产安全、运行可靠的前提下,以项目全寿命周期的整体最优作为管理目标。
全寿命周期管理内容包括对资产、时间、费用、质量、人力资源、沟通、风险、采购的集成管理。全寿命周期管理具有宏观预测与全面控制的两大特征,它考虑了从规划设计到报废的整个寿命周期,避免短期成本行为,在全寿命期中,建设项目经历前期策划、设计和计划、施工和运行、报废处置五个阶段;并从制度上保证全寿命周期管理(LCC)方法的应用;打破了部门界限,将规划、建设、运行等不同阶段的成本统筹考虑,以管理总体效益为出发点寻求最佳方案;考虑所有会发生的费用,在合适的可用率和全部费用之间寻求平衡,找出LCC最小的方案。
军队保密风险全寿命管理是指军队保密工作的前期策划,运行和报废处理三个阶段,它覆盖了从军队保密工作的开始规划到报废终止的整个寿命周期。军队保密风险全寿命管理是一个对军队保密工作连续的不间断的动态控制管理过程,它综合了保密工作中各个环节的成本,对做好保密工作中有效控制知悉范围、降低保密负荷、增强保密能力、防范窃密活动、消除泄密隐患、确保秘密安全的基本要求;以军队保密工作总体效益问衡量标准,考虑各个环节的成本,在军队保密工作的有效率和付出的成本之间寻求最优方案。
军队保密工作全寿命周期成本最优化设计要求人们从军队保密工作全寿命周期出发去考虑成本问题,要求从军队保密工作全寿命周期出发,不仅仅要考虑军队保密工作的初始投资,更要考虑军队保密工作在整个全寿命周期内的支持成本,包含运行、方法更新直至报废终止的全过程。
3.4.2 军队保密风险全寿命管理的基本特点
全寿命周期管理具有与其它管理理念不同的特点:
1.军队保密风险全寿命周期管理是一个系统工程:需要系统、科学的管理,才能实现各阶段目标确保最终目标(军队保密工作综合效益最大化)的实现;
2.军队保密风险全寿命周期管理贯穿于军队保密工作的全过程,并在不同阶段有不同的特点和目标,各阶段的管理环环相连;
3.军队保密风险全寿命周期管理的持续性:军队保密工作全寿命周期管理既具有阶段性,又具有整体性,要求各阶段工作具有良好的持续性;
4.军队保密风险全寿命周期管理的参与主体多,并相互联系、相互制约;
四、建立保密风险评估和控制策略的数学模型
4.1 建立军队保密风险评估的指标体系
军队保密风险评估是在充分考虑军队保密风险的特征的前提下,利用军队保密风险的指标因素来对保密风险评估是一个复杂的过程。评估过程中我们应选取尽量少的指标,但又要确保所选指标基本上包含军队保密风险中最主要、最全面的信息,同时指标的选取还应遵循一定的原则;之后根据递阶层次结构确定军队保密风险评估体系。
1.军队保密风险评估指标的确定
(1)一级风险指标的确定
由题,本论文的目的就是要根据军队保密工作的现状和实际,分析研究军队保密风险的相关因素,来确定军队保密风险评估的指标体系,并通过对军队保密风险的科学评估,准确把握涉密单位和涉密人员所掌管的秘密面临的风险,为进一步控制保密风险提供科学依据,实现军队保密工作的前馈管理。所以应把保密风险综合值定为一级指标,其反映的是一个单位的整体保密风险所处的级别。
(2)二级风险指标的确定
鉴于指标选取的的全面性、代表性、合理性,参照军队院校教学评价指标体系,根据主观指标与客观指标相结合的原则,从人、物、制度三个方面,将决定军队保密风险的各种风险综合为组织领导风险、队伍建设风险、条件建设风险和保密管理风险四个二级风险指标。其中,组织领导风险和保密管理风险属于主观风险,队伍建设风险和条件建设风险属于客观风险;组织领导风险和队伍建设风险属于人的方面,条件建设风险属于物的方面,保密管理风险属于制度的方面。
(3)三级风险指标的确定
从整体的角度考虑,组织领导风险主要是指领导层的结构、保密的意识以及对本单位安全形势的分析以及把握方面的风险;队伍建设风险主要是指保密人员的素质、能力以及工作方面的风险;条件建设风险主要是从保密的环境、设备、机制方面的风险;保密管理风险主要是指涉密资源管理管理和管理制度措施方面存在的风险。结合军队保密工作的现状和实际,可将三级指标归纳为保密意识风险、领导组织结构风险、保密形势分析风险、素质能力风险、工作式方风险、保密环境风险、保密机制风险九个分指标。
(4)四级风险指标的确定
针对上面提到的九个三级指标,基本涵盖了军队保密工作的方方面面,但都是在某些方面所存在的风险的概括,而对于某单位来说,保密工作渗透到日常生活、学习、训练的点点滴滴,所以为了使所建的保密风险评估指标体系更加详细、明了、方便基层单位借鉴使用,我们将每一个三级风险指标再进行细化,共确定领导保密意识淡薄风险、保密教育不经常风险等26个控制点作为四级风险指标(其中风险2、11、4决定有能否效控制之谜范围,风险19、20、21、22、23、5决定能否降低保密负荷,风险3、9、15、18决定能否防范窃密活动,风险7、12、17、25决定能否防范窃密活动,风险19、1、6、13决定能否消除泄密隐患,风险8、10、14、24、26决定能否确保秘密安全,涵盖了题中的全部要求)。同时,考虑到模型的简洁性和实用性,不需要再进一步将风险指标进行细化。
2.军队保密风险评估指标体系的建立
指标体系的内部结构关系是构建指标体系重点考虑的问题,要求具有全面性、协调性和层次性。所以,综合评估中的指标体系结构大都是用递阶层次结构来表示的。本文就是以递阶层次结构作为评估指标体系的基本结构来讨论综合评估的指标体系及其相关问题。根据指标确定原则来确定军队保密风险评估指标体系,如图3:
图3 军队保密风险评估指标体系
军队保密风险第三级指标下共有26个控制点,具体见表1。
表1 军队保密风险评估第三级指标与控制点关系表
军队保密风险评估指标中采用了多级指标递阶层次结构。体系共采用了四级指标:第一级为保密风险综合值,第二级是决定军队保密风险的四个因素,第三极为每个因素所对应的具体指标,第四级为每个具体指标的控制点,这样就形成了完整的军队保密风险评估体系。
4.2 建立多级模糊综合评估模型 4.2.1 构建模糊集
设{}n U U U U U ∧=321,,表示军队保密风险因素的集合,
其中n i ∧=,2,1,n 为一级评估指标的个数4=n ;i U 为每个因素中所包含的指标,则可知{}im i i i i u u u u U ∧=,,,321,其中
m j ∧=,2,1,m 为每个因素中含有的指标个数,以此类推第三级和第四级。
4.2.2 构建评价集
设{}p v v v v V ∧=321,,表示评价集,这里V 表示的是每个控制点发生风险概率r 和风
险影响程度s 的评估集合,其中k v 为评估结果(p k ∧=,2,1),p 为评估等级的个数(5=p )。文中的评估集分为风险概率分级指标和风险影响程度分级指标,分别设定5个评价级别,在量化时给出一个[]1,0的值来确定落在那个分级标准上。具体的分级标准为表2和表3:
表2 风险概率分级标准
表3 风险影响程度分级标准
4.2.3 确定隶属度,构建判断矩阵
专家参照评估集对评估因素进行评估,确定指标因素和评估集之间的对应关系,构造模糊映射()U F V =,()U F 表示对评价指标的模糊判断。它反映了每一级各评价因素和评估等级之间的关系,也就是判断矩阵i R 。 4.2.4 应用粗糙集理论确定权重
几乎所有的综合评估方法的应用都存在一个关键问题,权重的确定问题,模糊综合评估也不例外。目前在多指标综合评估中权重确定方法有数十种之多,根据原始数据来源的不同,这些方法大致可分为两大类:一类为主观赋权法,其原始数据主要由专家根据经验判断得到,如古林法、AHP 法、专家调查法等;另一类为客观赋权法:其原始数据由各指标在被评估单位中的实际数据形成,如均方差法、主成份分析法、离差最大化法、组合赋权法等。主观赋权法客观性差,但解释性强。大多数情况下客观赋权法的权值精度较高,但有时会与实际情况相悖,且可说明性较差。由于权重系数的大小直接反映了在模糊综合评判中各评估指标的相对重要程度,因而取值的好坏将直接影响到评估结果的好坏。出于这个考虑,本论文应用粗糙集理论来确定权重,用粗糙集理论构建军队保密风险模糊综合评估模型,即基于粗糙集理论定权的军队保密风险模糊综合评估模型。
应用粗糙集理论就是对原始数据进行挖掘,并利用其求得各评估因素的属性重要度,并将其权值化处理作为其权重系数,克服了传统方法确定权重系数的主观性,从而提高模糊综合评判精度。其思想是利用各级的综合评估集重要程度进行权值化处理,最终确定各评估指标在风险模糊综合评估中的权重系数。具体做法是:首先确定评估指标体系中各级的综合评估集;然后计算各风险评估指标的重要程度;最后对求得的属性重要程度进行权值化处理得到各个指标的权重:
∑==m
i ij ij i v v w 1/ (1)
式中,i w 表示第i 个指标在第j 级的权重,m 为指标的个数。ij v 表示第i 个指标在第j 级的评估值。 4.2.5 建立模型
1.控制点的分级等级的确定
对于每个控制点都有风险概率和风险影响程度两个元素,我们采用应用粗糙集理论来确定风险概率和风险影响程度两者间的权重,最终得出第四级控制点的判断矩阵
)4(i R 。
第四级风险指标模糊综合评估:通过专家对每个控制点分别在风险概率)4(ij r ,
5,2,1∧=j 和风险影响程度)
4(ij
s ,5,2,1∧=j 的5个等级上的打分,得出第i 个因素的两个模糊分级标准V 上的判断矩阵)4(i R ,这里(4)表示第四级。
??
?
???=??????=)4(5)4(4
)
4(3)4(2
)4(1
)4(5)
4(4)4(3)
4(2)
4(1)4(2)4(1)
4(i i i i i i i i i i i i i
s s s s s r r r r r R R R
(2) )
4(ip
r 表示在第四等级中第i 个控制点的风险概率落在第p 分级标准等级的概率值。 )
4(ip
s 表示在第四等级中第i 个控制点的风险影响落在第p 分级标准等级的概率值。 )4(i R 为第四级的判断矩阵,表示每个控制点关于分级标准的隶属关系。
下面利用前述的粗糙集定权计算各级指标权重的方法来确定军队保密风险评估指标体系中权重向量{}21,i i w w W =,i 为指标的个数。
)
4(1
)4(1)
4(1
1i i i i s r r w += (3) )
4(2
)4(2)
4(22i i i i s r r w += (4) 1i w 和2i w 分别表示第i 个控制点落在第一等级的风险概率权重和风险影响程度权重。则第四级的模糊综合评价集)4(i B 为:
[
]
)4(5)4(4)4(3)4(2)
4(1)4()4()4(i i i i i i i i b b b b b R W B =?= (5)
2. 第三级模糊综合评价
第三级模糊综合评价也即分别对第三级每个指标进行模糊综合评判。通过第四级得出的)4(i B ,将)4(i B 作为第三级模糊综合评价的子集,可以构造出第三级判断矩阵)3(R 。
????
?
?????==)4(26)4(1)
4()3(B B B R (6)
根据文中的具体风险指标在评价集中的大小,采用应用粗糙集理论确定第三级指标
因素的权重{}
)
3()3(3)3(2)3(1)3(,,jn j j j j w W ∧=,其中j 为第三级指标个数n 为第四级指标的个数。
需要注意的是,在第三级确定权重时,需要分别确定两个具体风险在不同节点处的权重向量。例如:在确定保密意识风险节点权重时,因为其下只包含风险1、风险2、风险3,只能在风险1、风险2、风险3之间确定权重。则第三级中第j 个因素的模糊综合评价为:
[
]
)
3(5)
3(4)
3(3)
3(2)
3(1)3()3()3(j j j j j j j
b b b b b R W B =?= (7)
3.第二级和第一级评判如此类似,都是通过上述计算权重的方法得出第二级和第一
级各因素的权重,最终确定风险综合评估集B 。
[]54321,,,,B B B B B B = (8) 分别与第三级和第二级的评估集构成的模糊评估矩阵进行复合运算,得出评价结果,最终完成军队保密风险综合评估。建立军队保密风险评估等级见表4:
表4 军队保密风险评估等级
{}54321*,,,,m a x B B B B B B = (9) 进行评估,同时规定如果有多个风险等级的值相同则取较严重的风险等级。根据得出计算出的风险综合评估集B ,确定军队保密风险的评估结果。 4.3 构建适合军队保密工作全寿命周期控制策略
依据军队保密风险全寿命周期管理的定义,可知道军队保密风险全寿命周期管理是一种先进的管理方法。它有着其自己鲜明的特点:首先,它研究的是保密工作整个寿命周期阶段,以完成保密工作整个寿命周期总成本最小化为目标。其管理的范围囊括了前期策划阶段、运行阶段和报废处理阶段;其次,全寿命周期工程造价管理有寿命周期成本分析和管理两大核心内容,寿命周期成本分析的主要作用是为管理的各个阶段提供决策依据,是方案选择的主要工具。寿命周期成本管理就是在是整个阶段对寿命周期成本动态加以严格控制,以达到寿命周期成本最小化的目标。 4.3.1 阶段划分
根据军队保密风险全寿命管理的定义,可以将军队保密工作划分为前期策划阶段(QC )、运行阶段(YC )和报废处理(BC )阶段。
图4 军队保密风险全寿命管理的阶段划分图
4.3.2 建立规划模型
1.成本分析
军队保密风险全寿命管理成本来源于对军队保密风险评估指标体系对控制点的评估和管理控制。在每个阶段中,军队保密风险评估指标体系对控制点的操作都会增加保密
工作的成本。如图5,军队保密风险全寿命管理的成本是随着全寿命时间的增加不断累加。
图5 军队保密风险全寿命管理的成本累加值和全寿命时间的定量关系
由图可知军队保密风险全寿命管理的成本G 关系式:
∑∑∑++=BC i YC i Q C i G G G G (10)
∑Q C i
G 为军队保密风险全寿命管理前期策划阶段有效控制点的成本值; ∑YC i
G
为军队保密风险全寿命管理运行阶段有效控制点的成本; ∑BC i
G
为军队保密风险全寿命管理报废处理阶段有效控制点的成本。
2.数学规划模型
由于军队保密风险全寿命管理研究的是保密工作的整个寿命周期阶段,以完成保密工作整个寿命周期总成本的最小化为目标。考虑到系统的动态平衡和系统内部各要素的非线性相互作用,是一个相当复杂的理论和实践问题,因此规定成本在每个阶段的综合值为各阶段成本之和,由此可以建立最优方程的目标函数为:
()()
∑∑∑++==BC i Y C i Q C i
G G G
f
G f G min (11)
这样通过军队保密风险的全寿命管理控制策略就可以选择出最优的控制策略达到所消耗成本最小。
4.4 利用调整系数法改进模型
军队保密风险多级模糊评估模型可以评估出某单位当前所存在的危险,但是它不能规避风险,为弥补这个缺点对多级模糊评估模型进行改进。
军队保密风险估评直接面向控制点进行控制调整会造成工作量大,并且不分轻重缓急,会做很多无用功,提高保密负荷。因此依据所建立的军队保密风险评估指标体系,可以确定出一个军队保密风险评估等级作为阈值,来判断这一级是否需要控制调整,这样可以按级筛选出引起保密风险的指标,最终确定出引起保密风险综合评估中的危险的控制点,而实际上,这些处于危险的控制点进行调整则可,不需要对所有的控制点进行调整控制。这样就能大大减少工作量。同时也能对所评估的单位提供下一阶段的工作重点,使该单位在降低保密负荷的情况下提高保密能力。
1.确定安全阈值
根据军队保密风险评估等级可知等级处于3级、4级、5级则该单位相对稳定,而处
于1级和2级的控制点则军队保密风险情况不容乐观,需要进行调整。因此,规定安全阈值为3级,低于该安全阈值,则需要调整。也可根据当前形势和领导意图来改变安全阈值。
2.确定危险的控制点
依据对某单位的保密风险进行评估,得出各级的风险综合评估集。从第二级开始搜索出危险的指标,并对危险的指标所包含的子指标进行判断来确定危险的子指标,直到搜索出所有的危险的控制点为止。
3.调整危险的控制点
对所确定出的危险控制点进行调整,使其风险概率r 和风险影响程度s 都能够降低,采用线性关系来衡量所进行调整的效果。则调整后的风险概率'r 和风险影响程度's 为:
r k r ?=1' (12) s k s ?=2' (13) 其中1k 为对控制点风险概率r 的调整系数;2k 为对控制点风险影响程度s 的调整系数。两个系数代表对风险概率r 和风险影响程度s 的调整程度,1k 和2k 大小可以根据工作的需要来调整。
4.判断风险评估结果
对调整后的风险概率'r 和风险影响程度's 再次进行风险评估,对所得出的结果进行判断,看是否满足上级要求的结果。
五、对甲单位的实例研究
5.1 指标数据的采集
根据风险评估的目的和风险因素的特性,常用的指标数据采集方法有:
1.问卷调查表是通过问题表的形式,事先将需要了解的问题列举出来,通过相关人员回答有关问题而获取信息的一种有效方式。这种方式具有实施方便、操作简单、所需费用少、分析简捷等特点,所以得到了广泛的应用。但是它的灵活性较小,得到的信息有时不太清楚、具有一定的模糊性等,还需要其他的方法作为配合和补充。
2.实地收集是获得真实可靠的指标数据的最重要手段。通过深入现场,亲自参与保密工作的进展,并运用观察、操作等方法直接从实际工作中收集资料和数据。通过这种方法调查收集到的信息能够反映实际情况,因而比较真实、可靠。但是此方法的耗费较高、周期长,而且有些信息因涉及技术机密或是由于其他安全的需要,操作起来有一定的困难和复杂度。
3.文档审查文献和档案记录了关于军队保密工作中的许多重要的参数和特性。例如,一个单位的安全和管理策略、制度,能在很大的程度上反映该单位的人员安全意识和管理机制。通过文档和资料的查阅,可以获取较完整的系统信息和历史经验,在风险评估过程中这也是一种十分重要的信息获取方式。 5.2 量化指标数据
各个单位就军队保密工作的开展方式不尽相同,根据上述的数据指标的采集方法,
利用问卷调查法确定甲单位在保密风险指标体系中的指标值,根据构建的分级标准(见表2和表3)对采集的数据进行量化,得出控制点的风险概率r和风险影响程度s,给出的为控制点的风险概率r和风险影响程度s落在某级的概率值。
保密工作的具体操作实施在此不做过多的阐述,只给出最后的指标评估,然后对军队保密风险评估体系的数学模型进行求解。
第四级军队保密具体风险要素的模糊描述和权重如表5和表6:
表5 军队保险风险指标的模糊描述
根据公式(3)和公式(4)可以计算出第四级风险指标的权重:
表6 风险因素中风险概率和损失程度权重表
5.3 模型求解
5.3.1 第四级模糊综合评价集的求解
根据表6风险因素中风险概率和损失程度权重表,利用公式(5)
[
]
)4(5)4(4)4(3)4(2)4(1)4()4()4(i i i i i i i i b b b b b R W B =?=计算出第四级的模糊综合评价集)4(i B 的值
见表7:
表7 第四级的模糊综合评估集
5.3.2 第三级模糊综合评价集的求解
将已求出的第四级模糊综合评价集作为第三级模糊综合评价集的求解的子集,确定出指标权重为表8:
表8 第三级指标的权重表
得出第三级指标的权重值后,有公式(7)便可得到第三级模糊综合评估集)3(j B ,见表9。
表9 第三级模糊综合评估集
5.3.3 第二级模糊综合评价集的求解
将已求出的第三级模糊综合评价集作为第二级模糊综合评价集的求解的子集,确定出指标权重,见表10:
表10 第二级指标权重表
风 险 评 估 报 告 XXXXX有限公司201xx年xx月
1 概述 针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。 2 评估目的 通过人员访谈、文档审查和实地察看相结合的方式查找公司 信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据。 3 评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4 评估内容 4.1 人力资源管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定,从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制定出风险防控措施。 4.1.1 风险级别定义
风险严重程度级别参考书 级别标识定义 很高如果被利用,将对资产或业务造成完全损害 高如果被利用,将对资产或业务造成重大损害 中等如果被利用,将对资产或业务造成一般损害 低如果被利用,将对资产或业务造成较小损害 很低如果被利用,将对资产或业务造成的损害可以忽略4.1.2 风险点 对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗。 对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件: (1)遵纪守法,具有良好的品行,无犯罪记录; (2)属于公司正式职工,并在其他公司无兼职; (3)社会关系清楚,本人及其配偶为中国境内公民。 审查公司与涉密人员签订的劳动合同或补充协议,是否已签署。 公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于10个学时。
*******有限公司保密工作自查报告 根据《关于全面开展保密自查工作的通知》(****2011【108】号)文件的要求,我公司领导高度重视,认真对照检查内容,结合工作实际,对公司的保密工作进行了全面的自查自检,现将自查情况简要报告如下: 一、公司保密工作开展情况 1、严格实行保密工作领导责任制。按照各自分工,明确职责,负起责任,将保密工作与实际工作相结合,确保工作管到那一级,保密工作就管到那一级。在研究部署、检查、总结工作时,同步安排保密工作。班子成员以身作则,自觉学习、掌握保密制度,公司各主要分管领导深入实际保密工作,熟悉掌握了公司保密工作的全面情况及其重点,保证了各项保密管理措施在业务工作中的顺利实施。 针对接触密源广、涉密深的单位,综合办公室将对其进行不定期的检查督促,防止失密、泄密。多年来,各部室的规章制度健全,从每个环节做起,保密观念强,措施得力,落实较好。如:档案室制定档案工作人员保密职责,查、借、阅档案手续齐备;办公室人员有保密守则及管理办法,秘密文件、内部资料的传递、回收、注销都严格按照公司保密制度的相关规定办理,形成了一整套按制度、规定管理的畅通渠道。 2计算机信息系统的保密工作情况
近年来,由于形势发展,工作需要,公司采取OA无纸化办公,配备了电脑,组建了局域网并联上国际互联网。为加强计算机信息系统的保密工作,我公司采取以下措施: (1)、网络安全方面。全部终端计算机均安装了防病毒软件,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。 (2)、日常管理方面切实抓好局域网和应用软件管理,确保涉密计算机绝不上网,严格按照保密要求处理光盘、硬盘、U 盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理等;三是应用安全,公文传输系统、软件管理等。 (3)、为确保计算机网络安全,制定了《信息系统工程项目申请、立项和审批程序》《信息系统安全管理制度》《计算机设备(软件)购置管理》、《计算机设备使用管理》《计算机耗材及备品备件管理》《计算机机房管理》《公司机房信息系统紧急事故应急处理》《计算机信息系统管理办法》等网络信息安全管理制度。同时结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是网络管理员于每周五定期检查局域网系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是领导定期询问制度,由网络管理员汇报局域网使用情况,
安全风险评价管理制度 1、目的 规范危险、有害因素识别和评价,增强安全风险预防和控制能力,确保安全生产。 2、适用范围 适用于气雾剂公司安全风险识别、评价和控制的管理 3、职责 3.1各科、组\车间:负责分管区域生产活动的危险、有害因素的识别、评价、更新和控制管理。 3.2安管科:负责编制危险、有害因素识别和风险评价表,指导各科、组\车间开展危险、有害因素风险识别、评价,负责各科、组\车间风险评价记录的审查与控制效果有效性验证。建立、更新《重大危险源档案》,定期进行风险信息更新。 3.3经理: 3.3.1负责组织分管部门生产活动中危险、有害因素风险识别、评价、更新和控制管理工作; 3.3.2负责审核危险、有害因素识别和风险评价结论。 3.4执行董事: 3.4.1负责组织生产活动中危险、有害因素风险识别、评价、更新和控制管理工作; 3.4.2负责审批危险、有害因素识别和风险评价结论。 4、内容与要求 4.1公司建立风险评价组织,组织成员由执行董事、经理、安管科长、各科、组\车间主管和基层班组长骨干组成。 4.2风险评价和控制以各科、组\车间为单位进行,各科、组\车间在安管科的指导下实施。审核由执行董事、经理、安管科负责。 4.3评价依据风险评价准则,从影响人、财产和环境等三个方面的可能性和严重程度,定期和及时对作业活动和设备设施进行危险、有害因素识别和风险评价分析。 4.4各级员工应积极参与所从事生产活动的危险、有害因素的识别、评价工作。主动参加公司和部门组织的相关培训,掌握基本分析评价方法,能自行评价。 4.5同一个项目涉及多个部位作业的(如设备、电气、仪表、几个施工单位等),由各部门自行分析评价后,项目负责人进行汇总。 4.6风险分级管理 4.6.1风险评价依据本制度附录《风险评价方法》进行分级。 4.6.2各科、组\车间负责对所辖范围内所有的直接作业、操作岗位、关键装置与重点部位进行风险评价。 4.6.3作业风险:重大风险作业由所在部门负责人初审签字,经安管科负责人复审签字后,报执行董事批准;较大风险作业由所在部门负责人初审签字后,报安管科审核批准;中等风险、可接受风险和可忽略风险作业由所在部门负责人签字审核批准。 4.6.4岗位(装置、部位等)风险:重大风险和较大风险所在的岗位(装置、部位等)由所在部门作为重点部位和关键装置按照《安全生产重点部位管理规定》进行管理;中等风险、可接受风险和可忽略风险所在的
涉密项目保密风险评估及防控措施
陕西华信智能建筑有限责任公司 工程部
目录 1、概述 (1) 风险评估的依据 (1) 评估的目的 (1) 2、常见风险评估及防控措施 (2) 参与涉密项目人员风险评估 (2) 可能存在的风险点 (2) 风险防控措施 (2) 涉密载体风险评估 (3) 可能存在的风险点 (3) 风险防控措施 (4) 涉密设备风险评估 (5) 可能存在的风险点 (5) 风险防控措施 (5) 涉密场所风险评估 (6) 可能存在的风险点 (6) 风险防控措施 (7) 3、涉密项目风险评估 (8) 招投标风险评估 (8) 可能存在的风险点 (8)
设计方案风险评估 (9) 可能存在的风险点 (9) 风险防控措施 (9) 分包方案使用风险评估 (10) 可能存在的风险点 (10) 风险控制措施 (10) 设备采购风险评估 (11) 可能存在的风险点 (11) 风险控制措施 (11) 现场实施风险评估 (12) 可能存在的风险点 (12) 风险防控措施 (12) 审查验收风险评估 (13) 可能存在的风险点 (13) 风险防控措施 (13) 项目材料移交风险评估 (14) 可能存在的风险点 (14) 风险防控措施 (14) 运行维护风险评估 (14) 可能存在的风险点 (14)
1、概述 风险评估依据 《中华人民共和国保守国家秘密法》 《涉密信息系统集成资质保密标准》 BMB17《涉及国家秘密的信息系统分级保护技术要求》 BMB20《涉及国家秘密的信息系统分级保护管理规范》 BMB23《涉及国家秘密的信息系统分级保护管理规范》 评估目的 涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。 近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。 涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险,进行重点防控提供科学依据。
For the things that have been done in a certain period, the general inspection of the system is also a specific general analysis to find out the shortcomings and deficiencies 办公室保密工作自查报告 正式版
办公室保密工作自查报告正式版 下载提示:此报告资料适用于某一时期已经做过的事情,进行一次全面系统的总检查、总评价,同时也是一次具体的总分析、总研究,找出成绩、缺点和不足,并找出可提升点和教训记录成文,为以后遇到同类事项提供借鉴的经验。文档可以直接使用,也可根据实际需要修订后使用。 XX年,我办保密工作在区保密委员会、区机要保密局的正确领导下,以党的xx大、xx届三中、四中全会精神为指导,深入学习实践科学发展观,认真贯彻落实《中共中央关于加强新形势下保密工作的决定》以及区保密局相关工作要求,紧紧围绕区委、区政府中心工作和维护稳定的工作大局,结合我办实际,以服务我区现代烟草农业持续发展、农村社会和谐稳定为目标,以宣传教育为基础,以制度建设为保证,以计算机信息系统安全为重点,强化计算机信息网络的保密管理,深入抓
好保密普法的宣传教育工作,进一步落实保密工作责任制,使保密工作更好的为我区现代烟草农业的发展提供强有力保障。现将自查情况报告如下: 一、加强领导,健全组织,为保密工作提供组织保证。 根据我办工作变动情况,及时调整充实保密工作领导小组成员。领导小组组长由烟办主任、支部书记李维武担任,各科室责人为保密工作领导小组成员。切实加强对保密工作的领导,把保密工作列入议事日程,真正做到了党政一把手亲自抓、负总责,为我办的保密工作提供了有力的组织保证。 二、开展多形式保密教育,增强涉密
安全风险评估和控制管理制度 1目的为对公司作业活动和服务过程中的危险、危害因素进行辨识和风险评估,以确定重大危险源,进而为风险控制提供依据,以实现安全管理标准化,特制订本制度 2 适用范围 适用于公司作业活动和服务全过程中风险因素的识别、评价、控制与管理。 3 支持/相关文件 3.1 水利水电工程施工安全管理导则(SL721-2015) 3.2 水电水利工程施工重大危险源辨识及评价导则(DLT 5274-2012) 4 职责和权限 4.1 各职能部门负责识别、评价、控制和管理与本部门相关的风险因素,确定重大 风险源,制定对风险因素的控制办法。 4.2 各项目部负责识别、评价、控制和管理与本单位相关的风险因素,确定重大风 险源,制定对风险因素的控制办法。 4.3 各职能部门、各项目部应根据施工进展,对危险源实施动态的辨识、评价和控 制。 4.4 本制度由公司安全质量环保部负责编制、修订、解释,部门负责人审核、常务 副总经理批准。 5 定义重大危险源根据可能造成的人员伤亡数量和财产损失情况进行分级,可以按 下标准分为4级: 5.1 一级重大危险源:是指可能造成30 人以上(含30 人)死亡,或者100 人以上(含 100 人)重伤,或者造成1亿元以上直接经济损失的危险源。 5.2 二级重大危险源:是指可能造成10 人~29 人死亡,或者50 人~99 人重伤,或者 造成5000 万元以上1亿元以下直接经济损失的危险源。 5.3 三级重大危险源:是指可能造成3人~9 人死亡,或者10 人~49 人重伤,或者造 成1000 万元以上5000 万元以下直接经济损失的危险源。 5.4 四级重大危险源:是指可能造成3人以下死亡,或者10 人以下重伤,或者造成1000 万 元以下直接经济损失的危险源。 6 程序 6.1 工作步骤 6.1.1 选择活动、过程和服务 6.1.2 进行活动、过程和服务中危险源的识别。 6.1.3 进行危险源的定性和定量评价。
保密风险评估与管理制度 第一条本制度规定了所采用的风险评估方法。通过识别信息资产、风险等级评估,认知公司的风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将风险控制在可接受的水平,保持公司业务持续性发展,以满足管理方针的要求。 第二条本制度适用于第一次完整的风险评估和定期的再评估。在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。 第三条技术部负责牵头成立风险评估小组。 第四条风险评估小组每半年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制风险评估计划,确认评估结果,形成《风险评估报告》。 第五条各部门负责部门使用或管理的信息资产的识别和风险评估,并负责部门所涉及的信息资产的具体安全控制工作。 第六条各部门负责人负责部门的信息资产识别。技术部经理负责汇总、校对全公司的信息资产。 第七条技术部负责风险评估的策划。
第八条技术部牵头成立风险评估小组,小组成员至少应该包含:管理保密部门的成员、重要责任部门的成员。 第九条信息资产 1)软件:应用软件、系统软件和适用程序等。 2)硬件:计算机设备、通讯设备、可移动介质和其他设备。 3)数据:数据库数据、系统文档、计划、报告、用户手册、 客户配置策略等 4)服务:培训服务、租赁服务、公用设施(能源、电力)。 5)文档:纸质的各种文件、传真、电报、财务报告、发展 计划等 6)人员:人员的资格、技能和经验。 7)其他:组织的声誉、商标、形象。 第十条本公司的资产范围包括: 系统文件、研究信息、用户手册、培训教材、培训操作、培训软件、支持性程序、业务连续性计划、应变安排、审核记录、审核的追踪、归档信息。 第十一条评估程序 本评估应考虑:范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定,使之能够与组织的环境和安全要求相适应。 第十二条资产属性赋值 资产赋值是对资产安全价值的估价,而不是以资产的账
统计局保密工作自查报告 导语:为深入贯彻落实《市保密局关于进一步做好当前保密工作的通知》精神,进一步加强保密管理,我局高度重视,结合实际工作,对照检查目录表,逐条自查,现将自查情况汇报如下。 统计局保密工作自查报告 接到县委、县政府办公室下发的《关于组织开展全县保密专项检查的通知》后,我局领导对此十分重视,立即按照文件要求,召开了局保密工作领导小组会议,对全局保密自查工作进行统一布置,组织相关人员对我局保密工作进行全面自查,现将自查情况报告如下: 一、保密工作组织机构的基本情况 县统计局的数据在涉密的等级里为秘密,我局历来高度重视数据保密工作,把它做为一项重要任务来抓,成立了保密工作领导小组,组长由何宜萍局长担任,副局长皮翔为副组长,成员由其他班子成员和保密工作负责人组成。领导小组下设办公室,同时确定2名同志主要负责保密方面的具体工作。对保密工作所需设施、设备和经费,局领导班子都能够给以重视和支持,保证了日常工作顺利开展。 二、保密工作开展情况 (一)提高认识,加强宣传 我局高度重视保密宣传教育工作,积极组织全局干部
职工通过电视、报刊、会议等多种途径了解保密工作的重要性,并积极组织干部学习《保密法》,进一步提高全体干部职工对保密工作的认识,让全体干部职工更加清醒地认识到和平建设时期保密工作的重要性,为做好我局的保密工作奠定了扎实的群众基础。 (二)健全制度,落实责任 我局高度重视保密工作,成立了保密工作领导小组,建立健全了保密规章制度。近年来,我局先后建立健全了《办公室保密制度》、《档案室保密管理制度》等保密工作规章制度,做到以制度管人、按程序办事,确保保密工作顺利开展。对在保密工作中出现的失泄密事件,按《保密法》规定追究相关责任人责任。 (三)多措并举,强化督查 我局办公室和各专业股室是保密重点部门。保密工作领导小组对这些股室的保密工作进行不定期的检查督促,防止失密、泄密。对办公室工作人员进行定期保密工作培训,办公室对于秘密文件、内部资料的传递、回收、注销都严格按照上级有关要求办理,形成了一整套制度、规定,管理渠道畅通。加强全局办公计算机的管理工作,加强对计算机上网检查工作,对上网计算机进行登记造册,摸清了全局内上网计算机的总体情况,在管理上做到心中有数;对于涉密的计算机、移动硬盘等明确要求要实行物理隔离,严禁上国际
保密管理情况报告 XXXXX有限公司 201xx年xx月
自xxxx年10月15日我公司决定申请涉密信息系统集成资质以来,我公司认真阅读了解了《保密法》、《涉密信息系统集成资质管理办法》等有关保密法律法规,学习保密工作有关的知识。知悉从事涉密信息系统集成业务应当承担的保密责任和业务。 公司成立于xxx年,注册资金xxx万元,是一家专业以信息化工程为主的高科技民营企业,始终坚持发扬“诚信、创新、沟通”为企业宗旨,以“技术、服务”为立业之本的团体精神,并形成一套完整的设计、安装、调试、培训、维护一站式服务体系。 其服务内容包括:信息系统基础设施建设,智能化系统建设,软件开发及咨询,信息系统集成业务,信息系统咨询规划,运行维护,网络信息安全服务,安全技术防范工程设计,施工及维修,办公设备销售,机电安装工程,消防工程,防雷工程,同时公司为所有承建项目建立维护档案,成立专业运维服务部,推行快速响应机制,确保在第一时间解决客户的后顾之忧。 公司拥有一支朝气蓬勃技术全面的团队,汇聚了一批优秀的软硬件、工程设计、技术服务等专业领域的技术骨干,拥有工程技术专家、高级工程师、系统集成高级项目经理、项目经理、建造师、信息高级安全工程师,本科以上学历的员工占公司总人数的95%以上。 xxx自成立以来,公司先后获得计算机信息系统集成三级资质、ITSS运维资质、安防企业三级、ISO9001质量管理体系认证、软件著作权等资质。据此公司根据自身制定未来的战略规划:力
争在贵州信息化、智能化、工业自动化行业创第一品牌。 我公司领导层高度重视涉密信息系统集成资质申请相关的工作,为了更好的做好保密工作。公司成立了由系统集成部、安全事业部、弱电事业部、安防事业部等部门组成保密委员会,即保密领导小组。由公司总经理xxxx同志担任组长,领导下设办公室,办公室主任由综合管理部主管xxxx同志担任,明确了专(兼)职保密员为采购部主管xxx同志,由他负责日常保密管理相关的工作。 我公司制定了相关的保密管理制度共xxx项,有保密教育培训制度、涉密人员管理制度、涉密载体管理制度、涉密信息系统集成场所保密管理规定、涉密项目实施现场管理工作制度、保密监督检查制度、保密奖惩制度、资质证书的使用和管理、档案管理制度、保密工作经费管理制度、保密风险评估管理制度、保密内部控制监督管理制度等相关保密制度。并加强制度的落实,定期组织人员对制度进行学习,同时进行闭卷或半开卷考试。确保涉密人员深入了解相关的保密制度。 我公司根据实际需要,明确了涉密人员为xx人,其中,重要涉密人员xx人,一般涉密人员xxx人。同时加强了人员招聘、录用、在岗、离岗等各环节的教育管理和培训,并制度了相关的制度,与涉密人员签订劳动补充合同和保密协议,每年组织开展培训xxx次,如:宣贯《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质管理办法》、《公司基本保密管理制度》等相
制度索引号:SFJD-FD-AQ-C2/2017-024 公司风险评估管理规定
◇工作规索引 1.外部规 (1)《安全生产法》(2014年修订版) (2)《防止电力生产重大事故的二十五项重点要求》(国家能源局2014年) (3)《火力发电厂安全性评价》(第二版) (4)《电业安全工作规程(热力和机械部分)GB26164.1-2010》 (5)《电业安全工作规程(发电厂和变电所部分)》(GB 26860-2011) (6)《危险化学品重大危险源辨识》(GB 18218—2009) (7)《生产过程危险和有害因素分类与代码》(GB/T13861—2009) (8)《风险管理术语》(GB/T 23694—2009) (9)《风险管理—风险评估技术》(GB/T 27921—2011) 2.部规 (1)《发电企业风险综合分析方法使用导则》(集团有限责任公司2014修订版) (12) 本单位机组设计标准
公司风险评估管理规定 第一章总则 第一条为了明确和规公司(以下简称公司)在生产业务运营过程中的危险源辨识与风险评估管理工作,促进评估方法的有效运用,落实风险管控措施和方案,降低安全生产风险,有效监控危险源,特制定本规定。 第二条本规定规定了风险评估和危险源评估的程序及管理要求。 第三条术语定义和缩略语 (一)危害因素(简称“危害”):是指生产过程中可能导致伤害、损失、不良影响等发生的条件或行为。 (二)危害识别:是指识别危害的存在并确定其特性的过程。 (三)风险:是指某一事件发生的概率和其后果的组合。 (四)风险评估:是指包括风险识别、风险分析和风险评价在的全部过程。 (五)外因综合风险分析法:包含设备故障风险评估、生产区域风险评估和工作任务风险评估三种模式。
竭诚为您提供优质文档/双击可除保密风险评估管理制度 篇一:涉密信息系统安全风险评估 涉密信息系统安全风险评估的探讨 国家保密技术研究所杜虹 引言 20xx年9月7日中共中央办公厅、国务院办公厅以中办发[20xx]27号文件转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》。其中强调了要重视信息安全风险评估工作。20xx年1月9日国家召开了全国信息安全保障工作会议,黄菊同志在讲话中指出:要开展信息安全风险评估和检查。根据风险评估的结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。国家高度重视信息安全风险评估工作,并进一步明确了信息安全风险评估在国家信息安全保障工作中的地位和作用。本文将对信息安全风险评估的基本概念和涉及国家秘密的信息系统(以下简称“涉密信息系统”主要风险评估的作用、形式、步骤、方法等进行讨论。 一、信息系统安全风险评估的基本概念
信息系统的安全是一个动态的复杂过程,它贯穿于信息系统的整个生命周期。信息系统安全的威胁来自内部破坏、外部攻击、内外勾结进行的破坏以及信息系统本身所产生的意外事故,必须按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,选择适当的安全措施,妥善应对可能发生的安全风险。因此,对信息系统特别是重要的信息系统进行不断的安全风险评估是十分必要的。 1.信息系统安全风险评估的定义 所谓信息系统安全风险评估是指依据国家有关技术标准,对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估活动。风险评估是识别系统安全风险并决定风险出现的概率、结果的影响,补充的安全措施缓和这一影响的过程,它是风险管理的一部分。 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定信息资产的风险等级和优先风险控制顺序。 2.信息安全风险评估的基本要素 信息安全风险评估要关注如下基本要素: 使命:一个组织机构通过信息化形成的能力要来进行的工作任务。 依赖度:一个组织机构的使命对信息系统和信息的依靠
一、保密机构设置 为进一步做好保密安全管理工作,加强对信息安全、保密工作的统一管理,我公司成立保密工作领导小组,下设保密办公室,保密工作领导小组全面负责公司保密工作;保密办公室负责保密工作制度制定、执行、监督、检查,为保密工作执行机构。总经理为保密工作领导小组组长,保密办公室成员包括:主管技术负责人、财务部、人力资源部、项目管理部、市场部、技术部、行政等涉密岗位的人员。 安全(保密)工作小组成员,负责建立健全、贯彻实施有关安全(保密)管理制度,组织公司安全(保密)教育和知识学习等项工作。定期组织对公司安全(保密)工作的监督、检查,及时解决安全(保密)工作中存在的问题。 二、保密制度建设情况 1、严格遵守各项安全保密管理制度 公司要求各级领导和全体员工严格遵守各项安全(保密)管理制度与规定,加强信息安全保密工作的防范,严格各项工作的业务流程,认真履行、互相监督,及时发现并消除隐患。加强保密管理。以涉密人员,涉密载体,涉密计算机保密管理为重点,进一步加强保密工作领导,强化保密管理,加强督促检查,狠抓各项保密措施和保密责任制的落实,杜绝重大失泄密事件的发生。 2、涉密人员管理 从事涉密业务服务的人员(包括外聘专家)应当按照有关规定进
行安全保密审查,与单位签订安全保密责任书,明确安全保密责任和义务。离开涉密业务咨询服务岗位,应当清退涉密载体,实行脱密期管理。 3、涉密项目管理 绝密级或机密级项目,应当明确由保密领导小组组长负责保密管理工作,并严格控制知悉范围。 4、涉密载体管理 为了确保秘密载体的安全,本着严格管理、严密防范、确定安全、方便工作的原则,严格按照要求,加强涉密载体的制作、收发、传送、使用、保存、销毁六大环节的管理,使涉密载体的管理工作步入了规范化轨道。在制作环节上,无论是纸介质载体,还是其他介质载体均统一由制定人员制作,对不需归档的材料及时销毁。在收发和传递环节上,严格履行清点、登记、编号、签发手续,传递时,指派专人负责并采取相应安全保密措施。在使用环节上,严格知悉人员范围,对擅自扩大知悉范围的,严格追究相关人员责任。凡不准记录、录音、录像的,均事先申明,复制载体必须经主管领导批准,并履行登记手续。在保存上,严格按照国家档案法律法规归档,并指派专人负责,配备必要的保密设备。在销毁上,认真履行审核、清点、登记手续,采取相应不泄密的方法销毁,杜绝将秘密载体当作废品出售。 5、涉密计算机管理 涉密计算机及其移动存储介质应当集中管理,并建立台账; 涉密计算机和信息系统应当与国际互联网和其它公共信息网
安全风险评估管理制度 为全面加强安全基础管理~规范、完善安全风险评估工作~提升安全风险预控水平~制定本制度。 一、组织领导 为确保安全风险评估工作的顺利开展~厂专门成立安全风险评估工作领导小组~全面组织领导工作的开展。 组长:***副组长:*** 员:**** 成 组长对此项工作负总责~负责全厂安全风险评估工作的总体规划、组织协调与考核监督。 副组长负责人员协调和物资供应~为安全风险评估各项工作的开展提供人员保障和物资支持。 副组长负责各项制度措施的编写完善、现场评估的考核与隐患问题的解决~为安全风险评估工作提供技术支持。 各成员负责组织做好本车间各岗位的风险评估工作的宣传、排查评估、记录填写等工作。 二、安全风险评估内容 定期对全厂生产设备设施、作业现场、作业人员、制度措施等安全可行性和重大灾害、重大危险源等进行安全风险分析评估~主要包括以下几个方面: 1、新技术、新工艺、新设备、新材料的应用。 2、日常作业的人员、环境、系统、设备设施等。 3、检维修及特殊条件作业。
4、工作流程、生产工序、技术工艺发生变化以及工作区域的设备、设施、环境发生重大变化。 6、其他需要安全风险评估的事项。 三、生产系统及装备安全风险评估 在生产系统、装备投运前、运行中、停运时等各阶段~全过程组织开展安全风险评估工作。 1、设备、物资购置及验收。涉及安全生产的设备、物资购置前~要对设备、物资是否适应安全生产要求进行安全、技术选型论证~并按规定程序报批。设备、物资入库前~应对其完好情况、技术参数、安全性能等进行评估验收~符合要求方可入库。材料、配件、工器具、劳动保护用品等出库投入运行前~使用人员应对其完好情况、安全性能进行检查评估~确认符合安全要求方可投入运行。 2、生产环境及系统运行。定期组织对运行中的生产系统、装备设施、作业环境等进行安全风险分析评估。经分析评估认定为隐患的~按照《南屯煤矿安全生产事故隐患排查治理管理办法》要求进行监控治理。 3、生产系统及装备停运。因放假停产或其他因素影响需停运系统、装备时~要对其安全停运进行综合分析评估。内容包括:停运存在的风险因素~对运行系统的影响,安全隔离措施,停运后安全管理等。 4、生产系统及装备重启。重新启用长期停运的车间、生产线、装备等~或非正常停工、停产系统及长期停运的系统、装备前~要对其安全投运进行综合分析评估。 5、“四新”试验。在涉及安全生产的新技术、新工艺、新设备、新材料试验前~由技术人员对其安全性能、环境适应性、存在的危险因素、 可能造成的危害等方面进行安全性能检验、鉴定~符合要求后方可投入使用。 四、作业现场安全风险评估
保密风险评估
风 险 评 估 报 告 XXXXX有限公司201xx年xx月
1 概述 针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。 2 评估目的 通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据。 3 评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4 评估内容 4.1 人力资源管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定,从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制
定出风险防控措施。 4.1.1 风险级别定义 风险严重程度级别参考书 4.1.2 风险点 ?对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗。 ?对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件: (1)遵纪守法,具有良好的品行,无犯罪记录; (2)属于公司正式职工,并在其他公司无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。 ?审查公司与涉密人员签订的劳动合同或补充协议,是否已签署。 ?公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于10个学时。 ?公司是否对在岗涉密人员进行定期考核评价。 ?公司是否向涉密人员发放保密补贴。 ?公司涉密人员在离岗离职时,是否经公司保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。 4.1.3 风险分析
电子邮箱保密管理工作汇报 根据**市保密局《关于转发<关于严禁使用电子邮箱存储、处理、传输涉密和内部办公信息的紧急通知>的通知》的文件精神,结合我局实际,对电子邮箱保密管理工作进行了专项检查和认真总结,现汇报如下: 一、加强组织领导,明确领导保密职责,高度重视计算机网络保密管理工作 作为政府机构,我局领导对计算机网络尤其是电子邮箱保密管理工作高度重视,成立了以局长任组长、分管领导为副组长,信息中心等相关科室负责人为成员的的计算机网络保密管理工作领导小组。同时,将计算机网络保密管理工作纳入我局年度工作目标管理,建立了工作责任制,将责任明确到人,做到一级抓一级,层层抓落实,全局形成了“主要领导亲自抓、分管领导具体抓、职能科室抓落实”的工作格局和覆盖全局的工作网络,为计算机网络保密管理工作的顺利开展创造了良好环境。 二、电子邮箱保密管理工作开展落实情况 (一)以宣传教育为主导,强化保密意识 为加强计算机网络特别是电子邮箱的保密管理,防止电子邮箱泄密事件发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识,我局采取多方式、多渠道对计算机保密相关人员进行宣传教育。一是将《信息系统、信息设备和涉密载体使用管理严重违法违规“十七条”》予以转发至各责任科室,要求结合实际,认真自查。二是进行警示教育,对
近期发生的电子邮箱泄密事件,我局要求各责任科室以此为鉴,汲取教训,进一步重视和加强电子邮箱的保密管理,确保计算机网络安全。 (二)以制度建设为保障,严格规范管理 加强制度建设,是做好计算机网络保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机网络尤其是电子邮箱的保密管理,我局主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关规定和要求,严禁通过互联网电子邮箱办理业务,存储、处理、传输涉密和内部办公信息,严禁将涉密存储介质和内部办公网络接入互联网及其其他公共信息网络,严禁在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换,不断增强电子邮箱保密管理能力。二是严格涉密信息流转的规范性,弥补电子邮箱使用管理上存在的空挡。三是及时制定涉密信息发布审查制度,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到“上网信息不涉密、涉密信息不上网”。 (三)以督促检查为手段,堵塞管理漏洞 为了确保计算机网络尤其是电子邮箱保密管理工作各项规章制度的落实,及时发现电子邮箱保密管理工作中存在的泄密隐患,堵塞管理漏洞,我局十分重视对计算机及其网络保密工作的督促检查,对计算机网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行检查。近期,我局对全局电子邮箱使用情况进行了一次全面的检查,通过检查,查找电子邮箱保密管理工作中存在的漏洞,并整改到位。
安全风险评价管理制度 1.目的与编制依据 1.1 编制目的 为规范公司安全风险(以下简称“风险”)的评价管理,及时发现生产安全事故隐患和重大危险源,为制订风险控制措施提供可靠依据,落实“预防为主”的安全生产方针,特制定本制度。 1.2 编制依据 《中华人民共和国安全生产法》(2002) 《危险化学品从业单位安全标准化规范》(AQ3013-2008) 《安全生产岗位责任制》(ZS-AWH-SMP-146-01,2009) 《生产安全事故隐患排查治理管理制度》(ZS-AWH-SMP-01,2009)2.主题内容 本制度规定了风险评价的目的、范围和评价准则,规定了风险评价和风险控制措施管理的工作程序,明确了相关部门的风险管理职责。 3.范围 本制度适用于公司范围内风险评价工作管理。 4.职责 4.1 公司安全生产管理委员会(以下简称“安委会”)为风险评价的归口管理部门,负责制订风险评价计划,组织实施重大项目和常规活动的风险评价,并负责协调、指导、监督风险控制措施的落实。 4.2 安全环保部(以下简称“安环部”)负责协助组织风险评价,编
制评价报告,制订风险控制措施,并参与措施落实工作的组织与监督。 4.3 生产、研发、中试、设备动力、分析技术、行政等部门参与风险评价,负责落实风险控制措施,参与本制度的编制与修订。 4.4 本制度由安委会组织编制、修订。本制度经公司管理程序审核、批准后,由行政部颁布实施。安环部负责将本制度及其修订版本报行政部备案。 5.术语与定义 5.1 风险 发生特定危险事件的可能性与后果的结合。 5.2 风险评价 评价风险程度并确定其是否在可承受范围的过程。 5.3 危险有害因素 可能导致伤害、疾病、财产损失、环境破坏的根源和状态,主要表现为人的不安全行为、物的不安全状态和管理上的缺陷。 5.4 常规/非常规/异常活动 常规活动为日常生产经营中经常出现的活动,具有周期性、重复性的特点,如生产原料的采购和储存、生产设备设施的日常维护清洁、危险化学品的管理使用等;非常规活动为不经常出现的市场经营活动,如新项目的建设或生产工艺改造、新设备或新装置的安装使用等;异常活动为非正常情况下所采取的各类应急措施。 6.风险评价基本要求 6.1 评价范围
公司保密风险评估报告1 公司保密风险评估报告 一、做好保密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业操守,避免因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。 二、涉密项目监理工作保密重点 涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批和运维打下坚实基础,同时也可为承建方在方案设计、
涉密改造、系统检测测试、试 运行、验收等各阶段提供咨询,确保项目能够按时按质量完成。对于后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制和管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见的事件可以进行很好的预防。
保密管理情况报告 一、保密机构设置 为进一步做好保密安全管理工作,加强对信息安全、保密工作的统一管理,我公司成立保密工作领导小组,下设保密办公室,保密工作领导小组全面负责公司保密工作;保密办公室负责保密工作制度制定、执行、监督、检查,为保密工作执行机构。总经理为保密工作领导小组组长,保密办公室成员包括:主管技术负责人、财务部、人力资源部、项目管理部、市场部、技术部、行政等涉密岗位的人员。 安全(保密)工作小组成员,负责建立健全、贯彻实施有关安全(保密)管理制度,组织公司安全(保密)教育和知识学习等项工作。定期组织对公司安全(保密)工作的监督、检查,及时解决安全(保密)工作中存在的问题。 二、保密制度建设情况 1、严格遵守各项安全保密管理制度 公司要求各级领导和全体员工严格遵守各项安全(保密)管理制度与规定,加强信息安全保密工作的防范,严格各项工作的业务流程,认真履行、互相监督,及时发现并消除隐患。加强保密管理。以涉密人员,涉密载体,涉密计算机保密管理为重点,进一步加强保密工作领导,强化保密管理,加强督促检查,狠抓各项保密措施和保密责任制的落实,杜绝重大失泄密事件的发生。 2、涉密人员管理
从事涉密业务服务的人员(包括外聘专家)应当按照有关规定进行安全保密审查,与单位签订安全保密责任书,明确安全保密责任和义务。离开涉密业务咨询服务岗位,应当清退涉密载体,实行脱密期管理。 3、涉密项目管理 绝密级或机密级项目,应当明确由保密领导小组组长负责保密管理工作,并严格控制知悉范围。 4、涉密载体管理 为了确保秘密载体的安全,本着严格管理、严密防范、确定安全、方便工作的原则,严格按照要求,加强涉密载体的制作、收发、传送、使用、保存、销毁六大环节的管理,使涉密载体的管理工作步入了规范化轨道。在制作环节上,无论是纸介质载体,还是其他介质载体均统一由制定人员制作,对不需归档的材料及时销毁。在收发和传递环节上,严格履行清点、登记、编号、签发手续,传递时,指派专人负责并采取相应安全保密措施。在使用环节上,严格知悉人员范围,对擅自扩大知悉范围的,严格追究相关人员责任。凡不准记录、录音、录像的,均事先申明,复制载体必须经主管领导批准,并履行登记手续。在保存上,严格按照国家档案法律法规归档,并指派专人负责,配备必要的保密设备。在销毁上,认真履行审核、清点、登记手续,采取相应不泄密的方法销毁,杜绝将秘密载体当作废品出售。 5、涉密计算机管理 涉密计算机及其移动存储介质应当集中管理,并建立台账;
安全风险评价和控制管理制度 1.目的 识别企业在生产(管理)、服务、活动过程中能够控制 与可能施加影响的危害,评价和确定一级风险、二级风险和重大 风险,以确定一般危害和重大危害,作为制定安全标准化目标的基础与依据,并进行有效控制。 2.范围 公司全体员工。 3.内容 3.1评价组织及职责 (1)本公司成立风险评价小组 组长为本公司安全第一责任人,副组长为分管安全生 产的副总经理和安全办主任,成员为相关部门负责人和安全办成员。 (2)职责 组长:直接负责风险评价工作。组织制定风险评价程 序;审批《重大风险及控制措施清单》。 副组长:协助组长做好风险评价工作。负责风险评价 管理的具体工作;负责组织进行风险评价定期评审; 成员:对各单位上报的《工作危害分析(JHA记录表》、 《安全检查(SCL分析记录表》进行调查、核实、补充完善,确定公司的重大危害和重大风险并编制《重大风险及控制措施清单》和重大隐患项目治理方案;负责相关方风险评价和风险控制。
3.2风险管理 (1)危害识别 1)在进行危害识别时,应充分考虑: ①火灾和爆炸;一切可能造成时间或事故的活动或行 为 ②冲击与撞击;物体打击,高处坠落,机械伤害; ③中毒、窒息、触电及辐射(电磁辐射、同位素辐射); ④暴露于化学性危害因素和物理性危害因素的工作环 境; ⑤人机工程因素(比如工作环境条件或位置的舒适度、重复性工作、照明不足等); ⑥设备的腐蚀、焊接缺陷等; ⑦有毒有害物料、气体的泄漏; ⑧可能造成环境污染和生态破坏的活动、过程、产品 和服务:包括水、气、声、渣、废物等污染物排放或处置以及能源、资源和原材料的消耗。 2)同时还应考虑: ①人员、原材料、机械设备与作业环境; ②直接与间接危险; ③三种状态:正常、异常及紧急状态; ④三种时态:过去、现在及将来。 (2)人的不安全行为: 违反安全规则或安全常识,使事故有可能发生的行类