涉密项目保密风险评估
及防控措施
Pleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】
涉密项目保密风险评估及防控措施
陕西华信智能建筑有限责任公司
工程部
目录
1、概述
风险评估依据
《中华人民共和国保守国家秘密法》
《涉密信息系统集成资质保密标准》
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》
BMB23《涉及国家秘密的信息系统分级保护管理规范》
评估目的
涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。
近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。
涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险,进行重点防控提供科学依据。
2、常见风险评估及防控措施
参与涉密项目人员风险评估
可能存在的风险点
?项目部组建时人员是否满足涉密人员要求;
?上岗前是否接受过保密知识培训及考核;
?是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价表;
?部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;
?涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。
风险防控措施
?应聘员工应满足公司对涉密人员的聘用标准;
?上岗必须学习岗位保密业务,且保密知识考核成绩合格;?与公司签署保密协议、保密承诺书、保密责任书;
?员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工的涉密考核内容;
?保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。
?涉密人员在离开项目后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理要求。
涉密载体风险评估
可能存在的风险点
纸质文件:
?涉密文件、资料是否有专人管理;
?涉密文件是否有收发记录;
?涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;
?涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;
?涉密文件是否及时归档,档案目录是否及时更新。
电子文件:
?是否指派专人对涉密电子文件进行管理;
?制作涉密电子文件时,是否记录使用范围及制作数量;
?是否在非涉密计算机中传递涉密电子文件;
?在携带涉密电子文件外出时,是否有专人携带;
?涉密电子文件是否及时归档;
?报废的涉密电子文件如何处理。
风险防控措施
纸质文件
?所有保密文件、文档、材料由项目保密专员统一管理,统一登记并存入密码柜,定期进行清查,避免发生资料泄露或丢失。严禁其他人员随意翻看保密资料,如有其他保密人员要借阅使用,由保密专员进行登记,写明借阅时间及借阅理由,并保证不拿到涉密办公室以外的地方使用。
?保密材料严格按保密领导办公室批准的份数印刷,不得擅自多印多留,复印件视同原件管理,复印过程中产生的废纸、废件应及时销毁;在复印材料之前,需由保密办公室管理员登记后方可进行,标明使用理由、复印份数;
?传递保密材料要有保密措施,传递应专人专送,不得办理无关事项,携带密件不得进入不利于保密的场所;外出工作需携带保密材料的,要经保密工作领导小组批准。
?保密资料未经许可,不得擅自摘抄、翻印、复印、转借或损坏;一旦造成损失由当事人承担责任。
电子文件:
?指定专人负责项目涉密电子文件的日常管理工作。
?制作涉密电子文件,应当依照有关文件,规定使用范围及制作数量,并编号记录。
?传递涉密电子文件,应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。
?阅读、使用、复制和销毁涉密电子文件,应经保密工作领导小组批准,同时办理登记、签字手续。复制的电子文件视同原件管理。
?定期对涉密电子文件及载体进行清查、核对,发现问题及时向保密管理办公室汇报。
涉密设备风险评估
可能存在的风险点
?涉密计算机是否有违规操作;
?涉密计算机端口是否插过其他存储介质;
?涉密计算机是否配备三合一防护系统;
?办公场所自动化设备是否外借使用;
?涉密计算机及办公场所自动化设备维修、更换、报废如何管理。
风险防控措施
?涉密计算机安装主机监控与审计系统进行端口审计;
?涉密计算机安装江民病毒防护软件,由专人进行病毒软件更新,更新周期不超过15天;
?每台涉密计算机都配备三合一防护系统,严格控制了计算机内涉密信息的流失;
?涉密计算机配置10位数以上的密码,由专人统一管理、记载;
?办公室自动化设备均为涉密办公室处理涉密项目专用,不得外借使用;
?涉密计算机及办公室自动化设备由保密工作领导小组确定专人使用,机器明确标明使用人姓名并登记入册;使用人发生变化时,报保密工作领导小组审核,审核通过后进行变更;?涉密计算机及办公室自动化设备(打印机、刻录机)维修、更换、报废由涉密办公室管理员负责,做好相关登记;维修应由保密领导小组批准后进行;
?涉密计算机维修应到保密局指定的地点维修,维修前应卸下硬盘等敏感部件,维修后应进行安全检测后方可使用;
?更换涉密计算机应事先提交涉密设备变更申请表,写明更换原因,经保密工作领导小组批准后进行。在更换涉密计算机前应卸下硬盘,卸下的硬盘不得在非涉密计算机上使用,硬盘交由涉密办公室保密管理员登记备案;硬盘留存于保密办公室,不得使用、外借;
?涉密计算机报废不得当作废品出售,在申请报废后先到保密办公室保密管理员处登记,卸下硬盘并由专人上交保密局工作部门进行集中销毁处理,报废涉密计算机应报保密局备案并履行相应的销毁制度。
涉密场所风险评估
可能存在的风险点
?涉密办公场所内是否存在网络端口;
?非涉密人员进出涉密办公室是否有记录;
?涉密办公场所是否按照国家保密局要求配备了门禁系统、防盗报警系统、视频监控系统;
?涉密人员进出涉密办公室时是否携带相机,手机,录音笔等其它可存储介质。
风险防控措施
?由安全保密管理员定期检查涉密办公室的门禁、防盗报警、视频监控等设备的完好状态,确保保密材料安全。
?非授权人员进出涉密场所,须经公司保密领导小组审批并由授权人员进行全程陪同方可进入,同时建立涉密场所非授权人员进入登记册,对临时进出的人员登记;标明进出时间及事由。
?建立视频监控的检查管理机制,公司的安全保卫部门应当定期对视频监控信息进行回看检查,保密办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。
?未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公室。
3、涉密项目风险评估
招投标风险评估
可能存在的风险点
?投标小组成员是否为涉密人员,是否有保密意识;
?是否有泄露标底的情况;
?是否做好投标文件的保密情况;
?是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况;
?评标机构是否做好保密工作。
风险防控措施
?投标小组成员必须为涉密人员,必须与公司签署保密协议,保密承诺书及保密责任书后方可进入小组。
?标底作为评标的主要依据,是工程招标保密工作的重中之重,标底如果泄露可能会导致工程招标成本的提高。因此,投标小组应加强对标书的保密管理,涉及记载标底的文件不能随意摆放,应视同保密材料保管于保密办公室。
?投标文件是投标人的商业秘密。既然投标人信任招标代理机构,招标代理机构也应把投标人递交的投标文件保存好。因此,招标代理机构有义务对投标文件进行保密,以避免投标人遭受损失。由专人负责对投标文件的管理,没有保密工作
领导小组领导的允许,除投标小组成员外,其他人员不得翻阅投标文件。
?对每一个投标单位的资格预审应当单独进行。资格预审结束后,招标人应当对资格预审合格单位的名单予以保密,并以书面或电话的方式单独通知每一个报名单位其是否通过资格预审。
?招标人根据工程招标项目的具体情况,可以组织潜在投标人勘查项日现场。由于保密问题的存在,招标人不能同时组织所有潜在投标人进行现场勘查。招标人可以制定现场勘查的时间安排表,然后分别组织潜在投标人进行勘查。
设计方案风险评估
可能存在的风险点
?设计人员是否为涉密人员,是否有保密意识;
?涉密人员素质是否良好,是否会泄露设计方案;
?办公环境是否满足涉密资质标准要求;
?使用设备是否为涉密设备,是否满足标准;
?是否在非涉密计算机上传递涉密项目信息。
风险防控措施
?在整个设计过程中,应确定领导小组组织结构,严格按照班组成员划分岗位职责,严禁杜绝滥用职权、擅离职守、推卸责任等情况的出现。加强领导保密意识培训,起好表率作用。在设计过程中保密意识应时刻体现在工作中,从现场的
勘察、资料的整理、汇总、后期资料的加工、方案的修改、资料的传输、最终方案的保存等都应该时刻提高保密意识,加强保密管理。
?方案设计小组成员必须经过严格筛选,参加保密培训及考核合格后方能上岗。在工作中时刻注意警惕自己是涉密人员,增强保密意识。
?在设计过程中,现场勘察时对周边环境应仔细查找风险点,避免一切安全隐患的发生,不满足要求的及时整改。方案编写都应该在涉密办公室进行,防止涉密信息外漏。
?方案设计过程中应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带,方案编写必须在涉密办公室内进行,如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行,保密领导小组组长同意方可。
?必须在涉密计算机上处理涉密项目,不允许在非涉密计算机上处理或传递涉密项目信息。也不允许将涉密信息通过任何方式拷贝、复印拿出涉密办公室。
分包方案使用风险评估
可能存在的风险点
?在现场使用时,信息是否产生泄露;
?涉密人员是否将图纸存放与他人手里或放在施工现场,导致项目设计方案泄露。
风险控制措施
?加强涉密人员保密意识;
?涉密项目前期设计需由专人在涉密计算机上进行编写,并用光盘进行信息存储,并由委托方指定人员进行交接。不得将光盘存于他人手中或施工现场。
?严禁使用外网计算机查询任何涉密项目信息,涉密项目方案的制定均应在涉密办公室内的涉密计算机上进行编写。
设备采购风险评估
可能存在的风险点
?工程建设周期导致从投标到采购的周期过长,存在供应商库存风险和技术偏离风险;
?市场信息不够完全、充分、透明,供应商在一定范围内能影响价格;
?设备采购过程中,供应商泄露项目信息。
风险控制措施
?工程建设周期导致从投标到采购的周期过长,存在供应商库存风险和技术偏离风险,可从三方面进行规避:一方面可建立供应商预警机制,对价格、库存、技术等风险出现前进行供方预警;一方面,对于项目前期设备的选型,应考虑项目建设周期因素,应避免选择市场寿命短的产品;另一方面,应在签订项目合同时,对于设备的更新换代条款,应进行明示。
?加大市场信息获取力度,使市场信息准确而全面,从而保证市场分析、成本分析等数据的可靠性;依据适用原则选择供应商并改善与供应商的关系,避免成为强势供应商价格联盟的受害者。
?涉密项目的设备采购应单独采购,由涉密业务管理小组下的设备采购小组组长设立专人,不与其它项目的设备一起采
购,与供应商签署保密承诺书,并承诺不泄露项目信息、设备价格。
现场实施风险评估
可能存在的风险点
?合同及各项审核工作时间太长,导致项目信息泄露;
?在施工过程中有涉密人员离职或调岗,导致涉密信息泄露;?施工现场环境是否满足涉密项目环境要求;
?现场施工时,是否有除委托方及现场施工人员以外的人员进出现场;
?设备安装调试时,是否通过非涉密计算机进行操作。
风险防控措施
?涉密项目签订的涉密合同必须由专职涉密人员进行登记、归档,存放于涉密办公室内的密码文件柜内。
?调岗或离职的涉密人员必须进行脱密期处理,并签署涉密人员离岗保密承诺书。不得在脱密期间出国或在外资企业工
作。
?施工现场周围不允许有大使馆、外资企业等;如有请做好保密防护措施,如:安装视频监控系统、防盗报警系统等。加强施工现场保密环境。
?现场施工时,不允许除委托方及现场施工人员以外的人员进出现场。除保密工作领导小组指定人员外,其他人员不得进入施工现场。
?调试设备时,必须用涉密计算机进行调试,不得用非涉密计算机进行。避免通过非涉密计算机传递涉密信息,导致涉密项目信息泄露。
审查验收风险评估
可能存在的风险点
?审查验收人员是否为涉密人员,是否是保密工作领导小组指定;
?审查验收记录是否是由专人负责保管,是否产生记录丢失、泄露;
?对用户进行设备使用培训,但用户保密意识不强,无意间泄露保密信息。
风险防控措施
?审查验收人员必须为涉密人员,必须由保密工作领导小组下的运行维护小组组长指派专人验收。
?审查验收记录由专人携带,带回公司后交于涉密办公室管理员处登记备案,存放于密码柜中。
?在审查验收时,应对用户进行相关保密知识培训。
项目材料移交风险评估
可能存在的风险点
?项目材料移交时是否是在保密环境下进行,记录是否齐全;?接收材料人员是否是涉密人员,是否由保密工作领导小组指定;
?接收材料人员是否携带材料出入公共场所,导致信息泄露。风险防控措施
?移交材料时,需在保密环境下进行,检查验收记录是否齐全,不能有记录不完整,不能在公共场所下进行。由专人进行材料交接,并将材料封存于档案袋中。
?接收材料的人员必须是由保密工作领导小组指定的人。
?接收材料后,必须马上携带资料返回公司,不得在公共场所逗留,避免发生资料丢失,产生资料泄密。
运行维护风险评估
可能存在的风险点
?后期运行维护的人员是否是涉密人员,是否明确涉密人员的职责,是否有保密意识;
?在对设备维护时,是否使用非涉密计算机进行操作;
?运行维护人员是否在交谈中泄露涉密信息;
?维护记录是否保存好,是否产生记录丢失、泄露。
保密风险评估报告 XXXXX开发有限公司 XXXX年1月9日
目录 1.概述 (4) 1.1背景 (4) 1.2风险评估的依据 (6) 1.3风险评估的目的 (6) 1.4风险评估的措施 (7) 2.风险评估 (10) 2.1涉密人员风险评估 (10) 2.2涉密载体风险评估 (11) 2.3涉密设备风险评估 (13) 2.4涉密场所风险评估 (14) 2.5涉密项目风险评估 (15) 2.5.1招投标风险评估 (15) 2.5.2设计方案风险评估 (16) 2.5.3系统集成过程风险评估 (17) 2.5.3.1分保方案使用风险评估 (18) 2.5.3.2设备采购风险评估 (18) 2.5.3.3现场实施风险评估 (19) 2.5.3.4审查验收风险评估 (20) 2.5.3.5项目材料移交风险评估 (20) 2.5.3.6运行维护风险评估 (21) 2.5.3.7项目流程图 (22)
3.持续性改进机制 (26) 4.风险评估小结 (30)
1.概述 1.1背景 ●公司发展历史及现状 XXXXXXX于XXXXXXX年4月20日注册成立,注册地址位于XXXXXX,注册资金XXX万元,公司员工XXX人。公司成立初期主要业务范围是以XXXXXXX。 为了公司发展需要,注册资金经过多次变更,由最初的XXXX万元增资到XXXX万人民币。公司也在此期间取得了本行业相关的资质:ISO9001:2000质量体系认证;信息系统集成三级资质和公共安全技术防范壹级资质,并且是中央政府采购网的协议供货商及合格的竞价谈判供应商,并具备XXXXXXX政府及XXXXXXX政府的供应商资格,还是XXXXXXX 集团和XXXXXXX集团的合法供应商。目前公司现经营地址为XXXXXXX,拥有办公场地XXXX多平方米,客户遍及政府,金融及保险,能源,军队等各大行业和机构,现已成为一家有着深厚技术实力和良好合作支持,以系统集成,软件开发,网络维护及集成,音视频会议集成,监控设计及安装调试,应用开发与服务为主的综合性IT企业。公司近三年系统集成项目金额达XXXXX万元。 ●公司人员组织结构 公司注重团队建设和人才的培养,现拥有员工XXXX人,全体员工80.4.%以上是本科以上文化程度,技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书,并且也取得国际认证的软、硬件工程师证书及各
涉密项目保密风险评估 及防控措施 Pleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】
涉密项目保密风险评估及防控措施 陕西华信智能建筑有限责任公司 工程部
目录
1、概述 风险评估依据 《中华人民共和国保守国家秘密法》 《涉密信息系统集成资质保密标准》 BMB17《涉及国家秘密的信息系统分级保护技术要求》 BMB20《涉及国家秘密的信息系统分级保护管理规范》 BMB23《涉及国家秘密的信息系统分级保护管理规范》 评估目的 涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。 近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。 涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险,进行重点防控提供科学依据。
2、常见风险评估及防控措施 参与涉密项目人员风险评估 可能存在的风险点 ?项目部组建时人员是否满足涉密人员要求; ?上岗前是否接受过保密知识培训及考核; ?是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价表; ?部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识; ?涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。 风险防控措施 ?应聘员工应满足公司对涉密人员的聘用标准; ?上岗必须学习岗位保密业务,且保密知识考核成绩合格;?与公司签署保密协议、保密承诺书、保密责任书; ?员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工的涉密考核内容; ?保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。
涉密项目保密风险评估及防控措施
陕西华信智能建筑有限责任公司 工程部
目录 1、概述 (1) 风险评估的依据 (1) 评估的目的 (1) 2、常见风险评估及防控措施 (2) 参与涉密项目人员风险评估 (2) 可能存在的风险点 (2) 风险防控措施 (2) 涉密载体风险评估 (3) 可能存在的风险点 (3) 风险防控措施 (4) 涉密设备风险评估 (5) 可能存在的风险点 (5) 风险防控措施 (5) 涉密场所风险评估 (6) 可能存在的风险点 (6) 风险防控措施 (7) 3、涉密项目风险评估 (8) 招投标风险评估 (8) 可能存在的风险点 (8)
设计方案风险评估 (9) 可能存在的风险点 (9) 风险防控措施 (9) 分包方案使用风险评估 (10) 可能存在的风险点 (10) 风险控制措施 (10) 设备采购风险评估 (11) 可能存在的风险点 (11) 风险控制措施 (11) 现场实施风险评估 (12) 可能存在的风险点 (12) 风险防控措施 (12) 审查验收风险评估 (13) 可能存在的风险点 (13) 风险防控措施 (13) 项目材料移交风险评估 (14) 可能存在的风险点 (14) 风险防控措施 (14) 运行维护风险评估 (14) 可能存在的风险点 (14)
1、概述 风险评估依据 《中华人民共和国保守国家秘密法》 《涉密信息系统集成资质保密标准》 BMB17《涉及国家秘密的信息系统分级保护技术要求》 BMB20《涉及国家秘密的信息系统分级保护管理规范》 BMB23《涉及国家秘密的信息系统分级保护管理规范》 评估目的 涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。 近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。 涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险,进行重点防控提供科学依据。
风 险 评 估 报 告 XXXXX 有限公司201xx 年xx 月
1概述 针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管 理等。 2评估目的 通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据。 3评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4评估内容 4.1人力资源管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定,从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对
公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制定出风险防控措施。 4.1.1风险级别定义 风险严重程度级别参考书 4.1.2风险点 ?对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗。 ?对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件: (1)遵纪守法,具有良好的品行,无犯罪记录; (2)属于公司正式职工,并在其他公司无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。 ?审查公司与涉密人员签订的劳动合同或补充协议,是否已签署。 ?公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于 10 个学时。 ?公司是否对在岗涉密人员进行定期考核评价。 ?公司是否向涉密人员发放保密补贴。 ?公司涉密人员在离岗离职时,是否经公司保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。 4.1.3风险分析
保密风险评估
风 险 评 估 报 告 XXXXX有限公司201xx年xx月
1 概述 针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。 2 评估目的 通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据。 3 评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4 评估内容 4.1 人力资源管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定,从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制
定出风险防控措施。 4.1.1 风险级别定义 风险严重程度级别参考书 4.1.2 风险点 ?对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗。 ?对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件: (1)遵纪守法,具有良好的品行,无犯罪记录; (2)属于公司正式职工,并在其他公司无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。 ?审查公司与涉密人员签订的劳动合同或补充协议,是否已签署。 ?公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于10个学时。 ?公司是否对在岗涉密人员进行定期考核评价。 ?公司是否向涉密人员发放保密补贴。 ?公司涉密人员在离岗离职时,是否经公司保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。 4.1.3 风险分析
涉密项目保密风险评估及防控措施 陕西华信智能建筑有限责任公司 工程部
目录 1、概述 (1) 1.1 风险评估的依据 (1) 1.2 评估的目的 (1) 2、常见风险评估及防控措施 (2) 2.1 参与涉密项目人员风险评估 (2) 2.1.1 可能存在的风险点 (2) 2.2.2 风险防控措施 (2) 2.2 涉密载体风险评估 (3) 2.2.1 可能存在的风险点 (3) 2.2.2 风险防控措施 (4) 2.3 涉密设备风险评估 (5) 2.3.1 可能存在的风险点 (5) 2.3.2 风险防控措施 (5) 2.4 涉密场所风险评估 (6) 2.4.1 可能存在的风险点 (6) 2.4.2 风险防控措施 (7) 3、涉密项目风险评估 (8) 3.1 招投标风险评估 (8) 3.1.1 可能存在的风险点 (8) 3.1.2 风险防控措施 (8) 3.2 设计方案风险评估 (9) 3.2.1 可能存在的风险点 (9) 3.2.2 风险防控措施 (9) 3.3 分包方案使用风险评估 (10) 3.3.1 可能存在的风险点 (10) 3.3.2 风险控制措施 (10) 3.4 设备采购风险评估 (11) 3.4.1 可能存在的风险点 (11)
3.4.2 风险控制措施 (11) 3.5 现场实施风险评估 (12) 3.5.1 可能存在的风险点 (12) 3.5.2 风险防控措施 (12) 3.6 审查验收风险评估 (13) 3.6.1 可能存在的风险点 (13) 3.6.2 风险防控措施 (13) 3.7 项目材料移交风险评估 (14) 3.7.1 可能存在的风险点 (14) 3.7.2 风险防控措施 (14) 3.8 运行维护风险评估 (14) 3.8.1 可能存在的风险点 (15) 3.8.2 风险防控措施 (15)
涉密项目保密风险评估及防控措施 I
陕西华信智能建筑有限责任公司 工程部 II
目录 1、概述 (1) 风险评估依据 (1) 评估目的 (1) 2、常见风险评估及防控措施 (2) 参与涉密项目人员风险评估 (2) 可能存在的风险点 (2) 风险防控措施 (2) 涉密载体风险评估 (3) 可能存在的风险点 (3) 风险防控措施 (4) 涉密设备风险评估 (5) 可能存在的风险点 (5) 风险防控措施 (5) 涉密场所风险评估 (7) 可能存在的风险点 (7) 风险防控措施 (7) 3、涉密项目风险评估 (9) 招投标风险评估 (9) 可能存在的风险点 (9) 风险防控措施 (9) 设计方案风险评估 (10) 可能存在的风险点 (10) 风险防控措施 (10)
分包方案使用风险评估 (12) 可能存在的风险点 (12) 风险控制措施 (12) 设备采购风险评估 (12) 可能存在的风险点 (12) 风险控制措施 (13) 现场实施风险评估 (13) 可能存在的风险点 (13) 风险防控措施 (14) 审查验收风险评估 (14) 可能存在的风险点 (14) 风险防控措施 (15) 项目材料移交风险评估 (15) 可能存在的风险点 (15) 风险防控措施 (15) 运行维护风险评估 (16) 可能存在的风险点 (16) 风险防控措施 (16)
1、概述 风险评估依据 《中华人民共和国保守国家秘密法》 《涉密信息系统集成资质保密标准》 BMB17《涉及国家秘密的信息系统分级保护技术要求》 BMB20《涉及国家秘密的信息系统分级保护管理规范》 BMB23《涉及国家秘密的信息系统分级保护管理规范》 评估目的 涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。 近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。 涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险,进行重点防控提供科学依据。
公司保密风险评估报告1 公司保密风险评估报告 一、做好保密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业操守,避免因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。 二、涉密项目监理工作保密重点 涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批和运维打下坚实基础,同时也可为承建方在方案设计、
涉密改造、系统检测测试、试 运行、验收等各阶段提供咨询,确保项目能够按时按质量完成。对于后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制和管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见的事件可以进行很好的预防。
软件开发保密资质保密风险评估报告 保密风险评估报告 编写人:XX XX网络科技有限公司 年XX月XX日
目录 概述 (3) 1.1背景 (3) 1.2风险评估的依据 (4) 1.3风险评估的目的 (5) 1.4风险评估的措施 (5) 1.风险评估 (8) 2.1涉密人员风险评估 (8) 2.2涉密载体风险评估 (9) 2.3涉密设备风险评估 (11) 2.4涉密场所风险评估 (13) 2.5涉密项目风险评估 (14) 2.5.1招投标风险评估 (14) 2.5.2设计方案风险评估 (16) 2.5.3软件开发设计过程风险评估 (17) 2.5.3.1分保方案使用风险评估 (17) 2.5.3.2第三方软件采购风险评估 (18) 2.5.3.3项目实施风险评估 (18) 2.5.3.4审查验收风险评估 (19) 2.5.3.5项目材料移交风险评估 (19) 2.5.3.6运行维护风险评估 (20) 2.5.3.7项目流程图 (21) 2.持续性改进机制 (24) 3.风险评估小结 (28)
概述 1.1背景 ●公司发展历史及现状 海口XXX有限公司于xx年XX月注册成立。注册资金XX万元,公司员工56人。公司成立初期主要业务范围是以系统集成为主,最近两年,主营业务逐渐由系统集成向软件开发转变。 公司也在此期间取得了多项行业相资质: ISO9001:2000质量体系认证;信息系统集成三级资质;软件能力成熟度CMMI3认证,并具备海南省政府及海南省各市县级政府的供应商资格,还是中石化海南炼化和中海油东方石化等能源化工企业的合法供应商。目前公司现经营地址为xxx,拥有办公场地300多平方米,客户遍及政府安监、政府应急,生产制造,能源化工等各大行业和机构,现已成为一家有着深厚技术实力和良好合作支持,以软件开发,系统集成,智能工厂,IT外包等服务为主的综合性IT企业。 ●公司人员结构 公司注重团队建设和人才的培养,员工80%以上是本科以上文化程度,技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书,并且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理8人,高级项目经理4人,均具有本行业多年从业经验,并参与了各种大型软件开发项目的设计与实施。公司的技术副总从业17年,独立完多项大型软件项目的设
系统集成项目保密风险评估报告及防控措施 XXXXXX有限责任公司
目录 1、概述 (1) 1.1 风险评估的依据 (1) 1.2 评估的目的 (1) 2、常见风险评估及防控措施 (2) 2.1 参与涉密项目人员风险评估 (2) 2.1.1 可能存在的风险点 (2) 2.2.2 风险防控措施 (2) 2.2 涉密载体风险评估 (3) 2.2.1 可能存在的风险点 (3) 2.2.2 风险防控措施 (3) 2.3 涉密设备风险评估 (4) 2.3.1 可能存在的风险点 (5) 2.3.2 风险防控措施 (5) 2.4 涉密场所风险评估 (6) 2.4.1 可能存在的风险点 (6) 2.4.2 风险防控措施 (6) 3、涉密项目风险评估 (8) 3.1 招投标风险评估 (8) 3.1.1 可能存在的风险点 (8) 3.1.2 风险防控措施 (8) 3.2 设计方案风险评估 (9) 3.2.1 可能存在的风险点 (9) 3.2.2 风险防控措施 (9) 3.3 分包方案使用风险评估 (10) 3.3.1 可能存在的风险点 (10) 3.3.2 风险控制措施 (10)
3.4 设备采购风险评估 (10) 3.4.1 可能存在的风险点 (11) 3.4.2 风险控制措施 (11) 3.5 现场实施风险评估 (11) 3.5.1 可能存在的风险点 (11) 3.5.2 风险防控措施 (12) 3.6 审查验收风险评估 (12) 3.6.1 可能存在的风险点 (12) 3.6.2 风险防控措施 (13) 3.7 项目材料移交风险评估 (13) 3.7.1 可能存在的风险点 (13) 3.7.2 风险防控措施 (13) 3.8 运行维护风险评估 (13) 3.8.1 可能存在的风险点 (13) 3.8.2 风险防控措施 (14)
保密风险评估与管理 1.保密风险评估的重要性 保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。 保密风险一词包括了两方面的内涵。其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。 简单概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。 2.风险点及风控措施 1)涉密人员风险评估 可能存在的风险点 a)招聘时人员是否满足涉密人员要求; b)审核时竞聘人员是否有过犯罪记录,是否为中国公民; c)上岗前是否接受过保密知识培训及考核; d)是否与公司签订保密承诺书,保密协议,保密责任书及
涉密人员考核评价考表; e)部门是否按照公司要求开展保密知识培训,加强部门涉 密人员的保密意识; f)涉密人员离岗时是否签订离岗保密承诺书,保密工作领 导小组是否对其进行脱密期管理。 ●风险防控措施 a)应聘员工应满足公司对涉密人员的聘用标准; b)上岗必须学习岗位保密业务,且保密知识考核成绩合格; c)与公司签署保密协议、保密承诺书、保密责任书; d)员工所在部门领导确认涉密人员考核评级表内容,确认 无误后签字,同时保密领导小组同意签字后,评价表交 保密工作领导小组存档,作为该员工作为涉密人员的考 核内容; e)保密办公室应在年初做好本年度保密知识培训计划及 考核计划,组织涉密人员学习各项保密知识。 f)涉密人员在离岗后,严格遵守公司保密制度,与公司签 署离岗保密承诺书,并严格遵守公司对离岗人员的脱密 期管理。 2)涉密载体风险评估 ●可能存在的风险点 纸质文件: a)涉密文件、资料是否有专人管理;
公司保密风险评估报告 一、做好保密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业操守,避免因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。 二、涉密项目监理工作保密重点 涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批和运维打下坚实基础,同时也可为承建方在方案设计、涉密改造、系统检测测试、试
运行、验收等各阶段提供咨询,确保项目能够按时按质量完成。对于后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制和管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见的事件可以进行很好的预防。总之,工程监理在涉密信
保密风险评估报告 一、做好保密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业操守,避免因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。 二、涉密项目监理工作保密重点 涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批和运维打下坚实基础,同时也可为承建方在方案设计、涉密改造、系统检测测试、试
运行、验收等各阶段提供咨询,确保项目能够按时按质量完成。对于后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制和管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见的事件可以进行很好的预防。总之,工程监理在涉密信
姓名:职务:成绩: 涉密信息系统集成资质保密知识测试题 一、填空题(共15题,每题2分) 1. 从事涉密现场项目开发、工程施工、运行维护的人员应 为_______ 。 2. 涉密信息系统集成项目的设计方案、研发成果及有关建设情 况,资质单位及其工作人员不得擅自以任何形式 ________ 、 ____ 或_____ 。 3. 涉密项目现场开发、工程施工、运行维护应当在委托方_______ 下进行,未经委托方______ 和 ______,不得将任何电子设备带入涉密项目现场。 4. 资质单位应当按照 __________ 、______ 承接涉密信息系统集 成业务。 5. 移动存储介质不得在 __________ 和__________ 之间交叉使用。 6. 未经批准,不得将具有 ______ 、______ 、______ 、 ______ 、通信功能的设备带入涉密办公场所。 7?销毁秘密文件、资料要履行_________ 手续,并由两名以上工 作人员到指定场所监销。
姓名:职务:成绩: 8. 资质单位与其他单位合作开展涉密信息系统集成业务的,合
作单位应当具有__________________ ,且应当取得委托方_______ 同意, 9?销毁磁介质、光盘等秘密载体,应当采用_________________ 或的方法彻底销毁,确保信息无法还原。 10. 传递涉密载体应当通过________ 、_______ 或其它符合保密 要求的方式进行。 11. 资质单位承接涉密信息系统集成项目的,应在在签订______ 后, 向_______________________ 保密行政管理部门备案,接收保密监督管理。 12. 涉密信息系统集成项目完成后,资质单位应当向___________ __________ 保密行政管理部门 _______ 报告项目建设情况。 13. 涉密信息系统集成项目实施验收后,资质单位应该讲涉密技 术资料全部______ 委托方,不得______________ 。需要保留的业务资 料应该严格按照有关保密规定进行管理。 14. 涉密信息系统未按照规定进行检测评估审查而投入使用的, 由保密行政管理部门______ ,并建议有关机关、单位对_________ 和依法给予处分。 15?未经保密审查的单位从事涉密业务的,由保密行政管理部门责令______________ ;有违法所得的,由 __________ 没收违法所得。 二、判断题(共10题,每题2分) 1. 资质单位可以将涉密项目分包给不同等级资质类别的单位进行施工。()
软件开发项目保密风险 评估报告 编写人:XXX 2019年XX月XX日
目录 概述 (4) 1.1背景 (4) 1.2风险评估的依据 (5) 1.3风险评估的目的 (5) 1.4风险评估的措施 (6) 1.风险评估 (8) 2.1涉密人员风险评估 (8) 2.2涉密载体风险评估 (9) 2.3涉密设备风险评估 (11) 2.4涉密场所风险评估 (13) 2.5涉密项目风险评估 (14) 2.5.1招投标风险评估 (15) 2.5.2设计方案风险评估 (16) 2.5.3软件开发设计过程风险评估 (17) 2.5.3.1分保方案使用风险评估 (17) 2.5.3.2第三方软件采购风险评估 (18) 2.5.3.3项目实施风险评估 (18) 2.5.3.4审查验收风险评估 (19) 2.5.3.5项目材料移交风险评估 (20) 2.5.3.6运行维护风险评估 (20)
2.5.3.7项目流程图 (21) 2.持续性改进机制 (25) 3.风险评估小结 (29)
概述 1.1背景 ●公司发展历史及现状 XXX有限公司于xx年XX月注册成立。注册资金XX万元,公司员工XX 人。公司成立初期主要业务范围是以系统集成为主,最近两年,主营业务逐渐由系统集成向软件开发转变。 公司也在此期间取得了多项行业相资质: ISO9001:2000质量体系认证;信息系统集成三级资质;软件能力成熟度CMMI3认证,并具备海南省政府及海南省各市县级政府的供应商资格,还是中石化海南炼化和中海油东方石化等能源化工企业的合法供应商。目前公司现经营地址为xxx,拥有办公场地XXX多平方米,客户遍及政府安监、政府应急,生产制造,能源化工等各大行业和机构,现已成为一家有着深厚技术实力和良好合作支持,以软件开发,系统集成,智能工厂,IT外包等服务为主的综合性IT企业。 ●公司人员结构 公司注重团队建设和人才的培养,员工90%以上是本科以上文化程度,技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书,并且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理8人,高级项目经理4人,均具有本行业多年从业经验,并参与了各种大型软件开发项目的设计与实施。公司的技术副总从业17年,独立完多项大型软件项目的设计开发及管理工作。 ●公司所在周边地理环境
创作编号: GB8878185555334563BT9125XW 创作者:凤呜大王* 涉密项目保密风险 评估及防控措施
陕西华信智能建筑有限责任公司 工程部
目录 1、概述 (1) 1.1 风险评估的依据 (1) 1.2 评估的目的 (1) 2、常见风险评估及防控措施 (2) 2.1 参与涉密项目人员风险评估 (2) 2.1.1 可能存在的风险点 (2) 2.2.2 风险防控措施 (2) 2.2 涉密载体风险评估 (3) 2.2.1 可能存在的风险点 (3) 2.2.2 风险防控措施 (4) 2.3 涉密设备风险评估 (5) 2.3.1 可能存在的风险点 (5) 2.3.2 风险防控措施 (5) 2.4 涉密场所风险评估 (7) 2.4.1 可能存在的风险点 (7) 2.4.2 风险防控措施 (7) 3、涉密项目风险评估 (8) 3.1 招投标风险评估 (8) 3.1.1 可能存在的风险点 (8)
3.2 设计方案风险评估 (9) 3.2.1 可能存在的风险点 (9) 3.2.2 风险防控措施 (9) 3.3 分包方案使用风险评估 (10) 3.3.1 可能存在的风险点 (10) 3.3.2 风险控制措施 (11) 3.4 设备采购风险评估 (11) 3.4.1 可能存在的风险点 (11) 3.4.2 风险控制措施 (11) 3.5 现场实施风险评估 (12) 3.5.1 可能存在的风险点 (12) 3.5.2 风险防控措施 (12) 3.6 审查验收风险评估 (13) 3.6.1 可能存在的风险点 (13) 3.6.2 风险防控措施 (14) 3.7 项目材料移交风险评估 (14) 3.7.1 可能存在的风险点 (14) 3.7.2 风险防控措施 (14) 3.8 运行维护风险评估 (15) 3.8.1 可能存在的风险点 (15)
XXXXXXXXXXX公司 保密风险评估报告(2020年度) 编制:XXX 审核:XXX 批准:XXX 日期:202X年X月X日
保密风险评估报告(202X年度) 一、单位概况: XXXXXXXXXXX公司(以下简称“公司”)成立于X年,现注册资本约X亿元,注册地XXXXXX。 XXXX XXXX XXXX XXXX 二、评估目的与范围 2.1保密风险评估的目的 保密风险评估是企业确定保密安全需求的一个重要途径,属于企业保密管理体系策划的过程,是企业开展保密工作的一个主要内容,通过事先分析、评价,制定保密风险控制措施,实现管理关口前移、事前预防,达到消减危害、降低控制风险,由保密风险评估领导小组负责进行危害因素识别和风险评估工作,最终实现企业“零失泄密”。 2.2保密风险评估的范围 保密风险评估,是指针对公司不同业务和日常管理流程,识别存在的可能发生失泄密风险的危害因素,分析可能产生的直接后果以及次生、衍生后果,评估各种后果的危害程度和影响范围,提出防范和控制风险措施的过程。评价范围如下: (1)涉密人员的保密管理要求落实情况;
(2)(2)信息设备的保密管理要求落实情况; (3)(3)涉密系统集成业务的保密管理要求落实情况; (4)(4)涉密软件开发业务的保密管理要求落实情况。 三、评估流程图 四、评估依据 保密风险评估工作依据《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质保密标准》、《XXXXXXXXXXX公司保密管理制度汇编》等
相关法律法规及公司管理制度。 五、保密风险评估过程 风险评估人员基于《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质保密标准》、公司《保密管理制度汇编》等相关制度及管理办法的要求及内容,对照公司机构、人员、制度等体系,对系统集成业务及管理过程进行分析、查找存在的问题并进行改进。 六、保密风险等级设定 保密风险等级划分为低级、一般、中级、高级四个等级,按照风险等级评价影响程度评定具体风险点的风险等级。 七、评估组织人员 为做好保密风险评估工作,公司成立了风险评估小组,公司负责人直接负责风险评估工作,组织制定风险评估程序,明确风险评估的目的、范围,选择科学合理的评价方法和评价准则,进行风险评估,确定风险等级。全体员工积极组织、参与风险评估工作。公司风险评估小组成员如下:组长:XXX 副组长:XXX 成员:XXX、XXX、XXX、XXX、XXX、XXX 八、风险评估 8.1涉密人员保密风险评估 涉密人员管理分成上岗,在岗,离岗三个阶段。上岗管理主要是涉密人员基本条件审查,密级界定,培训和考核,签订承诺书;在岗管理包括因私出境备案,日常教育培训,保密补贴发放,保密责任考核,动态管理等;离岗管理主要是离岗审批,载体及信息设备清退,脱密期管理。
涉密信息系统集成资质保密标准 1适用范围 本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密管理。 2定义 2.1本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经管国家秘密事项的人员。 2.2本标准所称涉密载体,主要指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光盘等各类物品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。 2.3本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络。 2.4本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。
3保密标准 3.1保密标准实施原则 3.1.1积极防范,突出重点,严格标准,依法管理。 3.1.2业务工作谁主管,保密工作谁负责,保密责任落实到人。 3.1.3具备健全的管理体系,保密管理与生产经营管理相融合。 3.1.4开展保密风险评估与管理。 3.1.5建立保密管理的持续改进机制。 3.2保密组织机构及职责 3.2.1保密工作领导小组 3.2.1.1资质单位应当成立保密工作领导小组,为本单位保密工作领导机构。 甲级资质单位应当设置专职保密总监,保密总监为单位领导班子成员。 3.2.1.2甲级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、保密总监和有关部门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由保密总监担任,保密工作领导小组各成员应当有明确的职责分工。 乙级资质单位保密工作领导小组由单位法定代表人(或