保密风险评估

  • 格式:docx
  • 大小:18.51 KB
  • 文档页数:16

风 险 评 估 报

告 XXXXX有限公司

201xx 年 xx 月1概述

针对公司主要业务流程进行风险评估,其中包含了涉密信 息系统集成业务管理、人力资源管理、资产管理、涉密场所管 理等。 2评估目的

通过人员访谈、文档审查和实地察看相结合的方式查找公 司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分 析可能面临的风险,为保密风险防控措施的落实提供依据。 3评估依据

《涉密信息系统集成资质单位保密标准》

《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4评估内容

4.1人力资源管理风险评估

根据《涉密信息系统集成资质单位保密标准》及公司《安全 保密管理制度》中《涉密人员管理制度》 中的规定,从人员上岗、 在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉 密人员管理的业务流程进行风险评估,识别并评估风险点,进 而制定出风险防控措施。 4.1.1风险级别定义

风险严重程度级别参考书

级别标识 定义 很高 如果被利用,将对资产或业务造成完全损害 高 如果被利用,将对资产或业务造成重大损害 中等 如果被利用,将对资产或业务造成般损害

低 如果被利用,将对资产或业务造成较小损害 很低 如果被利用,将对资产或业务造成的损害可以忽略 4.1.2风险点

对从事涉密业务的人员进行审查,是否符合条件,符合条件 的方可将其确定为涉密人员。是否对涉密人员进行保密教育 培训,并签订保密承诺书后方能上岗。 对涉密人员是否保守国家秘密,严格遵守各项保密规章制度 进行审查,是否符合以下基本条件: (1) 遵纪守法,具有良好的品行,无犯罪记录; (2) 属于公司正式职工,并在其他公司无兼职; (3) 社会关系清楚,本人及其配偶为中国境内公民。 审查公司与涉密人员签订的劳动合同或补充协议,是否已签 署。 公司在岗涉密人员是否每年参加保密教育与保密知识、技能 培训,培训的时间应不少于 10个学时。 公司是否对在岗涉密人员进行定期考核评价。 公司是否向涉密人员发放保密补贴。 公司涉密人员在离岗离职时,是否经公司保密审查,签订保 密承诺书,并按相关保密规定实行脱密期管理。 4.1.3风险分析

编号 风险点 描述 严重程度

1 涉密人员资格审 对涉密人员进行资格审查 低 查 2 涉密人员岗前培

训考核 涉密人员保密教育培训考 核不

严格 中等

3 涉密人员教育培

训管理 对涉密人员进行保密教育 与保

密技能培训10学时 低

4 涉密人员离岗离

职管理 对离岗离职涉密人员的保

密审查到位 低

5 涉密人员发放保 密补贴 对公司涉密人员发放保密 补贴审查到位 低

4.1.4风险防控措施

号 风险点 严重 程度 防控措施

1 涉密人员 资格审查 低

计划人员招聘阶段,确定该人员是否为 公司涉

密人员;对涉密人员进行社会关 系的审查,确定其直系亲属是否均为中 国境内公民;若此人员为前单位离职人 员,应和前单位进行确认,确定其在其 它单位无兼职

2 涉密人员 岗

前培训 考核

中等 涉密人员经过保密教育培训后,必须保 证考试

合格,并与公司签订《公司涉密 人员保密责任书》后方能上冈 3 涉密人员 教育培训 管理 低 必须严格按照相关规定对涉密人员进行

教育培训,必须保证培训学时不低于 10 学时。公司保密工作领导小组必须对此 项工作进行监督管理。 4 涉密人员

离岗离职 管理

低 涉密人员离岗离职前,保密办公司人员 必须对

其在岗期间所负责的涉密信息系 统集成的信息和资料进行审查,并确保 所有信息资料交回公司保密办;为规避 人员离职离岗后发生泄密风险,必须和 离岗离职的涉密人员签订保密承诺书, 并经公司领导批准方能离职离岗。对离 岗离职人员实行脱密期管理。

5 涉密人员 发放保密 补贴

低 公司应对涉密人员发放保密补贴。

4.2资产管理风险评估

根据《涉密信息系统集成资质单位保密标准》及公司《安全 保密管理制度》中《涉密载体管理制度》、《信息系统、信息设 备和安全保密防护设备设施管理规定》、《资质证书的使用和管 理规定》中的规定,从涉密载体管理、信息系统及设备管理及资 质证书管理等方面分析公司涉密资产管理现状,对公司涉密资 产管理的业务流程进行风险评估,查找风险点,并进行风险防 控。 4.2.1风险级别定义

风险严重程度级别参考表 级别标识 定义 很高 如果被利用,将对主要业务造成完全损害 高 如果被利用,将对主要业务造成重大损害 中等 如果被利用,将对主要业务造成般损害

低 如果被利用,将对主要业务造成较小损害 很低 如果被利用,将对主要业务造成的损害可以忽略

422风险点

审查涉密信息设备是否符合国家保密标准,有密级、编号、 责任人标识,并建立管理台帐。 检查涉密信息设备的使用是否符合相关保密规定。禁止涉密 信息设备接入互联网及其他公共信息网络;禁止涉密信息设 备接入内部非涉密信息系统;禁止使用非涉密信息设备和个 人设备存储、处理涉密信息;禁止超越计算机、移动存储介 质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非 涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机 与非涉密计算机之间共用打印机、扫描仪等信息设备。 检查涉密信息设备是否采取身份鉴别、访问控制、违规外联 监控、安全审计、移动存储介质管控等安全保密措施,并及 时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查 检查采购的安全保密产品是否选用经过国家保密行政管理部 门授权机构检测、符合国家保密标准要求的产品,计算机病 毒防护产品应当选用公安机关批准的国产产品,密码产品应 当选用国家密码管理部门批准的产品。 检查涉密信息打印、刻录等输出是否相对集中、有效控制, 并采取相应审计措施。 检查涉密计算机及办公自动化设备是否拆除具有无线联网功 能的硬件模块,禁止使用具有无线互联功能或配备无线键 盘、无线鼠标等无线外围装置的信息设备处理国家秘密。 检查涉密信息设备的维修,是否在本公司内部进行,是否指 定专人全程监督,严禁维修人员读取或复制涉密信息。 检查涉密计算机及移动存储介质携带外出是否履行审批手 续,带出前和带回后,是否进行保密检查。 423风险分析

编号 风险点 描述

严重

程度

1 涉密载体台 账管理 建立涉密载体台账,但台账信息 不

够完整。 中等

2 涉密载体使 用管理 需要接收、交付、传递、保存、 销毁涉密载体时,履行了登记手 续,但需要维修时,记录不完整, 也没有指定的维修厂家。 中等 3 涉密信息设 备台账管理 建立信息设备台账,但台账信息 不够完整 中等

4 涉密信息设 备维修、报废 管理

对于涉密设备的维修、报废的审

批流程不够清晰 中等

5 涉密信息设

备携带管理 涉密计算机携带外出,只履行登

记手续,审批流程不完整 中等

6 涉密信息设

备管理 涉密计算机与非涉密计算机之

间共用打印机、扫描仪 高

编 号 风险点 严重 问题 防控措施

1 涉密载体台

账管理 中等

必须按照要求建立涉密载体台账,明确 涉密

载体的名称、编号、密级、保密期 限等信息。并对涉密载体进行动态管理, 及时做好涉密载体的新增、 减少等记录。 2 涉密载体使

用管理 中等

建立涉密载体的维修商家名录,并对维 修商

家的资格进行核查,当涉密载体需 要维修时,只能送到指定的维修商家进 行维修。

3 涉密信息设

备台账管理 中等

必须按照要求建立涉密信息设备挑战, 明确

涉密载体的名称、编号、密级、责 任人标识等信息。并对涉密信息设备进 行动态管理。及时做好涉密信息设备的 新增、减少等记录。 4 涉密信息设

备维修、报 废管理

中等 建立涉密信息设备的售后商家名录,并 对售后商家的资格进行核查,当涉密信 息设备需要维修时,只能送到指定的维 修商家进行维修。如必须有外来人员进 行修理时,应有保密办人员全程陪同, 必须指定专人负责,对维修人员、维修 对象、维修内容、维修前后状况进行监 督并详细记录。涉密信息设备需要报废 时,应填写《设备与介质销毁保密审批 表》,送交保密行政管理部门设立的销 毁工作机构或者保密行政管理部门指定 的公司销毁彻,彻底清除其中的涉密信 息后,对涉密信息存储部件和介质进行 清点、登记、销毁。

5 涉密信息设 备携带管理 中等

携带涉密信息设备和介质外出,不能只 做登

记处理,必须报公司保密工作领导 小组批准。未获批携带涉密信息设备外 出,公司将对携带人员和保密办公室人 员实行惩罚机制;外出时,携带人应严 格采取保护措施,介质始终处于有效控