保密风险评估方案
一、目的
对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估,识别、分析和评估业务流程中存在的风险,提出具体防控措施。 二、评估的对象、范围
通过系统集成业务项目、涉密人员、涉密信息设备与载体介质、保密管理及涉密场所等主要管理活动进行保密风险评估。 三、方法与参与人员
公司成立保密风险评估工作小组,组长为主管保密工作的负责人,组员为综合管理中心、销售部、交通工程事业部、移动警务事业部负责人。组长职责为监督保密风险评估工作,解决保密风险评估工作中出现的重要问题;审批保密风险评估方案、文件、报告;为公司顺利开展保密风险评估工作提供人力、财力、物力等条件保障。组员职责为负责依据各自业务流程,对保密风险进行识别、分析和评估,提出具体防控措施;负责实施防控措施并整改。组员通过讨论、走访调研、流程梳理、检查等方式对保密风险进行识别、分析和评估,制定具体防控措施。 四、风险等级
本公司确定相应风险等级为严重、重要、一般三个等级,严重风险等级是指该风险失控会造成严重的安全和利益损害;重要风险等级是指该风险失控会造成较为严重的安全和利益损害;一般风险等级是指该风险失控会造成一定的安全和利益损害。对于严重和重要风险等级,要制定防范措施,对于一般风险等级,在日常保密检查中实施监控整改。 五、主要管理活动
公司保密风险从涉密人员、涉密场所、涉密信息设备与载体、涉密项目、保密管理等方面进行识别、分析和评估。 六、评估日期范围
从2018年7月1日2018年11月30日 七、主要风险识别、分析和评估及防控措施 风险 名称 涉密人员资格风险点 内容 涉密人员资格是否风险等级 严重 理解标准不够,涉1、对涉密人员进行资格审查,须符合以下基本条件: 产生原因 防控措施 责任 部门 综合管理中心。 1欢迎下载
精品文档
风险 符合规定基本条件要求 密人员有严格的身份政审要求。 A社会关系清楚,本人及配偶为中国境保密办 内公民; B热爱祖国,拥护中华人民共和国宪法; C公司正式职工,并在其他单位无兼职; D品行端正,作风正派,无不良嗜好; E社会关系清楚,遵纪守法,无违法犯罪记录; F具备胜任涉密岗位所要求的业务素质和能力; G无其他可能影响国家安全利益的倾向。 2、综合管理中心会同保密管理综合管理中心、交通工程事业部、移动警务事业部、总工室、销售部依据公司涉密岗位,把在涉密岗位工作的人员拟定为涉密人员,均定为一般涉密人员。 3、对通过保密资格审查的人员,经人员所在部门主管、公司保密工作负责人审核,公司总经理审批确定为涉密人员。 1、涉密人员在正式进入涉密岗位工作前,综合管理中心会同保密管理综合管理中心组织与涉密人员签订《保密承诺书》; 2、涉密人员应参加保密教育培训经考核合格后才能上岗,综合管理中心负责把岗前保密教育培训纳入年度培训计划中。涉密人员岗前保密教育培训时间应不少于2学时,内容包括当前保密工作主要形势、《保密法》、相关涉密资质标准及《保密承诺书》内容等。 综合管理中心 保密办 涉密人员上岗前风险 涉密人员在正式进入涉密岗位工作前上岗要求、保密教育培训缺失 一般 没有对涉密人员上岗前有具体要求 涉密人员在岗资格风险 涉密人员在岗期间资格基本条件发生变化 严重 已审批涉密人员自身条件变化未进行管理 1、公司发现涉密人员有重大异常情况综合管时,要及时向浙江省国家保密局报告,理中心 并采取必要的补救措施。涉密人员个保密办 人有关事项发生重大变更时,要及时向保密管理综合管理中心报告。综合管理中心每年年底掌握涉密人员涉密人员重大事项变化情况。 2、公司对涉密人员进行复审,一般涉密人员每5年复审一次。涉密人员发生岗位变动或涉密等级调整时,及时。 2欢迎下载
精品文档
进行复审。涉密人员个人情况发生重大变化的,要根据工作需要,视情况进行复审。复审中发现涉密人员不宜继续在涉密岗位工作的,应立即终止其涉密资格,调离涉密岗位,并采取相应措施消除泄密隐患。 涉密人员在岗教育培训风险 涉密人员一般 没有培训在岗教育计划或未培训缺失 实施培训计划 1、综合管理中心负责把在岗保密教育综合管培训纳入年度培训计划中,公司结合理中心 涉密岗位专业要求,组织对在岗涉密 人员进行专门教育培训,年度培训时间应不少于10学时。内容包括保密工作指导思想、方针政策法律、法规、标准及保密制度、保密技术防范知识及措施、网络安全保密知识及防范措施及其它保密宣传教育内容等。 2、保密教育培训要有具体培训教材,如有考试,须有成绩单。 3、涉密人员长期无故不参加保密教育培训或多次考核成绩不合格的,将其调离涉密岗位,取消其从事涉密工作的资格。 4、保密教育培训的情况和考核成绩要记入涉密人员档案,并作为评选先进及年度考核的重要依据。 1、涉密人员出入境证件护照、通行证等上缴公司综合管理中心统一保管,并承诺对于护照和通行证等未上缴的,后果自负。 2、涉密人员在岗因私出国(境),保密工作领导小组审批同意后办理手续。综合管理中心会同保密管理综合管理中心对其行前保密提醒谈话,谈话应由两人以上参加,并与之签订涉密人员因私出国(境)保密承诺书。 3、涉密人员出国(境)可能对国家安全造成危害或对国家利益造成重大损失的,公司严禁批准其出国(境)。 4、涉密人员出国(境)回国10日内,综合管理中心会同保密管理综合管理中心对其在国(境)外期间的有关情况进行回访。 5、涉密人员因私出入境证件,在回国(境)10日内,交综合管理中心统一保管。 综合管理中心 保密办 涉密人员出国(境)风险 涉密人员一般 未履行审出国(境)批未进行未经审批教育 及教育缺失 。 3欢迎下载
精品文档
6、涉密人员经审批取得出入境证件后,因故未按时出国(境)的,应及时将申领的出入境证件交综合管理中心统一保管。 7、涉密人员逾期不上交出入境证件或不执行上述证件管理规定的,暂停其因私出国(境)审批。 涉密人员离岗离职风险 涉密人员离岗离职未经审批及教育缺失 一般 未履行审批未进行教育 1、涉密人员离岗离职前要由综合管理中心、涉密人员所在部门及保密管理综合管理中心审核,总经理批准。 2、涉密人员离岗离职前,须清退所有涉密项目、涉密载体(包括电子文件)、涉密信息设备物品等,办理清退手续。 3、涉密人员离岗离职前,综合管理中心组织与其签订《离岗离职保密承诺书》。 4、涉密人员离岗离职前,综合管理中心及保密管理综合管理中心对其进行保密提醒谈话并记录,告知其承担保守国家秘密的法律义务,参与谈话的不少于2人。 5、涉密人员实行离岗离职脱密期管理,一般涉密人员脱密期限为半年。 6、脱密期内人员不得到境外(驻华)机构、组织及外商独资企业工作,不得为境外(驻华)机构、组织、人员及外商独资企业提供劳务、咨询或其他服务。如发现脱密期内人员上述从业情形的,公司应及时报告浙江省国家保密局。 1、脱密期内人员未经批准不得出国(境),确需申请的,根据公司在岗涉密人员出国(境)管理的有关程序要求办理。脱密期内人员现所在单位进行出国(境)审批时,须征求本公司的意见。 2、脱密期内人员的出入境证件仍由本公司保管,经批准同意出国(境)的,凭现所在单位审批手续向本公司办理领用手续,具体管理要求根据公司在岗涉密人员出国(境)管理的有关证件管理程序要求执行。 1、脱密期内人员,本人情况发生重大变化等情形,根据公司在岗涉密人员综合管理中心 销售部 事业部 离岗离职出国(境)风险 离岗离职一般 未履行审出国(境)批未进行未经审批教育 及教育缺失 综合管理中心 保密办 涉密人员脱密涉密人员脱密期期严重级 脱密期期间涉密人保密办 。 4欢迎下载
精品文档
期资格风险 间资格基本条件发生变化 员自身条个人重大事项报告要求,及时向本公件变化未司报告。 进行管理 2、保密管理综合管理中心每季度对脱密期内人员进行回访。 3、对脱密期限届满的离岗离职的原涉密人员,公司要及时向浙江省国家保密局提交办理相关撤销备案的书面申请,办理撤销备案手续。 涉密人员考核风险 涉密人员奖惩不严, 一般 未进行有1、每月对涉密人员发放保密津贴; 综合管效的考核 2、制定涉密人员奖惩制度进行考核。 理中心 保密办 涉密信息设备采购风险 涉密信息设备采购不符合相关要求 严重 未按标准要求配置采购 1、公司的涉密信息设备经总经理批准后由保密管理综合管理中心负责采购。2、采购应优先选用国产设备,确需选用进口设备的,应进行详细调查和论证,不得选用国家保密局禁用的设备。 保密办 涉密信息设备配发风险 涉密信息设备配发不符合相关要求 一般 未按标准1、涉密信息设备须有密级标识,包括设备编号、设备名称、部门、责任人、要求标密级等信息。 识,责任2、当涉密信息设备使用人或密级等发生变动时,应及时更新,粘贴新标识。 人不清。 3、确定涉密信息设备的责任人,办理配发领用手续。如因工作需要、岗位调动或离职等原因,涉密信息设备责任人需要变更,办理变更手续。 综合管理中心 保密办 涉密计算机安全策略配置风险 涉密计算机安全策略错误 严重 未按标准1、必须依据涉密计算机的密级,安装要求配置必要的安全保密产品。 安全策略 2、安全保密产品应按照保密要求管理和使用,并根据安全策略文件进行设置和部署,不得随意更改。 3、由专人负责涉密计算机违规外联、端口管理及移动存储介质使用保密管理系统的安装。 4、由专人负责涉密计算机安全打印审计系统和光盘刻录审计系统的安装。 一般 未按标准要求安装杀毒软件及未及时更新杀毒软件 1、涉密计算机须安装经公安机关认证的国产瑞星、金山或其他杀毒软件。 2、每次以不超过15天升级病毒和恶意代码样本库,进行病毒和恶意代码全盘查杀。 3、采取刻录一次性只读光盘或单项导综合管理中心 保密办 涉密计算机病毒风险 涉密计算机感染病毒 综合管理中心 保密办 。 5欢迎下载
精品文档
入的方式,将计算机病毒和恶意代码升级样本库导入涉密计算机,不得通过互联网或其他公共信息网络进行在线更新。 涉密计算机身份鉴别风险 涉密计算机无开机、登录及屏保密码 严重 未按要求设置开机、登录及屏保密码 1、由专人负责设置涉密计算机基本输入输出系统(bios)开机密码、操作系统登录口令及屏幕保护口令。 2、秘密级涉密计算机口令长度不得少于8个字符(口令采用大小写英文字母、数字、字符混合方式,不得单独采用大小写英文字母、字符或数字设置口令)。 3、更换口令周期不得超过30天,同时须设置屏幕保护程序启动时间,时间设置不超过10分钟。 4、设置开机密码输错5次后的锁定时间为480分钟。 保密办 涉密信息设备携带外出风险 未经审批擅自携带涉密笔记本电脑或涉密U盘外出 一般 未经审批1、携带涉密电脑或涉密U盘外出前,擅自携带 须经批准后方可外带。 2、携带涉密电脑或涉密U盘外出,应采取有效防护措施,随时掌握涉密电脑或涉密U盘的去向,确保其在有效控制下,不得携带涉密电脑或涉密U盘参加涉外活动。 3、涉密电脑或涉密U盘带出前及带回后须由专人进行保密检查。 1、涉密信息设备需要维修时,办理相关审批手续。 2、如在公司内部进行维修,须有专人全程监督,严禁维修人员读取或复制涉密信息。 3、如无法在公司内部进行维修的,送外维修。 4、送外维修须拆除硬盘等涉密信息存储部件。 5、送外维修须送交有保密维护资质的单位维修,并与维修单位和维修人员签订《保密协议书》。 6、严禁未经批准擅自将涉密信息设备送交非指定单位维修。 1、不再使用或无法使用的涉密计算机、涉密U盘、打印机、复印机等需要报废时,办理相关销毁审批手续。 2、将所有存储过涉密信息的硬件、固综合管理中心 销售部 事业部 涉密信息设备维修风险 未按规定一般 未按规定维修涉密维修 信息设备 综合管理中心 保密办 涉密信息设备报废销毁风险 违规报废一般 未按规定销毁涉密报废销毁 计算机、涉密U盘、综合管理中心 保密办 。 6欢迎下载
精品文档
打印机、复印机 件、存储介质及无法拆除存储过涉密信息的硬件、固件等整机由保密管理综合管理中心送交浙江省国家保密局指定的单位进行销毁,并由公司两人涉密人员以上押送。 3、不得私自销毁涉密计算机、涉密U盘、打印机、复印机等。 4、严禁涉密计算机、涉密U盘、打印机、复印机改作非涉密设备使用。 严重 未按规定选择所处位置 1、采用相对安全独立的区域作为保密室。 2、实行封闭式管理,保证周边环境安全可控。 综合管理中心 涉密场所位置风险 涉密场所所处位置不符合 涉密场所安防风险 涉密场所内外安防不符合 严重 未按规定1、保密室安装防盗门、铁护栏防盗综合管安装内外(窗)。 理中心 安防设施 2、安装独立自主可控门禁系统。 3、保密室周边过道、门口内外及保密室窗口安装视频监控系统。 4、保密室窗口安装有线防盗报警系统。 5、保密室内禁止安装、使用无绳电话、手机和其它无安全保障的通信设备。 6、保密室配备密码文件柜、碎纸机等安全可靠的设备。 重要 未规定进1、保密管理综合管理中心对进入保密出保密室室的人须根据工作需要进行门禁授权人员范围 审批,确定进入保密室的人员范围。 2、门禁授权的增加、减少或变更应严格履行审批手续。 3、对发放的门禁卡或录入的指纹进行登记,未经批准禁止无关人员进入,门禁后台应能查看进出时间及人员信息。 4、非涉密人员因工作需要进入保密室的,须经批准,由保密室的相关涉密人员全程陪同监管。 1、保密室门口安放储存柜。 2、进入保密室的人员,须把手机、有录音、录像、拍照、信息存储等功能的设备存放在保密室门口的储存柜中,未经批准禁止携带上述物品进入保密室。 综合管理中心 保密办 涉密场所人员进出风险 保密室人员随意进出 涉密场所带入电子设备风险 进入保密一般 未经审批 室的人员随意带入手机、有录音、录像、拍照、信息存储综合管理中心 销售部 事业部 。 7欢迎下载
精品文档
等功能的设备 涉密项目承接风险 涉密项目投标标书不符合要求送达 一般 未按规定1、标书须由涉密人员专人或通过纪要销售部 送达标书 通道送达给指定地点进行投标。 事业部 2、标书的包装要安全可靠包装密封,密封袋上应标明密级、编号和收发件单位名称等,携带涉密项目标书的外出人员应确保涉密文件资料始终处于有效控制下。 3、携带涉密项目标书外出送达经批准后方可外带,并在带出前须由专人进行保密检查。 4、送达标书应办理送达接交手续。 5、涉密项目落标时,相关的投标保密资料须统一收缴上交招标部门或经公司审批自行销毁。 1、成立项目小组,确定项目经理及成员。 2、明确项目组成员里的管理人员、技术人员、实施人员、保密检查人员分工职责,项目成员签订项目保密承诺书。 3、该涉密项目的知悉范围只能是项目组成员。 4、项目组以外的人员要知悉项目信息,须经过批准。 1、在涉密项目合同签订后及实施中,项目经理组织项目组成员召开项目例会,必要时保密管理综合管理中心参加。 2、在项目实施前,由项目经理编制《项目保密实施方案》并提交保密管理综合管理中心备案登记。 3、保密管理综合管理中心、技术中心或项目组保密检查人员应在涉密项目实施过程中监督检查保密工作情况,在检查中发现的问题要进行整改的,整改结束后由保密管理综合管理中心进行复查。 4、涉密项目密级由客户确定,相关涉销售部 事业部 涉密项目信息知悉风险 涉密项目严重 未规定知信息知悉悉范围 范围扩大 涉密项目实施风险 涉密项目实施各环节管控未到位 一般 未按项目实施流程进行 保密办 综合管理中心 销售部 事业部 。 8欢迎下载
精品文档
密项目技术资料、合同、竣工验收报告等资料进行相应的密级管理,做好相应的密级标识:★前标注密级,★后标注保密期限。 5、实施涉密项目进入现场人员须遵守现场保密制度。 涉密项目验收风险 涉密项目验收后技术资料未移交 一般 未按规定1、涉密项目验收后,必须向客户移交移交客户 相关的技术资料,并与客户的接收人签署书面签字确认记录,公司不得私自存留相关的技术资料。 2、确因工作需要存留的,须得到客户书面签字的确认记录。 3、存留的涉密项目技术资料在归还客户时履行确认手续,注明具体归还日期及交接当事人。 一般 未按规定管理 1、保密管理综合管理中心对存留的涉密技术资料归档。 2、保密管理综合管理中心负责定期对涉密项目存留资料进行核对检查。 3、编存留的涉密项目技术资料借阅时,申请人须得到批准。 1、涉密人员进入现场实施技术服务时须在客户的监督下进行。 2、用于运维服务涉密项目的信息设备须经客户保密检查及书面批准才能带入涉密项目现场。 3、涉密人员进入现场实施技术服务时须进行保密检查,由项目经理负责及时处理及整改检查问题,整改结束后由保密管理综合管理中心进行监督复查。 4、涉密人员每次进入涉密项目现场做好现场工作日志,由项目经理进行监督检查。 销售部 事业部 涉密项目存留资料风险 涉密项目验收后存留技术资料管理不善 涉密项目进入现场运维服务不遵守保密规定 销售部 事业部 涉密项目运维服务风险 一般 不遵守保密规定 销售部 事业部
xxxx技术股份有限公司(盖章)
年 月 日
。 9欢迎下载
精品文档
欢迎您的下载, 资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求
。
10欢迎下载
因篇幅问题不能全部显示,请点此查看更多更全内容