保密风险评估报告(原创)x.docx

保密风险评估报告(原创)x.docx

《保密风险评估报告(原创)x.docx》由会员分享，可在线阅读，更多相关《保密风险评估报告(原创)x.docx（31页珍藏版）》请在冰豆网上搜索。

保密风险评估报告

XXXXX开发有限公司

XXXX年1月9日

XXXX

目 录

24

1.概述 4

1.1背景 4

1.2风险评估的依据 9

1.3风险评估的目的 9

1.4风险评估的措施 10

2.风险评估 12

2.1涉密人员风险评估 12

2.2涉密载体风险评估 13

2.3涉密设备风险评估 15

2.4涉密场所风险评估 17

2.5涉密项目风险评估 18

2.5.1招投标风险评估 18

2.5.2设计方案风险评估 19

2.5.3系统集成过程风险评估 20

2.5.3.1分保方案使用风险评估 20

2.5.3.2设备采购风险评估 21

2.5.3.3现场实施风险评估 22

2.5.3.4审查验收风险评估 22

2.5.3.5项目材料移交风险评估 23

2.5.3.6运行维护风险评估 24

2.5.3.7项目流程图 25

3.持续性改进机制 29

4.风险评估小结 33

1.概述

1.1背景

l公司发展历史及现状

XXXXXXX于XXXXXXX年4月20日注册成立，注册地址位于XXXXXX，注册资金XXX万元，公司员工XXX人。

公司成立初期主要业务范围是以XXXXXXX。

为了公司发展需要，注册资金经过多次变更，由最初的XXXX万元增资到XXXX万人民币。

公司也在此期间取得了本行业相关的资质：

ISO9001：

2000质量体系认证;信息系统集成三级资质和公共安全技术防范壹级资质，并且是中央政府采购网的协议供货商及合格的竞价谈判供应商，并具备XXXXXXX政府及XXXXXXX政府的供应商资格，还是

XXXXXXX集团和XXXXXXX集团的合法供应商。

目前公司现经营地址为

XXXXXXX，拥有办公场地XXXX多平方米，客户遍及政府，金融及保险，能源，军队等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持,以系统集成,软件开发，网络维护及集成，音视频会议集成，监控设计及安装调试,应用开发与服务为主的综合性IT企业。

公司近三年系统集成项目金额达XXXXX万元。

l公司人员组织结构

公司注重团队建设和人才的培养，现拥有员工XXXX人，全体员工

80.4.%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书，并且也取得国际认证的软、硬件工程师证书及各

生产厂家认证的工程师证书。

公司拥有已有认证的计算机信息系统集成项目经理X人，高级项目经理X人，均具有本行业多年从业经验，并参与了各种系统集成大型项目的设计与施工。

公司的技术经理从业X年，独立完多项系统集成项目设计及管理工作。

XXXXXXX

技术部经理

财务部

副总经理

总经理

2015年组织结构表

商务部

人力资源部

销售部

技术服务部

软件开发部

系统集成部

l公司所在周边地理环境

我公司XXXXXXX，处于XXXX主干道上，西面有XXX，东临XXXXXXX领地居民小区，北面有xxx居民小区。

地处松嫩平原南部，不处在地震带和沉降带，地质结构稳定；远离海边江河，高于XXXXXXX城区高点

45米，不受洪水、海啸和台风威胁；远离山区，不受山洪和泥石流侵害；区域内无核电站、强污染源及重盐害。

存在风险：

a）公司周边是否有驻外大使馆

b）公司周边是否存在外资企业

c）公司周边是否有商业区

针对风险点的防控措施：

我公司位于XXXXXXX路上，周边不存在驻外大使馆、外资企业及商业区，进出入办公楼均有收发人员管理登记。

l公司内部物理环境

XXXXXXX位于XXXXXXX路XX号XXX楼，此楼XXX层为XXXX店有单独的入口；XXXX楼为办公楼区，有独立的入口。

一楼大厅有收发人员登记，并在电梯口处有视频监控系统。

在我公司单位门口也有本单位自己的视频监控系统。

存在的风险：

a）外来人员随意进出

b）附近的双太电子城聚集了多家IT企业，IT企业人员众多、混杂，对保密信息的安全性造成潜在的安全隐患。

针对存在风险点的防控措施：

在公司入口处设立登记处，由专人来负责登记和接待。

1.2风险评估的依据

依据XXXXXXX国家保密局发布的《涉密信息系统集成资质保密标准》、BMB17《涉及国家秘密的信息系统分级保护技术要求》、

BMB20《涉及国家秘密的信息系统分级保护管理规范》、BMB23《涉及国家秘密的信息系统分级保护管理规范》

1.3风险评估的目的

保密风险评估是保密工作的重要组成部分。

保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

引起

风险事故

导致

不良影响

保密风险一词包括了两方面的内涵。

其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。

从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。

因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

风险因素

简单概括而言：

风险因素引起风险事故，风险事故导致对企业带来不良影响。

1.4风险评估的措施

近几年来，随着信息技术的飞速发展，现代办公设备逐渐走进了企业的日常工作，保密工作面临着一种全新环境，同时所面临的保密形势日益严峻。

保密风险评估，作为企业开展保密工作的前提，能为单位领导准确把握本单位保密工作所面临的风险，进行重点防控提供科学依据。

根据对本公司保密状况的分析，认为本公司应当主要从加强保密条件建设方面进一步采取积极有效的措施：

a）进一步加强保密“软件建设”。

保密条件建设分为“软件建设”和“硬件建设”两大类，其中“软件建设”是灵魂，“硬件建设”是基础。

加强保密“软件建设”，就是要从根本上进一步强化人员的保密意识，建议有关部门领导要加强教育，统一思想，通过认真学习《保密法》和《保密法实施条例》，切实开展好保密工作的教育与宣传。

及时传达贯彻上级保密工作会议精神及保密局文件精神，按照工作要求落实措施，对重点涉密人员进行经常性的保密教育。

通过宣传教育，使涉密人员的保密意识明显提高，政治责任感进一步增强。

同时，要结合本单位保密工作面临的实际情况，进一步完善本公司《保密制度》，严肃保密工作纪律，发生失密、泄密，视情节轻重、危害大小，依据国家有关保密规定给予批评教育或处分。

将保密工作列入重要议事日程，从思

想教育入手，将保密工作摆在突出位置。

努力做到领导不唱“独角戏”,全员上阵抓保密，及时纠正“关好门、锁好柜、封住嘴、管好件”就能万

事大吉的认识偏差，形成人人参与保密的氛围，努力为本单位的安全保密工作筑牢思想上的“防火墙”。

b）进一步加强信息设备的安全建设。

随着信息技术的发展，各种高技术信息设备不断涌现，它们在为员工日常工作、学习、训练提供便利的同时，也给保密工作带来了更多挑战。

为此，要进一步加强信息设备的安全建设，对一些存在较大安全隐患的设备坚决不能引进使用，使用时要制定严格的使用规则。

另外对本单位的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、

彻底的保密清查，将所有设备登记入册，进一步明确使用范围和责任人，

同时对这些信息设备要进行不定时检查，将有隐患的设备及时处理。

同时，要制定必要的防范措施，对网站要进行全天候监控，严防病毒攻击与木马植入，涉密计算机软件要安装先进软件，安装防辐射、即时杀毒、备份软件，涉密信息设备要有防电磁辐射、防内置、防失控、防失窃

功能。

多管齐下、全方位防护，为本单位信息设备的安全使用开辟一条

“绿色通道”。

c）进一步完善保密工作机制。

俗话说：

“无规矩不成方圆。

”同样，企业保密工作也需要完善的保密机制来保障。

近年来，随着保密形势的日益严峻，对保密机制提出了更高的要求。

所以，建议单位保密部门领导要加强制度建设，始终把落实规章制度作为抓好保密工作的关键环节，认真贯彻落实《保密法》及有关保密工作的规定，从文件的登记、收发、传递、归档、销毁等各个环节都严格按照规范流程，落实管理规定，做到了按制度管人管事。

d）和公司员工签署保密协议、保密责任书及保密承诺书。

用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。

限于用人单位的高级管理人员、高级技术人员和

其他负有保密义务的人员。

范围、地域、期限由用人单位与劳动者约定，不得违反法律、法规的规定。

面对日益严峻的保密形势，保密风险的控制更为困难。

所以，建议保密部门领导要建立良好的保密秩序，有效遏制泄密问题的发生；要努力做到领导不唱“独角戏”,全员上阵抓保密，保密工作人人抓，常抓不懈的良好局面；要建立长效机制，有章可循，真查实改。

公司领导要

带头做好保密工作，齐抓共管、综合治理，要适应新要求、采取新措施，充分认识到新形势下做好保密工作的重要性和紧迫性，进一步做好各项保密工作，努力促进本公司的保密工作再上一个新台阶。

2.风险评估

涉密人员风险评估

l可能存在的风险点

a）招聘时人员是否满足涉密人员要求；

b）审核时竞聘人员是否有过犯罪记录，是否为中国公民；

c）上岗前是否接受过保密知识培训及考核；

d）是否与公司签订保密承诺书，保密协议，保密责任书及涉密人员考核评价考表；

e）部门是否按照公司要求开展保密知识培训，加强部门涉密人员的保密意识；

f）涉密人员离岗时是否签订离岗保密承诺书，保密工作领导小组是否对其进行脱密期管理。

l风险防控措施

a）应聘员工应满足公司对涉密人员的聘用标准；

b）上岗必须学习岗位保密业务，且保密知识考核成绩合格；

c）与公司签署保密协议、保密承诺书、保密责任书；

d）员工所在部门领导确认涉密人员考核评级表内容，确认无误后签字，同时保密领导小组同意签字后，评价表交保密工作领导小组存档，作为该员工作为涉密人员的考核内容；

e）保密办公室应在年初做好本年度保密知识培训计划及考核计划，组织涉密人员学习各项保密知识。

f）涉密人员在离岗后，严格遵守公司保密制度，与公司签署离岗保密承诺书，并严格遵守公司对离岗人员的脱密期管理。

2.2涉密载体风险评估

l 可能存在的风险点纸质文件：

a）涉密文件、资料是否有专人管理；

b）涉密文件收发是否有记录，是否有文件丢失、泄露；

c）涉密文件复印、外借是否有登记，是否在记录中标明使用理由、复印数量及使用人签字；

d） 涉密文件借阅是否有登记记录，是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字；

e）涉密文件是否及时归档，档案目录是否及时更新。

电子文件：

a）是否指派专人对涉密电子文件进行管理；

b）制作涉密电子文件时，是否记录使用范围及制作数量；

c）是否在非涉密计算机中传递涉密电子文件；

d）在携带涉密电子文件外出时，是否有专人携带；

e）涉密电子文件是否及时归档；

f）报废的涉密电子文件如何处理。

l风险防控措施

纸质文件

a）所有保密文件、文档、材料由涉密办公室管理员统一管理，统一登记入密码柜，定期进行清查，避免发生资料泄露及丢失。

严禁其他人员随意翻看保密资料，如有