保密風(fēng)險評估

《保密風(fēng)險評估》由會員分享，可在線閱讀，更多相關(guān)《保密風(fēng)險評估（20頁珍藏版）》請在裝配圖網(wǎng)上搜索。

風(fēng) 險 評 估 報 告 XXXXX 有限公司 201xx 年 xx 月 1 概述 針對公司主要業(yè)務(wù)流程進行風(fēng)險評估 其中包含了涉密信 息系統(tǒng)集成業(yè)務(wù)管理 人力資源管理 資產(chǎn)管理 涉密場所管 理等 2 評估目的 通過人員訪談 文檔審查和實地察看相結(jié)合的方式查找公 司信息系統(tǒng)軟件開發(fā)主要業(yè)務(wù)流程的薄弱環(huán)節(jié)和安全隱患 分 析可能面臨的風(fēng)險 為保密風(fēng)險防控措施的落實提供依據(jù) 3 評估依據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 中華人民共和國保守國家秘密法 中華人民共和國保守國家秘密法實旋條例 涉密信息系統(tǒng)集成資質(zhì)管理辦法 4 評估內(nèi)容 4 1 人力資源管理風(fēng)險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 中 涉密人員管理制度 中的規(guī)定 從人員 上崗 在崗 離崗管理三方面分析公司涉密人員管理現(xiàn)狀 對 公司涉密人員管理的業(yè)務(wù)流程進行風(fēng)險評估 識別并評估風(fēng)險 點 進而制定出風(fēng)險防控措施 4 1 1 風(fēng)險級別定義 風(fēng)險嚴(yán)重程度級別參考書 級別標(biāo)識 定義 很高 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成完全損害 高 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成重大損害 中等 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成一般損害 低 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成較小損害 很低 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成的損害可以忽略 4 1 2 風(fēng)險點 對從事涉密業(yè)務(wù)的人員進行審查 是否符合條件 符合條件 的方可將其確定為涉密人員 是否對涉密人員進行保密教育 培訓(xùn) 并簽訂保密承諾書后方能上崗 對涉密人員是否保守國家秘密 嚴(yán)格遵守各項保密規(guī)章制度 進行審查 是否符合以下基本條件 1 遵紀(jì)守法 具有良好的品行 無犯罪記錄 2 屬于公司正式職工 并在其他公司無兼職 3 社會關(guān)系清楚 本人及其配偶為中國境內(nèi)公民 審查公司與涉密人員簽訂的勞動合同或補充協(xié)議 是否已簽 署 公司在崗涉密人員是否每年參加保密教育與保密知識 技能 培訓(xùn) 培訓(xùn)的時間應(yīng)不少于 10 個學(xué)時 公司是否對在崗涉密人員進行定期考核評價 公司是否向涉密人員發(fā)放保密補貼 公司涉密人員在離崗離職時 是否經(jīng)公司保密審查 簽訂保 密承諾書 并按相關(guān)保密規(guī)定實行脫密期管理 4 1 3 風(fēng)險分析 編號 風(fēng)險點 描述 嚴(yán)重程度 1 涉密人員資格審 查 對涉密人員進行資格審查 低 2 涉密人員崗前培 訓(xùn)考核 涉密人員保密教育培訓(xùn)考 核不嚴(yán)格 中等 3 涉密人員教育培 對涉密人員進行保密教育 低 訓(xùn)管理 與保密技能培訓(xùn) 10 學(xué)時 4 涉密人員離崗離 職管理 對離崗離職涉密人員的保 密審查到位 低 5 涉密人員發(fā)放保 密補貼 對公司涉密人員發(fā)放保密 補貼審查到位 低 4 1 4 風(fēng)險防控措施 編 號 風(fēng)險點 嚴(yán)重 程度 防控措施 1 涉密人員 資格審查 低 計劃人員招聘階段 確定該人員是否為 公司涉密人員 對涉密人員進行社會關(guān) 系的審查 確定其直系親屬是否均為中 國境內(nèi)公民 若此人員為前單位離職人 員 應(yīng)和前單位進行確認(rèn) 確定其在其 它單位無兼職 2 涉密人員 崗前培訓(xùn) 考核 中等 涉密人員經(jīng)過保密教育培訓(xùn)后 必須保 證考試合格 并與公司簽訂 公司涉密 人員保密責(zé)任書 后方能上崗 3 涉密人員 教育培訓(xùn) 管理 低 必須嚴(yán)格按照相關(guān)規(guī)定對涉密人員進行 教育培訓(xùn) 必須保證培訓(xùn)學(xué)時不低于 10 學(xué)時 公司保密工作領(lǐng)導(dǎo)小組必須對此 項工作進行監(jiān)督管理 4 涉密人員 離崗離職 管理 低 涉密人員離崗離職前 保密辦公司人員 必須對其在崗期間所負(fù)責(zé)的涉密信息系 統(tǒng)集成的信息和資料進行審查 并確保 所有信息資料交回公司保密辦 為規(guī)避 人員離職離崗后發(fā)生泄密風(fēng)險 必須和 離崗離職的涉密人員簽訂保密承諾書 并經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)方能離職離崗 對離 崗離職人員實行脫密期管理 5 涉密人員 發(fā)放保密 補貼 低 公司應(yīng)對涉密人員發(fā)放保密補貼 4 2 資產(chǎn)管理風(fēng)險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 中 涉密載體管理制度 信息系統(tǒng) 信息 設(shè)備和安全保密防護設(shè)備設(shè)施管理規(guī)定 資質(zhì)證書的使用和 管理規(guī)定 中的規(guī)定 從涉密載體管理 信息系統(tǒng)及設(shè)備管理 及資質(zhì)證書管理等方面分析公司涉密資產(chǎn)管理現(xiàn)狀 對公司涉 密資產(chǎn)管理的業(yè)務(wù)流程進行風(fēng)險評估 查找風(fēng)險點 并進行風(fēng) 險防控 4 2 1 風(fēng)險級別定義 風(fēng)險嚴(yán)重程度級別參考表 級別標(biāo)識 定義 很高 如果被利用 將對主要業(yè)務(wù)造成完全損害 高 如果被利用 將對主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對主要業(yè)務(wù)造成一般損害 低 如果被利用 將對主要業(yè)務(wù)造成較小損害 很低 如果被利用 將對主要業(yè)務(wù)造成的損害可以忽略 4 2 2 風(fēng)險點 審查涉密信息設(shè)備是否符合國家保密標(biāo)準(zhǔn) 有密級 編號 責(zé)任人標(biāo)識 并建立管理臺帳 檢查涉密信息設(shè)備的使用是否符合相關(guān)保密規(guī)定 禁止涉密 信息設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò) 禁止涉密信息設(shè) 備接入內(nèi)部非涉密信息系統(tǒng) 禁止使用非涉密信息設(shè)備和個 人設(shè)備存儲 處理涉密信息 禁止超越計算機 移動存儲介 質(zhì)的涉密等級存儲 處理涉密信息 禁止在涉密計算機和非 涉密計算機之間交叉使用移動存儲介質(zhì) 禁止在涉密計算機 與非涉密計算機之間共用打印機 掃描儀等信息設(shè)備 檢查涉密信息設(shè)備是否采取身份鑒別 訪問控制 違規(guī)外聯(lián) 監(jiān)控 安全審計 移動存儲介質(zhì)管控等安全保密措施 并及 時升級病毒和惡意代碼樣本庫 定期進行病毒和惡意代碼查 殺 檢查采購的安全保密產(chǎn)品是否選用經(jīng)過國家保密行政管理部 門授權(quán)機構(gòu)檢測 符合國家保密標(biāo)準(zhǔn)要求的產(chǎn)品 計算機病 毒防護產(chǎn)品應(yīng)當(dāng)選用公安機關(guān)批準(zhǔn)的國產(chǎn)產(chǎn)品 密碼產(chǎn)品應(yīng) 當(dāng)選用國家密碼管理部門批準(zhǔn)的產(chǎn)品 檢查涉密信息打印 刻錄等輸出是否相對集中 有效控制 并采取相應(yīng)審計措施 檢查涉密計算機及辦公自動化設(shè)備是否拆除具有無線聯(lián)網(wǎng)功 能的硬件模塊 禁止使用具有無線互聯(lián)功能或配備無線鍵盤 無線鼠標(biāo)等無線外圍裝置的信息設(shè)備處理國家秘密 檢查涉密信息設(shè)備的維修 是否在本公司內(nèi)部進行 是否指 定專人全程監(jiān)督 嚴(yán)禁維修人員讀取或復(fù)制涉密信息 檢查涉密計算機及移動存儲介質(zhì)攜帶外出是否履行審批手續(xù) 帶出前和帶回后 是否進行保密檢查 4 2 3 風(fēng)險分析 編號 風(fēng)險點 描述 嚴(yán)重 程度 1 涉密載體臺 賬管理 建立涉密載體臺賬 但臺賬信 息不夠完整 中等 2 涉密載體使 用管理 需要接收 交付 傳遞 保存 銷毀涉密載體時 履行了登記 手續(xù) 但需要維修時 記錄不 完整 也沒有指定的維修廠家 中等 3 涉密信息設(shè) 備臺賬管理 建立信息設(shè)備臺賬 但臺賬信 息不夠完整 中等 4 涉密信息設(shè) 備維修 報 廢管理 對于涉密設(shè)備的維修 報廢的 審批流程不夠清晰 中等 5 涉密信息設(shè) 備攜帶管理 涉密計算機攜帶外出 只履行 登記手續(xù) 審批流程不完整 中等 6 涉密信息設(shè) 備管理 涉密計算機與非涉密計算機之 間共用打印機 掃描儀 高 4 2 4 風(fēng)險防控措施 編 號 風(fēng)險點 嚴(yán)重 問題 防控措施 1 涉密載體臺 賬管理 中等 必須按照要求建立涉密載體臺賬 明確 涉密載體的名稱 編號 密級 保密期 限等信息 并對涉密載體進行動態(tài)管理 及時做好涉密載體的新增 減少等記錄 2 涉密載體使 用管理 中等 建立涉密載體的維修商家名錄 并對維 修商家的資格進行核查 當(dāng)涉密載體需 要維修時 只能送到指定的維修商家進 行維修 3 涉密信息設(shè) 備臺賬管理 中等 必須按照要求建立涉密信息設(shè)備挑戰(zhàn) 明確涉密載體的名稱 編號 密級 責(zé) 任人標(biāo)識等信息 并對涉密信息設(shè)備進 行動態(tài)管理 及時做好涉密信息設(shè)備的 新增 減少等記錄 4 涉密信息設(shè) 備維修 報 廢管理 中等 建立涉密信息設(shè)備的售后商家名錄 并 對售后商家的資格進行核查 當(dāng)涉密信 息設(shè)備需要維修時 只能送到指定的維 修商家進行維修 如必須有外來人員進 行修理時 應(yīng)有保密辦人員全程陪同 必須指定專人負(fù)責(zé) 對維修人員 維修 對象 維修內(nèi)容 維修前后狀況進行監(jiān) 督并詳細(xì)記錄 涉密信息設(shè)備需要報廢 時 應(yīng)填寫 設(shè)備與介質(zhì)銷毀保密審批 表 送交保密行政管理部門設(shè)立的銷 毀工作機構(gòu)或者保密行政管理部門指定 的公司銷毀徹 徹底清除其中的涉密信 息后 對涉密信息存儲部件和介質(zhì)進行 清點 登記 銷毀 5 涉密信息設(shè) 備攜帶管理 中等 攜帶涉密信息設(shè)備和介質(zhì)外出 不能只 做登記處理 必須報公司保密工作領(lǐng)導(dǎo) 小組批準(zhǔn) 未獲批攜帶涉密信息設(shè)備外 出 公司將對攜帶人員和保密辦公室人 員實行懲罰機制 外出時 攜帶人應(yīng)嚴(yán) 格采取保護措施 介質(zhì)始終處于有效控 制之下 防止出現(xiàn)丟失 被盜 被毀以 及泄密等情況 6 涉密信息設(shè) 備管理 高 涉密計算機必須單獨使用打印機 掃描 儀 不能與非涉密計算機之間共用 確 保涉密信息打印 刻錄等輸出相對集中 有效控制 并采取相應(yīng)審計措施 4 3 涉密場所管理風(fēng)險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 中 涉密信息系統(tǒng)集成場所保密管理規(guī)定 中的規(guī)定 從場所出入 門禁系統(tǒng) 監(jiān)控系統(tǒng) 防盜報警系統(tǒng) 等方面查看并分析公司涉密場所管理現(xiàn)狀 對公司涉密場所管 理的業(yè)務(wù)流程進行風(fēng)險評估 查找風(fēng)險點 并進行風(fēng)險防控 4 3 1 風(fēng)險級別定義 風(fēng)險嚴(yán)重程度級別參考表 級別標(biāo)識 定義 很高 如果被利用 將對主要業(yè)務(wù)造成完全損害 高 如果被利用 將對主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對主要業(yè)務(wù)造成一般損害 低 如果被利用 將對主要業(yè)務(wù)造成較小損害 很低 如果被利用 將對主要業(yè)務(wù)造成的損害可以忽略 4 3 2 風(fēng)險點 公司的涉密辦公場所是否固定在相對獨立的樓層或區(qū)域 檢查公司涉密辦公場所是否安裝門禁 視頻監(jiān)控 防盜報警 等安防系統(tǒng) 是否實行封閉式管理 監(jiān)控機房是否安排人員 值守 是否建立視頻監(jiān)控的管理檢查機制 公司安全保衛(wèi)部門是否 定期對視頻監(jiān)控信息進行回看檢查 保密管理辦公室是否對 執(zhí)行情況進行監(jiān)督 視頻監(jiān)控信息保存時間不少于 3 個月 檢查門禁系統(tǒng) 視頻監(jiān)控系統(tǒng)和防盜報警系統(tǒng)等是否定期檢 查維護 確保系統(tǒng)處于有效工作狀態(tài) 檢查公司涉密辦公場所是否明確允許進入的人員范圍 其他 人員進入 是否履行審批 登記手續(xù) 是否由接待人員全程 陪同 檢查公司是否未經(jīng)批準(zhǔn) 不得將具有錄音 錄像 拍照 存 儲 通信功能的設(shè)備帶入涉密辦公場所 4 3 3 風(fēng)險分析 編號 風(fēng)險點 描述 嚴(yán)重程度 1 視頻監(jiān)控管 管理部門對視頻監(jiān)控信息的回 中等 理檢查機制 看檢查不及時 2 視頻監(jiān)控 門禁 防盜 報警系統(tǒng)管 理 對各個安防系統(tǒng)的檢查維護不 及時 安防系統(tǒng)出現(xiàn)故障才給 予維修 造成系統(tǒng)無法有效工 作 中等 3 涉密場所出 入管理 對非涉密人員進入涉密場所履 行了登記 審批手續(xù) 但對進 入人員是否隨身攜帶具有錄音 錄像 拍照 存儲 通信功能 的設(shè)備檢查不仔細(xì) 增加了涉 密資料泄密風(fēng)險 高 4 3 4 風(fēng)險防控措施 編號 風(fēng)險點 嚴(yán)重 程度 防控措施 1 視頻監(jiān)控管 理檢查機制 中等 嚴(yán)格按照公司 涉密信息系統(tǒng)集成 場所保密管理規(guī)定 的規(guī)定 安排 專人對視頻監(jiān)控機房施行 24 小時值 班 值班人員要每天調(diào)看視頻監(jiān)控 錄像 并詳細(xì)做好 值班登記表 發(fā)現(xiàn)可疑情況 立即向公司分管領(lǐng) 導(dǎo)報告 并對查看結(jié)果作書面記錄 并保證視頻監(jiān)控信息保存時間不得 少于 3 個月 2 視頻監(jiān)控 門禁 防盜 報警系統(tǒng)管 理 中等 公司保密辦每季度應(yīng)對集成場所的 保密管理工作和安全防護設(shè)施進行 檢查 對安防設(shè)施進行維護和檢修 發(fā)現(xiàn)問題及時整改 并建立檢查整 改記錄 確保制度落實 防護設(shè)施 運行正常 3 涉密場所出 入管理 中等 將涉密場所相關(guān)管理規(guī)定張貼在明 顯處 并對公司人員進行宣貫 進 入涉密場所的人員必須由保密辦工 作人員全程陪同 嚴(yán)禁進入人員以 任何方式私自錄音 錄像和攝影 4 4 業(yè)務(wù)流程管理風(fēng)險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 軟件開發(fā)管理制度 中的相關(guān)規(guī)定 從軟 件開發(fā)各個里程碑分析公司軟件開發(fā)香米管理現(xiàn)狀 對公司軟 件開發(fā)項目管理的業(yè)務(wù)流程進行風(fēng)險評估 查找風(fēng)險點 并進 行風(fēng)險防控 由于公司處于資質(zhì)申請階段 沒有承接涉密相關(guān)業(yè)務(wù)的資 格 既不能建設(shè)涉密信息系統(tǒng) 故僅能對公司目前的軟件開發(fā) 項目的主要業(yè)務(wù)流程進行風(fēng)險評估 查找現(xiàn)有的項目管理業(yè)務(wù) 流程是否與保密管理相融合 4 4 1 風(fēng)險級別定義 風(fēng)險嚴(yán)重程度級別參考表 級別標(biāo)識 定義 很高 如果被利用 將對主要業(yè)務(wù)造成完全損害 高 如果被利用 將對主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對主要業(yè)務(wù)造成一般損害 低 如果被利用 將對主要業(yè)務(wù)造成較小損害 4 4 2 風(fēng)險點 檢查公司進入委托方現(xiàn)場進行系統(tǒng)集成項目開發(fā) 工程施工 運行維護等是否嚴(yán)格執(zhí)行現(xiàn)場工作制度和流程 現(xiàn)場項目開發(fā) 工程施工 運行維護是否在委托方的監(jiān)督下 進行 未經(jīng)委托方檢查和書面批準(zhǔn) 不得將任何電子設(shè)備帶 入項目現(xiàn)場 公司是否對現(xiàn)場項目開發(fā) 工程施工 運行維護的工作情況 進行詳細(xì)記錄并存檔備查 4 4 3 風(fēng)險分析 編 號 風(fēng)險點 描述 嚴(yán)重 程度 1 制度執(zhí)行 能力 制定了 軟件開發(fā)管理制度 及開發(fā) 工作流程 但執(zhí)行力度不足 高 2 需求開發(fā)制度 會發(fā)現(xiàn)對用戶及產(chǎn)品 的需求分析不到位的情況 導(dǎo)致設(shè)計 成果和用戶期望存在一定的差距 3 項目進程 管理 系統(tǒng)設(shè)計階段 按照開發(fā)流程進行了 設(shè)計準(zhǔn)備 確定影響系統(tǒng)設(shè)計的約束 因素 確定設(shè)計策略 系統(tǒng)分解與設(shè) 計 但撰寫體系結(jié)構(gòu)設(shè)計文檔時不夠 嚴(yán)謹(jǐn) 無法將軟件系統(tǒng)概述 影響設(shè) 計的約束因素 實際策略 系統(tǒng)總體 結(jié)構(gòu) 子系統(tǒng)的結(jié)構(gòu)與模塊功能 系 統(tǒng)集成策略及開發(fā) 測試 運行所需 的軟硬件環(huán)境等內(nèi)容完整表述 中等 4 4 4 風(fēng)險防控措施 編號 風(fēng)險點 嚴(yán)重 程度 防控措施 1 制度執(zhí)行能 力 嚴(yán)重 定期組織部門人員學(xué)習(xí) 軟件開 發(fā)管理制度 及工作流程 形成 培訓(xùn)記錄 部門負(fù)責(zé)人應(yīng)將制度 中的各里程碑的要求落實到位 主管領(lǐng)導(dǎo)和公司內(nèi)審機構(gòu)每月對 落實情況進行審查 審查不合格 需由部門負(fù)責(zé)人作出書面說明 并出具整改方案 整改后仍不合 格的 公司應(yīng)實行相應(yīng)的處罰機 制 2 項目進程管 理 中等 需求開發(fā)階段 在首次獲得了用 戶及產(chǎn)品需求后 用戶的需求有 時只是口頭表述 不會形成文檔 應(yīng)主動和用戶進行溝通確認(rèn) 并將初步的需求溝通以文檔形式 反饋給用戶 得到用戶初步肯定 后 再詳細(xì)撰寫 用戶產(chǎn)品需求 說明書 3 中等 系統(tǒng)設(shè)計階段 設(shè)計人員應(yīng)將各 里程碑 設(shè)計準(zhǔn)備 確定影響系 統(tǒng)設(shè)計的約束因素 確定設(shè)計策 略 系統(tǒng)分解和設(shè)計 的開展情 況及成果 包括每一次的設(shè)計變 更 進行記錄 以確保此階段的 輸出物 系統(tǒng)設(shè)計報告 的完整 性 可靠性 5 整改要求 一 公司保密工作領(lǐng)導(dǎo)小組對此次保密風(fēng)險評估的結(jié)果負(fù)有 監(jiān)督整改的責(zé)任 二 風(fēng)險級別為 高 的風(fēng)險點 整改優(yōu)先級最高 三 相應(yīng)責(zé)任部門應(yīng)結(jié)合風(fēng)險評估中的 風(fēng)險防控措施 在三個工作日內(nèi)出具詳細(xì)的整改計劃 整改計劃獲批后 責(zé)任 部門應(yīng)在三個月內(nèi)做出整改情況總結(jié) 并上報公司保密工作領(lǐng) 導(dǎo)小組 有領(lǐng)導(dǎo)小組組織公司內(nèi)審機構(gòu)對整改情況進行審計 四 公司內(nèi)審機構(gòu)需對本次整改情況進行嚴(yán)格把控 重點審 計高風(fēng)險點的整改情況 對所有風(fēng)險點的整改情況審計細(xì)致到 位 整改不合格 公司將實行懲罰機制 五 公司內(nèi)審機構(gòu)將嚴(yán)格按照 PDCA 模式每季度對以上防控 措施及整條業(yè)務(wù)流程的執(zhí)行情況進行審計 詳細(xì)記錄審計結(jié)果 對不合格項提出合理化建議 并督促整改 核實整改效果后進 入下一周期的內(nèi)部審計