信息系統(tǒng)集成項目風(fēng)險評估及防控措施(共5頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息系統(tǒng)集成項目風(fēng)險評估及防控措施 1、 參與涉密項目人員風(fēng)險評估 1.1 可能存在的風(fēng)險點Ø 項目部組建時人員是否滿足涉密人員要求；Ø 上崗前是否接受過保密知識培訓(xùn)及考核；Ø 是否與公司簽訂保密承諾書，保密協(xié)議，保密責(zé)任書及涉密人員考核評價表； Ø 部門是否按照公司要求開展保密知識培訓(xùn)，加強部門涉密人員的保密意識；Ø 涉密人員離崗時是否簽訂離崗保密承諾書，保密工作領(lǐng)導(dǎo)小組是否對其進行脫密期管理。1.2 風(fēng)險防控措施Ø 應(yīng)聘員工應(yīng)滿足公司對涉密人員的聘用標(biāo)準(zhǔn)；Ø 上崗必須學(xué)習(xí)崗位保密業(yè)務(wù)，且保密知識

2、考核成績合格；Ø 與公司簽署保密協(xié)議、保密承諾書、保密責(zé)任書；Ø 員工所在部門領(lǐng)導(dǎo)確認(rèn)涉密人員考核評級表內(nèi)容，確認(rèn)無誤后簽字。同時保密領(lǐng)導(dǎo)小組同意簽字后評價表交保密工作領(lǐng)導(dǎo)小組存檔，做為該員工的涉密考核內(nèi)容；Ø 保密辦公室應(yīng)在年初做好本年度保密知識培訓(xùn)計劃及考核計劃，組織涉密人員學(xué)習(xí)各項保密知識。Ø 涉密人員在離開項目后，嚴(yán)格遵守公司保密制度，與公司簽署離崗保密承諾書，并嚴(yán)格遵守公司對離崗人員的脫密期管理要求。2、 涉密載體風(fēng)險評估 2.1 可能存在的風(fēng)險點紙質(zhì)文件：Ø 涉密文件、資料是否有專人管理；Ø 涉密文件是否有收發(fā)記錄；

3、16; 涉密文件復(fù)印、外借是否有登記，是否在記錄中標(biāo)明使用理由、復(fù)印數(shù)量及使用人簽字；Ø 涉密文件借閱是否有登記記錄，是否在記錄中標(biāo)明借閱理由、使用時間、歸還時間及借閱人簽字；Ø 涉密文件是否及時歸檔，檔案目錄是否及時更新。電子文件：Ø 是否指派專人對涉密電子文件進行管理：Ø 制作涉密電子文件時，是否記錄使用范圍及制作數(shù)量：Ø 是否在非涉密計算機中傳遞涉密電子文件；Ø 在攜帶涉密電子文件外出時，是否有專人攜帶；Ø 涉密電子文件是否及時歸檔；Ø 報廢的涉密電子文件如何處理。2 .2 風(fēng)險防控措施紙質(zhì)文件:Ø

4、 所有保密文件、文檔、材料由項目保密專員統(tǒng)一管理，統(tǒng)一登記并存入密碼柜，定期進行清查，避免發(fā)生資料泄露或丟失。嚴(yán)禁其他人員隨意翻看保密資料，如有其他保密人員要借閱使用，由保密專員進行登記，寫明借閱時間及借閱理由，并保證不拿到涉密辦公室以外的地方使用。Ø 保密材料嚴(yán)格按保密領(lǐng)導(dǎo)辦公室批準(zhǔn)的份數(shù)印刷，不得擅自多印多留，復(fù)印件視同原件管理，復(fù)印過程中產(chǎn)生的廢紙、廢件應(yīng)及時銷毀；在復(fù)印材料之前，需由保密辦公室管理員登記后方可進行，標(biāo)明使用理由、復(fù)印份數(shù)；Ø 傳遞保密材料要有保密措施，傳遞應(yīng)專人專送，不得辦理無關(guān)事項，攜帶密件不得進入不利于保密的場所；外出工作需攜帶保密材料的，要經(jīng)保

5、密工作領(lǐng)導(dǎo)小組批準(zhǔn)。Ø 保密資料未經(jīng)許可，不得擅自摘抄、翻印、復(fù)印、轉(zhuǎn)借或損壞；一旦造成損失由當(dāng)事人承擔(dān)責(zé)任。電子文件：Ø 指定專人負(fù)責(zé)項目涉密電子文件的日常管理工作。Ø 制作涉密電子文件，應(yīng)當(dāng)依照有關(guān)文件，規(guī)定使用范圍及制作數(shù)量，并編號記錄。Ø 傳遞涉密電子文件，應(yīng)當(dāng)履行登記、簽收等手續(xù)。禁止在任何非涉密網(wǎng)絡(luò)上傳遞涉密電子文件。嚴(yán)禁在非涉密機上處理或存儲涉密電子文件。Ø 閱讀、使用、復(fù)制和銷毀涉密電子文件，應(yīng)經(jīng)保密工作領(lǐng)導(dǎo)小組批準(zhǔn)，同時辦理登記、簽字手續(xù)。復(fù)制的電子文件視同原件管理。Ø 定期對涉密電子文件及載體進行清查、核對，發(fā)現(xiàn)問

6、題及時向保密管理辦公室匯報。3、 涉密設(shè)備風(fēng)險評估 3.1 可能存在的風(fēng)險點Ø 涉密計算機是否有違規(guī)操作：Ø 涉密計算機端口是否插過其他存儲介質(zhì)；Ø 涉密計算機是否配備三合一防護系統(tǒng)：Ø 辦公場所自動化設(shè)備是否外借使用：Ø 涉密計算機及辦公場所自動化設(shè)備維修、更換、報廢如何管理。3 .2 風(fēng)險防控措施Ø 涉密計算機安裝主機監(jiān)控與審計系統(tǒng)進行端口審計； Ø 涉密計算機安裝江民病毒防護軟件，由專人進行病毒軟件更新，更新周期不超過 15 天：Ø 每臺涉密計算機都配備三合一防護系統(tǒng)，嚴(yán)格控制了計算機內(nèi)涉密信息的流失；

7、16; 涉密計算機配置 10 位數(shù)以上的密碼，由專人統(tǒng)一管理、記載；Ø 辦公室自動化設(shè)備均為涉密辦公室處理涉密項目專用，不得外借使用；Ø 涉密計算機及辦公室自動化設(shè)備山保密工作領(lǐng)導(dǎo)小組確定專人使用，機器明確標(biāo)明使用人姓名并登記入冊；使用人發(fā)生變化時，報保密工作領(lǐng)導(dǎo)小組審核，審核通過后進行變更：Ø 涉密計算機及辦公室自動化設(shè)備（打印機、刻錄機）維修、應(yīng)由保密領(lǐng)導(dǎo)小組批準(zhǔn)后進行；Ø 涉密計算機維修應(yīng)到保密局指定的地點維修，維修前應(yīng)卸下硬盤等敏感部件，維修后應(yīng)進行安全檢測后方可使用；Ø 更換涉密計算機應(yīng)事先提交涉密設(shè)備變更中請表，寫明更換原因，經(jīng)保密

8、工作領(lǐng)導(dǎo)小組批準(zhǔn)后進行。在更換涉密計算機前應(yīng)卸下硬盤，卸下的硬盤不得在非涉密計算機上使用，硬盤交由涉密辦公室保密管理員登記備案；硬盤留存于保密辦公室，不得使用、外借；Ø 涉密計算機報廢不得當(dāng)作廢品出售，在中請報廢后先到保密辦公室保密管理員處登記，卸下硬盤并由專人上交保密局工作部門進行集中銷毀處理，報廢涉密計算機應(yīng)報保密局備案并履行相應(yīng)的銷毀制度。4、涉密場所風(fēng)險評估 4.1 可能存在的風(fēng)險點Ø 涉密辦公場所內(nèi)是否存在網(wǎng)絡(luò)端口；Ø 非涉密人員進出涉密辦公室是否有記錄；Ø 涉密辦公場所是否按照國家保密局要求配備了門禁系統(tǒng)、防盜報警系統(tǒng)、視頻監(jiān)控系統(tǒng)；

9、6; 涉密人員進出涉密辦公室時是否攜帶相機，手機，錄音筆等其它可存儲介質(zhì)。42 風(fēng)險防控措施Ø 由安全保密管理員定期檢查涉密辦公室的門禁、防盜報警、視頻監(jiān)控等設(shè)備的完好狀態(tài)，確保保密材料安全。Ø 非授權(quán)人員進出涉密場所，須經(jīng)公司保密領(lǐng)導(dǎo)小組審批并山授權(quán)人員進行全程陪同方可進入，同時建立涉密場所非授權(quán)人員進入登記冊，對臨時進出的人員登記；標(biāo)明進出時間及事由。Ø 建立視頻監(jiān)控的檢查管理機制，公司的安全保衛(wèi)部門應(yīng)當(dāng)定期對視頻監(jiān)控信息進行回看檢查，保密辦公室應(yīng)當(dāng)對執(zhí)行情況進行監(jiān)督。視頻監(jiān)控信息保存時間不少于 3 個月。Ø 未經(jīng)批準(zhǔn)，不得將具有錄音、錄像、拍照、存

10、儲、通信功能的設(shè)備帶入涉密辦公室。5、分包方案使用風(fēng)險評估 5.1 可能存在的風(fēng)險點Ø 在現(xiàn)場使用時，信息是否產(chǎn)生泄露；Ø 涉密人員是否將圖紙存放與他人手里或放在施工現(xiàn)場，導(dǎo)致項目設(shè)計方案泄露。5.2 風(fēng)險控制措施Ø 加強涉密人員保密意識；Ø 涉密項目前期設(shè)計需由專人在涉密計算機上進行編寫，并用光盤進行信息存儲，并由委托方指定人員進行交接。不得將光盤存于他人手中或施工現(xiàn)場。Ø 嚴(yán)禁使用外網(wǎng)計算機查詢?nèi)魏紊婷茼椖啃畔?，涉密項目方案的制定均?yīng)在涉密辦公室內(nèi)的涉密計算機上進行編寫。6、設(shè)備采購風(fēng)險評估6.1 可能存在的風(fēng)險點Ø 工程建設(shè)周期

11、導(dǎo)致從投標(biāo)到采購的周期過長，存在供應(yīng)商庫存風(fēng)險和技術(shù)偏離風(fēng)險：Ø 市場信息不夠完全、充分、透明，供應(yīng)商在一定范圍內(nèi)能影響價格：Ø 設(shè)備采購過程中，供應(yīng)商泄露項目信息。6.2 風(fēng)險控制措施Ø 工程建設(shè)周期導(dǎo)致從投標(biāo)到采購的周期過長，存在供應(yīng)商庫存風(fēng)險和技術(shù)偏離風(fēng)險，可從三方面進行規(guī)避：一方面可建立供應(yīng)商預(yù)警機制，對價格、庫存、技術(shù)等風(fēng)險出現(xiàn)前進行供方預(yù)警；一方面，對于項目前期設(shè)備的選型，應(yīng)考慮項目建設(shè)周期因索，應(yīng)避免選擇市場壽命短的產(chǎn)品；另一方面，應(yīng)在簽訂項目合同時，對于設(shè)備的更新?lián)Q代條款，應(yīng)進行明示。Ø 加大市場信息獲取力度，使市場信息準(zhǔn)確而全面，從而保

12、證市場分析、成本分析等數(shù)據(jù)的可靠性：依據(jù)適用原則選擇供應(yīng)商并改善與供應(yīng)商的關(guān)系，避免成為強勢供應(yīng)商價格聯(lián)盟的受害者。Ø 涉密項目的設(shè)備采購應(yīng)單獨采購，由涉密業(yè)務(wù)管理小組下的設(shè)備采購小組組長設(shè)立專人，不與其它項目的設(shè)備一起采購，與供應(yīng)商簽署保密承諾書，并承諾不泄露項目信息、設(shè)備價格。 7、現(xiàn)場實施風(fēng)險評估7.1 可能存在的風(fēng)險點Ø 合同及各項審核工作時間太長，導(dǎo)致項目信息泄露；Ø 在施工過程中有涉密人員離職或調(diào)崗，導(dǎo)致涉密信息泄露；Ø 施工現(xiàn)場環(huán)境是否滿足涉密項目環(huán)境要求；Ø 現(xiàn)場施工時，是否有除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場：Ø

13、; 設(shè)備安裝調(diào)試時，是否通過非涉密計算機進行操作。7.2 風(fēng)險防控措施 Ø 涉密項目簽訂的涉密合同必須由專職涉密人員進行登記、歸檔，存放于涉密辦公室內(nèi)的密碼文件柜內(nèi)。Ø 調(diào)崗或離職的涉密人員必須進行脫密期處理，并簽署涉密人員離崗保密承諾書。不得在脫密期間出國或在外資企業(yè)工作。Ø 施工現(xiàn)場周圍不允許有大使館、外資企業(yè)等；如有請做好保密防護措施，如：安裝視頻監(jiān)控系統(tǒng)、防盜報警系統(tǒng)等。加強施工現(xiàn)場保密環(huán)境。Ø 現(xiàn)場施工時，不允許除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場。除保密工作領(lǐng)導(dǎo)小組指定人員外，其他人員不得進入施工現(xiàn)場。Ø 調(diào)試設(shè)備時，必須用涉密

14、計算機進行調(diào)試，不得用非涉密計算機進行。避免通過非涉密計算機傳遞涉密信息，導(dǎo)致涉密項目信息泄露。8、審查驗收風(fēng)險評估 8.1 可能存在的風(fēng)險點Ø 審查驗收人員是否為涉密人員，是否是保密工作領(lǐng)導(dǎo)小組指定；Ø 審查驗收記錄是否是由專人負(fù)責(zé)保管，是否產(chǎn)生記錄丟失、泄露；Ø 對用戶進行設(shè)備使用培訓(xùn)，但用戶保密意識不強，無意間泄露保密信息。8.2 風(fēng)險防控措施Ø 審查驗收人員必須為涉密人員，必須由保密工作領(lǐng)導(dǎo)小組下的運行維護小組組長指派專人驗收。Ø 審查驗收記錄由專人攜帶，帶回公司后交于涉密辦公室管理員處登記備案，存放于密碼柜中。Ø 在審查驗收

15、時，應(yīng)對用戶進行相關(guān)保密知識培訓(xùn)。 9、項目材料移交風(fēng)險評估 9.1 可能存在的風(fēng)險點Ø 項目材料移交時是否是在保密環(huán)境下進行，記錄是否齊全；Ø 接收材料人員是否是涉密人員，是否由保密工作領(lǐng)導(dǎo)小組指定；Ø 接收材料人員是否攜帶材料出入公共場所，導(dǎo)致信息泄露。9.2 風(fēng)險防控措施Ø 移交材料時，需在保密環(huán)境下進行，檢查驗收記錄是否齊全，不能有記錄不完整，不能在公共場所下進行。由專人進行材料交接，并將材料封存于檔案袋中。Ø 接收材料的人員必須是山保密工作領(lǐng)導(dǎo)小組指定的人。Ø 接收材料后，必須馬上攜帶資料返回公司，不得在公共場所逗留，避免發(fā)生資料丟失，產(chǎn)生資料泄密。10、運行維護風(fēng)險評估 10.1 可能存在的風(fēng)險點Ø 后期運行維護的人員是否是涉密人員，是否明確涉密人員的職責(zé)，是否有保密意識；Ø 在對設(shè)備維護時，是否使用非涉密計算機進行操作：Ø 運行維護人員是否在交談中泄露涉密信息；Ø 維護記錄是否保存