保密風(fēng)險評估方案

保密風(fēng)險評估方案

目錄4075_WPSOffice_Level1一、概述 325536_WPSOffice_Level1二、評估依據(jù) 313265_WPSOffice_Level1三、評估流程 38416_WPSOffice_Level1四、評估方法 316923_WPSOffice_Level21.風(fēng)險級別定義 325760_WPSOffice_Level22.對原有風(fēng)險點的評估。 427685_WPSOffice_Level23.新風(fēng)險識別 417231_WPSOffice_Level24.部門評估 4978_WPSOffice_Level25.公司評估 425011_WPSOffice_Level1附件1：參評人員和部門提交文件一覽表 625851_WPSOffice_Level1附件2：風(fēng)險評估表 731307_WPSOffice_Level1附件3：風(fēng)險評估匯總表 825939_WPSOffice_Level1附件4：風(fēng)險評估參與人員表 918942_WPSOffice_Level1附件5：風(fēng)險點列表 10

一、概述公司作為涉密信息系統(tǒng)集成資質(zhì)單位，對保守國家秘密有相應(yīng)義務(wù)并承擔(dān)重要的責(zé)任。為切實有效地保護國家秘密，必須事先做好保密風(fēng)險評估工作，讓保密工作有的放矢。為了讓風(fēng)險評估達到應(yīng)有的成果，并有序進行，特制定本方案。二、評估依據(jù)《中華人民共和國保守國家秘密法》《中華人民共和國保守國家秘密法實旋條例》《涉密信息系統(tǒng)集成資質(zhì)單位保密標準》《涉密信息系統(tǒng)集成資質(zhì)管理辦法》公司保密管理制度三、評估流程風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價。具體評估流程如下：1.保密辦根據(jù)當(dāng)前已有的風(fēng)險防控措施和保密管理制度出具風(fēng)險點列表（見附件<風(fēng)險點列表>）；2.各部門安排本部門涉密人員對風(fēng)險點列表進行分析；3.涉密人員將評估結(jié)果以電子檔遞交本部門負責(zé)人；4.部門負責(zé)人匯總后形成風(fēng)險評估匯總表，并打印簽字；5.部門負責(zé)人將風(fēng)險評估匯總表紙質(zhì)文檔和電子文檔遞交保密辦；6.保密辦匯總后出具風(fēng)險評估報告。四、評估方法1.風(fēng)險級別定義風(fēng)險級別定義是對風(fēng)險點進行風(fēng)險評估的基礎(chǔ)。根據(jù)不同的風(fēng)險級別需制定不同的風(fēng)險防控措施。具體定義見下表：風(fēng)險等級風(fēng)險級別定義很高如果被利用，將對業(yè)務(wù)或資產(chǎn)造成完全損害。高如果被利用，將對業(yè)務(wù)或資產(chǎn)造成重大損害。中如果被利用，將對業(yè)務(wù)或資產(chǎn)造成一般損害。低如果被利用，將對業(yè)務(wù)或資產(chǎn)造成較小損害。很低如果被利用，對業(yè)務(wù)或資產(chǎn)造成損害可忽略。2.對原有風(fēng)險點的評估。參加評估的人員對原有風(fēng)險點的風(fēng)險等級和防控措施進行評估。評估風(fēng)險等級是否準確，防控措施是否有效。對識別出的問題，按修改后的風(fēng)險等級和建議防控措施填寫到風(fēng)險評估表中。序號按原風(fēng)險點序號填寫。3.新風(fēng)險識別參評人員根據(jù)日常工作情況和工作流程識別出的新風(fēng)險，在風(fēng)險評估表中填寫識別項目、風(fēng)險點、風(fēng)險等級和建議防控措施。序號不填。4.部門評估各參評人員把風(fēng)險評估表以電子檔遞交到部門負責(zé)人。部門組織參評人員討論評估結(jié)果，形成最終結(jié)論后匯總評估表。各參評人員和部門提交文件見附件。5.公司評估各部門將評估結(jié)果匯總表以電子檔和紙質(zhì)檔遞交保密辦，保密辦組織各部門討論評估結(jié)果。根據(jù)評估結(jié)果提出最終評估報告，并向公司提出防控措施意見和建議。保密辦

附件1：參評人員和部門提交文件一覽表附件2：風(fēng)險評估表附件3：風(fēng)險評估匯總表附件4：風(fēng)險評估參與人員表附件5：風(fēng)險點列表

附件1：參評人員和部門提交文件一覽表序號文件名稱文檔形式提交人接收人1風(fēng)險評估表電子檔參評人部門負責(zé)人2風(fēng)險評估匯總表紙質(zhì)、電子檔部門負責(zé)人保密辦3風(fēng)險評估參與人員表電子檔部門負責(zé)人保密辦4風(fēng)險評估報告紙質(zhì)保密辦保密領(lǐng)導(dǎo)小組5防控措施建議紙質(zhì)保密辦保密領(lǐng)導(dǎo)小組

附件2：風(fēng)險評估表部門：評估人：序號識別項目風(fēng)險點風(fēng)險等級防控措施101102

附件3：風(fēng)險評估匯總表部門：部門負責(zé)人簽字：序號識別項目風(fēng)險點風(fēng)險等級防控措施101102

附件4：風(fēng)險評估參與人員表序號姓名部門電話

附件5：風(fēng)險點列表序號識別項目風(fēng)險點風(fēng)險等級現(xiàn)有防控措施人員101涉密人員上崗管理人員沒有進行保密審查中上崗前先進行保密審查，填寫保密審查表，審查流程為人事部－保密辦－保密領(lǐng)導(dǎo)小組。102人員保密審查內(nèi)容不全面中審查表主要內(nèi)容見《涉密人員保密審查表》103涉密人員沒有經(jīng)崗前培訓(xùn)考核中審查完成時進行崗前培訓(xùn)和考核104涉密人員沒有簽訂保密承諾書或保密協(xié)議中崗前培訓(xùn)和考核通過后簽訂保密承諾書105涉密人員在崗管理沒有開展日常保密教育培訓(xùn)或培訓(xùn)內(nèi)容流干形式低涉密人員每年至少接受10h保密培訓(xùn)。培訓(xùn)內(nèi)容包括保密法律法規(guī)、公司制度、泄密案例、保密意識、保密常識、分級保護相關(guān)知識等內(nèi)容106人員涉密等級變更沒有進行審批中人員密級變更有按照相應(yīng)審批流程進行。107涉密人員上崗或變更后沒有及時到出入境管理局和重慶市國家保密局備案中在涉密人員上崗或變更后五日內(nèi)到出入境管理局和重慶市國家保密局備案。108沒有對涉密人員證件進行管理或涉密人員證件丟失中對涉密人員的因私護照、港澳通行證、臺灣地區(qū)通行證進行統(tǒng)一管理。如需使用必須經(jīng)先審批后領(lǐng)取。109涉密人員出國（境）沒有進行審批高須先審批，后辦理出國（境）。110沒有對涉密人員進行定期復(fù)審中重要涉密人員每三年復(fù)審，一般涉密人員每五年復(fù)審。111沒有把保密管理納入績效低按部門和工作崗位每月開展績效評價112沒有及時向涉密人員發(fā)放保密補貼低按月發(fā)放保密補貼113涉密人員離崗離職管理沒有進行涉密人員離崗審批高涉密人員離職離崗審批表114離崗離職沒有進行相關(guān)資料移交高離崗離職前要進行資料移交115涉密人員沒有簽訂離崗保密承諾書中須簽訂保密承諾書116沒有對離崗離職涉密人員進行保密提醒談話中由保密辦進行提醒談話，并做好談話記錄117沒有對脫密期人員進行委托管理或委托其他單位進行管理中尚未對脫密期人員進行委托管理118沒有對脫密期人員進行回訪中對脫密期內(nèi)人員每年進行一次回訪119涉密人員檔案管理沒有建立涉密人員檔案或檔案信息不全高檔案信息包括：姓名、性別、身份證號、部門、職務(wù)、密級、上崗日期、在崗狀態(tài)、復(fù)審日期、脫密期、是否備案120沒有對涉密人員進行分類管理和動態(tài)管理中建立涉密人員臺賬和動態(tài)管理臺賬場所201涉密場所安防設(shè)備沒有安防監(jiān)控、防盜報警、門禁系統(tǒng)高有門禁、監(jiān)控、防盜報警設(shè)備202沒有安裝鐵門、鐵窗，沒有配備保密文件柜高有防盜門、防盜窗、保密文件柜203安防監(jiān)控記錄存儲時間不足三個月中監(jiān)控存儲時長大于三個月204沒有定期對安防監(jiān)控設(shè)備、防盜報警設(shè)備、門禁設(shè)備工作是否正常進行檢查高每月檢查，目前檢查人員為方武茂205沒有定期對安防監(jiān)控記錄、門禁記錄進行檢查中每月檢查，目前檢查人員為方武茂206人員進出管理沒有對出入人員進行審批、登記高除白名單人員外，其他涉密人員進出須登記、非涉密人員和外來人員須先審批再進入207沒有定期對白名單進行復(fù)審中白名單人員每年一審涉密信息設(shè)備301信息設(shè)備臺賬沒有建立涉密信息設(shè)備臺賬高設(shè)備臺賬內(nèi)容包括：設(shè)備名稱、型號類型、出廠編號、保密編號、密級、操作系統(tǒng)安裝日期、硬盤序列號、IP地址、MAC地址、三合一安裝情況、安放位置、責(zé)任人、設(shè)備狀態(tài)、啟用日期、報廢日期、測評證書編號、證書有效期302涉密信息設(shè)備臺賬信息與實物不符低每年組織一次保密檢查303信息設(shè)備使用維修沒有對涉密信息設(shè)備的維修、報廢進行審批和記錄中有相應(yīng)審批和記錄304對涉密信息設(shè)備的外帶沒有進行審批和登記高有相應(yīng)審批和記錄305沒有及時對使用后歸還的涉密信息設(shè)備進行保密檢查高對涉密電腦、涉密U盤使用后須進行保密檢查載體401涉密載體臺賬沒有建立涉密載體臺賬高有臺賬402涉密載體信息要素不全中臺賬內(nèi)容包括：載體名稱、形式、編號、份數(shù)、單份頁數(shù)、密級、保密期限、來源、時間、責(zé)任人、接觸范圍/知悉程度、存放位置、外送退回日期403涉密載體信息與實物不符高每年進行一次保密檢查404涉密載體生產(chǎn)制作涉密載體的生產(chǎn)制作沒有經(jīng)過審批中涉密載體生產(chǎn)制作須審批405涉密載體生產(chǎn)制作后沒有登記入載體臺賬高制作后由保密辦登記入臺賬406沒有有效控制涉密載體生產(chǎn)制作、輸出權(quán)限范圍中目前涉密室僅一臺電腦有打印刻錄權(quán)限。407涉密載體借閱傳遞涉密載體借閱、傳遞給不在知悉范圍內(nèi)的人員高知悉范圍內(nèi)人員借閱須登記408涉密載體借閱、傳遞無審批無記錄中知悉范圍外人員借閱須先審批，后借閱并登記409涉密載體外送無審批、無回執(zhí)高外送須先審批后外送并提交回執(zhí)業(yè)務(wù)流程501項目招投標投標小組成員是為非涉密人員；高投標小組成員必須經(jīng)過審批，并且為涉密人員502投標小組成員沒有簽訂保密協(xié)議、保密承諾書或保密責(zé)任書中確定為投標小組成員后必須簽訂保密協(xié)議、保密承諾書或保密責(zé)任書503投標小組成員沒有保密意識或保密意識不強高對投標小組成員進行保密培訓(xùn)或宣講保密管理規(guī)定。加強日常保密培訓(xùn)工作。504投標小組成員有泄露標底的情況；高投標小組應(yīng)加強對標書的保密管理，涉及記載標底的文件不能隨意擺放，應(yīng)視同保密材料一樣保管于涉密辦公室505投標文件沒有定密高按照項目密級對相關(guān)文件進行定密506投標文件雖然經(jīng)過定密但沒有按照密件管理要求標識密級、保密期限、編號、指定接觸范圍和涉密等級中按照定密密級和密件管理要求對投標文件進行管理。對投票文件進行統(tǒng)一編號，標識密級、保密期限、編號，并確定接觸范圍和涉密等級。507投標文件等涉密文件沒有在保密室制作或保密室不符合保密標準要求高投標文件必須在保密室制作。保密室必須有符合保密要求的鐵門、鐵窗、保密文件柜、門禁、監(jiān)控、防盜報警等設(shè)施設(shè)備。508使用非涉密信息設(shè)備制作投標文件等涉密文件高非涉密信息設(shè)備不得帶入保密室，確需帶入保密室的要經(jīng)過審批，做到先審批再帶入。帶入的非涉密信息設(shè)備不得處理投標文件等涉密信息。投標文件制作過程中應(yīng)用到的所有設(shè)備設(shè)施必須為涉密專用設(shè)備、杜絕涉密設(shè)備與非涉密設(shè)備混用。涉密信息存儲設(shè)備必須隨身攜帶，投標文件編寫必須在涉密辦公室內(nèi)進行，如要將涉密文件等信息帶出涉密辦公室必須嚴格按照保密管理制度執(zhí)行，保密領(lǐng)導(dǎo)小組同意方可。509投標文件等涉密文件的制作沒有經(jīng)過審批高投標文件等涉密文件的輸出做到相對集中，僅授權(quán)一臺電腦進行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸出。510投標文件等涉密文件傳遞沒有記錄高投標文件等涉密文件的所有遞交、傳閱、包括去向必須進行登記記錄。511投標文件等涉密文件沒有納入涉密載體臺賬管理高投標文件等涉密文件按照涉密載體管理要求進行登記，包括載體名稱、密級、保密期限、生產(chǎn)日期、份數(shù)、單份頁數(shù)、責(zé)任人、接觸范圍、知悉程度、存放位置、去向等進行登記。512方案設(shè)計設(shè)計人員為非涉密人員高確定方案設(shè)計小組人員須進行審批并核實人員涉密等級。對非涉密人員或涉密等級不符合的人員不得確定為設(shè)計人員。513設(shè)計人員沒有簽訂保密協(xié)議、保密承諾書或保密責(zé)任書中確定為設(shè)計小組成員后必須簽訂保密協(xié)議、保密承諾書或保密責(zé)任書后方可上崗514設(shè)計人員沒有保密意識或保密意識不夠高方案設(shè)計小組成員必須經(jīng)過嚴格篩選，參加保密培訓(xùn)及考核合格后方能上崗。在確定為方案設(shè)計小組成員后要進行保密教育或宣講保密管理規(guī)定。515設(shè)計人員有泄露設(shè)計方案的情況高設(shè)計小組成員應(yīng)加強對標書的保密管理，涉及方案設(shè)計的文件不能隨意擺放，應(yīng)視同保密材料一樣保管于涉密辦公室。516設(shè)計方案沒有在保密室制作或保密室不能滿足涉密資質(zhì)標準要求高設(shè)計方案文件必須在保密室制作。保密室必須有符合保密要求的鐵門、鐵窗、保密文件柜、門禁、監(jiān)控、防盜報警等設(shè)施設(shè)備。517使用非涉密設(shè)備制作設(shè)計方案高非涉密信息設(shè)備不得帶入保密室，確需帶入保密室的要經(jīng)過審批，做到先審批再帶入。帶入的非涉密信息設(shè)備不得處理投標文件等涉密信息。方案設(shè)計過程中應(yīng)用到的所有設(shè)備設(shè)施必須為涉密專用設(shè)備、杜絕涉密設(shè)備與非涉密設(shè)備混用。涉密信息存儲設(shè)備必須隨身攜帶，方案編寫必須在涉密辦公室內(nèi)進行，如要將涉密文件等信息帶出涉密辦公室必須嚴格按照保密管理制度執(zhí)行，保密領(lǐng)導(dǎo)小組同意方可。518在非涉密計算機上傳遞設(shè)計方案或涉密項目信息高必須在涉密計算機上處理涉密項目，不允許在非涉密計算機上處理或傳遞涉密項目信息。也不允許將涉密信息通過任何方式拷貝、復(fù)印拿出涉密辦公室。519設(shè)計方案等涉密文件的制作沒有經(jīng)過審批高設(shè)計方案等涉密文件的輸出做到相對集中，僅授權(quán)一臺電腦進行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸出。520設(shè)計方案等涉密文件傳遞沒有記錄高設(shè)計方案等涉密文件的所有遞交、傳閱、包括去向進行登記記錄。521設(shè)計方案等涉密文件沒有納入涉密載體臺賬管理高設(shè)計方案等涉密文件按照涉密載體管理要求進行登記，包括載體名稱、密級、保密期限、生產(chǎn)日期、份數(shù)、單份頁數(shù)、責(zé)任人、接觸范圍、知悉程度、存放位置、去向等進行登記。522合同簽訂涉密合同信息泄露高涉密合同的簽訂過程必須是涉密人員參與，并有相應(yīng)知悉權(quán)限，對涉密合同的送交應(yīng)采用專人遞送，嚴禁采用普通快遞、郵件等無保密措施的遞送方式。523設(shè)備采購設(shè)備采購人員不是涉密人員高設(shè)備采購人員須進行審批并核實人員涉密等級。對非涉密人員或涉密等級不符合的人員不得確定為設(shè)計人員。524設(shè)備采購人員沒有保密意識或保密意識不夠高方案設(shè)計小組成員必須經(jīng)過嚴格篩選，參加保密培訓(xùn)及考核合格后方能上崗。在確定為方案設(shè)計小組成員后要進行保密教育或宣講保密管理規(guī)定。525設(shè)備采購過程中，供應(yīng)商泄露項目信息中涉密項目的設(shè)備采購應(yīng)單獨采購設(shè)備采購應(yīng)為專人，不與其它項目的設(shè)備一起采購，與供應(yīng)商簽署保密承諾書,并承諾不泄露項目信息、設(shè)備價格。526現(xiàn)場實施涉密項目主要參與人員不是涉密人員高涉密項目簽訂的涉密合同必須由專職涉密人員進行登記、歸檔，存放于涉密辦公室內(nèi)的密碼文件柜內(nèi)。527沒有對項目施工人員、第三方廠商調(diào)試人員等非涉密人員進行管理高要求通過對所有項目參與人員包括施工人員、第三方廠商調(diào)試人員等非涉密人員登記身份信息、聯(lián)系方式等，加強管理。528項目參與人員沒有保密意識或保密意識不夠高對于主要項目參與人員必須經(jīng)過嚴格篩選，參加保密培訓(xùn)及考核合格后方能上崗。在確定為項目參與人員后要進行保密教育或宣講保密管理規(guī)定。對于參與項目的其他非涉密人員在參與前要進行保密教育或宣講保密管理規(guī)定。529涉密項目參與人沒有簽訂保密協(xié)議中對確定的主要項目參與人和其他非涉密人員參與人必須簽訂保密協(xié)議、保密承諾書或保密責(zé)任書后方可上崗530涉密項目參與人信息沒有報保密辦備案，或涉密項目人員發(fā)生變化沒有報保密辦備案高涉密項目參與人確定后須要報保密辦備案，備案后方可實施。項目負責(zé)人要對人員進行動態(tài)管理，對項目實施過程中人員發(fā)生變動和變化的，要及時報保密辦備案。531項目實施前沒有制定保密工作方案并交保密辦備案中項目負責(zé)人在項目實施前編制項目保密工作方案，方案交保密辦備案后項目方可實施。532項目實施過程中產(chǎn)生制作涉密載體沒有經(jīng)過審批高項目實施過程中嚴禁在外私自打印刻錄涉密載體，產(chǎn)生制作涉密載體的輸出做到相對集中，僅授權(quán)一臺電腦進行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸出。533項目涉密載體沒有標識密級、保密期限，沒有統(tǒng)一編號，沒有規(guī)定接觸范圍和知悉程度高按照定密密級和密件管理要求對項目實施過程中產(chǎn)生制作的涉密載體進行管理。對涉密文件進行統(tǒng)一編號，標識密級、保密期限、編號，并確定接觸范圍和涉密等級。534項目載體文件沒有定密高按照項目密級對相關(guān)文件進行定密。相關(guān)文件包括方案、圖紙、施工日志、驗收資料和驗收報告等535沒有建立項目涉密載體管理臺賬高項目涉密載體等涉密文件按照涉密載體管理要求進行登記，包括載體名稱、密級、保密期限、生產(chǎn)日期、份數(shù)、單份頁數(shù)、責(zé)任人、接觸范圍、知悉程度、存放位置、去向等進行登記。536在施工過程中有涉密人員離職或調(diào)崗，導(dǎo)致涉密信息泄露中調(diào)崗或離職的涉密人員必須進行脫密期處理，并簽署涉密人員離崗保密承諾書。不得在脫密期間出國