保密風險評估

《保密風險評估》由會員分享，可在線閱讀，更多相關(guān)《保密風險評估（20頁珍藏版）》請在裝配圖網(wǎng)上搜索。

風 險 評 估 報 告 XXXXX 有限公司 201xx 年 xx 月 1 概述 針對公司主要業(yè)務(wù)流程進行風險評估 其中包含了涉密信 息系統(tǒng)集成業(yè)務(wù)管理 人力資源管理 資產(chǎn)管理 涉密場所管 理等 2 評估目的 通過人員訪談 文檔審查和實地察看相結(jié)合的方式查找公 司信息系統(tǒng)軟件開發(fā)主要業(yè)務(wù)流程的薄弱環(huán)節(jié)和安全隱患 分 析可能面臨的風險 為保密風險防控措施的落實提供依據(jù) 3 評估依據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標準 中華人民共和國保守國家秘密法 中華人民共和國保守國家秘密法實旋條例 涉密信息系統(tǒng)集成資質(zhì)管理辦法 4 評估內(nèi)容 4 1 人力資源管理風險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標準 及公司 安 全保密管理制度 中 涉密人員管理制度 中的規(guī)定 從人員 上崗 在崗 離崗管理三方面分析公司涉密人員管理現(xiàn)狀 對 公司涉密人員管理的業(yè)務(wù)流程進行風險評估 識別并評估風險 點 進而制定出風險防控措施 4 1 1 風險級別定義 風險嚴重程度級別參考書 級別標識 定義 很高 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成完全損害 高 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成重大損害 中等 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成一般損害 低 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成較小損害 很低 如果被利用 將對資產(chǎn)或業(yè)務(wù)造成的損害可以忽略 4 1 2 風險點 對從事涉密業(yè)務(wù)的人員進行審查 是否符合條件 符合條件 的方可將其確定為涉密人員 是否對涉密人員進行保密教育 培訓 并簽訂保密承諾書后方能上崗 對涉密人員是否保守國家秘密 嚴格遵守各項保密規(guī)章制度 進行審查 是否符合以下基本條件 1 遵紀守法 具有良好的品行 無犯罪記錄 2 屬于公司正式職工 并在其他公司無兼職 3 社會關(guān)系清楚 本人及其配偶為中國境內(nèi)公民 審查公司與涉密人員簽訂的勞動合同或補充協(xié)議 是否已簽 署 公司在崗涉密人員是否每年參加保密教育與保密知識 技能 培訓 培訓的時間應(yīng)不少于 10 個學時 公司是否對在崗涉密人員進行定期考核評價 公司是否向涉密人員發(fā)放保密補貼 公司涉密人員在離崗離職時 是否經(jīng)公司保密審查 簽訂保 密承諾書 并按相關(guān)保密規(guī)定實行脫密期管理 4 1 3 風險分析 編號 風險點 描述 嚴重程度 1 涉密人員資格審 查 對涉密人員進行資格審查 低 2 涉密人員崗前培 訓考核 涉密人員保密教育培訓考 核不嚴格 中等 3 涉密人員教育培 對涉密人員進行保密教育 低 訓管理 與保密技能培訓 10 學時 4 涉密人員離崗離 職管理 對離崗離職涉密人員的保 密審查到位 低 5 涉密人員發(fā)放保 密補貼 對公司涉密人員發(fā)放保密 補貼審查到位 低 4 1 4 風險防控措施 編 號 風險點 嚴重 程度 防控措施 1 涉密人員 資格審查 低 計劃人員招聘階段 確定該人員是否為 公司涉密人員 對涉密人員進行社會關(guān) 系的審查 確定其直系親屬是否均為中 國境內(nèi)公民 若此人員為前單位離職人 員 應(yīng)和前單位進行確認 確定其在其 它單位無兼職 2 涉密人員 崗前培訓 考核 中等 涉密人員經(jīng)過保密教育培訓后 必須保 證考試合格 并與公司簽訂 公司涉密 人員保密責任書 后方能上崗 3 涉密人員 教育培訓 管理 低 必須嚴格按照相關(guān)規(guī)定對涉密人員進行 教育培訓 必須保證培訓學時不低于 10 學時 公司保密工作領(lǐng)導小組必須對此 項工作進行監(jiān)督管理 4 涉密人員 離崗離職 管理 低 涉密人員離崗離職前 保密辦公司人員 必須對其在崗期間所負責的涉密信息系 統(tǒng)集成的信息和資料進行審查 并確保 所有信息資料交回公司保密辦 為規(guī)避 人員離職離崗后發(fā)生泄密風險 必須和 離崗離職的涉密人員簽訂保密承諾書 并經(jīng)公司領(lǐng)導批準方能離職離崗 對離 崗離職人員實行脫密期管理 5 涉密人員 發(fā)放保密 補貼 低 公司應(yīng)對涉密人員發(fā)放保密補貼 4 2 資產(chǎn)管理風險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標準 及公司 安 全保密管理制度 中 涉密載體管理制度 信息系統(tǒng) 信息 設(shè)備和安全保密防護設(shè)備設(shè)施管理規(guī)定 資質(zhì)證書的使用和 管理規(guī)定 中的規(guī)定 從涉密載體管理 信息系統(tǒng)及設(shè)備管理 及資質(zhì)證書管理等方面分析公司涉密資產(chǎn)管理現(xiàn)狀 對公司涉 密資產(chǎn)管理的業(yè)務(wù)流程進行風險評估 查找風險點 并進行風 險防控 4 2 1 風險級別定義 風險嚴重程度級別參考表 級別標識 定義 很高 如果被利用 將對主要業(yè)務(wù)造成完全損害 高 如果被利用 將對主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對主要業(yè)務(wù)造成一般損害 低 如果被利用 將對主要業(yè)務(wù)造成較小損害 很低 如果被利用 將對主要業(yè)務(wù)造成的損害可以忽略 4 2 2 風險點 審查涉密信息設(shè)備是否符合國家保密標準 有密級 編號 責任人標識 并建立管理臺帳 檢查涉密信息設(shè)備的使用是否符合相關(guān)保密規(guī)定 禁止涉密 信息設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò) 禁止涉密信息設(shè) 備接入內(nèi)部非涉密信息系統(tǒng) 禁止使用非涉密信息設(shè)備和個 人設(shè)備存儲 處理涉密信息 禁止超越計算機 移動存儲介 質(zhì)的涉密等級存儲 處理涉密信息 禁止在涉密計算機和非 涉密計算機之間交叉使用移動存儲介質(zhì) 禁止在涉密計算機 與非涉密計算機之間共用打印機 掃描儀等信息設(shè)備 檢查涉密信息設(shè)備是否采取身份鑒別 訪問控制 違規(guī)外聯(lián) 監(jiān)控 安全審計 移動存儲介質(zhì)管控等安全保密措施 并及 時升級病毒和惡意代碼樣本庫 定期進行病毒和惡意代碼查 殺 檢查采購的安全保密產(chǎn)品是否選用經(jīng)過國家保密行政管理部 門授權(quán)機構(gòu)檢測 符合國家保密標準要求的產(chǎn)品 計算機病 毒防護產(chǎn)品應(yīng)當選用公安機關(guān)批準的國產(chǎn)產(chǎn)品 密碼產(chǎn)品應(yīng) 當選用國家密碼管理部門批準的產(chǎn)品 檢查涉密信息打印 刻錄等輸出是否相對集中 有效控制 并采取相應(yīng)審計措施 檢查涉密計算機及辦公自動化設(shè)備是否拆除具有無線聯(lián)網(wǎng)功 能的硬件模塊 禁止使用具有無線互聯(lián)功能或配備無線鍵盤 無線鼠標等無線外圍裝置的信息設(shè)備處理國家秘密 檢查涉密信息設(shè)備的維修 是否在本公司內(nèi)部進行 是否指 定專人全程監(jiān)督 嚴禁維修人員讀取或復制涉密信息 檢查涉密計算機及移動存儲介質(zhì)攜帶外出是否履行審批手續(xù) 帶出前和帶回后 是否進行保密檢查 4 2 3 風險分析 編號 風險點 描述 嚴重 程度 1 涉密載體臺 賬管理 建立涉密載體臺賬 但臺賬信 息不夠完整 中等 2 涉密載體使 用管理 需要接收 交付 傳遞 保存 銷毀涉密載體時 履行了登記 手續(xù) 但需要維修時 記錄不 完整 也沒有指定的維修廠家 中等 3 涉密信息設(shè) 備臺賬管理 建立信息設(shè)備臺賬 但臺賬信 息不夠完整 中等 4 涉密信息設(shè) 備維修 報 廢管理 對于涉密設(shè)備的維修 報廢的 審批流程不夠清晰 中等 5 涉密信息設(shè) 備攜帶管理 涉密計算機攜帶外出 只履行 登記手續(xù) 審批流程不完整 中等 6 涉密信息設(shè) 備管理 涉密計算機與非涉密計算機之 間共用打印機 掃描儀 高 4 2 4 風險防控措施 編 號 風險點 嚴重 問題 防控措施 1 涉密載體臺 賬管理 中等 必須按照要求建立涉密載體臺賬 明確 涉密載體的名稱 編號 密級 保密期 限等信息 并對涉密載體進行動態(tài)管理 及時做好涉密載體的新增 減少等記錄 2 涉密載體使 用管理 中等 建立涉密載體的維修商家名錄 并對維 修商家的資格進行核查 當涉密載體需 要維修時 只能送到指定的維修商家進 行維修 3 涉密信息設(shè) 備臺賬管理 中等 必須按照要求建立涉密信息設(shè)備挑戰(zhàn) 明確涉密載體的名稱 編號 密級 責 任人標識等信息 并對涉密信息設(shè)備進 行動態(tài)管理 及時做好涉密信息設(shè)備的 新增 減少等記錄 4 涉密信息設(shè) 備維修 報 廢管理 中等 建立涉密信息設(shè)備的售后商家名錄 并 對售后商家的資格進行核查 當涉密信 息設(shè)備需要維修時 只能送到指定的維 修商家進行維修 如必須有外來人員進 行修理時 應(yīng)有保密辦人員全程陪同 必須指定專人負責 對維修人員 維修 對象 維修內(nèi)容 維修前后狀況進行監(jiān) 督并詳細記錄 涉密信息設(shè)備需要報廢 時 應(yīng)填寫 設(shè)備與介質(zhì)銷毀保密審批 表 送交保密行政管理部門設(shè)立的銷 毀工作機構(gòu)或者保密行政管理部門指定 的公司銷毀徹 徹底清除其中的涉密信 息后 對涉密信息存儲部件和介質(zhì)進行 清點 登記 銷毀 5 涉密信息設(shè) 備攜帶管理 中等 攜帶涉密信息設(shè)備和介質(zhì)外出 不能只 做登記處理 必須報公司保密工作領(lǐng)導 小組批準 未獲批攜帶涉密信息設(shè)備外 出 公司將對攜帶人員和保密辦公室人 員實行懲罰機制 外出時 攜帶人應(yīng)嚴 格采取保護措施 介質(zhì)始終處于有效控 制之下 防止出現(xiàn)丟失 被盜 被毀以 及泄密等情況 6 涉密信息設(shè) 備管理 高 涉密計算機必須單獨使用打印機 掃描 儀 不能與非涉密計算機之間共用 確 保涉密信息打印 刻錄等輸出相對集中 有效控制 并采取相應(yīng)審計措施 4 3 涉密場所管理風險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標準 及公司 安 全保密管理制度 中 涉密信息系統(tǒng)集成場所保密管理規(guī)定 中的規(guī)定 從場所出入 門禁系統(tǒng) 監(jiān)控系統(tǒng) 防盜報警系統(tǒng) 等方面查看并分析公司涉密場所管理現(xiàn)狀 對公司涉密場所管 理的業(yè)務(wù)流程進行風險評估 查找風險點 并進行風險防控 4 3 1 風險級別定義 風險嚴重程度級別參考表 級別標識 定義 很高 如果被利用 將對主要業(yè)務(wù)造成完全損害 高 如果被利用 將對主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對主要業(yè)務(wù)造成一般損害 低 如果被利用 將對主要業(yè)務(wù)造成較小損害 很低 如果被利用 將對主要業(yè)務(wù)造成的損害可以忽略 4 3 2 風險點 公司的涉密辦公場所是否固定在相對獨立的樓層或區(qū)域 檢查公司涉密辦公場所是否安裝門禁 視頻監(jiān)控 防盜報警 等安防系統(tǒng) 是否實行封閉式管理 監(jiān)控機房是否安排人員 值守 是否建立視頻監(jiān)控的管理檢查機制 公司安全保衛(wèi)部門是否 定期對視頻監(jiān)控信息進行回看檢查 保密管理辦公室是否對 執(zhí)行情況進行監(jiān)督 視頻監(jiān)控信息保存時間不少于 3 個月 檢查門禁系統(tǒng) 視頻監(jiān)控系統(tǒng)和防盜報警系統(tǒng)等是否定期檢 查維護 確保系統(tǒng)處于有效工作狀態(tài) 檢查公司涉密辦公場所是否明確允許進入的人員范圍 其他 人員進入 是否履行審批 登記手續(xù) 是否由接待人員全程 陪同 檢查公司是否未經(jīng)批準 不得將具有錄音 錄像 拍照 存 儲 通信功能的設(shè)備帶入涉密辦公場所 4 3 3 風險分析 編號 風險點 描述 嚴重程度 1 視頻監(jiān)控管 管理部門對視頻監(jiān)控信息的回 中等 理檢查機制 看檢查不及時 2 視頻監(jiān)控 門禁 防盜 報警系統(tǒng)管 理 對各個安防系統(tǒng)的檢查維護不 及時 安防系統(tǒng)出現(xiàn)故障才給 予維修 造成系統(tǒng)無法有效工 作 中等 3 涉密場所出 入管理 對非涉密人員進入涉密場所履 行了登記 審批手續(xù) 但對進 入人員是否隨身攜帶具有錄音 錄像 拍照 存儲 通信功能 的設(shè)備檢查不仔細 增加了涉 密資料泄密風險 高 4 3 4 風險防控措施 編號 風險點 嚴重 程度 防控措施 1 視頻監(jiān)控管 理檢查機制 中等 嚴格按照公司 涉密信息系統(tǒng)集成 場所保密管理規(guī)定 的規(guī)定 安排 專人對視頻監(jiān)控機房施行 24 小時值 班 值班人員要每天調(diào)看視頻監(jiān)控 錄像 并詳細做好 值班登記表 發(fā)現(xiàn)可疑情況 立即向公司分管領(lǐng) 導報告 并對查看結(jié)果作書面記錄 并保證視頻監(jiān)控信息保存時間不得 少于 3 個月 2 視頻監(jiān)控 門禁 防盜 報警系統(tǒng)管 理 中等 公司保密辦每季度應(yīng)對集成場所的 保密管理工作和安全防護設(shè)施進行 檢查 對安防設(shè)施進行維護和檢修 發(fā)現(xiàn)問題及時整改 并建立檢查整 改記錄 確保制度落實 防護設(shè)施 運行正常 3 涉密場所出 入管理 中等 將涉密場所相關(guān)管理規(guī)定張貼在明 顯處 并對公司人員進行宣貫 進 入涉密場所的人員必須由保密辦工 作人員全程陪同 嚴禁進入人員以 任何方式私自錄音 錄像和攝影 4 4 業(yè)務(wù)流程管理風險評估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標準 及公司 安 全保密管理制度 軟件開發(fā)管理制度 中的相關(guān)規(guī)定 從軟 件開發(fā)各個里程碑分析公司軟件開發(fā)香米管理現(xiàn)狀 對公司軟 件開發(fā)項目管理的業(yè)務(wù)流程進行風險評估 查找風險點 并進 行風險防控 由于公司處于資質(zhì)申請階段 沒有承接涉密相關(guān)業(yè)務(wù)的資 格 既不能建設(shè)涉密信息系統(tǒng) 故僅能對公司目前的軟件開發(fā) 項目的主要業(yè)務(wù)流程進行風險評估 查找現(xiàn)有的項目管理業(yè)務(wù) 流程是否與保密管理相融合 4 4 1 風險級別定義 風險嚴重程度級別參考表 級別標識 定義 很高 如果被利用 將對主要業(yè)務(wù)造成完全損害 高 如果被利用 將對主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對主要業(yè)務(wù)造成一般損害 低 如果被利用 將對主要業(yè)務(wù)造成較小損害 4 4 2 風險點 檢查公司進入委托方現(xiàn)場進行系統(tǒng)集成項目開發(fā) 工程施工 運行維護等是否嚴格執(zhí)行現(xiàn)場工作制度和流程 現(xiàn)場項目開發(fā) 工程施工 運行維護是否在委托方的監(jiān)督下 進行 未經(jīng)委托方檢查和書面批準 不得將任何電子設(shè)備帶 入項目現(xiàn)場 公司是否對現(xiàn)場項目開發(fā) 工程施工 運行維護的工作情況 進行詳細記錄并存檔備查 4 4 3 風險分析 編 號 風險點 描述 嚴重 程度 1 制度執(zhí)行 能力 制定了 軟件開發(fā)管理制度 及開發(fā) 工作流程 但執(zhí)行力度不足 高 2 需求開發(fā)制度 會發(fā)現(xiàn)對用戶及產(chǎn)品 的需求分析不到位的情況 導致設(shè)計 成果和用戶期望存在一定的差距 3 項目進程 管理 系統(tǒng)設(shè)計階段 按照開發(fā)流程進行了 設(shè)計準備 確定影響系統(tǒng)設(shè)計的約束 因素 確定設(shè)計策略 系統(tǒng)分解與設(shè) 計 但撰寫體系結(jié)構(gòu)設(shè)計文檔時不夠 嚴謹 無法將軟件系統(tǒng)概述 影響設(shè) 計的約束因素 實際策略 系統(tǒng)總體 結(jié)構(gòu) 子系統(tǒng)的結(jié)構(gòu)與模塊功能 系 統(tǒng)集成策略及開發(fā) 測試 運行所需 的軟硬件環(huán)境等內(nèi)容完整表述 中等 4 4 4 風險防控措施 編號 風險點 嚴重 程度 防控措施 1 制度執(zhí)行能 力 嚴重 定期組織部門人員學習 軟件開 發(fā)管理制度 及工作流程 形成 培訓記錄 部門負責人應(yīng)將制度 中的各里程碑的要求落實到位 主管領(lǐng)導和公司內(nèi)審機構(gòu)每月對 落實情況進行審查 審查不合格 需由部門負責人作出書面說明 并出具整改方案 整改后仍不合 格的 公司應(yīng)實行相應(yīng)的處罰機 制 2 項目進程管 理 中等 需求開發(fā)階段 在首次獲得了用 戶及產(chǎn)品需求后 用戶的需求有 時只是口頭表述 不會形成文檔 應(yīng)主動和用戶進行溝通確認 并將初步的需求溝通以文檔形式 反饋給用戶 得到用戶初步肯定 后 再詳細撰寫 用戶產(chǎn)品需求 說明書 3 中等 系統(tǒng)設(shè)計階段 設(shè)計人員應(yīng)將各 里程碑 設(shè)計準備 確定影響系 統(tǒng)設(shè)計的約束因素 確定設(shè)計策 略 系統(tǒng)分解和設(shè)計 的開展情 況及成果 包括每一次的設(shè)計變 更 進行記錄 以確保此階段的 輸出物 系統(tǒng)設(shè)計報告 的完整 性 可靠性 5 整改要求 一 公司保密工作領(lǐng)導小組對此次保密風險評估的結(jié)果負有 監(jiān)督整改的責任 二 風險級別為 高 的風險點 整改優(yōu)先級最高 三 相應(yīng)責任部門應(yīng)結(jié)合風險評估中的 風險防控措施 在三個工作日內(nèi)出具詳細的整改計劃 整改計劃獲批后 責任 部門應(yīng)在三個月內(nèi)做出整改情況總結(jié) 并上報公司保密工作領(lǐng) 導小組 有領(lǐng)導小組組織公司內(nèi)審機構(gòu)對整改情況進行審計 四 公司內(nèi)審機構(gòu)需對本次整改情況進行嚴格把控 重點審 計高風險點的整改情況 對所有風險點的整改情況審計細致到 位 整改不合格 公司將實行懲罰機制 五 公司內(nèi)審機構(gòu)將嚴格按照 PDCA 模式每季度對以上防控 措施及整條業(yè)務(wù)流程的執(zhí)行情況進行審計 詳細記錄審計結(jié)果 對不合格項提出合理化建議 并督促整改 核實整改效果后進 入下一周期的內(nèi)部審計