风险评估方案.doc

保密风险评估方案一、目的对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估，识别、分析和评估业务流程中存在的风险，提出具体防控措施二、评估的对象、范围通过系统集成业务项目、涉密人员、涉密信息设备与载体介质、保密管理及涉密场所等主要管理活动进行保密风险评估三、方法与参与人员公司成立保密风险评估工作小组，组长为主管保密工作的负责人，组员为综合管理中心、销售部、交通工程事业部、移动警务事业部负责人组长职责为监督保密风险评估工作，解决保密风险评估工作中出现的重要问题；审批保密风险评估方案、文件、报告；为公司顺利开展保密风险评估工作提供人力、财力、物力等条件保障组员职责为负责依据各自业务流程，对保密风险进行识别、分析和评估，提出具体防控措施；负责实施防控措施并整改组员通过讨论、走访调研、流程梳理、检查等方式对保密风险进行识别、分析和评估，制定具体防控措施四、风险等级本公司确定相应风险等级为严重、重要、一般三个等级，严重风险等级是指该风险失控会造成严重的安全和利益损害；重要风险等级是指该风险失控会造成较为严重的安全和利益损害；一般风险等级是指该风险失控会造成一定的安全和利益损害。

对于严重和重要风险等级，要制定防范措施，对于一般风险等级，在日常保密检查中实施监控整改五、主要管理活动公司保密风险从涉密人员、涉密场所、涉密信息设备与载体、涉密项目、保密管理等方面进行识别、分析和评估六、评估日期范围从2018年7月1日2018年11月30日七、主要风险识别、分析和评估及防控措施风险名称风险点内容风险等级产生原因防控措施责任部门涉密人员资格风险涉密人员资格是否符合规定基本条件要求严重理解标准不够，涉密人员有严格的身份政审要求1、对涉密人员进行资格审查，须符合以下基本条件：A社会关系清楚，本人及配偶为中国境内公民；B热爱祖国，拥护中华人民共和国宪法；C公司正式职工，并在其他单位无兼职；D品行端正，作风正派，无不良嗜好；E社会关系清楚，遵纪守法，无违法犯罪记录；F具备胜任涉密岗位所要求的业务素质和能力；G无其他可能影响国家安全利益的倾向2、综合管理中心会同保密管理综合管理中心、交通工程事业部、移动警务事业部、总工室、销售部依据公司涉密岗位，把在涉密岗位工作的人员拟定为涉密人员，均定为一般涉密人员3、对通过保密资格审查的人员，经人员所在部门主管、公司保密工作负责人审核，公司总经理审批确定为涉密人员。

综合管理中心保密办涉密人员上岗前风险涉密人员在正式进入涉密岗位工作前上岗要求、保密教育培训缺失一般没有对涉密人员上岗前有具体要求1、涉密人员在正式进入涉密岗位工作前，综合管理中心会同保密管理综合管理中心组织与涉密人员签订《保密承诺书》；2、涉密人员应参加保密教育培训经考核合格后才能上岗，综合管理中心负责把岗前保密教育培训纳入年度培训计划中涉密人员岗前保密教育培训时间应不少于2学时，内容包括当前保密工作主要形势、《保密法》、相关涉密资质标准及《保密承诺书》内容等综合管理中心保密办涉密人员在岗资格风险涉密人员在岗期间资格基本条件发生变化严重已审批涉密人员自身条件变化未进行管理1、公司发现涉密人员有重大异常情况时，要及时向浙江省国家保密局报告，并采取必要的补救措施涉密人员个人有关事项发生重大变更时，要及时向保密管理综合管理中心报告综合管理中心每年年底掌握涉密人员涉密人员重大事项变化情况2、公司对涉密人员进行复审，一般涉密人员每5年复审一次涉密人员发生岗位变动或涉密等级调整时，及时进行复审涉密人员个人情况发生重大变化的，要根据工作需要，视情况进行复审复审中发现涉密人员不宜继续在涉密岗位工作的，应立即终止其涉密资格，调离涉密岗位，并采取相应措施消除泄密隐患。

综合管理中心保密办涉密人员在岗教育培训风险涉密人员在岗教育培训缺失一般没有培训计划或未实施培训计划1、综合管理中心负责把在岗保密教育培训纳入年度培训计划中，公司结合涉密岗位专业要求，组织对在岗涉密人员进行专门教育培训，年度培训时间应不少于10学时内容包括保密工作指导思想、方针政策法律、法规、标准及保密制度、保密技术防范知识及措施、网络安全保密知识及防范措施及其它保密宣传教育内容等2、保密教育培训要有具体培训教材，如有考试，须有成绩单3、涉密人员长期无故不参加保密教育培训或多次考核成绩不合格的，将其调离涉密岗位，取消其从事涉密工作的资格4、保密教育培训的情况和考核成绩要记入涉密人员档案，并作为评选先进及年度考核的重要依据综合管理中心涉密人员出国（境）风险涉密人员出国（境）未经审批及教育缺失一般未履行审批未进行教育1、涉密人员出入境证件护照、通行证等上缴公司综合管理中心统一保管，并承诺对于护照和通行证等未上缴的，后果自负2、涉密人员在岗因私出国（境），保密工作领导小组审批同意后办理手续综合管理中心会同保密管理综合管理中心对其行前保密提醒谈话，谈话应由两人以上参加，并与之签订涉密人员因私出国（境）保密承诺书。

3、涉密人员出国（境）可能对国家安全造成危害或对国家利益造成重大损失的，公司严禁批准其出国（境） 4、涉密人员出国（境）回国10日内，综合管理中心会同保密管理综合管理中心对其在国（境）外期间的有关情况进行回访5、涉密人员因私出入境证件，在回国（境）10日内，交综合管理中心统一保管6、涉密人员经审批取得出入境证件后，因故未按时出国（境）的，应及时将申领的出入境证件交综合管理中心统一保管7、涉密人员逾期不上交出入境证件或不执行上述证件管理规定的，暂停其因私出国（境）审批综合管理中心保密办涉密人员离岗离职风险涉密人员离岗离职未经审批及教育缺失一般未履行审批未进行教育1、涉密人员离岗离职前要由综合管理中心、涉密人员所在部门及保密管理综合管理中心审核，总经理批准2、涉密人员离岗离职前，须清退所有涉密项目、涉密载体（包括电子文件）、涉密信息设备物品等，办理清退手续3、涉密人员离岗离职前，综合管理中心组织与其签订《离岗离职保密承诺书》4、涉密人员离岗离职前，综合管理中心及保密管理综合管理中心对其进行保密提醒谈话并记录，告知其承担保守国家秘密的法律义务，参与谈话的不少于2人5、涉密人员实行离岗离职脱密期管理，一般涉密人员脱密期限为半年。

6、脱密期内人员不得到境外（驻华）机构、组织及外商独资企业工作，不得为境外（驻华）机构、组织、人员及外商独资企业提供劳务、咨询或其他服务如发现脱密期内人员上述从业情形的，公司应及时报告浙江省国家保密局综合管理中心销售部事业部离岗离职出国（境）风险离岗离职出国（境）未经审批及教育缺失一般未履行审批未进行教育1、脱密期内人员未经批准不得出国（境），确需申请的，根据公司在岗涉密人员出国（境）管理的有关程序要求办理脱密期内人员现所在单位进行出国（境）审批时，须征求本公司的意见2、脱密期内人员的出入境证件仍由本公司保管，经批准同意出国（境）的，凭现所在单位审批手续向本公司办理领用手续，具体管理要求根据公司在岗涉密人员出国（境）管理的有关证件管理程序要求执行综合管理中心保密办涉密人员脱密期资格风险涉密人员脱密期期间资格基本条件发生变化严重级脱密期期间涉密人员自身条件变化未进行管理1、脱密期内人员，本人情况发生重大变化等情形，根据公司在岗涉密人员个人重大事项报告要求，及时向本公司报告2、保密管理综合管理中心每季度对脱密期内人员进行回访3、对脱密期限届满的离岗离职的原涉密人员，公司要及时向浙江省国家保密局提交办理相关撤销备案的书面申请，办理撤销备案手续。

保密办涉密人员考核风险涉密人员奖惩不严，一般未进行有效的考核1、每月对涉密人员发放保密津贴；2、制定涉密人员奖惩制度进行考核综合管理中心保密办涉密信息设备采购风险涉密信息设备采购不符合相关要求严重未按标准要求配置采购1、公司的涉密信息设备经总经理批准后由保密管理综合管理中心负责采购2、采购应优先选用国产设备，确需选用进口设备的，应进行详细调查和论证，不得选用国家保密局禁用的设备保密办涉密信息设备配发风险涉密信息设备配发不符合相关要求一般未按标准要求标识，责任人不清1、涉密信息设备须有密级标识，包括设备编号、设备名称、部门、责任人、密级等信息2、当涉密信息设备使用人或密级等发生变动时，应及时更新，粘贴新标识3、确定涉密信息设备的责任人，办理配发领用手续如因工作需要、岗位调动或离职等原因，涉密信息设备责任人需要变更，办理变更手续综合管理中心保密办涉密计算机安全策略配置风险涉密计算机安全策略错误严重未按标准要求配置安全策略1、必须依据涉密计算机的密级，安装必要的安全保密产品2、安全保密产品应按照保密要求管理和使用，并根据安全策略文件进行设置和部署，不得随意更改3、由专人负责涉密计算机违规外联、端口管理及移动存储介质使用保密管理系统的安装。

4、由专人负责涉密计算机安全打印审计系统和光盘刻录审计系统的安装综合管理中心保密办涉密计算机病毒风险涉密计算机感染病毒一般未按标准要求安装杀毒软件及未及时更新杀毒软件1、涉密计算机须安装经公安机关认证的国产瑞星、金山或其他杀毒软件2、每次以不超过15天升级病毒和恶意代码样本库，进行病毒和恶意代码全盘查杀3、采取刻录一次性只读光盘或单项导入的方式，将计算机病毒和恶意代码升级样本库导入涉密计算机，不得通过互联网或其他公共信息网络进行更新综合管理中心保密办涉密计算机身份鉴别风险涉密计算机无开机、登录及屏保密码严重未按要求设置开机、登录及屏保密码1、由专人负责设置涉密计算机基本输入输出系统（bios）开机密码、操作系统登录口令及屏幕保护口令2、秘密级涉密计算机口令长度不得少于8个字符(口令采用大小写英文字母、数字、字符混合方式，不得单独采用大小写英文字母、字符或数字设置口令)3、更换口令周期不得超过30天，同时须设置屏幕保护程序启动时间，时间设置不超过10分钟4、设置开机密码输错5次后的锁定时间为480分钟保密办涉密信息设备携带外出风险未经审批擅自携带涉密笔记本电脑或涉密U盘外出一般未经审批擅自携带1、携带涉密电脑或涉密U盘外出前，须经批准后方可外带。

2、携带涉密电脑或涉密U盘外出，应采取有效防护措施，随时掌握涉密电脑或涉密U盘的去向，确保其在有效控制下，不得携带涉密电脑或涉密U盘参加涉外活动3、涉密电脑或涉密U盘带出前及带回后须由专人进行保密检查综合管理中心销售部事业部涉密信息设备维修风险未按规定维修涉密信息设备一般未按规定维修1、涉密信息设备需要维修时，办理相关审批手续2、如在公司内部进行维修，须有专人全程监督，严禁维修人员读取或复制涉密信息3、如无法在公司内部进行维修的，送外维修4、送外维修须拆除硬盘等涉密信息存储部件5、送外维修须送交有保密维护资质的单位维修，并与维修单位和维修人员签订《保密协议书》6、严禁未经批准擅自将涉密信息设备送交非指定单位维修综合管理中心保密办涉密信息设备报废销毁风险违规报废销毁涉密计算机、涉密U盘、打印机、复印机一般未按规定报废销毁1、不再使用或无法使用的涉。