保密風險評估

風險評估報告XXXXX有限公司201xx年xx月1 概述 針對公司主要業(yè)務流程進行風險評估，其中包含了涉密信息系統(tǒng)集成業(yè)務管理、人力資源管理、資產管理、涉密場所管理等。2 評估目的 通過人員訪談、文檔審查和實地察看相結合的方式查找公司信息系統(tǒng)軟件開發(fā)主要業(yè)務流程的薄弱環(huán)節(jié)和安全隱患，分析可能面臨的風險，為保密風險防控措施的落實提供依據(jù)。3 評估依據(jù)涉密信息系統(tǒng)集成資質單位保密標準中華人民共和國保守國家秘密法中華人民共和國保守國家秘密法實旋條例涉密信息系統(tǒng)集成資質管理辦法4 評估內容4.1 人力資源管理風險評估根據(jù)涉密信息系統(tǒng)集成資質單位保密標準及公司安全保密管理制度中涉密人員管理制度中的規(guī)定，從人員上崗、在崗、離崗管理三方面分析公司涉密人員管理現(xiàn)狀，對公司涉密人員管理的業(yè)務流程進行風險評估，識別并評估風險點，進而制定出風險防控措施。4.1.1 風險級別定義風險嚴重程度級別參考書級別標識定義很高如果被利用，將對資產或業(yè)務造成完全損害高如果被利用，將對資產或業(yè)務造成重大損害中等如果被利用，將對資產或業(yè)務造成一般損害低如果被利用，將對資產或業(yè)務造成較小損害很低如果被利用，將對資產或業(yè)務造成的損害可以忽略4.1.2 風險點 對從事涉密業(yè)務的人員進行審查，是否符合條件，符合條件的方可將其確定為涉密人員。是否對涉密人員進行保密教育培訓，并簽訂保密承諾書后方能上崗。 對涉密人員是否保守國家秘密，嚴格遵守各項保密規(guī)章制度進行審查，是否符合以下基本條件：（1）遵紀守法，具有良好的品行，無犯罪記錄；（2）屬于公司正式職工，并在其他公司無兼職；（3）社會關系清楚，本人及其配偶為中國境內公民。 審查公司與涉密人員簽訂的勞動合同或補充協(xié)議，是否已簽署。 公司在崗涉密人員是否每年參加保密教育與保密知識、技能培訓，培訓的時間應不少于10個學時。 公司是否對在崗涉密人員進行定期考核評價。 公司是否向涉密人員發(fā)放保密補貼。 公司涉密人員在離崗離職時，是否經公司保密審查，簽訂保密承諾書，并按相關保密規(guī)定實行脫密期管理。4.1.3 風險分析編號風險點描述嚴重程度1涉密人員資格審查對涉密人員進行資格審查低2涉密人員崗前培訓考核涉密人員保密教育培訓考核不嚴格中等3涉密人員教育培訓管理對涉密人員進行保密教育與保密技能培訓10學時低4涉密人員離崗離職管理對離崗離職涉密人員的保密審查到位低5涉密人員發(fā)放保密補貼對公司涉密人員發(fā)放保密補貼審查到位低4.1.4 風險防控措施編號風險點嚴重程度防控措施1涉密人員資格審查低計劃人員招聘階段，確定該人員是否為公司涉密人員；對涉密人員進行社會關系的審查，確定其直系親屬是否均為中國境內公民；若此人員為前單位離職人員，應和前單位進行確認，確定其在其它單位無兼職2涉密人員崗前培訓考核中等涉密人員經過保密教育培訓后，必須保證考試合格，并與公司簽訂公司涉密人員保密責任書后方能上崗3涉密人員教育培訓管理低必須嚴格按照相關規(guī)定對涉密人員進行教育培訓，必須保證培訓學時不低于10學時。公司保密工作領導小組必須對此項工作進行監(jiān)督管理。4涉密人員離崗離職管理低涉密人員離崗離職前，保密辦公司人員必須對其在崗期間所負責的涉密信息系統(tǒng)集成的信息和資料進行審查，并確保所有信息資料交回公司保密辦；為規(guī)避人員離職離崗后發(fā)生泄密風險，必須和離崗離職的涉密人員簽訂保密承諾書，并經公司領導批準方能離職離崗。對離崗離職人員實行脫密期管理。5涉密人員發(fā)放保密補貼低公司應對涉密人員發(fā)放保密補貼。4.2 資產管理風險評估 根據(jù)涉密信息系統(tǒng)集成資質單位保密標準及公司安全保密管理制度中涉密載體管理制度、信息系統(tǒng)、信息設備和安全保密防護設備設施管理規(guī)定、資質證書的使用和管理規(guī)定中的規(guī)定，從涉密載體管理、信息系統(tǒng)及設備管理及資質證書管理等方面分析公司涉密資產管理現(xiàn)狀，對公司涉密資產管理的業(yè)務流程進行風險評估，查找風險點，并進行風險防控。4.2.1 風險級別定義風險嚴重程度級別參考表級別標識定義很高如果被利用，將對主要業(yè)務造成完全損害高如果被利用，將對主要業(yè)務造成重大損害中等如果被利用，將對主要業(yè)務造成一般損害低如果被利用，將對主要業(yè)務造成較小損害很低如果被利用，將對主要業(yè)務造成的損害可以忽略4.2.2 風險點 審查涉密信息設備是否符合國家保密標準，有密級、編號、責任人標識，并建立管理臺帳。 檢查涉密信息設備的使用是否符合相關保密規(guī)定。禁止涉密信息設備接入互聯(lián)網及其他公共信息網絡；禁止涉密信息設備接入內部非涉密信息系統(tǒng)；禁止使用非涉密信息設備和個人設備存儲、處理涉密信息；禁止超越計算機、移動存儲介質的涉密等級存儲、處理涉密信息；禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質；禁止在涉密計算機與非涉密計算機之間共用打印機、掃描儀等信息設備。 檢查涉密信息設備是否采取身份鑒別、訪問控制、違規(guī)外聯(lián)監(jiān)控、安全審計、移動存儲介質管控等安全保密措施，并及時升級病毒和惡意代碼樣本庫，定期進行病毒和惡意代碼查殺。 檢查采購的安全保密產品是否選用經過國家保密行政管理部門授權機構檢測、符合國家保密標準要求的產品，計算機病毒防護產品應當選用公安機關批準的國產產品，密碼產品應當選用國家密碼管理部門批準的產品。 檢查涉密信息打印、刻錄等輸出是否相對集中、有效控制，并采取相應審計措施。 檢查涉密計算機及辦公自動化設備是否拆除具有無線聯(lián)網功能的硬件模塊，禁止使用具有無線互聯(lián)功能或配備無線鍵盤、無線鼠標等無線外圍裝置的信息設備處理國家秘密。 檢查涉密信息設備的維修，是否在本公司內部進行，是否指定專人全程監(jiān)督，嚴禁維修人員讀取或復制涉密信息。 檢查涉密計算機及移動存儲介質攜帶外出是否履行審批手續(xù)，帶出前和帶回后，是否進行保密檢查。4.2.3 風險分析編號風險點描述嚴重程度1涉密載體臺賬管理建立涉密載體臺賬，但臺賬信息不夠完整。中等2涉密載體使用管理需要接收、交付、傳遞、保存、銷毀涉密載體時，履行了登記手續(xù)，但需要維修時，記錄不完整，也沒有指定的維修廠家。中等3涉密信息設備臺賬管理建立信息設備臺賬，但臺賬信息不夠完整中等4涉密信息設備維修、報廢管理對于涉密設備的維修、報廢的審批流程不夠清晰中等5涉密信息設備攜帶管理涉密計算機攜帶外出，只履行登記手續(xù)，審批流程不完整中等6涉密信息設備管理涉密計算機與非涉密計算機之間共用打印機、掃描儀高4.2.4風險防控措施編號風險點嚴重問題防控措施1涉密載體臺賬管理中等必須按照要求建立涉密載體臺賬，明確涉密載體的名稱、編號、密級、保密期限等信息。并對涉密載體進行動態(tài)管理，及時做好涉密載體的新增、減少等記錄。2涉密載體使用管理中等建立涉密載體的維修商家名錄，并對維修商家的資格進行核查，當涉密載體需要維修時，只能送到指定的維修商家進行維修。3涉密信息設備臺賬管理中等必須按照要求建立涉密信息設備挑戰(zhàn)，明確涉密載體的名稱、編號、密級、責任人標識等信息。并對涉密信息設備進行動態(tài)管理。及時做好涉密信息設備的新增、減少等記錄。4涉密信息設備維修、報廢管理中等建立涉密信息設備的售后商家名錄，并對售后商家的資格進行核查，當涉密信息設備需要維修時，只能送到指定的維修商家進行維修。如必須有外來人員進行修理時，應有保密辦人員全程陪同，必須指定專人負責，對維修人員、維修對象、維修內容、維修前后狀況進行監(jiān)督并詳細記錄。涉密信息設備需要報廢時，應填寫設備與介質銷毀保密審批表，送交保密行政管理部門設立的銷毀工作機構或者保密行政管理部門指定的公司銷毀徹，徹底清除其中的涉密信息后，對涉密信息存儲部件和介質進行清點、登記、銷毀。5涉密信息設備攜帶管理中等攜帶涉密信息設備和介質外出，不能只做登記處理，必須報公司保密工作領導小組批準。未獲批攜帶涉密信息設備外出，公司將對攜帶人員和保密辦公室人員實行懲罰機制；外出時，攜帶人應嚴格采取保護措施，介質始終處于有效控制之下，防止出現(xiàn)丟失、被盜、被毀以及泄密等情況。6涉密信息設備管理高涉密計算機必須單獨使用打印機、掃描儀，不能與非涉密計算機之間共用，確保涉密信息打印、刻錄等輸出相對集中、有效控制，并采取相應審計措施。4.3 涉密場所管理風險評估 根據(jù)涉密信息系統(tǒng)集成資質單位保密標準及公司安全保密管理制度中涉密信息系統(tǒng)集成場所保密管理規(guī)定中的規(guī)定，從場所出入、門禁系統(tǒng)、監(jiān)控系統(tǒng)、防盜報警系統(tǒng)等方面查看并分析公司涉密場所管理現(xiàn)狀，對公司涉密場所管理的業(yè)務流程進行風險評估，查找風險點，并進行風險防控。4.3.1 風險級別定義風險嚴重程度級別參考表級別標識定義很高如果被利用，將對主要業(yè)務造成完全損害高如果被利用，將對主要業(yè)務造成重大損害中等如果被利用，將對主要業(yè)務造成一般損害低如果被利用，將對主要業(yè)務造成較小損害很低如果被利用，將對主要業(yè)務造成的損害可以忽略4.3.2 風險點 公司的涉密辦公場所是否固定在相對獨立的樓層或區(qū)域。 檢查公司涉密辦公場所是否安裝門禁、視頻監(jiān)控、防盜報警等安防系統(tǒng)，是否實行封閉式管理。監(jiān)控機房是否安排人員值守。 是否建立視頻監(jiān)控的管理檢查機制，公司安全保衛(wèi)部門是否定期對視頻監(jiān)控信息進行回看檢查，保密管理辦公室是否對執(zhí)行情況進行監(jiān)督。視頻監(jiān)控信息保存時間不少于3個月。 檢查門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)和防盜報警系統(tǒng)等是否定期檢查維護，確保系統(tǒng)處于有效工作狀態(tài)。 檢查公司涉密辦公場所是否明確允許進入的人員范圍，其他人員進入，是否履行審批、登記手續(xù)，是否由接待人員全程陪同。 檢查公司是否未經批準，不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公場所。4.3.3 風險分析編號風險點描述嚴重程度1視頻監(jiān)控管理檢查機制管理部門對視頻監(jiān)控信息的回看檢查不及時。中等2視頻監(jiān)控、門禁、防盜報警系統(tǒng)管理對各個安防系統(tǒng)的檢查維護不及時，安防系統(tǒng)出現(xiàn)故障才給予維修，造成系統(tǒng)無法有效工作。中等3涉密場所出入管理對非涉密人員進入涉密場所履行了登記、審批手續(xù)，但對進入人員是否隨身攜帶具有錄音、錄像、拍照、存儲、通信功能的設備檢查不仔細，增加了涉密資料泄密風險。高4.3.4 風險防控措施編號風險點嚴重程度防控措施1視頻監(jiān)控管理檢查機制中等嚴格按照公司涉密信息系統(tǒng)集成場所保密管理規(guī)定的規(guī)定，安排專人對視頻監(jiān)控機房施行24小時值班，值班人員要每天調看視頻監(jiān)控錄像，并詳細做好值班登記表，發(fā)現(xiàn)可疑情況，立即向公司分管領導報告，并對查看結果作書面記錄。并保證視頻監(jiān)控信息保存時間不得少于3個月。2視頻監(jiān)控、門禁、防盜報警系統(tǒng)管理中等公司保密辦每季度應對集成場所的保密管理工作和安全防護設施進行檢查，對安防設施進行維護和檢修，發(fā)現(xiàn)問題及時整改，并建立檢查整改記錄。確保制度落實、防護設施運行正常。3涉密場所出入管理中等將涉密場所相關管理規(guī)定張貼在明顯處，并對公司人員進行宣貫。進入涉密場所的人員必須由保密辦工作人員全程陪同，嚴禁進入人員以任何方式私自錄音、錄像和攝影。4.4 業(yè)務流程管理風險評估 根據(jù)涉密信息系統(tǒng)集成資質單位保密標準及公司安全保密管理制度、軟件開發(fā)管理制度中的相關規(guī)定，從軟件開發(fā)各個里程碑分析公司軟件開發(fā)香米管理現(xiàn)狀，對公司軟件開發(fā)項目管理的業(yè)務流程進行風險評估，查找風險點，并進行風險防控。 由于公司處于資質申請階段，沒有承接涉密相關業(yè)務的資格，既不能建設涉密信息系統(tǒng)，故僅能對公司目前的軟件開發(fā)項目的主要業(yè)務流程進行風險評估，查找現(xiàn)有的項目管理業(yè)務流程是否與保密管理相融合。4.4.1 風險級別定義風險嚴重程度級別參考表級別標識定義很高如果被利用，將對主要業(yè)務造成完全損害高如果被利用，將對主要業(yè)務造成重大損害中等如果被利用，將對主要業(yè)務造成一般損害低如果被利用，將對主要業(yè)務造成較小損害4.4.2 風險點 檢查公司進入委托方現(xiàn)場進行系統(tǒng)集成項目開發(fā)、工程施工、運行維護等是否嚴格執(zhí)行現(xiàn)場工作制度和流程。 現(xiàn)場項目開發(fā)、工程施工、運行維護是否在委托方的監(jiān)督下進行。未經委托方檢查和書面批準，不得將任何電子設備帶入項目現(xiàn)場。 公司是否對現(xiàn)場項目開發(fā)、工程施工、運行維護的工作情況進行詳細記錄并存檔備查。4.4.3 風險分析編號風險點描述嚴重程度1制度執(zhí)行能力制定了軟件開發(fā)管理制度及開發(fā)工作流程，但執(zhí)行力度不足。高2項目進程管理需求開發(fā)制度，會發(fā)現(xiàn)對用戶及產品的需求分析不到位的情況，導致設計成果和用戶期望存在一定的差距中等3系統(tǒng)設計階段，按照開發(fā)流程進行了設計準備、確定影響系統(tǒng)設計的約束因素、確定設計策略、系統(tǒng)分解與設計，但撰寫體系結構設計文檔時不夠嚴謹，無法將軟件系統(tǒng)概述、影響設計的約束因素、實際策略、系統(tǒng)總體結構、子系統(tǒng)的結構與模塊功能、系統(tǒng)集成策略及開發(fā)、測試、運行所需的軟硬件環(huán)境等內容完整表述。4.4.4 風險防控措施編號風險點嚴重程度防控措施1制度執(zhí)行能力嚴重定期組織部門人員學習軟件開發(fā)管理制度及工作流程，形成培訓記錄；部門負責人應將制度中的各里程碑的要求落實到位，主管領導和公司內審機構每月對落實情況進行審查，審查不合格，需由部門負責人作出書面說明，并出具整改方案，整改后仍不合格的，公司應實行相應的處罰機制。2項目進程管理中等需求開發(fā)階段，在首次獲得了用戶及產品需求后（用戶的需求有時只是口頭表述，不會形成文檔），應主動和用戶進行溝通確認，并將初步的需求溝通以文檔形式反饋給用戶，得到用戶初步肯定后，再詳細撰寫用戶產品需求說明書3中等系統(tǒng)設計階段，設計人員應將各里程碑（設計準備、確定影響系統(tǒng)設計的約束因素、確定設計策略、系統(tǒng)分解和設計）的開展情況及成果（包括每一次的設計變更）進行記錄，以確保此階段的輸出物系統(tǒng)設計報告的完整性、可靠性。5 整改要求一、公司保密工作領導小組對此次保密風險評估的結果負有監(jiān)督整改的責任