安全保密風(fēng)險(xiǎn)點(diǎn)及防控措施管理手冊(cè)

1、安全保密風(fēng)險(xiǎn)點(diǎn)及防控措施管理匯總表序號(hào)評(píng)估項(xiàng)風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)事項(xiàng)防控措施備注1安全保密管理制度體系組織機(jī)構(gòu)成員設(shè)置不合理低組織成員組成不合理，不能在人、財(cái)、物等方面及時(shí)提供協(xié)調(diào)和落實(shí)成立保密工作領(lǐng)導(dǎo)小組。由總經(jīng)理、保密總監(jiān)、工程部、技術(shù)部、人事部、財(cái)務(wù)部、采購(gòu)部、市場(chǎng)部、保密管理辦公室主任組成。保密管理辦公室由專職保密管理辦公室主任、保密管理員、涉密設(shè)備管理員、安全審計(jì)員組成。負(fù)責(zé)日常保密管理工作的指導(dǎo)、監(jiān)督、檢查。組織機(jī)構(gòu)職責(zé)分工不明確中保密管理事項(xiàng)落實(shí)不及時(shí)，責(zé)任不清晰。根據(jù)公司崗位職責(zé)，明確保密管理職責(zé)分工。保密工作領(lǐng)導(dǎo)小組成員職責(zé)、涉密業(yè)務(wù)相關(guān)部門的職責(zé)、保密管理辦公室成員職責(zé)。組織

2、機(jī)構(gòu)崗位人員變動(dòng)低人員變動(dòng)對(duì)保密管理工作落實(shí)加強(qiáng)保密監(jiān)管和教育培訓(xùn)。核查崗位職能及人員編制情況，開(kāi)展保密教育并考核。管理制度不完善中保密管理要求不能落實(shí)，職責(zé)要求不明確，不能有效做到保密監(jiān)管依據(jù)集成資質(zhì)管理辦法完善公司保密管理制度。從組織機(jī)構(gòu)建立、人員管理、場(chǎng)所管理、資產(chǎn)使用管理、涉密業(yè)務(wù)管理等方面編制和完善19項(xiàng)保密管理制度。各項(xiàng)規(guī)章制度中明確審批、記錄、登記等表格。管理制度與公司各項(xiàng)管理制度的融合不緊密低公司各項(xiàng)管理制度與保密管理融合不夠。保密管理工作落實(shí)不及時(shí)公司各項(xiàng)管理制度的職責(zé)分工與保密管理制度中保密管理要求融合。人力資源制度、財(cái)務(wù)制度和行政管理制度增加相應(yīng)保密管理要求和流程。無(wú)涉密

3、項(xiàng)目管理制度高涉密項(xiàng)目管理是涉密文檔管理、流程控制管理、實(shí)施人員管理、實(shí)施現(xiàn)場(chǎng)環(huán)境管理等主要依據(jù)編制涉密項(xiàng)目管理制度，包括：項(xiàng)目密級(jí)和知悉范圍確定，項(xiàng)目過(guò)程管理，實(shí)施人員管理，文檔資料審批、登記、歸檔、移交和備案等的管理要求，項(xiàng)目實(shí)施細(xì)則的流程控制等保密工作的考核與獎(jiǎng)懲中保密工作落實(shí)未納入績(jī)效考核，缺乏牽制機(jī)制在管理制度中明確獎(jiǎng)懲機(jī)制。每季度對(duì)涉密人員/涉密業(yè)務(wù)部門進(jìn)行考核，表現(xiàn)優(yōu)秀的進(jìn)行獎(jiǎng)勵(lì)，對(duì)違反各項(xiàng)法律法規(guī)的，進(jìn)行嚴(yán)懲，并將獎(jiǎng)懲情況納入個(gè)人的年度績(jī)效考核中。未按時(shí)按要求組織進(jìn)行內(nèi)部自查、建立持續(xù)改進(jìn)機(jī)制中沒(méi)有定期開(kāi)展內(nèi)部監(jiān)督審查，涉密人員對(duì)保密知識(shí)不扎實(shí)，易導(dǎo)致泄密事件發(fā)生；項(xiàng)目管理部門

4、未制定保密工作方案，易導(dǎo)致項(xiàng)目管理存在安全漏洞保密管理辦公室落實(shí)每季度監(jiān)督審查，在內(nèi)部尋找安全隱患，及時(shí)進(jìn)行整改并制定相應(yīng)的防控措施；加強(qiáng)對(duì)人員、載體、項(xiàng)目、資產(chǎn)、場(chǎng)所等保密管理知識(shí)培訓(xùn)。2涉密人員管理涉密人員的入職中涉密人員入職未經(jīng)政審、審批和保密教育涉密人員管理制度中對(duì)涉密人員入職基本條件、涉密人員界定、審查要求、上崗履行手續(xù)等進(jìn)行明確要求。涉密人員崗前管理中涉密人員上崗前未進(jìn)行保密教育考核，不具備保密知識(shí)水平保密管理辦公室加強(qiáng)管理，對(duì)通過(guò)資格審查的涉密人員進(jìn)行崗前的保密教育培訓(xùn)，并對(duì)其進(jìn)行保密教育考核，確保上崗前的涉密人員均能通過(guò)考核。涉密人員崗前管理高涉密人員上崗前未通過(guò)保密教育考核，

5、未簽訂保密責(zé)任書保密管理辦公室加強(qiáng)管理與監(jiān)督檢查，確保涉密人員通過(guò)保密教育考核并簽訂保密責(zé)任書，具備保密知識(shí)與明確保密責(zé)任后方能上崗。涉密人員在崗管理中涉密人員在崗未履行教育培訓(xùn)、考核、出境管理明確涉密人員每年不少于12學(xué)時(shí)的教育培訓(xùn)：保密法律法規(guī)、保密制度和審批要求；涉密業(yè)務(wù)相關(guān)的技能培訓(xùn)；涉密人員出入境審批管理和流程要求；涉密人員檢查：人員每季度自查、部門每季度保密檢查。涉密崗位和涉密人員的涉密等級(jí)劃分不明確中 涉密崗位和涉密等級(jí)劃分不清晰，導(dǎo)致涉密人員對(duì)自身定位要求不明確，不能落實(shí)對(duì)應(yīng)的責(zé)權(quán)利保密管理辦公室嚴(yán)格按照保密管理規(guī)定及公司業(yè)務(wù)工作需要，對(duì)涉密人員的涉密崗位和涉密等級(jí)進(jìn)行明確劃分

6、并登記在案。涉密人員可根據(jù)工作需要向保密辦提出申請(qǐng)，履行相應(yīng)的審批手續(xù)進(jìn)行變更涉密崗位或涉密等級(jí)。保密補(bǔ)貼制度未落實(shí)低涉密人員保密補(bǔ)貼未發(fā)放或未按時(shí)發(fā)放，導(dǎo)致涉密人員權(quán)利無(wú)法保障，涉密人員對(duì)保密工作不積極保密管理辦公室跟進(jìn)落實(shí)財(cái)務(wù)部對(duì)涉密人員保密補(bǔ)貼的發(fā)放，實(shí)行保密補(bǔ)貼簽收制。涉密人員離職/離崗管理中涉密人員離職未通過(guò)保密管理辦公室、保密工作領(lǐng)導(dǎo)小組的審查和審批涉密人員離職須經(jīng)過(guò)保密管理辦公室的審批同意，并對(duì)其進(jìn)行離職后的相關(guān)保密教育。涉密人員離職/離崗管理中涉密人員離職/離崗需要履行相關(guān)審批手續(xù)，未簽訂離職保密承諾書，并將涉密載體進(jìn)行清退保密管理辦公室均需對(duì)離職/離崗涉密人員進(jìn)行審查同意，并

7、與其簽訂離職保密承諾書，明確離職后的保密義務(wù)，接觸過(guò)涉密載體的離職涉密人員需要辦理移交手續(xù)，憑借涉密人員離職/離崗審批表和涉密載體移交表方能到人事部辦理員工的離職手續(xù)。離職涉密人員的脫密期管理中涉密人員在脫密期期間不遵守有關(guān)保密規(guī)定，泄露保密信息保密管理辦公室負(fù)責(zé)對(duì)離職涉密人員每2個(gè)月進(jìn)行回訪跟蹤，回訪內(nèi)容包括但不限于：目前所在地方、工作內(nèi)容、工作性質(zhì)、所在單位性質(zhì)。3資產(chǎn)使用管理涉密設(shè)備、防護(hù)設(shè)施、安全保密防護(hù)產(chǎn)品和辦公設(shè)備的保密管理要求高涉密有關(guān)設(shè)備的采購(gòu)管理和使用管理全過(guò)程監(jiān)管不嚴(yán)格；使用審批、維修、報(bào)廢責(zé)任部門、責(zé)任人不明確；防護(hù)設(shè)施的管理和巡查巡檢機(jī)制不健全；載體和介質(zhì)制作、收發(fā)、傳

8、遞審批和記錄不全；涉密文檔資料的輸入輸出審批流程不清晰。涉密資產(chǎn)與公司各項(xiàng)管理制度融合。公司各項(xiàng)管理制度增加保密監(jiān)管條款。制度中對(duì)涉密資產(chǎn)（設(shè)備、設(shè)施、安全防護(hù)產(chǎn)品、辦公自動(dòng)化設(shè)備、載體及介質(zhì)等）的采購(gòu)申請(qǐng)、購(gòu)買流程、配備、檢查等的全過(guò)程監(jiān)管；涉密設(shè)備維護(hù)、維修、報(bào)廢審批監(jiān)管；涉密便攜式計(jì)算機(jī)的使用管理要求；防護(hù)設(shè)施的管理，建立巡防巡查機(jī)制的；涉密載體、介質(zhì)制作、收發(fā)、傳遞的管理要求和審批監(jiān)管。記錄登記和備案流程；保密辦核查核對(duì)檢查；輸入輸出涉密文件審批流程，登記、備案措施；個(gè)人保密自查、業(yè)務(wù)部門檢查、保密辦保密檢查中對(duì)負(fù)責(zé)的設(shè)備進(jìn)行核查核對(duì)。缺少對(duì)非涉密設(shè)備監(jiān)管低非涉密設(shè)備管理管控缺失保密管

9、理要求非涉密設(shè)備不得存儲(chǔ)處理涉密信息；不得在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)間交叉使用介質(zhì)；納入保密辦保密檢查中。涉密設(shè)備存放低涉密設(shè)備與非涉密設(shè)備混合存放容易產(chǎn)生泄密事件涉密設(shè)備與非涉密設(shè)備分開(kāi)存放，涉密設(shè)備存放在保密室，由涉密設(shè)備管理員負(fù)責(zé)管理。建立信息設(shè)備臺(tái)賬中未建立信息設(shè)備臺(tái)賬容易發(fā)生設(shè)備丟失保密管理辦公室委派涉密設(shè)備管理員負(fù)責(zé)建立涉密設(shè)備信息臺(tái)賬，并定期進(jìn)行核查。涉密信息設(shè)備標(biāo)識(shí)中涉密信息設(shè)備沒(méi)有作出標(biāo)識(shí)，容易導(dǎo)致涉密設(shè)備與非涉密設(shè)備混合使用，導(dǎo)致泄密事件發(fā)生涉密設(shè)備管理員對(duì)所有涉密設(shè)備在明顯部位進(jìn)行標(biāo)識(shí)。4涉密場(chǎng)所管理涉密場(chǎng)所界定及防護(hù)措施低缺少涉密場(chǎng)所界定審批；防護(hù)設(shè)施的使用管理和檢查不

10、及時(shí)；涉密場(chǎng)所責(zé)任人監(jiān)管不嚴(yán)格。公司設(shè)置涉密辦公區(qū)200多平方米（內(nèi)設(shè)1個(gè)保密檔案室）。對(duì)涉密場(chǎng)區(qū)根據(jù)使用功能進(jìn)行界定審批，明確責(zé)任人。粘貼警示標(biāo)識(shí)。涉密場(chǎng)所日常保密管理中涉密場(chǎng)所進(jìn)出管理落實(shí)不到位涉密場(chǎng)所責(zé)任人是涉密場(chǎng)所的安全、保密第一責(zé)任人。對(duì)進(jìn)入涉密場(chǎng)所履行的審批、登記監(jiān)督管理。公司限定涉密人員進(jìn)入涉密場(chǎng)所的人員名單，進(jìn)出保密室須履行登記手續(xù)。其他涉密人員或非涉密人員因工作需要進(jìn)去涉密場(chǎng)所須履行審批手續(xù)，姓名、身份證號(hào)碼、進(jìn)入離開(kāi)時(shí)間、陪同人員、審批人員等；所有人員禁止將帶有錄音、錄像、拍照和存儲(chǔ)功能的信息設(shè)備帶入涉密區(qū)；禁止將手機(jī)帶入公司涉密辦公室場(chǎng)所。涉密場(chǎng)所監(jiān)控、消防、門禁管理中保

11、密室門禁、消防、監(jiān)控等系統(tǒng)故障，無(wú)法保障涉密場(chǎng)所的安全涉密設(shè)備管理員定期對(duì)涉密場(chǎng)所的門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)、消防報(bào)警系統(tǒng)進(jìn)行檢查，確保設(shè)備能正常運(yùn)行。涉密場(chǎng)所網(wǎng)絡(luò)環(huán)境中保密室局域網(wǎng)與互聯(lián)網(wǎng)相通，涉密信息會(huì)通過(guò)互聯(lián)網(wǎng)被非法獲取，造成保密信息泄露；涉密設(shè)備使用無(wú)線網(wǎng)絡(luò)信號(hào)容易被非法截獲，篡改保密室局域網(wǎng)禁止與互聯(lián)網(wǎng)相通，保密室禁止使用無(wú)線網(wǎng)絡(luò)。5涉密業(yè)務(wù)管理涉密業(yè)務(wù)部門保密管理中部門崗位職責(zé)與保密管理要求不完善；涉密人員自查、部門保密檢查要求不明確涉密業(yè)務(wù)部門負(fù)責(zé)人為涉密部門第一責(zé)任人；監(jiān)督涉密人員自查、涉密部門保密檢查等的落實(shí)整改；部門人員的保密職責(zé)履行情況管理。部門安全保密管理風(fēng)險(xiǎn)評(píng)估（一年）

12、。涉密項(xiàng)目保密管理高涉密項(xiàng)目實(shí)施全過(guò)程監(jiān)控管理不規(guī)范、執(zhí)行不嚴(yán)格、落實(shí)不到位；涉密項(xiàng)目工程資料的密級(jí)及知悉范圍不清晰；涉密項(xiàng)目實(shí)施過(guò)程監(jiān)管不完善每個(gè)涉密項(xiàng)目都制定項(xiàng)目保密管理方案；涉密項(xiàng)目實(shí)施流程保密管理控制措施；涉密項(xiàng)目工程檔案的密級(jí)和知悉范圍列表；涉密項(xiàng)目的備案、實(shí)施人員的保密管理、非涉密人員進(jìn)入實(shí)施現(xiàn)場(chǎng)的審批、登記、陪同控制管理、涉密設(shè)備的保管、辦公場(chǎng)所的保密管理、涉密文檔資料的整理、登記、備案、借閱的流程控制等管理要求。涉密項(xiàng)目組建階段中非涉密人員加入涉密項(xiàng)目小組，涉密項(xiàng)目組成員未進(jìn)行項(xiàng)目實(shí)施前的教育培訓(xùn)項(xiàng)目經(jīng)理在項(xiàng)目實(shí)施前向保密管理辦公室確認(rèn)項(xiàng)目小組成員，并協(xié)同保密管理辦公室開(kāi)展對(duì)項(xiàng)

13、目組成員在項(xiàng)目實(shí)施前的保密教育培訓(xùn)。涉密項(xiàng)目實(shí)施階段中非涉密人員隨意進(jìn)入項(xiàng)目實(shí)施現(xiàn)場(chǎng)，進(jìn)入項(xiàng)目實(shí)施現(xiàn)場(chǎng)的人員攜帶具有通信、拍照、錄音、錄像等功能的電子設(shè)備項(xiàng)目經(jīng)理明確進(jìn)入涉密項(xiàng)目現(xiàn)場(chǎng)的人員名單，其他人員進(jìn)入項(xiàng)目實(shí)施現(xiàn)場(chǎng)需經(jīng)項(xiàng)目經(jīng)理和業(yè)主方的書面同意，任何人進(jìn)入項(xiàng)目實(shí)施現(xiàn)場(chǎng)不得私自攜帶電子設(shè)備。涉密項(xiàng)目的全階段高利用電郵、QQ、微信等個(gè)人通信工具討論涉密項(xiàng)目、傳送涉密文件保密管理辦公室加強(qiáng)對(duì)涉密項(xiàng)目實(shí)施管理的監(jiān)督檢查，加強(qiáng)對(duì)涉密項(xiàng)目組成員的保密教育，涉密辦公必須在保密場(chǎng)所并使用涉密設(shè)備進(jìn)行。涉密項(xiàng)目的全階段高利用普通復(fù)印機(jī)和打印機(jī)復(fù)制和打印涉密文件保密管理辦公室加強(qiáng)對(duì)涉密項(xiàng)目實(shí)施管理的監(jiān)督檢查，

14、加強(qiáng)對(duì)涉密項(xiàng)目組成員的保密教育，涉密文件、資料不得私自打印、復(fù)印，打印、復(fù)印涉密文件、資料須履行相關(guān)審批手續(xù)并使用涉密打印機(jī)和復(fù)印件進(jìn)行打印和復(fù)印。項(xiàng)目涉密文檔資料管理中項(xiàng)目涉密文檔資料的登記、使用、收發(fā)管理要求不明確項(xiàng)目涉密文檔資料和非涉密文檔的登記、備案管理。涉密文檔的借閱、帶出審批。涉密資料的打印、復(fù)制審批。6保密檔案管理涉密項(xiàng)目文檔資料檔案管理中涉密工程項(xiàng)目文檔資料登記、備案過(guò)程監(jiān)管落實(shí)不嚴(yán)格招標(biāo)階段、工程合同、項(xiàng)目啟動(dòng)、項(xiàng)目實(shí)施、項(xiàng)目驗(yàn)收、項(xiàng)目支付、項(xiàng)目移交階段各類文檔的密級(jí)和知悉范圍。涉密項(xiàng)目保密管理機(jī)構(gòu)的備案、工程資料移交、項(xiàng)建設(shè)管理情況總結(jié)。工程部保密專員負(fù)責(zé)涉密工程項(xiàng)目資料的

15、歸檔管理。保密專員負(fù)責(zé)涉密項(xiàng)目工程資料的借閱、打印和復(fù)印的集中輸出操作，并做好記錄，及時(shí)到保密部門備案。保密管理工作檔案管理低保密工作檔案的密級(jí)及知悉范圍保密辦負(fù)責(zé)保密工作檔案的登記、備案的管理工作。保密工作檔案包括：各類設(shè)備的分臺(tái)賬、總臺(tái)賬；年度保密工作計(jì)劃、總結(jié)；涉密人員相關(guān)檔案資料；涉密人員自查表；涉密部門檢查表；部門、公司風(fēng)險(xiǎn)評(píng)估報(bào)告；各種審批、記錄表單；保密工作會(huì)議紀(jì)要、保密教育培訓(xùn)資料。7涉密載體管理涉密載體的界定中涉密載體界定不清晰容易導(dǎo)致涉密載體的使用出現(xiàn)泄露事件、丟失等保密管理辦公室對(duì)所有的涉密載體進(jìn)行標(biāo)識(shí)，標(biāo)明編號(hào)、密級(jí)、保密期限、接觸范圍、知悉范圍等信息涉密載體的收發(fā)、借閱、使用、保存等保密管理高不按照保密管理收發(fā)、使用、借閱、保存等不按規(guī)定進(jìn)行容易導(dǎo)致涉密信息的泄露、涉密文件的丟失等保密管理辦公室加強(qiáng)涉密人員對(duì)涉密載體使用的保密管理等相關(guān)知識(shí)的保密教育培訓(xùn)，涉密載體的使用須履行有關(guān)的審批手續(xù)，保密辦負(fù)責(zé)加強(qiáng)對(duì)涉密載體使用的監(jiān)督檢查力度攜帶涉密載體外出低未經(jīng)審批擅自攜帶涉密載體外出保密管理辦公室加強(qiáng)涉密人員對(duì)涉密載體管理的保密教育，涉密載體攜帶外出須得到保密辦的審批同意，由保密管理