保密风险评估

风
险
XXXXX有限公司201xx年xx月
1 概述
针对公司主要业务流程进行风险评估，其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。

2 评估目的
4.1 人力资源管理风险评估
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定，从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状，对公司涉密人员管理的业务流程进行风险评估，识别并评估风险点，进而制
定出风险防控措施。

4.1.1 风险级别定义
风险严重程度级别参考书
进行审查，是否符合以下基本条件：
（1）遵纪守法，具有良好的品行，无犯罪记录；
（2）属于公司正式职工，并在其他公司无兼职；
（3）社会关系清楚，本人及其配偶为中国境内公民。

➢审查公司与涉密人员签订的劳动合同或补充协议，是否已签署。

根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密载体管理制度》、《信息系统、信息设备和安全保密防护设备设施管理规定》、《资质证书的使用和管理规定》中的规定，从涉密载体管理、信息系统及设备管理及资质证
书管理等方面分析公司涉密资产管理现状，对公司涉密资产管理的业务流程进行风险评估，查找风险点，并进行风险防控。

4.2.1 风险级别定义
风险严重程度级别参考表
备接入内部非涉密信息系统；禁止使用非涉密信息设备和个人设备存储、处理涉密信息；禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息；禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质；禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。

➢检查涉密信息设备是否采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施，并及时升级病毒和恶意代码样本库，定期进行病毒和恶意代码查杀。

➢检查涉密计算机及移动存储介质携带外出是否履行审批手续，带出前和带回后，是否进行保密检查。

4.2.3 风险分析
4.2.4风险防控措施
4.3 涉密场所管理风险评估
根据《涉密信息系统集成资质单位保密标准》及公司《安全
保密管理制度》中《涉密信息系统集成场所保密管理规定》中的规定，从场所出入、门禁系统、监控系统、防盗报警系统等方面查看并分析公司涉密场所管理现状，对公司涉密场所管理的业务流程进行风险评估，查找风险点，并进行风险防控。

4.3.1 风险级别定义
4.3.2 风险点
➢公司的涉密办公场所是否固定在相对独立的楼层或区域。

➢检查公司涉密办公场所是否安装门禁、视频监控、防盗报警等安防系统，是否实行封闭式管理。

监控机房是否安排人员
值守。

➢是否建立视频监控的管理检查机制，公司安全保卫部门是否定期对视频监控信息进行回看检查，保密管理办公室是否对执行情况进行监督。

视频监控信息保存时间不少于3个月。

由于公司处于资质申请阶段，没有承接涉密相关业务的资格，既不能建设涉密信息系统，故仅能对公司目前的软件开发项目的主要业务流程进行风险评估，查找现有的项目管理业务流程是否与保密管理相融合。

4.4.1 风险级别定义
风险严重程度级别参考表
➢公司是否对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。

4.4.3 风险分析
在
五、公司内审机构将严格按照PDCA模式每季度对以上防控措施及整条业务流程的执行情况进行审计，详细记录审计结果，对不合格项提出合理化建议，并督促整改，核实整改效果后进入下一周期的内部审计。