涉密业务保密风险评估(模板)--附件1
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是
27.
项目负责人未对参与人员明确职责分工
9
1
9
低
公司保密制度要求项目负责人需对参与人员进行明确分工,填写《项目组成员职责分工表》,对人员的岗位职责及其知悉范围进行确定。
是
17.
合同签订
人员
风险
取回合同人员为非密人员
8
1
8
很低
是
18.
未按工作需要控制合同知悉范围
8
2
16
低
公司保密制度规定,项目启动前涉密项目经理根据工作需要,按照涉密项目密级,对用户需求文档、设计方案等技术资料和保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定,属于国家秘密的,由项目经理填写《确定国家秘密事项知悉范围审批表》和《国家秘密事项一览表》,提出涉密事项知悉范围的拟定意见,报部门负责人、分管领导审批确定。
2、为涉密项目设计人员分配了涉密计算机账号,用于处理涉密文档
是
13.
使用个人电脑编写涉密项目投标文件
8
1
8
很低
是
14.
未经批准,将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所
8
1
8
很低
严格执行涉密办公场所管理制度,严禁将无线通信设备带入涉密场所内,根据工作需要将具有录音、录像、拍照的设备带入涉密场所时需履行审批手续
2、加强保密培训提高涉密人员业务技能熟练程度
项目经理
是
21.
未及时制定保密工作方案
8
1
8
很低
公司保密制度规定接到中标通知后正式成立项目组,由项目经理制定保密工作方案
是
22.
将涉密项目分包给不具备相应资质单位
9
1
9
低
公司保密制度规定,不得分包或转包给不具备相应资质的企业单位
是
23.
未与分包方签订保密协议
载体
风险
投标文件制作未履行载体制作手续
9
1
9
低
公司规定涉密载体制作需要履行审批手续后,方可制作。
是
10.
涉密载体制作未及时履行清点、登记、编号手续
8
2
16
低
1.承办人员应配合部门保密员完成载体的清点、登记、编号。
2.加强检查发现载体制作未及时去履行清点、登记、编号手续的予以处罚
部门保密员
是
11.
设备
风险
投标文件制作未履行信息输入输出手续
8
1
8
很低
涉密计算机输入输出严格履行信息输入输出手续,操作人员在输出前进行审批,填写《信息输入/输出审批表》,并在《涉密计算机信息输出登记表》登记
计算机安全保密管理员
是
12.
使用与互联网或公共信息网络连接的信息设备存储和处理涉密信息
9
1
9
低
1、加强保密教育,严禁利用个人非密设备处理涉密信息,撰写标书
项目经理
是
19.
留存合同未放在涉密办公场所密码文件柜中
9
1
9
低
公司保密制度规定,项目技术资料由部门保密员统一建立台帐进行管理,秘密级、机密级项目资料保存在密码文件柜中,绝密级项目资料保存在密码保险柜中
部门保密员
是
20.
项目
风险
承接涉密项目未在保密行政管理部门进行备案
8
4
32
中
1、公司保密制度规定项目合同签订后,由项目经理指定人员向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。
人员
风险
项目现场的管理人员、技术人员、施工人员含有非涉密人员
6
1
6
很低
公司保密制度规定参与涉密项目现场的管理人员、技术人员、施工人员为涉密人员
项目经理
是
26.
项目
风险
项目负责人未对用户需求文档、设计方案、图纸等技术资料和合同、保密协议、验收报告等业务资料是否属于国家秘密或属于何种密级进行确定项目负责人未对用户需求文档、设计方案、图纸等技术资料和合同、保密协议、验收报告等业务资料是否属于国家秘密或属于何种密级进行确定
6
1
6
很低
1公司保密制度要求与其他单位合作开展涉密信息系统集成项目的,需取得委托方的书面同意,且合作单位需具有相应涉密资质,再与对方签订保密协议,提出保密要求。2加强检查发现未签订保密协议及时补签,并对项目经理予以处罚。
是
24.
与有相应涉密资质的单位合作,未取得委托方书面同意
5
15Βιβλιοθήκη 很低是25.
成立项目组
是
15.
载体
风险
携带投标文件参加投标未履行携带手续
8
1
8
很低
严格涉密载体管理,未经过审批手续,档案资料员或部门保密员严禁将投标文件交给投标人员携带外出
是
16.
人员
风险
非密人员携带涉密项目投标文件参加投标
9
1
9
低
1、部门保密员严格按照涉密载体知悉范围发放载体,严禁将投标文件交给非涉密人员携带外出
2、在安排工作时,不得安排非涉密人员接触涉密载体
7
1
7
很低
公司保密制度规定,项目经理按照涉密项目的密级,结合对前期调研信息以及项目甲方要求,公司应在项目技术资料和业务资料是否属于国家秘密或者属于何种密级进行确定,属于国家秘密的,填写《确定国家秘密事项知悉范围审批表》,提出涉密事项知悉范围的拟定意见,报部门负责人审核后,提交定密责任人审批确定。
项目经理
是
2.
项目
风险
售前业务人员未及时确定是否为涉密项目及项目密级
9
1
9
很低
是
3.
未按照资质类别、等级承接涉密业务
8
1
8
很低
公司保密制度里规定,应按照资质等级、类别承接涉密业务,不得将资质证书出借或转让。
是
4.
人员
风险
未安排相应密级涉密人员负责涉密项目工作
8
1
8
很低
公司已根据项目流程确定了各岗位的涉密人员,能够确保参与涉密项目的人员均为涉密人员,业务部门安排投标人员时,须安排涉密人员
3、加强涉密计算机检查工作,对涉密计算机文档清理情况进行检查,督促人员将未中标项目涉密文件电子档及时清除。
项目负责人
是
8.
立项与招投标
人员
风险
参与标书制作人员为非密人员
9
1
9
低
公司已根据项目流程确定了各岗位的涉密人员,能够确保参与涉密项目的人员均为涉密人员,业务部门安排投标人员时,须安排涉密人员
是
9.
附件
涉密业务保密风险评估与风险防控措施一览表
涉密业务部门名称:
序号
业务/工作流程
风险
类型
潜在的风险描述
可能性
严重性
风险值
风险
等级
风险防控措施
措施落实部门/人员
残余风险是否可控
1.
立项与招投标
人员
风险
售前业务部门人员不是涉密人员
8
1
8
很低
公司规定涉密业务部门发现商机后需先确定项目背景是否为涉密项目及时将项目情况转给,指派涉密人员参与涉密项目售前工作
是
5.
项目
风险
未及时指定项目经理及项目组成员
8
1
8
很低
是
6.
项目经理未对项目组成员进行明确分工
9
1
9
低
是
7.
载体
风险
未中标项目文件资料未及时清退或销毁
8
4
32
中
1、公司保密制度中规定未中标的项目资料应按照甲方要求及时归还,甲方未回收应及时进行销毁。
2、加强人员教育,如投标失败,要求人员将招标文件归还甲方,甲方未回收应履行销毁手续,由保密管理办公室组织统一销毁。
27.
项目负责人未对参与人员明确职责分工
9
1
9
低
公司保密制度要求项目负责人需对参与人员进行明确分工,填写《项目组成员职责分工表》,对人员的岗位职责及其知悉范围进行确定。
是
17.
合同签订
人员
风险
取回合同人员为非密人员
8
1
8
很低
是
18.
未按工作需要控制合同知悉范围
8
2
16
低
公司保密制度规定,项目启动前涉密项目经理根据工作需要,按照涉密项目密级,对用户需求文档、设计方案等技术资料和保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定,属于国家秘密的,由项目经理填写《确定国家秘密事项知悉范围审批表》和《国家秘密事项一览表》,提出涉密事项知悉范围的拟定意见,报部门负责人、分管领导审批确定。
2、为涉密项目设计人员分配了涉密计算机账号,用于处理涉密文档
是
13.
使用个人电脑编写涉密项目投标文件
8
1
8
很低
是
14.
未经批准,将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所
8
1
8
很低
严格执行涉密办公场所管理制度,严禁将无线通信设备带入涉密场所内,根据工作需要将具有录音、录像、拍照的设备带入涉密场所时需履行审批手续
2、加强保密培训提高涉密人员业务技能熟练程度
项目经理
是
21.
未及时制定保密工作方案
8
1
8
很低
公司保密制度规定接到中标通知后正式成立项目组,由项目经理制定保密工作方案
是
22.
将涉密项目分包给不具备相应资质单位
9
1
9
低
公司保密制度规定,不得分包或转包给不具备相应资质的企业单位
是
23.
未与分包方签订保密协议
载体
风险
投标文件制作未履行载体制作手续
9
1
9
低
公司规定涉密载体制作需要履行审批手续后,方可制作。
是
10.
涉密载体制作未及时履行清点、登记、编号手续
8
2
16
低
1.承办人员应配合部门保密员完成载体的清点、登记、编号。
2.加强检查发现载体制作未及时去履行清点、登记、编号手续的予以处罚
部门保密员
是
11.
设备
风险
投标文件制作未履行信息输入输出手续
8
1
8
很低
涉密计算机输入输出严格履行信息输入输出手续,操作人员在输出前进行审批,填写《信息输入/输出审批表》,并在《涉密计算机信息输出登记表》登记
计算机安全保密管理员
是
12.
使用与互联网或公共信息网络连接的信息设备存储和处理涉密信息
9
1
9
低
1、加强保密教育,严禁利用个人非密设备处理涉密信息,撰写标书
项目经理
是
19.
留存合同未放在涉密办公场所密码文件柜中
9
1
9
低
公司保密制度规定,项目技术资料由部门保密员统一建立台帐进行管理,秘密级、机密级项目资料保存在密码文件柜中,绝密级项目资料保存在密码保险柜中
部门保密员
是
20.
项目
风险
承接涉密项目未在保密行政管理部门进行备案
8
4
32
中
1、公司保密制度规定项目合同签订后,由项目经理指定人员向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。
人员
风险
项目现场的管理人员、技术人员、施工人员含有非涉密人员
6
1
6
很低
公司保密制度规定参与涉密项目现场的管理人员、技术人员、施工人员为涉密人员
项目经理
是
26.
项目
风险
项目负责人未对用户需求文档、设计方案、图纸等技术资料和合同、保密协议、验收报告等业务资料是否属于国家秘密或属于何种密级进行确定项目负责人未对用户需求文档、设计方案、图纸等技术资料和合同、保密协议、验收报告等业务资料是否属于国家秘密或属于何种密级进行确定
6
1
6
很低
1公司保密制度要求与其他单位合作开展涉密信息系统集成项目的,需取得委托方的书面同意,且合作单位需具有相应涉密资质,再与对方签订保密协议,提出保密要求。2加强检查发现未签订保密协议及时补签,并对项目经理予以处罚。
是
24.
与有相应涉密资质的单位合作,未取得委托方书面同意
5
15Βιβλιοθήκη 很低是25.
成立项目组
是
15.
载体
风险
携带投标文件参加投标未履行携带手续
8
1
8
很低
严格涉密载体管理,未经过审批手续,档案资料员或部门保密员严禁将投标文件交给投标人员携带外出
是
16.
人员
风险
非密人员携带涉密项目投标文件参加投标
9
1
9
低
1、部门保密员严格按照涉密载体知悉范围发放载体,严禁将投标文件交给非涉密人员携带外出
2、在安排工作时,不得安排非涉密人员接触涉密载体
7
1
7
很低
公司保密制度规定,项目经理按照涉密项目的密级,结合对前期调研信息以及项目甲方要求,公司应在项目技术资料和业务资料是否属于国家秘密或者属于何种密级进行确定,属于国家秘密的,填写《确定国家秘密事项知悉范围审批表》,提出涉密事项知悉范围的拟定意见,报部门负责人审核后,提交定密责任人审批确定。
项目经理
是
2.
项目
风险
售前业务人员未及时确定是否为涉密项目及项目密级
9
1
9
很低
是
3.
未按照资质类别、等级承接涉密业务
8
1
8
很低
公司保密制度里规定,应按照资质等级、类别承接涉密业务,不得将资质证书出借或转让。
是
4.
人员
风险
未安排相应密级涉密人员负责涉密项目工作
8
1
8
很低
公司已根据项目流程确定了各岗位的涉密人员,能够确保参与涉密项目的人员均为涉密人员,业务部门安排投标人员时,须安排涉密人员
3、加强涉密计算机检查工作,对涉密计算机文档清理情况进行检查,督促人员将未中标项目涉密文件电子档及时清除。
项目负责人
是
8.
立项与招投标
人员
风险
参与标书制作人员为非密人员
9
1
9
低
公司已根据项目流程确定了各岗位的涉密人员,能够确保参与涉密项目的人员均为涉密人员,业务部门安排投标人员时,须安排涉密人员
是
9.
附件
涉密业务保密风险评估与风险防控措施一览表
涉密业务部门名称:
序号
业务/工作流程
风险
类型
潜在的风险描述
可能性
严重性
风险值
风险
等级
风险防控措施
措施落实部门/人员
残余风险是否可控
1.
立项与招投标
人员
风险
售前业务部门人员不是涉密人员
8
1
8
很低
公司规定涉密业务部门发现商机后需先确定项目背景是否为涉密项目及时将项目情况转给,指派涉密人员参与涉密项目售前工作
是
5.
项目
风险
未及时指定项目经理及项目组成员
8
1
8
很低
是
6.
项目经理未对项目组成员进行明确分工
9
1
9
低
是
7.
载体
风险
未中标项目文件资料未及时清退或销毁
8
4
32
中
1、公司保密制度中规定未中标的项目资料应按照甲方要求及时归还,甲方未回收应及时进行销毁。
2、加强人员教育,如投标失败,要求人员将招标文件归还甲方,甲方未回收应履行销毁手续,由保密管理办公室组织统一销毁。