保密风险评估报告

保密风险评估报告

XXXXX开发有限公司

XXXX年1月9日

目录

1.概述 (4)

1.1背景 (4)

1.2风险评估的依据 (6)

1.3风险评估的目的 (6)

1.4风险评估的措施 (7)

2.风险评估 (10)

2.1涉密人员风险评估 (10)

2.2涉密载体风险评估 (11)

2.3涉密设备风险评估 (13)

2.4涉密场所风险评估 (14)

2.5涉密项目风险评估 (15)

2.5.1招投标风险评估 (15)

2.5.2设计方案风险评估 (16)

2.5.3系统集成过程风险评估 (17)

2.5.3.1分保方案使用风险评估 (18)

2.5.3.2设备采购风险评估 (18)

2.5.3.3现场实施风险评估 (19)

2.5.3.4审查验收风险评估 (20)

2.5.3.5项目材料移交风险评估 (20)

2.5.3.6运行维护风险评估 (21)

2.5.3.7项目流程图 (22)

3.持续性改进机制 (26)

4.风险评估小结 (30)

1.概述

1.1背景

●公司发展历史及现状

XXXXXXX于XXXXXXX年4月20日注册成立，注册地址位于XXXXXX，注册资金XXX万元，公司员工XXX人。公司成立初期主要业务范围是以XXXXXXX。

为了公司发展需要，注册资金经过多次变更，由最初的XXXX万元增资到XXXX万人民币。公司也在此期间取得了本行业相关的资质：ISO9001：2000质量体系认证;信息系统集成三级资质和公共安全技术防范壹级资质，并且是中央政府采购网的协议供货商及合格的竞价谈判供应商，并具备XXXXXXX政府及XXXXXXX政府的供应商资格，还是XXXXXXX 集团和XXXXXXX集团的合法供应商。目前公司现经营地址为XXXXXXX，拥有办公场地XXXX多平方米，客户遍及政府，金融及保险，能源，军队等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持,以系统集成,软件开发，网络维护及集成，音视频会议集成，监控设计及安装调试,应用开发与服务为主的综合性IT企业。公司近三年系统集成项目金额达XXXXX万元。

●公司人员组织结构

公司注重团队建设和人才的培养，现拥有员工XXXX人，全体员工80.4.%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书，并且也取得国际认证的软、硬件工程师证书及各

生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理X人，高级项目经理X人，均具有本行业多年从业经验，并参与了各种系统集成大型项目的设计与施工。公司的技术经理从业X年，独立完多项系统集成项目设计及管理工作。

XXXXXXX

2015年组织结构表

公司所在周边地理环境

我公司XXXXXXX，处于XXXX主干道上，西面有XXX，东临XXXXXXX 领地居民小区，北面有xxx居民小区。地处松嫩平原南部，不处在地震带和沉降带，地质结构稳定；远离海边江河，高于XXXXXXX城区高点45米，不受洪水、海啸和台风威胁；远离山区，不受山洪和泥石流侵害；区域内无核电站、强污染源及重盐害。

存在风险：

a)公司周边是否有驻外大使馆

b)公司周边是否存在外资企业

c)公司周边是否有商业区

针对风险点的防控措施：我公司位于XXXXXXX路上，周边不存在驻外大使馆、外资企业及商业区，进出入办公楼均有收发人员管理登记。

公司内部物理环境

XXXXXXX位于XXXXXXX路XX号XXX楼，此楼XXX层为XXXX店有单独的入口；XXXX楼为办公楼区，有独立的入口。一楼大厅有收发人员登记，并在电梯口处有视频监控系统。在我公司单位门口也有本单位自己的视频监控系统。

存在的风险：

a)外来人员随意进出

b)附近的双太电子城聚集了多家IT企业，IT企业人员众多、混杂，

对保密信息的安全性造成潜在的安全隐患。

针对存在风险点的防控措施：在公司入口处设立登记处，由专人来负责登记和接待。

1.2风险评估的依据

依据XXXXXXX国家保密局发布的《涉密信息系统集成资质保密标准》、BMB17《涉及国家秘密的信息系统分级保护技术要求》、BMB20《涉及国

家秘密的信息系统分级保护管理规范》、BMB23《涉及国家秘密的信息系统分级保护管理规范》

1.3风险评估的目的

保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。

1.4风险评估的措施

近几年来，随着信息技术的飞速发展，现代办公设备逐渐走进了企业的日常工作，保密工作面临着一种全新环境，同时所面临的保密形势日益严峻。

保密风险评估，作为企业开展保密工作的前提，能为单位领导准确把握本单位保密工作所面临的风险，进行重点防控提供科学依据。根据对本公司保密状况的分析，认为本公司应当主要从加强保密条件建设方面进一步采取积极有效的措施：

a)进一步加强保密“软件建设”。保密条件建设分为“软件建