软件开发保密资质保密风险评估报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件开发保密资质保密风险评估报告
保密风险评估报告
编写人:XX
XX网络科技有限公司
年XX月XX日
目录
概述 (3)
1.1背景 (3)
1.2风险评估的依据 (4)
1.3风险评估的目的 (5)
1.4风险评估的措施 (5)
1.风险评估 (8)
2.1涉密人员风险评估 (8)
2.2涉密载体风险评估 (9)
2.3涉密设备风险评估 (11)
2.4涉密场所风险评估 (13)
2.5涉密项目风险评估 (14)
2.5.1招投标风险评估 (14)
2.5.2设计方案风险评估 (16)
2.5.3软件开发设计过程风险评估 (17)
2.5.3.1分保方案使用风险评估 (17)
2.5.3.2第三方软件采购风险评估 (18)
2.5.3.3项目实施风险评估 (18)
2.5.3.4审查验收风险评估 (19)
2.5.3.5项目材料移交风险评估 (19)
2.5.3.6运行维护风险评估 (20)
2.5.3.7项目流程图 (21)
2.持续性改进机制 (24)
3.风险评估小结 (28)
概述
1.1背景
●公司发展历史及现状
海口XXX有限公司于xx年XX月注册成立。注册资金XX万元,公司员工56人。公司成立初期主要业务范围是以系统集成为主,最近两年,主营业务逐渐由系统集成向软件开发转变。
公司也在此期间取得了多项行业相资质: ISO9001:2000质量体系认证;信息系统集成三级资质;软件能力成熟度CMMI3认证,并具备海南省政府及海南省各市县级政府的供应商资格,还是中石化海南炼化和中海油东方石化等能源化工企业的合法供应商。目前公司现经营地址为xxx,拥有办公场地300多平方米,客户遍及政府安监、政府应急,生产制造,能源化工等各大行业和机构,现已成为一家有着深厚技术实力和良好合作支持,以软件开发,系统集成,智能工厂,IT外包等服务为主的综合性IT企业。
●公司人员结构
公司注重团队建设和人才的培养,员工80%以上是本科以上文化程度,技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书,并且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理8人,高级项目经理4人,均具有本行业多年从业经验,并参与了各种大型软件开发项目的设计与实施。公司的技术副总从业17年,独立完多项大型软件项目的设
计开发及管理工作。
●公司所在周边地理环境
风险评估点:
a)公司周边是否有驻外大使馆
b)公司周边是否存在外资企业
c)公司周边是否有商业区
针对风险点的防控措施:我公司位于海口市南海大道国家高新区创业孵化中心,周边不存在驻外大使馆、外资企业及商业区,进出入办公楼均有收发人员管理登记。
●公司内部物理环境
海口XXX有限公司位于XXX,此楼5层有两个入口(各有电梯与应急通道);进入创业孵化中心有安保人员看守,各电梯内装有视频监控系统。从单独的大门入口进入公司。
存在的风险:
a)外来人员随意进出较随意
b)创业孵化中心聚集了多家IT企业,IT企业人员众多、混杂,对
保密信息的安全性造成潜在的安全隐患。
针对存在风险点的防控措施:在公司门口处设立登记处,由专人来负责登记和接待。
1.2风险评估的依据
依据国家保密局发布的《涉密信息系统集成资质保密标准》、BMB17《涉及国家秘密的信息系统分级保护技术要求》、BMB20《涉及国家秘密
的信息系统分级保护管理规范》、BMB23《涉及国家秘密的信息系统分级保护管理规范》
1.3风险评估的目的
保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。
保密风险一词包括了两方面的内涵。其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。因此,要真正领悟企业保密风险的本质,就必须弄清这三个概念及其相互联系。
简单概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。
1.4风险评估的措施
随着信息技术的飞速发展,现代办公设备已经走进了企业的日常工作,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。
保密风险评估,作为企业开展保密工作的前提,能为单位领导准确把握本单位保密工作所面临的风险,进行重点防控提供科学依据。根据对本公司保密状况的分析,认为本公司应当主要从加强保密条件建设方
面进一步采取积极有效的措施:
a)进一步加强保密“软件建设”。保密条件建设分为“软件建设”和“硬件建设”两大类,其中“软件建设”是灵魂,“硬件建设”是基础。加强保密“软件建设”,就是要从根本上进一步强化人员的保密意识,建议有关部门领导要加强教育,统一思想,通过认真学习《保密法》和《保密法实施条例》,切实开展好保密工作的教育与宣传。及时传达贯彻上级保密工作会议精神及保密局文件精神,按照工作要求落实措施,对重点涉密人员进行经常性的保密教育。通过宣传教育,使涉密人员的保密意识明显提高,政治责任感进一步增强。同时,要结合本单位保密工作面临的实际情况,进一步完善本公司《保密制度》,严肃保密工作纪律,发生失密、泄密,视情节轻重、危害大小,依据国家有关保密规定给予批评教育或处分。将保密工作列入重要议事日程,从思想教育入手,将保密工作摆在突出位置。努力做到领导不唱“独角戏”,全员上阵抓保密,及时纠正“关好门、锁好柜、封住嘴、管好件”就能万事大吉的认识偏差,形成人人参与保密的氛围,努力为本单位的安全保密工作筑牢思想上的“防火墙”。
b)进一步加强信息设备的安全建设。随着信息技术的发展,各种高技术信息设备不断涌现,它们在为员工日常工作、学习、训练提供便利的同时,也给保密工作带来了更多挑战。为此,要进一步加强信息设备的安全建设,对一些存在较大安全隐患的设备坚决不能引进使用,使用时要制定严格的使用规则。另外对本单位的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、彻