系统集成项目保密风险评估报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统集成项目保密风险评估报告及防控措施
XXXXXX有限责任公司
目录
1、概述 (1)
1.1 风险评估的依据 (1)
1.2 评估的目的 (1)
2、常见风险评估及防控措施 (2)
2.1 参与涉密项目人员风险评估 (2)
2.1.1 可能存在的风险点 (2)
2.2.2 风险防控措施 (2)
2.2 涉密载体风险评估 (3)
2.2.1 可能存在的风险点 (3)
2.2.2 风险防控措施 (3)
2.3 涉密设备风险评估 (4)
2.3.1 可能存在的风险点 (5)
2.3.2 风险防控措施 (5)
2.4 涉密场所风险评估 (6)
2.4.1 可能存在的风险点 (6)
2.4.2 风险防控措施 (6)
3、涉密项目风险评估 (8)
3.1 招投标风险评估 (8)
3.1.1 可能存在的风险点 (8)
3.1.2 风险防控措施 (8)
3.2 设计方案风险评估 (9)
3.2.1 可能存在的风险点 (9)
3.2.2 风险防控措施 (9)
3.3 分包方案使用风险评估 (10)
3.3.1 可能存在的风险点 (10)
3.3.2 风险控制措施 (10)
3.4 设备采购风险评估 (10)
3.4.1 可能存在的风险点 (11)
3.4.2 风险控制措施 (11)
3.5 现场实施风险评估 (11)
3.5.1 可能存在的风险点 (11)
3.5.2 风险防控措施 (12)
3.6 审查验收风险评估 (12)
3.6.1 可能存在的风险点 (12)
3.6.2 风险防控措施 (13)
3.7 项目材料移交风险评估 (13)
3.7.1 可能存在的风险点 (13)
3.7.2 风险防控措施 (13)
3.8 运行维护风险评估 (13)
3.8.1 可能存在的风险点 (13)
3.8.2 风险防控措施 (14)
1、概述
1.1 风险评估依据
《中华人民共和国保守国家秘密法》
《涉密信息系统集成资质保密标准》
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》
BMB23《涉及国家秘密的信息系统分级保护管理规范》
1.2 评估目的
涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。
近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。
涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的
风险,进行重点防控提供科学依据。
2、常见风险评估及防控措施
2.1 参与涉密项目人员风险评估
2.1.1 可能存在的风险点
➢项目部组建时人员是否满足涉密人员要求;
➢上岗前是否接受过保密知识培训及考核;
➢是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价表;
➢部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;
➢涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。
2.1.2 风险防控措施
➢应聘员工应满足公司对涉密人员的聘用标准;
➢上岗必须学习岗位保密业务,且保密知识考核成绩合格;
➢与公司签署保密协议、保密承诺书、保密责任书;
➢员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工的涉密考核内容;
➢保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。
➢涉密人员在离开项目后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理要求。
2.2 涉密载体风险评估
2.2.1 可能存在的风险点
纸质文件:
➢涉密文件、资料是否有专人管理;
➢涉密文件是否有收发记录;
➢涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;
➢涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;
➢涉密文件是否及时归档,档案目录是否及时更新。
电子文件:
➢是否指派专人对涉密电子文件进行管理;
➢制作涉密电子文件时,是否记录使用范围及制作数量;
➢是否在非涉密计算机中传递涉密电子文件;
➢在携带涉密电子文件外出时,是否有专人携带;
➢涉密电子文件是否及时归档;
➢报废的涉密电子文件如何处理。
2.2.2 风险防控措施
纸质文件
➢所有保密文件、文档、材料由项目保密专员统一管理,统一登记并存入密码柜,定期进行清查,避免发生资料泄露或丢失。
严禁其他人员随意翻看保密资料,如有其他保密人员要借阅使
用,由保密专员进行登记,写明借阅时间及借阅理由,并保证不拿到涉密办公室以外的地方使用。
➢保密材料严格按保密领导办公室批准的份数印刷,不得擅自多印多留,复印件视同原件管理,复印过程中产生的废纸、废件应及时销毁;在复印材料之前,需由保密办公室管理员登记后方可进行,标明使用理由、复印份数;
➢传递保密材料要有保密措施,传递应专人专送,不得办理无关事项,携带密件不得进入不利于保密的场所;外出工作需携带保密材料的,要经保密工作领导小组批准。
➢保密资料未经许可,不得擅自摘抄、翻印、复印、转借或损坏;
一旦造成损失由当事人承担责任。
电子文件:
➢指定专人负责项目涉密电子文件的日常管理工作。
➢制作涉密电子文件,应当依照有关文件,规定使用范围及制作数量,并编号记录。
➢传递涉密电子文件,应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。
➢阅读、使用、复制和销毁涉密电子文件,应经保密工作领导小组批准,同时办理登记、签字手续。复制的电子文件视同原件管理。
➢定期对涉密电子文件及载体进行清查、核对,发现问题及时向保密管理办公室汇报。
2.3 涉密设备风险评估