风险评估与管理

保密风险评估与管理

1.保密风险评估的重要性

保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。

简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。

2.风险点及风控措施

1)涉密人员风险评估

可能存在的风险点

a)招聘时人员是否满足涉密人员要求；

b)审核时竞聘人员是否有过犯罪记录，是否为中国公民；

c)上岗前是否接受过保密知识培训及考核；

d)是否与公司签订保密承诺书，保密协议，保密责任书及涉密人

员考核评价考表；

e)部门是否按照公司要求开展保密知识培训，加强部门涉密人员

的保密意识；

f)涉密人员离岗时是否签订离岗保密承诺书，保密工作领导小组

是否对其进行脱密期管理。

●风险防控措施

a)应聘员工应满足公司对涉密人员的聘用标准；

b)上岗必须学习岗位保密业务，且保密知识考核成绩合格；

c)与公司签署保密协议、保密承诺书、保密责任书；

d)员工所在部门领导确认涉密人员考核评级表内容，确认无误后

签字，同时保密领导小组同意签字后，评价表交保密工作领导

小组存档，作为该员工作为涉密人员的考核内容；

e)保密办公室应在年初做好本年度保密知识培训计划及考核计划，

组织涉密人员学习各项保密知识。

f)涉密人员在离岗后，严格遵守公司保密制度，与公司签署离岗

保密承诺书，并严格遵守公司对离岗人员的脱密期管理。

2)涉密载体风险评估

●可能存在的风险点

纸质文件：

a)涉密文件、资料是否有专人管理；

b)涉密文件收发是否有记录，是否有文件丢失、泄露；

c)涉密文件复印、外借是否有登记，是否在记录中标明使用理由、

复印数量及使用人签字；

d)涉密文件借阅是否有登记记录，是否在记录中标明借阅理由、

使用时间、归还时间及借阅人签字；

e)涉密文件是否及时归档，档案目录是否及时更新。

电子文件：

a)是否指派专人对涉密电子文件进行管理；

b)制作涉密电子文件时，是否记录使用范围及制作数量；

c)是否在非涉密计算机中传递涉密电子文件；

d)在携带涉密电子文件外出时，是否有专人携带；

e)涉密电子文件是否及时归档；

f)报废的涉密电子文件如何处理。

风险防控措施

纸质文件

a)所有保密文件、文档、材料由涉密办公室管理员统一管理，统

一登记入密码柜，定期进行清查，避免发生资料泄露及丢失。

严禁其他人员随意翻看保密资料，如有其他保密人员要借阅使用，由涉密办公室管理员进行登记，写明借阅时间及借阅理由，并保证不拿出涉密办公室以外的地方使用。

b)保密材料严格按领导批准的份数印刷，不得擅自多印多留，复

印件视同原件管理，复印过程中产生的废纸、废件应及时销毁；

在复印材料之前，需由涉密办公室管理员登记后进行，标明使用理由、复印份数；

c)传递保密材料要有保密措施，传递应专人专送，不得办理无关

事项，密件不得携入不利于保密的场所；外出工作须携带保密

材料，要经保密工作领导小组批准后进行。

d)对保密资料未经许可，不得擅自摘抄、翻印、复印、转借或损

坏；一旦造成损失由当事人承担责任。

电子文件：

a)指定专人负责本单位涉密电子文件的日常管理工作。

b)制作涉密电子文件，应当依照有关规定文件内，使用范围及制

作数量，并编号记录。

c)传递涉密电子文件，应当履行登记、签收等手续。禁止在任何

非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。

d)阅读、使用、复制和销毁涉密电子文件，应经保密工作领导小

组批准，同时办理登记、签字手续。复制的电子文件视同原件管理。

e)定期对涉密电子文件及载体进行清查、核对，发现问题及时向

保密工作领导小组汇报。

3)涉密设备风险评估

●可能存在的风险点

a)涉密计算机是否有违规操作；

b)涉密计算机端口是否插过其他存储介质；

c)涉密计算机是否配备三合一防护系统；

d)办公室自动化设备是否外借使用；

e)涉密计算机及办公室自动化设备维修、更换、报废如何管理。

●风险防控措施

a)涉密计算机安装了通软主机监控与审计系统V6.0软件进行端

口审计；

b)涉密计算机安装了360杀毒软件，由专人进行病毒软件更新，

更新周期不超过15天；

c)每台涉密计算机都配备了三合一防护系统，严格控制了计算机

内涉密信息的流失；

d)涉密计算机配置了10位数以上的密码，由专人统一管理、记

载；

e)办公室自动化设备均为涉密办公室处理涉密项目专用，不得外

借使用；

f)涉密计算机及办公室自动化设备由保密工作领导小组确认专人

使用，机器明确标识使用人姓名并登记入册；使用人发生变化时，报保密工作领导小组审核，审核通过后进行变更；

g)涉密计算机及办公室自动化设备（打印机、刻录机）维修、更

换、报废由涉密办公室管理员负责，做好相关登记；维修应由保密领导小组批准后进行；

h)涉密计算机维修应到辽宁省保密局指定的地点维修，维修前应

卸下硬盘等敏感部件；维修后应进行安全检测后方可使用；i)更换涉密计算机应事先提交涉密设备变更申请表，写明更换原

因，经保密工作领导小组批准后进行。在更换涉密计算机前应卸下硬盘，卸下的硬盘不得在非涉密计算机上使用，硬盘交由涉密办公室保密管理员登记备；硬盘留存于保密办公室，不得