保密风险评估与管制制度4.doc

保密风险评估与管理制度4

保密风险评估与管理制度

第一条本制度规定了所采用的风险评估方法。通过识别信息资产、风险等级评估，认知公司的风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将风险控制在可接受的水平，保持公司业务持续性发展，以满足管理方针的要求。

第二条本制度适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

第三条技术部负责牵头成立风险评估小组。

第四条风险评估小组每半年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制风险评估计划，确认评估结果，形成《风险评估报告》。

第五条各部门负责部门使用或管理的信息资产的识别和风险评估，并负责部门所涉及的信息资产的具体安全控制工作。

第六条各部门负责人负责部门的信息资产识别。技术部经理负责汇总、校对全公司的信息资产。

第七条技术部负责风险评估的策划。

第八条技术部牵头成立风险评估小组，小组成员至少应该包

含：管理保密部门的成员、重要责任部门的成员。

第九条信息资产

1)软件：应用软件、系统软件和适用程序等。

2)硬件：计算机设备、通讯设备、可移动介质和其他设

备。

3)数据：数据库数据、系统文档、计划、报告、用户手

册、客户配置策略等

4)服务：培训服务、租赁服务、公用设施（能源、电力）。

5)文档：纸质的各种文件、传真、电报、财务报告、发

展计划等

6)人员：人员的资格、技能和经验。

7)其他：组织的声誉、商标、形象。

第十条本公司的资产范围包括：

系统文件、研究信息、用户手册、培训教材、培训操作、培训软件、支持性程序、业务连续性计划、应变安排、审核记录、审核的追踪、归档信息。

第十一条评估程序

本评估应考虑：范围、目的、时间、效果、组织文化、人员

素质以及具体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适应。

第十二条资产属性赋值

资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，机构应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。

第十三条资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失保密性、完整性和可用性，最终还会导致财产损失、市场份额或公司形象的损失。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：

（1）违反了有关法律或（和）规章制度

（2）影响了业务执行

（3）造成了信誉、声誉损失

（4）侵犯了个人隐私

（5）造成了人身伤害

（6）对法律实施造成了负面影响

（7）侵犯了商业机密

（8）违反了社会公共准则

（9）造成了经济损失

（10）破坏了业务活动

（11）危害了公共安全

资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以能够基本反映资产的价值。

第十四条保密性赋值：

第十五条完整性赋值：

第十六条可用性赋值：

保密工作管理办法分析1

中国铁建XXXXXXX集团有限公司

保密工作管理办法

第一章总则

第一条为进一步加强新形势下的保密工作，贯彻落实国家保密法律、法规，维护国家、企业的安全和利益，使保密工作走向规范化、制度化，根据《中共中央关于加强新形势下保密工作的决定》、《中华人民共和国保守国家秘密法》（以下简称《保密法》）、《中华人民共和国保守国家秘密法实施办法》（以下简称《实施办法》）等法律法规，以及中国铁建股份公司有关规定，结合中国铁建港航局集团公司（以下简称集团公司）的实际，制定本规定。

第二条集团公司保密工作实行领导负责制。集团公司及下属各单位党政主要负责同志对本单位保密工作负全面领导责任，分管保密工作的负责同志具体负责本单位保密工作的组织领导。

第二章保密工作机构及其职责

第三条集团公司成立保密委员会，主任由集团公司领导兼任，党委办公室、董事会办公室、办公室负责人任副主任，其他职能部门负责人任委员。

第四条集团公司保密委员会(以下简称集团公司保密委)在集团公司党委和股份公司保密委员会的领导下，负责全公司的保密工作。主要职责是：

(一)贯彻执行国家有关保密法律、法规、规章和股份公司保密委员会的工作部署。

(二)建立健全集团公司保密工作规章制度，组织、监督保密工作制度的实施。

(三)研究审定集团公司产生的国家秘密、企业商业秘密的范围、密级和保密期限；依照有关规定，确定和调整集团公司保密要害部门、部位，制定相关管理规定和防范措施。

(四)加强集团公司保密技术防范能力建设，指导、监督、检查办公设施、通信、计算机信息系统的保密保障制度和设施建设。

(五)加强集团保密机构和队伍建设以及保密教育培训工作，强化全体人员的保密意识，提高相关人员保密工作业务水平。

(六)监督各单位完善保密管理制度、落实防范措施。

(七)定期检查和不定期抽查集团公司保密工作，组织、协调有关单位对失泄密事件进行查处。

(八)按期向集团公司党委和股份公司保密委员会报告工作情况，对保密工作的重大方针、政策问题提出意见和建议。

第五条集团公司保密委下设办公室(以下简称保密办)，设在集团公司党委办公室，负责保密委的日常工作，主要职责是：

(一)起草集团公司有关保密工作文件、材料和有关规章制度。

(二)负责集团公司机关重大节假日前和年终保密工作检查。

(三)拟订全公司保密教育培训计划、总结表彰计划，并负责具体实施。

(四)督促有关单位落实重要会议的保密管理、出国出境前相关人员的保密教育，负责保密要害部门、部位、重点涉密人员的检查考核。