系统集成项目保密风险评估报告及防控措施XXXXXX有限责任公司1目录1、概述........................................................11.1风险评估的依据.........................................11.2评估的目的.............................................12、常见风险评估及防控措施....................................22.1参与涉密项目人员风险评估..............................22.1.1可能存在的风险点..................................22.2.2风险防控措施......................................22.2涉密载体风险评估.......................................32.2.1可能存在的风险点..................................32.2.2风险防控措施......................................32.3涉密设备风险评估.......................................42.3.1可能存在的风险点..................................52.3.2风险防控措施......................................52.4涉密场所风险评估.......................................62.4.1可能存在的风险点..................................62.4.2风险防控措施......................................63、涉密项目风险评估...........................................83.1招投标风险评估.........................................83.1.1可能存在的风险点..................................83.1.2风险防控措施......................................83.2设计方案风险评估.......................................93.2.1可能存在的风险点..................................93.2.2风险防控措施......................................93.3分包方案使用风险评估.................................103.3.1可能存在的风险点.................................103.3.2风险控制措施.....................................1023.4设备采购风险评估......................................103.4.1可能存在的风险点.................................113.4.2风险控制措施.....................................113.5现场实施风险评估......................................113.5.1可能存在的风险点.................................113.5.2风险防控措施.....................................123.6审查验收风险评估......................................123.6.1可能存在的风险点.................................123.6.2风险防控措施.....................................133.7项目材料移交风险评估.................................133.7.1可能存在的风险点.................................133.7.2风险防控措施.....................................133.8运行维护风险评估......................................133.8.1可能存在的风险点.................................133.8.2风险防控措施.....................................1411、概述1.1风险评估依据《中华人民共和国保守国家秘密法》《涉密信息系统集成资质保密标准》BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》BMB23《涉及国家秘密的信息系统分级保护管理规范》1.2评估目的涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的风险防范控制措施。近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,涉密项目的参与者和实施环境越来越复杂,保密工作面临着一种全新环境,同时所面临的保密形势日益严峻。涉密项目保密风险评估,作为涉密项目,开展保密风险评估,能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险,进行重点防控提供科学依据。22、常见风险评估及防控措施2.1参与涉密项目人员风险评估2.1.1可能存在的风险点项目部组建时人员是否满足涉密人员要求;上岗前是否接受过保密知识培训及考核;是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价表;部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。2.1.2风险防控措施应聘员工应满足公司对涉密人员的聘用标准;上岗必须学习岗位保密业务,且保密知识考核成绩合格;与公司签署保密协议、保密承诺书、保密责任书;员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工的涉密考核内容;保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。涉密人员在离开项目后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理要求。32.2涉密载体风险评估2.2.1可能存在的风险点纸质文件:涉密文件、资料是否有专人管理;涉密文件是否有收发记录;涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;涉密文件是否及时归档,档案目录是否及时更新。电子文件:是否指派专人对涉密电子文件进行管理;制作涉密电子文件时,是否记录使用范围及制作数量;是否在非涉密计算机中传递涉密电子文件;在携带涉密电子文件外出时,是否有专人携带;涉密电子文件是否及时归档;报废的涉密电子文件如何处理。2.2.2风险防控措施纸质文件所有保密文件、文档、材料由项目保密专员统一管理,统一登记并存入密码柜,定期进行清查,避免发生资料泄露或丢失。严禁其他人员随意翻看保密资料,如有其他保密人员要借阅使4用,由保密专员进行登记,写明借阅时间及借阅理由,并保证不拿到涉密办公室以外的地方使用。保密材料严格按保密领导办公室批准的份数印刷,不得擅自多印多留,复印件视同原件管理,复印过程中产生的废纸、废件应及时销毁;在复印材料之前,需由保密办公室管理员登记后方可进行,标明使用理由、复印份数;传递保密材料要有保密措施,传递应专人专送,不得办理无关事项,携带密件不得进入不利于保密的场所;外出工作需携带保密材料的,要经保密工作领导小组批准。保密资料未经许可,不得擅自摘抄、翻印、复印、转借或损坏;一旦造成损失由当事人承担责任。电子文件:指定专人负责项目涉密电子文件的日常管理工作。制作涉密电子文件,应当依照有关文件,规定使用范围及制作数量,并编号记录。传递涉密电子文件,应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。阅读、使用、复制和销毁涉密电子文件,应经保密工作领导小组批准,同时办理登记、签字手续。复制的电子文件视同原件管理。定期对涉密电子文件及载体进行清查、核对,发现问题及时向保密管理办公室汇报。2.3涉密设备风险评估52.3.1可能存在的风险点涉密计算机是否有违规操作;涉密计算机端口是否插过其他存储介质;涉密计算机是否配备三合一防护系统;办公场所自动化设备是否外借使用;涉密计算机及办公场所自动化设备维修、更换、报废如何管理。2.3.2风险防控措施涉密计算机安装主机监控与审计系统进行端口审计;涉密计算机安装江民病毒防护软件,由专人进行病毒软件更新,更新周期不超过15天;每台涉密计算机都配备三合一防护系统,严格控制了计算机内涉密信息的流失;涉密计算机配置10位数以上的密码,由专人统一管理、记载;办公室自动化设备均为涉密办公室处理涉密项目专用,不得外借使用;涉密计算机及办公室自动化设备由保密工作领导小组确定专人使用,机器明确标明使用人姓名并登记入册;使用人发生变化时,报保密工作领导小组审核,审核通过后进行变更;涉密计算机及办公室自动化设备(打印机、刻录机)维修、更换、报废由涉密办公室管理员负责,做好相关登记;维修应由保密领导小组批准后进行;涉密计算机维修应到保密局指定的地点维修,维修前应卸下硬盘等敏感部件,维修后应进行安全检测后方可使用;6更换涉密计算机应事先提交涉密设备变更申请表,写明更换原因,经保密工作领导小组批准后进行。在更换涉密计算机前应卸下硬盘,卸下的硬盘不得在非涉密计算机上使用,硬盘交由涉密办公室保密管理员登记备案;硬盘留存于保密办公室,不得使用、外借;涉密计算机报废不得当作废品出售,在申请报废后先到保密办公室保密管理员处登记,卸下硬盘并由专人上交保密局工作部门进行集中销毁处理,报废涉密计算机应报保密局备案并履行相应的销毁制度。2.4涉密场所风险评估2.4.1可能存在的风险点涉密办公场所内是否存在网络端口;非涉密人员进出涉密办公室是否有记录;涉密办公场所是否按照国家保密局要求配备了门禁系统、防盗报警系统、视频监控系统;涉密人员进出涉密办公室时是否携带相机,手机,录音笔等其它可存储介质。2.4.2风险防控措施由安全保密管理员定期检查涉密办公室的门禁、防盗报警、视频监控等设备的完好状态,确保保密材料安全。非授权人员进出涉密场所,须经公司保密领导小组审批并由授权人员进行全程陪同方可进入,同时建立涉密场所非授权人员进入登记册,对临时进出的人员登记;标明进出时间及事由。7建立视频监控的检查管理机制,公司的安全保卫部门应当定期对视频监控信息进行回看检查,保密办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公室。83、涉密项目风险评估3.1招投标风险评估3.1.1可能存在的风险点投标小组成员是否为涉密人员,是否有保密意识;是否有泄露标底的情况;是否做好投标文件的保密情况;是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况;