保密风险评估.docx

保密风险评估 保密风险评估 风险评估报告 XXXXX 201xx 年xx 月 概述 针对公司主要业务流程进展风险评估，其中包含了涉密信息系统集成业务治理、人力资源治理、资产治理、涉密场所治理等。 评估目的 通过人员访谈、文档审查和实地观察相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险，为保密风险防控措施的落实供给依据。 评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家隐秘法》 《中华人民共和国保守国家隐秘法实旋条例》 《涉密信息系统集成资质治理方法》 评估内容 4。1 人力资源治理风险评估 依据《涉密信息系统集成资质单位保密标准》及公司《安全保密治理制度》中《涉密人员治理制度》中的规定，从人员上岗、在岗、离岗治理三方面分析公司涉密人员治理现状，对公司涉密人员治理的业务流程进展风险评估,识别并评估风险点，进而制定出风险防控措施。 4。1.1 风险级别定义 风险严峻程度级别参考书 级别标识 定义 级别标识 定义 很高 假设被利用，将对资产或业务造成完全损害高 假设被利用,将对资产或业务造成重大损害 中等 假设被利用，将对资产或业务造成一般损害 低 假设被利用,将对资产或业务造成较小损害 很低 假设被利用，将对资产或业务造成的损害可以忽 4.1.2 风险点 对从事涉密业务的人员进展审查，是否符合条件，符合条件的方可将其确定为涉密人员.是否对涉密人员进展培训，并签订保密承诺书前方能上岗. 对涉密人员是否保守国家隐秘,严格遵守各项保密规章制度进展审查, 是否符合以下根本条件： 〔1〕遵纪守法，具有良好的品德,无犯罪记录； (2〕属于公司正式职工，并在其他公司无兼职； 〔3〕社会关系清楚，本人及其配偶为中国境内公民. 审查公司与涉密人员签订的劳动合同或补充协议，是否已签署. 公司在岗涉密人员是否每年参与与保密学问、技能培训,培训的时间应不少于 10 个学时。 公司是否对在岗涉密人员进展定期考核评价。 公司是否向涉密人员发放保密补贴。 公司涉密人员在离岗离职时，是否经公司保密审查，签订保密承诺书， 并按相关保密规定实行脱密期治理。 编号风险点描述 编号 风险点 描述 严峻程度 1 涉密人员资格审 查 对涉密人员进展资格审 查 低 2 涉密人员岗前培训考核 涉密人员培训考核不严格 中等 3 涉密人员教育培训治理 对涉密人员进展与保密技能培训 10 学时 低 4 涉密人员离岗离职治理 对离岗离职涉密人员的保密审查到位 低 5 涉密人员发放保密补贴 对公司涉密人员发放保密补贴审查到位 低 4。1.4 风险防控措施 编 号 风险点 严 防控措施 重程度 1 涉密人员 低 打算人员聘请阶段，确定该人员是否 资格审查 为公司涉密人员；对涉密人员进展社会关系的审查，确定其直系亲属是否均为中国境内公民；假设此人员为前单位离职人员,应和前单位进展确认，确定其在其它单位无兼职 2 涉密人员岗前培训考核 中等 涉密人员经过培训后 ,必需保证考试合格,并与公司签订《公司涉密人员保密责任书》前方能上岗 3 涉密人员教育培训 低 必需严格依据相关规定对涉密人员进展教育培训，必需保证培训学时不低 治理 于 10 学时。公司保密工作领导小组必 须对此项工作进展监视治理。 4 涉密人员离岗离职治理 低 涉密人员离岗离职前 ,保密办公司人员必需对其在岗期间所负责的涉密信息系统集成的信息和资料进展审查， 并确保全部信息资料交回公司保密 办；为躲避人员离职离岗后发生泄密风险,必需和离岗离职的涉密人员签订保密承诺书，并经公司领导批准方能离职离岗。对离岗离职人员实行脱密期治理。 涉密人员 低发放保密 补贴 公司应对涉密人员发放保密补贴。 4。2 资产治理风险评估 依据《涉密信息系统集成资质单位保密标准》及公司《安全保密治理制度》中《涉密载体治理制度》、《信息系统、信息设备和安全保密防护设备设施治理规定》、《资质证书的使用和治理规定》中的规定，从涉密载体治理、信息系统及设备治理及资质证书治理等方面分析公司涉密资产治理现状，对公司涉密资产治理的业务流程进展风险评估，查找风险点，并进展风险防控。 4。2.1 风险级别定义 风险严峻程度级别参考表 级别标识 定义 级别标识 定义 很高 假设被利用，将对主要业务造成完全损害高 假设被利用，将对主要业务造成重大损害中等 假设被利用，将对主要业务造成一般损害 低 假设被利用，将对主要业务造成较小损害 很低 很低 假设被利用，将对主要业务造成的损害可以无视 。2 风险点 审查涉密信息设备是否符合国家保密标准，有密级、编号、责任人标识，并建立治理台帐。 检查涉密信息设备的使用是否符合相关保密规定。制止涉密信息设备 接入互联网及其他公共信息网络；制止涉密信息设备接入内部非涉密