涉密业务保密风险评估(模板)1.docxVIP

涉密业务保密风险评估

XXX公司

年月日

目录

一、保密风险评估概述 3

二、保密风险评估工作原则 3

三、实施范围和时间 3

四、保密风险评估工作组织与管理 3

五、保密风险评估工作采取的保密措施 4

六、依据的技术标准、相关法规及文件 5

七、保密风险评估的流程 5

八、保密风险分级和风险确定方法 5

九、风险识别 7

十、保密风险防控措施 7

十一、风险评估总结 9

3

一、保密风险评估概述

根据《涉密信息系统集成资质保密标准》的要求，结合公司实际业务流程和组织机构构成，公司对系统集成业务、人员、资产、场所等主要管理活动组织进行了保密风险评估。各业务部门按照业务流程对保密风险进行识别、分析和评估，提出具体防控措施，风险评估小组将保密标准要求、保密风险防控措施融入到管理制度和业务工作流程中，建立起相应的监督检查机制。

二、保密风险评估工作原则

根据涉密信息系统集成资质单位保密风险评估的总要求，参考保密风险评估的国家规范标准，从风险管理角度，运用科学的定性、定量的风险识别方法，全面的对涉密业务、人员、资产和场所进行分析，准确的分析保密管理中的人员和事件、管理和制度、客观因素和主观能动等方面存在的风险威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地对不同等级的风险点制定出有效的风险防控措施。

三、实施范围和时间

本次保密风险评估的范围为公司涉密信息系统集成业务管理过程中所涉及的相关部门以及相关业务活动。实施时间为xx年xx月xx日。

四、保密风险评估工作组织与管理

根据相关法律法规及公司保密管理制度的规定，公司至少每年组织一次保密风险评估。为确保保密风险评估工作的规范和持续开展，公司成立了保密风险评估小组，分管保密工作负责人任组长，涉密业务部门负责人、相关业务部门负责人、业务骨干和保密办成员为组员。依据公司保密风险评估工作原则和实施方案进行风险识别与评估，制定保密风险防控措施。

涉密业务部门成立以涉密业务部门负责人为组长、业务骨干为组员的保密风险评估小组，根据本部门的业务流程进行保密风险识别与分析，制定保密风险防控措施。

1．开展保密风险评估工作前准备

1)参预风险评估工作的成员(含评估人员)均为公司的涉密人员；2)进行风险评估前培训，提出风险评估实施要求和步骤；

3)保密风险评估的资料作为内部资料妥善管理，不得私自传播、扩散。

4

2.公司保密风险评估小组成员如下：

组长：分管保密工作负责人xx

组员：

副总经理xx

财务总监xx

总经理助理xx

工会主席xx

保密员xx

涉密计算机安全保密管理员xx

涉密计算机安全审计员xx

企业管理部部长xx

人资行政部部长xx

财务部部长xx

保密办副主任xx

研发中心主任xx

副部长xx

3.涉密业务部门风险评估小组成员如下：

组长：xx副部长：xx

组员：研发中心主任xx

实施工程师/部门保密员xx

实施工程师xx

五、保密风险评估工作采取的保密措施

由于保密风险评估工作涉及公司内部的全面管理情况，参预风险评估工作的有关人员均需遵守国家有关保密法规，对风险评估工作中涉及的保密事项，采取相应的保密措施，并承担相应责任。

本次保密风险评估工作的成员(含评估人员)均为公司的涉密人员。

对风险评估工作中需涉及的涉密事项，须明确告知责任人，并进行保密培训。保密风险评估的资料作为内部资料妥善管理，不得私自传播、扩散。

5

六、依据的技术标准、相关法规及文件

GB/P24353-2022《风险管理原则与实施指南》

GB/T27921-2022《风险管理风险评估技术》

GB/P20984-2022《信息安全技术信息安全风险评估规范》

《涉密信息系统集成资质管理办法》

《涉密信息系统集成资质保密标准》

《保密风险评估与防控措施管理制度》

七、保密风险评估的流程

风

风险评估准备

风险威胁度识别风险识别风险概率性识别

确认风险等级和赋值

评估过程文档

风险分析

保持原有的防控措施

风险值计算

否

是否风险点

是

制定和实施风险防控

措施并评估残存风险

评估过程文档

残存风险是否可控

是

实施风险管理

否

评估过程文档

风险评估文件记录

八、保密风险分级和风险确定方法

1.影响程度分级：根据各风险点其安全属性被破坏后对保密管理造成的威胁程度进行分级，分别赋予相应的值。

6

保密风险严重性(S)分级标准

风险影响程

等级定义赋

等级

定义

度描述

不重要，风险后果对保密管理工作造成很小的