保密风险评估.doc

风 险 评 估 报 告 XXXXX有限公司 201xx年xx月 1 概述 针对公司主要业务流程进行风险评估，其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。 2 评估目的 通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患，分析可能面临的风险，为保密风险防控措施的落实提供依据。 3 评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4 评估内容 4.1 人力资源管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定，从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状，对公司涉密人员管理的业务流程进行风险评估，识别并评估风险点，进而制定出风险防控措施。 4.1.1 风险级别定义 风险严重程度级别参考书 级别标识 定义 很高 如果被利用，将对资产或业务造成完全损害 高 如果被利用，将对资产或业务造成重大损害 中等 如果被利用，将对资产或业务造成一般损害 低 如果被利用，将对资产或业务造成较小损害 很低 如果被利用，将对资产或业务造成的损害可以忽略 4.1.2 风险点 Ø 对从事涉密业务的人员进行审查，是否符合条件，符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训，并签订保密承诺书后方能上岗。 Ø 对涉密人员是否保守国家秘密，严格遵守各项保密规章制度进行审查，是否符合以下基本条件： （1）遵纪守法，具有良好的品行，无犯罪记录； （2）属于公司正式职工，并在其他公司无兼职； （3）社会关系清楚，本人及其配偶为中国境内公民。 Ø 审查公司与涉密人员签订的劳动合同或补充协议，是否已签署。 Ø 公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训，培训的时间应不少于10个学时。 Ø 公司是否对在岗涉密人员进行定期考核评价。 Ø 公司是否向涉密人员发放保密补贴。 Ø 公司涉密人员在离岗离职时，是否经公司保密审查，签订保密承诺书，并按相关保密规定实行脱密期管理。 4.1.3 风险分析 编号 风险点 描述 严重程度 1 涉密人员资格审查 对涉密人员进行资格审查 低 2 涉密人员岗前培训考核 涉密人员保密教育培训考核不严格 中等 3 涉密人员教育培训管理 对涉密人员进行保密教育与保密技能培训10学时 低 4 涉密人员离岗离职管理 对离岗离职涉密人员的保密审查到位 低 5 涉密人员发放保密补贴 对公司涉密人员发放保密补贴审查到位 低 4.1.4 风险防控措施 编号 风险点 严重程度 防控措施 1 涉密人员资格审查 低 计划人员招聘阶段，确定该人员是否为公司涉密人员；对涉密人员进行社会关系的审查，确定其直系亲属是否均为中国境内公民；若此人员为前单位离职人员，应和前单位进行确认，确定其在其它单位无兼职 2 涉密人员岗前培训考核 中等 涉密人员经过保密教育培训后，必须保证考试合格，并与公司签订《公司涉密人员保密责任书》后方能上岗 3 涉密人员教育培训管理 低 必须严格按照相关规定对涉密人员进行教育培训，必须保证培训学时不低于10学时。公司保密工作领导小组必须对此项工作进行监督管理。 4 涉密人员离岗离职管理 低 涉密人员离岗离职前，保密办公司人员必须对其在岗期间所负责的涉密信息系统集成的信息和资料进行审查，并确保所有信息资料交回公司保密办；为规避人员离职离岗后发生泄密风险，必须和离岗离职的涉密人员签订保密承诺书，并经公司领导批准方能离职离岗。对离岗离职人员实行脱密期管理。 5 涉密人员发放保密补贴 低 公司应对涉密人员发放保密补贴。 4.2 资产管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密载体管理制度》、《信息系统、信息设备和安全保密防护设备设施管理规定》、《资质证书的使用和管理规定》中的规定，从涉密载体管理、信息系统及设备管理及资质证书管理等方面分析公司涉密资产管理现状，对公司涉密资产管理的业务流程进行风险评估，查找风险点，并进行风险防控。 4.2.1 风险级别定义 风险严重程度级别参考表 级别标识 定义 很高 如果被利用，将对主要业务造成完全损害 高 如果被利用，将对主要业务造成重大损害 中等 如果被利用，将对主要业务造成一般损害 低 如果被利用，将对主要业务造成较小损害 很低 如果被利用，将对主要业务造成的损害可以忽略 4.2.2 风险点 Ø 审查涉密信息设备是否符合国家保密标准，有密级、编号、责任人标识，并建立管理台帐。 Ø 检查涉密信息设备的使用是否符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络；禁止涉密信息设备接入内部非涉密信息系统；禁止使用非涉密信息设备和个人设备存储、处理涉密信息；禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息；禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质；禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。 Ø 检查涉密信息设备是否采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施，并及时升级病毒和恶意代码样本库，定期进行病毒和恶意代码查杀。 Ø 检查采购的安全保密产品是否选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品，计算机病毒防护产品应当选用公安机关批准的国产产品，密码产品应当选用国家密码管理部门批准的产品。 Ø 检查涉密信息打印、刻录等输出是否相对集中、有效控制，并采取相应审计措施。 Ø 检查涉密计算机及办公自动化设备是否拆除具有无线联网功能的硬件模块，禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。 Ø 检查涉密信息设备的维修，是否在本公司内部进行，是否指定专人全程监督，严禁维修人员读取或复制涉密信息。 Ø 检查涉密计算机及移动存储介质携带外出是否履行审批手续，带出前和带回后，是否进行保密检查。 4.2.3 风险分析 编号 风险点 描述 严重程度 1 涉密载体台账管理 建立涉密载体台账，但台账信息不够完整。 中等 2 涉密载体使用管理 需要接收、交付、传递、保存、销毁涉密载体时，履行了登记手续，但需要维修时，记录不完整，也没有指定的维修厂家。 中等 3 涉密信息设备台账管理 建立信息设备台账，但台账信息不够完整 中等 4 涉密信息设备维修、报废管理 对于涉密设备的维修、报废的审批流程不够清晰 中等 5 涉密信息设备携带管理 涉密计算机携带外出，只履行登记手续，审批流程不完整 中等 6 涉密信息设备管理 涉密计算机与非涉密计算机之间共用打印机、扫描仪 高 4.2.4风险防控措施 编号 风险点 严重问题 防控措施 1 涉密载体台账管理 中等 必须按照要求建立涉密载体台账，明确涉密载体的名称、编号、密级、保密期限等信息。并对涉密载体进行动态管理，及时做好涉密载体的新增、减少等记录。 2 涉密载体使用管理 中等 建立涉密载体的维修商家名录，并对维修商家的资格进行核查，当涉密载体需要维修时，只能送到指定的维修商家进行维修。 3 涉密信息设备台账管理 中等 必须按照要求建立涉密信息设备挑战，明确涉密载体的名称、编号、密级、责任人标识等信息。并对涉密信息设备进行动态管理。及时做好涉密信息设备的新增、减少等记录。 4 涉密信息设备维修、报废管理 中等 建立涉密信息设备的售后商家名录，并对售后商家的资格进行核查，当涉密信息设备需要维修时，只能送到指定的维修商家进行维修。如必须有外来人员进行修理时，应有保密办人员全程陪同，必须指定专人负责，对维修人员、维修对象、维修内容、维修前后状况进行监督并详细记录。涉密信息设备需要报废时，应填写《设备与介质销毁保密审批表》，送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的公司销毁彻，彻底清除其中的涉密信息后，对涉密信息存储部件和介质进行清点、登记、销毁。 5 涉密信息设备携带管理 中等 携带涉密信息设备和介质外出，不能只做登记处理，必须报公司保密工作领导小组批准。未获批携带涉密信息设备外出，公司将对携带人员和保密办公室人员实行惩罚机制；外出时，携带人应严格采取保护措施，介质始终处于有效控制之下，防止出现丢失、被盗、被毁以及泄密等情况。 6 涉密信息设备管理 高 涉密计算机必须单独使用打印机、扫描仪，不能与非涉密计算机之间共用，确保涉密信息打印、刻录等输出相对集中、有效控制，并采取相应审计措施。 4.3 涉密场所管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密信息系统集成场所保密管理规定》中的规定，从场所出入、门禁系统、监控系统、防盗报警系统等方面查看并分析公司涉密场所管理现状，对公司涉密场所管理的业务流程进行风险评估，查找风险点，并进行风险防控。 4.3.1 风险级别定义 风险严重程度级别参考表 级别标识 定义 很高 如果被利用，将对主要业务造成完全损害 高 如果被利用，将对主要业务造成重大损害 中等 如果被利用，将对主要业务造成一般损害 低 如果被利用，将对主要业务造成较小损害 很低 如果被利用，将对主要业务造成的损害可以忽略 4.3.2 风险点 Ø 公司的涉密办公场所是否固定在相对独立的楼层或区域。 Ø 检查公司涉密办公场所是否安装门禁、视频监控、防盗报警等安防系统，是否实行封闭式管理。监控机房是否安排人员值守。 Ø 是否建立视频监控的管理检查机制，公司安全保卫部门是否定期对视频监控信息进行回看检查，保密管理办公室是否对执行情况进行监督。视频监控信息保存时间不少于3个月。 Ø 检查门禁系统、视频监控系统和防盗报警系统等是否定期检查维护，确保系统处于有效工作状态。 Ø 检查公司涉密办公场所是否明确允许进入的人员范围，其他人员进入，是否履行审批、登记手续，是否由接待人员全程陪同。 Ø 检查公司是否未经批准，不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。 4.3.3 风险分析 编号 风险点 描述 严重程度 1 视频监控管理检查机制 管理部门对视频监控信息的回看检查不及时。 中等 2 视频监控、门禁、防盗报警系统管理 对各个安防系统的检查维护不及时，安防系统出现故障才给予维修，造成系统无法有效工作。 中等 3 涉密场所出入管理 对非涉密人员进入涉密场所履行了登记、审批手续，但对进入人员是否随身携带具有录音、录像、拍照、存储、通信功能的设备检查不仔细，增加了涉密资料泄密风险。 高 4.3.4 风险防控措施 编号 风险点 严重程度 防控措施 1 视频监控管理检查机制 中等 严格按照公司《涉密信息系统集成场所保密管理规定》的规定，安排专人对视频监控机房施行24小时值班，值班人员要每天调看视频监控录像，并详细做好《值班登记表》，发现可疑情况，立即向公司分管领导报告，并对查看结果作书面记录。并保证视频监控信息保存时间不得少于3个月。 2 视频监控、门禁、防盗报警系统管理 中等 公司保密办每季度应对集成场所的保密管理工作和安全防护设施进行检查，对安防设施进行维护和检修，发现问题及时整改，并建立检查整改记录。确保制度落实、防护设施运行正常。 3 涉密场所出入管理 中等 将涉密场所相关管理规定张贴在明显处，并对公司人员进行宣贯。进入涉密场所的人员必须由保密办工作人员全程陪同，严禁进入人员以任何方式私自录音、录像和摄影。 4.4 业务流程管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》、《软件开发管理制度》中的相关规定，从软件开发各个里程碑分析公司软件开发香米管理现状，对公司软件开发项目管理的业务流程进行风险评估，查找风险点，并进行风险防控。 由于公司处于资质申请阶段，没有承接涉密相关业务的资格，既不能建设涉密信息系统，故仅能对公司目前的软件开发项目的主要业务流程进行风险评估，查找现有的项目管理业务流程是否与保密管理相融合。 4.4.1 风险级别定义 风险严重程度级别参考表 级别标识 定义 很高 如果被利用，将对主要业务造成完全损害 高 如果被利用，将对主要业务造成重大损害 中等 如果被利用，将对主要业务造成一般损害 低 如果被利用，将对主要业务造成较小损害 4.4.2 风险点 Ø 检查公司进入委托方现场进行系统集成项目开发、工程施工、运行维护等是否严格执行现场工作制度和流程。 Ø 现场项目开发、工程施工、运行维护是否在委托方的监督下进行。未经委托方检查和书面批准，不得将任何电子设备带入项目现场。 Ø 公司是否对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。 4.4.3 风险分析 编号 风险点 描述 严重程度 1 制度执行能力 制定了《软件开发管理制度》及开发工作流程，但执行力度不足。 高 2 项目进程管理 需求开发制度，会发现对用户及产品的需求分析不到位的情况，导致设计成果和用户期望存在一定的差距 中等 3 系统设计阶段，按照开发流程进行了设计准备、确定影响系统设计的约束因素、确定设计策略、系统分解与设计，但撰写体系结构设计文档时不够严谨，无法将软件系统概述、影响设计的约束因素、实际策略、系统总体结构、子系统的结构与模块功能、系统集成策略及开发、测试、运行所需的软硬件环境等内容完整表述。 4.4.4 风险防控措施 编号 风险点 严重程度 防控措施 1 制度执行能力 严重 定期组织部门人员学习《软件开发管理制度》及工作流程，形成培训记录；部门负责人应将制度中的各里程碑的要求落实到位，主管领导和公司内审机构每月对落实情况进行审查，审查不合格，需由部门负责人作出书面说明，并出具整改方案，整改后仍不合格的，公司应实行相应的处罚机制。 2 项目进程管理 中等 需求开发阶段，在首次获得了用户及产品需求后（用户的需求有时只是口头表述，不会形成文档），应主动和用户进行沟通确认，并将初步的需求沟通以文档形式反馈给用户，得到用户初步肯定后，再详细撰写《用户产品需求说明书》 3 中等 系统设计阶段，设计人员应将各里程碑（设计准备、确定影响系统设计的约束因素、确定设计策略、系统分解和设计）的开展情况及成果（包括每一次的设计变更）进行记录，以确保此阶段的输出物《系统设计报告》的完整性、可靠性。 5 整改要求 一、公司保密工作领导小组对此次保密风险评估的结果负有监督整改的责任。 二、风险级别为“高”的风险点，整改优先级最高。 三、相应责任部门应结合风险评估中的“风险防控措施”，在三个工作日内出具详细的整改计划。整改计划获批后，责任部门应在三个月内做出整改情况总结，并上报公司保密工作领导小组，有领导小组组织公司内审机构对整改情况进行审计。 四、公司内审机构需对本次整改情况进行严格把控，重点审计高风险点的整改情况，对所有风险点的整改情况审计细致到位，整改不合格，公司将实行惩罚机制。 五、公司内审机构将严格按照PDCA模式每季度对以上防控措施及整条业务流程的执行情况进行审计，详细记录审计结果，对不合格项提出合理化建议，并督促整改，核实整改效果后进入下一周期的内部审计。