风
险
评
估
报
告XXXXX有限公司201xx年xx月
1 概述
针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管
理等。
2 评估目的
通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据。
3 评估依据
《涉密信息系统集成资质单位保密标准》
《中华人民共和国保守国家秘密法》
《中华人民共和国保守国家秘密法实旋条例》
《涉密信息系统集成资质管理办法》
4 评估内容
4.1 人力资源管理风险评估
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定,从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制定出风险防控措施。
4.1.1 风险级别定义
风险严重程度级别参考书
对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗。
对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;
(2)属于公司正式职工,并在其他公司无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。
审查公司与涉密人员签订的劳动合同或补充协议,是否已签署。
公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于10个学时。
公司是否对在岗涉密人员进行定期考核评价。
公司是否向涉密人员发放保密补贴。
公司涉密人员在离岗离职时,是否经公司保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密载体管理制度》、《信息系统、信息设备和安全保密防护设备设施管理规定》、《资质证书的使用和管理规定》中的规定,从涉密载体管理、信息系统及设备管理及资质证书管理等方面分析公司涉密资产管理现状,对公司涉密资产管理的业务流程进行风险评估,查找风险点,并进行风险防控。
4.2.1 风险级别定义
风险严重程度级别参考表
审查涉密信息设备是否符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。
检查涉密信息设备的使用是否符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。
检查涉密信息设备是否采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
检查采购的安全保密产品是否选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。
检查涉密信息打印、刻录等输出是否相对集中、有效控制,并采取相应审计措施。
检查涉密计算机及办公自动化设备是否拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。 检查涉密信息设备的维修,是否在本公司内部进行,是否指定专人全程监督,严禁维修人员读取或复制涉密信息。
检查涉密计算机及移动存储介质携带外出是否履行审批手续,带出前和带回后,是否进行保密检查。
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密信息系统集成场所保密管理规定》中的规定,从场所出入、门禁系统、监控系统、防盗报警系统等方面查看并分析公司涉密场所管理现状,对公司涉密场所管理的业务流程进行风险评估,查找风险点,并进行风险防控。
4.3.1 风险级别定义
风险严重程度级别参考表
公司的涉密办公场所是否固定在相对独立的楼层或区域。
检查公司涉密办公场所是否安装门禁、视频监控、防盗报警等安防系统,是否实行封闭式管理。监控机房是否安排人员值守。
是否建立视频监控的管理检查机制,公司安全保卫部门是否定期对视频监控信息进行回看检查,保密管理办公室是否对执行情况进行监督。视频监控信息保存时间不少于3个月。 检查门禁系统、视频监控系统和防盗报警系统等是否定期检查维护,确保系统处于有效工作状态。
检查公司涉密办公场所是否明确允许进入的人员范围,其他人员进入,是否履行审批、登记手续,是否由接待人员全程陪同。
检查公司是否未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》、《软件开发管理制度》中的相关规定,从软件开发各个里程碑分析公司软件开发香米管理现状,对公司软件开发项目管理的业务流程进行风险评估,查找风险点,并进行风险防控。
由于公司处于资质申请阶段,没有承接涉密相关业务的资格,既不能建设涉密信息系统,故仅能对公司目前的软件开发项目的主要业务流程进行风险评估,查找现有的项目管理业务流程是否与保密管理相融合。
4.4.1 风险级别定义
风险严重程度级别参考表
4.4.2 风险点
检查公司进入委托方现场进行系统集成项目开发、工程施工、运行维护等是否严格执行现场工作制度和流程。
现场项目开发、工程施工、运行维护是否在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入项目现场。
公司是否对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。
一、公司保密工作领导小组对此次保密风险评估的结果负有监督整改的责任。
二、风险级别为“高”的风险点,整改优先级最高。
三、相应责任部门应结合风险评估中的“风险防控措施”,在三个工作日内出具详细的整改计划。整改计划获批后,责任部门应在三个月内做出整改情况总结,并上报公司保密工作领导小组,有领导小组组织公司内审机构对整改情况进行审计。
四、公司内审机构需对本次整改情况进行严格把控,重点审计高风险点的整改情况,对所有风险点的整改情况审计细致到位,整改不合格,公司将实行惩罚机制。
五、公司内审机构将严格按照PDCA模式每季度对以上防控措施及整条业务流程的执行情况进行审计,详细记录审计结果,
对不合格项提出合理化建议,并督促整改,核实整改效果后进入下一周期的内部审计。
推荐访问:部队保密风险评估报告 风险评估 保密