风
险
评
估
报
告
XXXXX有限公司201xx年xx月
1 概述
针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。
2 评估目的
通过人员访谈、文档审查和实地察看相结合的方式查找公司
信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据。
3 评估依据
《涉密信息系统集成资质单位保密标准》
《中华人民共和国保守国家秘密法》
《中华人民共和国保守国家秘密法实旋条例》
《涉密信息系统集成资质管理办法》
4 评估内容
4.1 人力资源管理风险评估
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定,从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制定出风险防控措施。
4.1.1 风险级别定义
风险严重程度级别参考书
级别标识定义
很高如果被利用,将对资产或业务造成完全损害
高如果被利用,将对资产或业务造成重大损害
中等如果被利用,将对资产或业务造成一般损害
低如果被利用,将对资产或业务造成较小损害
很低如果被利用,将对资产或业务造成的损害可以忽略4.1.2 风险点
对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗。
对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;
(2)属于公司正式职工,并在其他公司无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。
审查公司与涉密人员签订的劳动合同或补充协议,是否已签署。
公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于10个学时。
公司是否对在岗涉密人员进行定期考核评价。
公司是否向涉密人员发放保密补贴。
公司涉密人员在离岗离职时,是否经公司保密审查,签订保
密承诺书,并按相关保密规定实行脱密期管理。
4.1.3 风险分析
编号风险点描述严重程度1 涉密人员资格审
查
对涉密人员进行资格审查低
2 涉密人员岗前培
训考核涉密人员保密教育培训考
核不严格
中等
3 涉密人员教育培
训管理对涉密人员进行保密教育
与保密技能培训10学时
低
4 涉密人员离岗离
职管理对离岗离职涉密人员的保
密审查到位
低
5 涉密人员发放保
密补贴对公司涉密人员发放保密
补贴审查到位
低
4.1.4 风险防控措施
编号风险点严重
程度
防控措施
1 涉密人员
资格审查低计划人员招聘阶段,确定该人员是否为公司涉密人员;对涉密人员进行社会关
系的审查,确定其直系亲属是否均为中
国境内公民;若此人员为前单位离职人
员,应和前单位进行确认,确定其在其
它单位无兼职
2 涉密人员
岗前培训
考核中等涉密人员经过保密教育培训后,必须保证考试合格,并与公司签订《公司涉密
人员保密责任书》后方能上岗
3 涉密人员
教育培训
管理低必须严格按照相关规定对涉密人员进行教育培训,必须保证培训学时不低于10
学时。公司保密工作领导小组必须对此
项工作进行监督管理。
4 涉密人员
离岗离职
管理低涉密人员离岗离职前,保密办公司人员必须对其在岗期间所负责的涉密信息系
统集成的信息和资料进行审查,并确保
所有信息资料交回公司保密办;为规避
人员离职离岗后发生泄密风险,必须和
离岗离职的涉密人员签订保密承诺书,
并经公司领导批准方能离职离岗。对离
岗离职人员实行脱密期管理。
5 涉密人员
低公司应对涉密人员发放保密补贴。
发放保密
补贴
4.2 资产管理风险评估
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密载体管理制度》、《信息系统、信息设备和安全保密防护设备设施管理规定》、《资质证书的使用和管理规定》中的规定,从涉密载体管理、信息系统及设备管理及资质证书管理等方面分析公司涉密资产管理现状,对公司涉密资产管理的业务流程进行风险评估,查找风险点,并进行风险防控。
4.2.1 风险级别定义
风险严重程度级别参考表
级别标识定义
很高如果被利用,将对主要业务造成完全损害
高如果被利用,将对主要业务造成重大损害
中等如果被利用,将对主要业务造成一般损害
低如果被利用,将对主要业务造成较小损害
很低如果被利用,将对主要业务造成的损害可以忽略
4.2.2 风险点
审查涉密信息设备是否符合国家保密标准,有密级、编号、
责任人标识,并建立管理台帐。
检查涉密信息设备的使用是否符合相关保密规定。禁止涉密
信息设备接入互联网及其他公共信息网络;禁止涉密信息设
备接入内部非涉密信息系统;禁止使用非涉密信息设备和个
人设备存储、处理涉密信息;禁止超越计算机、移动存储介
质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非
涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机
与非涉密计算机之间共用打印机、扫描仪等信息设备。
检查涉密信息设备是否采取身份鉴别、访问控制、违规外联
监控、安全审计、移动存储介质管控等安全保密措施,并及
时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
检查采购的安全保密产品是否选用经过国家保密行政管理部
门授权机构检测、符合国家保密标准要求的产品,计算机病
毒防护产品应当选用公安机关批准的国产产品,密码产品应
当选用国家密码管理部门批准的产品。
检查涉密信息打印、刻录等输出是否相对集中、有效控制,
并采取相应审计措施。
检查涉密计算机及办公自动化设备是否拆除具有无线联网功
能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
检查涉密信息设备的维修,是否在本公司内部进行,是否指
定专人全程监督,严禁维修人员读取或复制涉密信息。
检查涉密计算机及移动存储介质携带外出是否履行审批手
续,带出前和带回后,是否进行保密检查。
4.2.3 风险分析
编号风险点描述严重
程度
1 涉密载体台
账管理建立涉密载体台账,但台账信息
不够完整。
中等
2 涉密载体使
用管理需要接收、交付、传递、保存、
销毁涉密载体时,履行了登记手
续,但需要维修时,记录不完整,
也没有指定的维修厂家。
中等
3 涉密信息设
备台账管理建立信息设备台账,但台账信息
不够完整
中等
4 涉密信息设
备维修、报废
管理对于涉密设备的维修、报废的审
批流程不够清晰
中等
5 涉密信息设
备携带管理涉密计算机携带外出,只履行登
记手续,审批流程不完整
中等
6 涉密信息设
备管理涉密计算机与非涉密计算机之
间共用打印机、扫描仪
高
4.2.4风险防控措施
编号风险点严重
问题
防控措施
1 涉密载体台
账管理中等必须按照要求建立涉密载体台账,明确涉密载体的名称、编号、密级、保密期
限等信息。并对涉密载体进行动态管理,
及时做好涉密载体的新增、减少等记录。
2 涉密载体使
用管理中等建立涉密载体的维修商家名录,并对维修商家的资格进行核查,当涉密载体需
要维修时,只能送到指定的维修商家进
行维修。
3 涉密信息设
备台账管理中等必须按照要求建立涉密信息设备挑战,明确涉密载体的名称、编号、密级、责
任人标识等信息。并对涉密信息设备进
行动态管理。及时做好涉密信息设备的
新增、减少等记录。
4 涉密信息设
备维修、报
废管理中等建立涉密信息设备的售后商家名录,并对售后商家的资格进行核查,当涉密信
息设备需要维修时,只能送到指定的维
修商家进行维修。如必须有外来人员进
行修理时,应有保密办人员全程陪同,
必须指定专人负责,对维修人员、维修对象、维修内容、维修前后状况进行监督并详细记录。涉密信息设备需要报废时,应填写《设备与介质销毁保密审批表》,送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的公司销毁彻,彻底清除其中的涉密信息后,对涉密信息存储部件和介质进行清点、登记、销毁。
5 涉密信息设
备携带管理中等携带涉密信息设备和介质外出,不能只做登记处理,必须报公司保密工作领导
小组批准。未获批携带涉密信息设备外
出,公司将对携带人员和保密办公室人
员实行惩罚机制;外出时,携带人应严
格采取保护措施,介质始终处于有效控
制之下,防止出现丢失、被盗、被毁以
及泄密等情况。
6 涉密信息设
备管理高涉密计算机必须单独使用打印机、扫描仪,不能与非涉密计算机之间共用,确
保涉密信息打印、刻录等输出相对集中、
有效控制,并采取相应审计措施。
4.3 涉密场所管理风险评估
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密信息系统集成场所保密管理规定》中的规定,从场所出入、门禁系统、监控系统、防盗报警系统等方面
查看并分析公司涉密场所管理现状,对公司涉密场所管理的业务流程进行风险评估,查找风险点,并进行风险防控。
4.3.1 风险级别定义
风险严重程度级别参考表
级别标识定义
很高如果被利用,将对主要业务造成完全损害
高如果被利用,将对主要业务造成重大损害
中等如果被利用,将对主要业务造成一般损害
低如果被利用,将对主要业务造成较小损害
很低如果被利用,将对主要业务造成的损害可以忽略
4.3.2 风险点
公司的涉密办公场所是否固定在相对独立的楼层或区域。
检查公司涉密办公场所是否安装门禁、视频监控、防盗报警
等安防系统,是否实行封闭式管理。监控机房是否安排人员
值守。
是否建立视频监控的管理检查机制,公司安全保卫部门是否
定期对视频监控信息进行回看检查,保密管理办公室是否对
执行情况进行监督。视频监控信息保存时间不少于3个月。
检查门禁系统、视频监控系统和防盗报警系统等是否定期检
查维护,确保系统处于有效工作状态。
检查公司涉密办公场所是否明确允许进入的人员范围,其他
人员进入,是否履行审批、登记手续,是否由接待人员全程
陪同。
检查公司是否未经批准,不得将具有录音、录像、拍照、存
储、通信功能的设备带入涉密办公场所。
4.3.3 风险分析
编号风险点描述严重程度
1 视频监控管
理检查机制管理部门对视频监控信息的回
看检查不及时。
中等
2 视频监控、
门禁、防盗
报警系统管
理对各个安防系统的检查维护不
及时,安防系统出现故障才给予
维修,造成系统无法有效工作。
中等
3 涉密场所出
入管理对非涉密人员进入涉密场所履
行了登记、审批手续,但对进入
人员是否随身携带具有录音、录
像、拍照、存储、通信功能的设
高
备检查不仔细,增加了涉密资料
泄密风险。
4.3.4 风险防控措施
编号风险点严重
程度
防控措施
1 视频监控管
理检查机制中等严格按照公司《涉密信息系统集成场所保密管理规定》的规定,安排专人
对视频监控机房施行24小时值班,
值班人员要每天调看视频监控录像,
并详细做好《值班登记表》,发现可
疑情况,立即向公司分管领导报告,
并对查看结果作书面记录。并保证视
频监控信息保存时间不得少于3个
月。
2 视频监控、
门禁、防盗
报警系统管
理中等公司保密办每季度应对集成场所的
保密管理工作和安全防护设施进行
检查,对安防设施进行维护和检修,
发现问题及时整改,并建立检查整改
记录。确保制度落实、防护设施运行
正常。
3 涉密场所出中等将涉密场所相关管理规定张贴在明
入管理显处,并对公司人员进行宣贯。进入
涉密场所的人员必须由保密办工作
人员全程陪同,严禁进入人员以任何
方式私自录音、录像和摄影。
4.4 业务流程管理风险评估
根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》、《软件开发管理制度》中的相关规定,从软件开发各个里程碑分析公司软件开发香米管理现状,对公司软件开发项目管理的业务流程进行风险评估,查找风险点,并进行风险防控。
由于公司处于资质申请阶段,没有承接涉密相关业务的资
格,既不能建设涉密信息系统,故仅能对公司目前的软件开发项目的主要业务流程进行风险评估,查找现有的项目管理业务流程是否与保密管理相融合。
4.4.1 风险级别定义
风险严重程度级别参考表
级别标识定义
很高如果被利用,将对主要业务造成完全损害
高如果被利用,将对主要业务造成重大损害
中等如果被利用,将对主要业务造成一般损害
低如果被利用,将对主要业务造成较小损害
4.4.2 风险点
检查公司进入委托方现场进行系统集成项目开发、工程施工、运行维护等是否严格执行现场工作制度和流程。
现场项目开发、工程施工、运行维护是否在委托方的监督下
进行。未经委托方检查和书面批准,不得将任何电子设备带
入项目现场。
公司是否对现场项目开发、工程施工、运行维护的工作情况
进行详细记录并存档备查。
4.4.3 风险分析
编号风险点描述严重
程度
1 制度执行
能力制定了《软件开发管理制度》及开发工
作流程,但执行力度不足。
高
2
项目进程
管理需求开发制度,会发现对用户及产品的
需求分析不到位的情况,导致设计成果
和用户期望存在一定的差距
中等
3 系统设计阶段,按照开发流程进行了设
计准备、确定影响系统设计的约束因
素、确定设计策略、系统分解与设计,
但撰写体系结构设计文档时不够严谨,
无法将软件系统概述、影响设计的约束
因素、实际策略、系统总体结构、子系
统的结构与模块功能、系统集成策略及
开发、测试、运行所需的软硬件环境等
内容完整表述。
4.4.4 风险防控措施
编号风险点严重
程度
防控措施
1
制度执行能
力严重定期组织部门人员学习《软件开
发管理制度》及工作流程,形成
培训记录;部门负责人应将制度
中的各里程碑的要求落实到位,
主管领导和公司内审机构每月对
落实情况进行审查,审查不合格,
需由部门负责人作出书面说明,
并出具整改方案,整改后仍不合
格的,公司应实行相应的处罚机
制。
2
项目进程管
理中等需求开发阶段,在首次获得了用户及产品需求后(用户的需求有
时只是口头表述,不会形成文
档),应主动和用户进行沟通确
认,并将初步的需求沟通以文档
形式反馈给用户,得到用户初步
肯定后,再详细撰写《用户产品
需求说明书》
3 中等系统设计阶段,设计人员应将各
里程碑(设计准备、确定影响系
统设计的约束因素、确定设计策
略、系统分解和设计)的开展情
况及成果(包括每一次的设计变
更)进行记录,以确保此阶段的
输出物《系统设计报告》的完整
性、可靠性。
5 整改要求
一、公司保密工作领导小组对此次保密风险评估的结果负有
监督整改的责任。
二、风险级别为“高”的风险点,整改优先级最高。
三、相应责任部门应结合风险评估中的“风险防控措施”,在三个工作日内出具详细的整改计划。整改计划获批后,责任部门应在三个月内做出整改情况总结,并上报公司保密工作领导小
组,有领导小组组织公司内审机构对整改情况进行审计。
四、公司内审机构需对本次整改情况进行严格把控,重点审
计高风险点的整改情况,对所有风险点的整改情况审计细致到
位,整改不合格,公司将实行惩罚机制。
五、公司内审机构将严格按照PDCA模式每季度对以上防控措施及整条业务流程的执行情况进行审计,详细记录审计结果,对不合格项提出合理化建议,并督促整改,核实整改效果后进入下一周期的内部审计。
推荐访问:部队保密风险评估报告 新版 风险评估 保密