2022年保密风险评估 2.pdf
《2022年保密风险评估 2.pdf》由会员分享,可在线阅读,更多相关《2022年保密风险评估 2.pdf(18页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、风险评估报告XXXXX 有限公司201xx 年 xx 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 18 页 - - - - - - - - - 1 概述针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、 人力资源管理、 资产管理、 涉密场所管理等。2 评估目的通过人员访谈、 文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据。3 评估依据涉密信息系统集成资质
2、单位保密标准中华人民共和国保守国家秘密法中华人民共和国保守国家秘密法实旋条例涉密信息系统集成资质管理办法4 评估内容4.1 人力资源管理风险评估根据涉密信息系统集成资质单位保密标准及公司 安全保密管理制度 中涉密人员管理制度中的规定, 从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制定出风险防控措施。4.1.1 风险级别定义名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 18 页 - - - -
3、- - - - - 风险严重程度级别参考书级别标识定义很高如果被利用,将对资产或业务造成完全损害高如果被利用,将对资产或业务造成重大损害中等如果被利用,将对资产或业务造成一般损害低如果被利用,将对资产或业务造成较小损害很低如果被利用,将对资产或业务造成的损害可以忽略4.1.2 风险点对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗。对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件:(1)遵纪守法,具有良好的品行,无犯罪记录;(2)属于公司正式职工,并在其他公司无兼职;(3)
4、社会关系清楚,本人及其配偶为中国境内公民。审查公司与涉密人员签订的劳动合同或补充协议,是否已签署。公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于10 个学时。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 18 页 - - - - - - - - - 公司是否对在岗涉密人员进行定期考核评价。公司是否向涉密人员发放保密补贴。公司涉密人员在离岗离职时,是否经公司保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。4.1.3 风险分析编号风险
5、点描述严重程度1 涉密人员资格审查对涉密人员进行资格审查低2 涉密人员岗前培训考核涉密人员保密教育培训考核不严格中等3 涉密人员教育培训管理对涉密人员进行保密教育与保密技能培训10 学时低4 涉密人员离岗离职管理对离岗离职涉密人员的保密审查到位低5 涉密人员发放保密补贴对公司涉密人员发放保密补贴审查到位低4.1.4 风险防控措施编号风险点严重程度防控措施名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 18 页 - - - - - - - - - 1 涉 密 人 员资格审查
6、低计划人员招聘阶段,确定该人员是否为公司涉密人员;对涉密人员进行社会关系的审查,确定其直系亲属是否均为中国境内公民;若此人员为前单位离职人员,应和前单位进行确认,确定其在其它单位无兼职2 涉 密 人 员岗 前 培 训考核中等涉密人员经过保密教育培训后,必须保证考试合格,并与公司签订公司涉密人员保密责任书后方能上岗3 涉 密 人 员教 育 培 训管理低必须严格按照相关规定对涉密人员进行教育培训,必须保证培训学时不低于10学时。公司保密工作领导小组必须对此项工作进行监督管理。4 涉 密 人 员离 岗 离 职管理低涉密人员离岗离职前,保密办公司人员必须对其在岗期间所负责的涉密信息系统集成的信息和资料
7、进行审查,并确保所有信息资料交回公司保密办;为规避人员离职离岗后发生泄密风险,必须和离岗离职的涉密人员签订保密承诺书,并经公司领导批准方能离职离岗。对离岗离职人员实行脱密期管理。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 18 页 - - - - - - - - - 5 涉 密 人 员发 放 保 密补贴低公司应对涉密人员发放保密补贴。4.2 资产管理风险评估根据涉密信息系统集成资质单位保密标准及公司 安全保密管理制度中涉密载体管理制度、 信息系统、信息设备和安全保密防
8、护设备设施管理规定、资质证书的使用和管理规定中的规定,从涉密载体管理、信息系统及设备管理及资质证书管理等方面分析公司涉密资产管理现状,对公司涉密资产管理的业务流程进行风险评估,查找风险点,并进行风险防控。4.2.1 风险级别定义风险严重程度级别参考表级别标识定义很高如果被利用,将对主要业务造成完全损害高如果被利用,将对主要业务造成重大损害中等如果被利用,将对主要业务造成一般损害低如果被利用,将对主要业务造成较小损害很低如果被利用,将对主要业务造成的损害可以忽略4.2.2 风险点审查涉密信息设备是否符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。名师资料总结 - - -精品资料欢迎下
9、载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 18 页 - - - - - - - - - 检查涉密信息设备的使用是否符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。检查涉密信息设备是否采取身份鉴别、访问控制、违规外联监控、安
10、全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。检查采购的安全保密产品是否选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。检查涉密信息打印、刻录等输出是否相对集中、有效控制,并采取相应审计措施。检查涉密计算机及办公自动化设备是否拆除具有无线联网功能的硬件模块, 禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。检查涉密信息设备的维修,是否在本公司内部进行,是否指名师资料总结 - - -精品资料
11、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 18 页 - - - - - - - - - 定专人全程监督,严禁维修人员读取或复制涉密信息。检查涉密计算机及移动存储介质携带外出是否履行审批手续,带出前和带回后,是否进行保密检查。4.2.3 风险分析编号风险点描述严重程度1 涉密载体台账管理建立涉密载体台账, 但台账信息不够完整。中等2 涉密载体使用管理需要接收、交付、传递、保存、销毁涉密载体时, 履行了登记手续, 但需要维修时, 记录不完整,也没有指定的维修厂家。中等3 涉密信息设备台账管理建立信息设
12、备台账, 但台账信息不够完整中等4 涉密信息设备维修、报废管理对于涉密设备的维修、 报废的审批流程不够清晰中等5 涉密信息设备携带管理涉密计算机携带外出, 只履行登记手续,审批流程不完整中等6 涉密信息设备管理涉密计算机与非涉密计算机之间共用打印机、扫描仪高名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 18 页 - - - - - - - - - 4.2.4风险防控措施编号风险点严重问题防控措施1 涉密载体台账管理中等必须按照要求建立涉密载体台账,明确涉密载体的名称、编
13、号、密级、保密期限等信息。 并对涉密载体进行动态管理,及时做好涉密载体的新增、减少等记录。2 涉密载体使用管理中等建立涉密载体的维修商家名录,并对维修商家的资格进行核查,当涉密载体需要维修时,只能送到指定的维修商家进行维修。3 涉密信息设备台账管理中等必须按照要求建立涉密信息设备挑战,明确涉密载体的名称、编号、密级、责任人标识等信息。并对涉密信息设备进行动态管理。及时做好涉密信息设备的新增、减少等记录。4 涉密信息设备维修、报废管理中等建立涉密信息设备的售后商家名录,并对售后商家的资格进行核查,当涉密信息设备需要维修时,只能送到指定的维修商家进行维修。如必须有外来人员进行修理时,应有保密办人员
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年保密风险评估 2022 保密 风险 评估
限制150内