《保密风险评估与管理Word版》由会员分享,可在线阅读,更多相关《保密风险评估与管理Word版(24页珍藏版)》请在金锄头文库上搜索。
1、传播优秀Word版文档 ,希望对您有帮助,可双击去除!保密风险评估与管理1. 保密风险评估的重要性保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。保密风险一词包括了两方面的内涵。其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。简单概
2、括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。2. 风险点及风控措施1) 涉密人员风险评估l 可能存在的风险点a) 招聘时人员是否满足涉密人员要求;b) 审核时竞聘人员是否有过犯罪记录,是否为中国公民;c) 上岗前是否接受过保密知识培训及考核;传播优秀Word版文档 ,希望对您有帮助,可双击去除!d) 是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价考表;e) 部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识;f) 涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行脱密期管理。l 风险防控措施a) 应聘员工应满足公司对涉密人员的聘
3、用标准;b) 上岗必须学习岗位保密业务,且保密知识考核成绩合格;c) 与公司签署保密协议、保密承诺书、保密责任书;d) 员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字,同时保密领导小组同意签字后,评价表交保密工作领导小组存档,作为该员工作为涉密人员的考核内容;e) 保密办公室应在年初做好本年度保密知识培训计划及考核计划,组织涉密人员学习各项保密知识。f) 涉密人员在离岗后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期管理。2) 涉密载体风险评估l 可能存在的风险点传播优秀Word版文档 ,希望对您有帮助,可双击去除!纸质文件:a) 涉密文件、资料
4、是否有专人管理;b) 涉密文件收发是否有记录,是否有文件丢失、泄露;c) 涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;d) 涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;e) 涉密文件是否及时归档,档案目录是否及时更新。电子文件:a) 是否指派专人对涉密电子文件进行管理;b) 制作涉密电子文件时,是否记录使用范围及制作数量;c) 是否在非涉密计算机中传递涉密电子文件;d) 在携带涉密电子文件外出时,是否有专人携带;e) 涉密电子文件是否及时归档;f) 报废的涉密电子文件如何处理。l 风险防控措施纸质文件a) 所有保密文件
5、、文档、材料由涉密办公室管理员统一管理,统一登记入密码柜,定期进行清查,避免发生资料泄露及丢失。严禁其他人员随意翻看保密资料,如有其他保密人员要借阅使用,由涉密办公室管理员进行登记,写明借阅时间及借阅理由,并保证传播优秀Word版文档 ,希望对您有帮助,可双击去除!不拿出涉密办公室以外的地方使用。b) 保密材料严格按领导批准的份数印刷,不得擅自多印多留,复印件视同原件管理,复印过程中产生的废纸、废件应及时销毁;在复印材料之前,需由涉密办公室管理员登记后进行,标明使用理由、复印份数;c) 传递保密材料要有保密措施,传递应专人专送,不得办理无关事项,密件不得携入不利于保密的场所;外出工作须携带保密
6、材料,要经保密工作领导小组批准后进行。d) 对保密资料未经许可,不得擅自摘抄、翻印、复印、转借或损坏;一旦造成损失由当事人承担责任。电子文件:a) 指定专人负责本单位涉密电子文件的日常管理工作。b) 制作涉密电子文件,应当依照有关规定文件内,使用范围及制作数量,并编号记录。c) 传递涉密电子文件,应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。d) 阅读、使用、复制和销毁涉密电子文件,应经保密工作领导小组批准,同时办理登记、签字手续。复制的电子文件视同原件管理。传播优秀Word版文档 ,希望对您有帮助,可双击去除!e) 定期对涉密电子文
7、件及载体进行清查、核对,发现问题及时向保密工作领导小组汇报。3) 涉密设备风险评估l 可能存在的风险点a) 涉密计算机是否有违规操作;b) 涉密计算机端口是否插过其他存储介质;c) 涉密计算机是否配备三合一防护系统;d) 办公室自动化设备是否外借使用;e) 涉密计算机及办公室自动化设备维修、更换、报废如何管理。l 风险防控措施a) 涉密计算机安装了通软主机监控与审计系统V6.0软件进行端口审计;b) 涉密计算机安装了360杀毒软件,由专人进行病毒软件更新,更新周期不超过15天;c) 每台涉密计算机都配备了三合一防护系统,严格控制了计算机内涉密信息的流失;d) 涉密计算机配置了10位数以上的密码
8、, 由专人统一管理、记载;e) 办公室自动化设备均为涉密办公室处理涉密项目专用,不得外借使用;f) 涉密计算机及办公室自动化设备由保密工作领导小组确认专人使用,传播优秀Word版文档 ,希望对您有帮助,可双击去除!机器明确标识使用人姓名并登记入册;使用人发生变化时,报保密工作领导小组审核,审核通过后进行变更;g) 涉密计算机及办公室自动化设备(打印机、刻录机)维修、更换、报废由涉密办公室管理员负责,做好相关登记;维修应由保密领导小组批准后进行;h) 涉密计算机维修应到黑龙江省保密局指定的地点维修,维修前应卸下硬盘等敏感部件;维修后应进行安全检测后方可使用;i) 更换涉密计算机应事先提交涉密设备
9、变更申请表,写明更换原因,经保密工作领导小组批准后进行。在更换涉密计算机前应卸下硬盘,卸下的硬盘不得在非涉密计算机上使用,硬盘交由涉密办公室保密管理员登记备;硬盘留存于保密办公室,不得使用、外借;j) 涉密计算机报废不得当作废品出售,在申请报废后先到涉密办公室保密管理员处登记,卸下硬盘并由专人上交黑龙江省国家保密局工作部门进行集中销毁处理,报废涉密计算机应报黑龙江省国家保密局备案。4) 涉密场所风险评估l 可能存在的风险点a) 涉密办公室内是否存在网络端口;b) 非涉密人员进出涉密办公室是否有记录;传播优秀Word版文档 ,希望对您有帮助,可双击去除!c) 涉密办公室是否按照黑龙江省国家保密局
10、要求配备了门禁系统、防盗报警系统、视频监控系统;d) 涉密人员进出涉密办公室时是否携带相机,手机,录音笔等其它可存储介质。l 风险防控措施a) 由安全保密管理员定期检涉密办公室的门禁、防盗报警、监控等设备的完好状态,确保保密材料安全。b) 非授权人员进出入涉密场所,须经公司保密领导小组审批并由授权人员进行陪同方可进入,同时建立涉密场所非授权人员进入登记册,对临时进出的人员记录登记;标明进出入时间及事由。c) 建立视频监控的管理检查机制,公司的安全保卫部门应当定期对视频监控信息进行回看检查,保密办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。d) 未经批准,不得将具有录音、录像、
11、拍照、存储、通信功能的设备带入涉密办公室。5) 涉密项目风险评估A. 招投标风险评估l 可能存在的风险点a) 投标小组成员是否为涉密人员,是否有保密意识;b) 是否有泄露标底的情况;传播优秀Word版文档 ,希望对您有帮助,可双击去除!c) 是否做好投标文件的保密情况;d) 是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况;e) 评标机构是否做好保密工作。l 风险防控措施a) 投标小组成员必须为涉密人员,必须与公司签署保密协议,保密承诺书及保密责任书后方可进入小组。b) 标底作为评标的主要依据,是工程招标保密工作的重中之重,标底如果泄露可能会导致工程招标成本的提高。因此,投标小组应加
12、强对标书的保密管理,涉及记载标底的文件不能随意摆放,应视同保密材料一样保管于涉密办公室。c) 投标文件是投标人的商业秘密。既然投标人信任招标代理机构,招标代理机构也应把投标人递交的投标文件保存好。因此,招标代理机构有义务对投标文件进行保密,以避免投标人遭受损失。由专人负责对投标文件的管理,没有保密工作领导小组领导的允许,除投标小组成员外,其他人员不得翻阅投标文件。d) 对每一个投标单位的资格预审应当单独进行。资格预审结束后,招标人应当对资格预审合格的单位名单予以保密,并以书面或电话的方式单独通知每一个报名单位其是否通过资格预审。传播优秀Word版文档 ,希望对您有帮助,可双击去除!e) 招标人
13、根据工程招标项目的具体情况,可以组织潜在投标人踏勘项日现场。由于保密问题的存在,招标人不能同时组织所有潜在投标人进行现场踏勘。招标人可以制定现场踏勘的时间安排表,然后分别组织潜在投标人进行踏勘。B. 设计方案风险评估l 可能存在的风险点a) 设计人员是否为涉密人员,是否有保密意识;b) 涉密人员素质是否良好,是否会泄露设计方案;c) 办公环境是否满足涉密资质标准要求;d) 使用设备是否为涉密设备,是否满足标准;e) 是否在非涉密计算机上传递涉密项目信息。l 风险防控措施a) 在整个设计过程中,应确定领导小组组织结构,严格按照班组成员划分岗位职责,严谨杜绝滥用职权、擅离职守、推卸责任等情况的出现
14、。加强领导保密意识培训,起好带头表率作用。在设计过程中保密意识应随时体现在工作中,从现场的勘察、资料的整理、汇总、后期资料的加工、方案的修改、资料的传输、最终方案的保存等都应该时刻提高保密意识,加强保密管理。b) 方案设计小组成员必须经过严格筛选,参加保密培训及考核传播优秀Word版文档 ,希望对您有帮助,可双击去除!合格后方能上岗。在工作中时刻注意警惕自己是涉密人员,增强保密意识。c) 在设计过程中对现在勘察时对周边环境应仔细查找风险点,避免一切安全隐患的发生,不满足要求的及时整改。后期资料整合。方案编写都应该在涉密办公室进行,防止涉密信息外漏。d) 方案设计过程中所应用到的所有设备设施必须
15、为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带,方案编写必须在涉密办公室内进行,如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行,保密领导小组组长同意方可。e) 必须在涉密计算机上处理涉密项目,不允许在非涉密计算机上处理或传递涉密项目信息。也不允许将涉密信息通过任何方式拷贝、复印拿出涉密办公室。C. 系统集成过程风险评估(1) 分保方案使用风险评估l 可能存在的风险点a) 在现场使用时,信息是否产生泄露;b) 涉密人员是否将图纸存放与他人手里或放在施工现场,导致项目设计方案泄露。l 风险控制措施传播优秀Word版文档 ,希望对您有帮助,可双击去除!a) 加强涉密人员保密意识;b) 涉密项目前期设计需由专人在涉密计算机上进行编写,并用光盘进行信息存储,并由委托方指定人员进行交接。不得将光盘存于他人手中或施工现场。c) 严禁使用外网计算机查询任何涉密项目信息,涉密项目方案的制定均应在涉密办公室内的涉密计算机上进行编写。(2) 设备采购风险评估l 可能存在的风险点a) 工程建设周期导致从投标到采购的周期过长,存在供应商库存风险和技术偏离风险;b) 市场信息不够完全、充分、透明,供应商在一定