資源描述:
《保密風險評估.pdf》由會員上傳分享,免費在線閱讀�,更多相關內容在教育資源-天天文庫。
1����、風險評估報告XXXXX有限公司201xx年xx月1概述針對公司主要業(yè)務流程進行風險評估,其中包含了涉密信息系統(tǒng)集成業(yè)務管理�、人力資源管理、資產管理���、涉密場所管理等��。2評估目的通過人員訪談����、文檔審查和實地察看相結合的方式查找公司信息系統(tǒng)軟件開發(fā)主要業(yè)務流程的薄弱環(huán)節(jié)和安全隱患���,分析可能面臨的風險,為保密風險防控措施的落實提供依據(jù)��。3評估依據(jù)《涉密信息系統(tǒng)集成資質單位保密標準》《中華人民共和國保守國家秘密法》《中華人民共和國保守國家秘密法實旋條例》《涉密信息系統(tǒng)集成資質管理辦法》4評估內容4.1人力資源管理風險評估根據(jù)
2����、《涉密信息系統(tǒng)集成資質單位保密標準》及公司《安全保密管理制度》中《涉密人員管理制度》中的規(guī)定,從人員上崗、在崗����、離崗管理三方面分析公司涉密人員管理現(xiàn)狀,對公司涉密人員管理的業(yè)務流程進行風險評估���,識別并評估風險點��,進而制定出風險防控措施���。4.1.1風險級別定義風險嚴重程度級別參考書級別標識定義很高如果被利用,將對資產或業(yè)務造成完全損害高如果被利用���,將對資產或業(yè)務造成重大損害中等如果被利用����,將對資產或業(yè)務造成一般損害低如果被利用��,將對資產或業(yè)務造成較小損害很低如果被利用��,將對資產或業(yè)務造成的損害可以忽略4.1.2風險點
3���、?對從事涉密業(yè)務的人員進行審查����,是否符合條件,符合條件的方可將其確定為涉密人員�����。是否對涉密人員進行保密教育培訓���,并簽訂保密承諾書后方能上崗���。?對涉密人員是否保守國家秘密,嚴格遵守各項保密規(guī)章制度進行審查���,是否符合以下基本條件:(1)遵紀守法�����,具有良好的品行�,無犯罪記錄��;(2)屬于公司正式職工��,并在其他公司無兼職���;(3)社會關系清楚����,本人及其配偶為中國境內公民��。?審查公司與涉密人員簽訂的勞動合同或補充協(xié)議��,是否已簽署��。?公司在崗涉密人員是否每年參加保密教育與保密知識���、技能培訓����,培訓的時間應不少于10個學時����。?公司是否
4、對在崗涉密人員進行定期考核評價����。?公司是否向涉密人員發(fā)放保密補貼。?公司涉密人員在離崗離職時��,是否經公司保密審查,簽訂保密承諾書�����,并按相關保密規(guī)定實行脫密期管理���。4.1.3風險分析編號風險點描述嚴重程度1涉密人員資格審對涉密人員進行資格審查低查2涉密人員崗前培涉密人員保密教育培訓考中等訓考核核不嚴格3涉密人員教育培對涉密人員進行保密教育低訓管理與保密技能培訓10學時4涉密人員離崗離對離崗離職涉密人員的保低職管理密審查到位5涉密人員發(fā)放保對公司涉密人員發(fā)放保密低密補貼補貼審查到位4.1.4風險防控措施編風險點嚴重防控
5�����、措施號程度1涉密人員低計劃人員招聘階段���,確定該人員是否為資格審查公司涉密人員;對涉密人員進行社會關系的審查���,確定其直系親屬是否均為中國境內公民��;若此人員為前單位離職人員��,應和前單位進行確認�����,確定其在其它單位無兼職2涉密人員中等涉密人員經過保密教育培訓后��,必須保崗前培訓證考試合格��,并與公司簽訂《公司涉密考核人員保密責任書》后方能上崗3涉密人員低必須嚴格按照相關規(guī)定對涉密人員進行教育培訓教育培訓����,必須保證培訓學時不低于10管理學時���。公司保密工作領導小組必須對此項工作進行監(jiān)督管理�����。4涉密人員低涉密人員離崗離職前�,保密辦公
6�、司人員離崗離職必須對其在崗期間所負責的涉密信息系管理統(tǒng)集成的信息和資料進行審查,并確保所有信息資料交回公司保密辦����;為規(guī)避人員離職離崗后發(fā)生泄密風險,必須和離崗離職的涉密人員簽訂保密承諾書����,并經公司領導批準方能離職離崗。對離崗離職人員實行脫密期管理���。5涉密人員低公司應對涉密人員發(fā)放保密補貼�。發(fā)放保密補貼4.2資產管理風險評估根據(jù)《涉密信息系統(tǒng)集成資質單位保密標準》及公司《安全保密管理制度》中《涉密載體管理制度》、《信息系統(tǒng)�����、信息設備和安全保密防護設備設施管理規(guī)定》���、《資質證書的使用和管理規(guī)定》中的規(guī)定�����,從涉密載體管理
7�����、���、信息系統(tǒng)及設備管理及資質證書管理等方面分析公司涉密資產管理現(xiàn)狀,對公司涉密資產管理的業(yè)務流程進行風險評估�����,查找風險點,并進行風險防控�。4.2.1風險級別定義風險嚴重程度級別參考表級別標識定義很高如果被利用,將對主要業(yè)務造成完全損害高如果被利用��,將對主要業(yè)務造成重大損害中等如果被利用�����,將對主要業(yè)務造成一般損害低如果被利用���,將對主要業(yè)務造成較小損害很低如果被利用,將對主要業(yè)務造成的損害可以忽略4.2.2風險點?審查涉密信息設備是否符合國家保密標準��,有密級����、編號、責任人標識��,并建立管理臺帳�。?檢查涉密信息設備的使用是否
8、符合相關保密規(guī)定���。禁止涉密信息設備接入互聯(lián)網及其他公共信息網絡��;禁止涉密信息設備接入內部非涉密信息系統(tǒng)�;禁止使用非涉密信息設備和個人設備存儲、處理涉密信息����;禁止超越計算機、移動存儲介質的涉密等級存儲�����、處理涉密信息�;禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質;禁止在涉密計算機與非涉密計算機之間共用打印機�����、掃描儀等信息設備����。?檢查涉密信息設備是否采取
