《保密风险评估.docx》由会员分享,可在线阅读,更多相关《保密风险评估.docx(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、保密风险评估篇一:保密风险评估报告 保密风险评估报告 一、做好保密风险评估的重要性 我公司是专门的秘密载体印制企业,所以,保密工作是重中之重。 众所周知,国家秘密一旦泄露,后果不堪设想。为切实有效地保护国家秘密必须事先做好保密风险评估报告,让保密工作有的放矢。 随着现代科学技术的发展,信息化程度越来越高,保密工作已成为企业的中心工作之一。在信息化条件下,保密工作既是一项复杂的系统工程,同时也是关系到企业的正常工作是否能够顺利进行的重要因素。 保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存
2、在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。 保密风险一词包括了两方面的内涵。其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。因此,要真正领悟企业保密风险的本质,就必须弄清这三个概念及其相互联系。 简单概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。 二、首先肯定已有的优良保密措施,并提示要更加自觉地做实做细,发扬光大。 在我公司,秘密载体生产场所实行全封闭管理,
3、设置特营原辅料仓库、生产工序、检验包装区、成品仓库、废残次品仓库,共五个独立的工作部门。成立专门的保密管理领导小组(简称保密组)。有关秘密载体的印制工作:包括排版、制版、印刷、检验、包装入库均在封闭的生产场所内进行,使用全国统一的票据防伪专用品,各工序均由保密管理领导小组指定专人负责。 1、公司专设保密印刷车间及保密室。涉及保密的印刷资料由保密印刷车间专门承印,并由保密组指定印刷人员专门负责,其他人员未经允许不得入内。 2、保密室具备防盗、防火、防潮、防鼠功能;配备防盗门、窗;配备双锁、密码锁铁柜,用于存放保密资料。 3、承接印刷国家秘密载体业务时应由专职业务人员按照规定统一编号登记。不准随便
4、互相转手,不准随便抄录或翻印秘密以上文件。 4、凡秘密业务,实行数字化管理,生产部下达红票。秘密印刷业务的原稿、样张、打样纸必须数字准确,不得乱放或遗失。如果在生产过程中发现数字缺少,要及时查找并查明原因,同时立即向公司保卫部门报告。在找到丢失品前,有关人员不得离开工作场地,若一时无法找到,须经领导批准后方可离开。 5、保密车间、库房在下班前,必须将门室关好锁好,下班后一般不准随便打开工房门。 6、工作在保密岗位上的人员是工作的需要、单位的重托,在一定时间一定范围内知悉的保密事项,只能用于生产,不能向外泄露,不得对外从事技术服务。必须妥善保管生产工艺、生产记录及其他各种保密资料,不得丢失泄密,
5、不在报刊杂志上报道保密事项,不得把秘密资料传送到QQ空间、微信朋友圈或微博等。 7、职工调离工厂或调岗,应将自己保管的保密资料上交,不得带走或留存。公司可以对其U盘等存储介质进行检查。 8、为进一步贯彻落实涉密岗位责任制度,公司正在与涉密员工磋商签订保密协议。 9、公司已经召开保密工作会议,对进一步开展保密工作做出全面部署,已经形成会议纪要。 10、设计室是保密要害部门。计算机系统由专人管理,配备好防范设施,涉密文件的打印需用专用磁盘由专人负责。 11、特营原辅材料的采购,必须根据委托合同,由业务部门按采购计划,报总经理及保密组确认后,下达给采购、仓库、财务等部门执行,以便对特营原辅材料进行监
6、管。 12、特营原辅材料存放于专用仓库,有专职仓管员进行日常管理,落实防盗、防火等安全措施,确保物资安全。 13、公司设立专门的成品仓库,配置专职保管员,要求成品仓库的账簿应记录完整,详细真实,并妥善保管。 14、建立健全秘密载体残次品的管理制度,由专职管理员对废残次品的品种、数量、质量、发生工序及原因等资料做好真实详细的记录,存档保管。 15、建立健全监控设施运行记录,对监控记录资料进行妥善保管和存档。 16、监控室由专人管理,其他任何人未经允许不得进入。 17、监控室专管人员不得擅离岗位,更不得使用监控设施进行游戏、娱乐等活动。 18、监控室专管人员要密切观察各布防区域的情况,如发现异常,
7、必须及时汇报。 19、一切从事秘密载体印制的员工应无犯罪记录,品德作风正派,并必须如实向人事部门申报本人及家庭详细情况,并交验有关的合法证件。 三、存在的风险因素 (一)保密工作团队上的问题; 1 、领导保密意识尚不够敏感; 2 、保密教育不经常、保密知识缺乏; 3、 保密组织的任务分工不明、对保密形势的估计不准确 ; 4、专项检查不到位、安全隐患排查不彻底 ; 5、保密员队伍建设还须加强; 6、工作思路缺乏创新、 工作缺乏协同合作。 (二)保密工作环境上的问题: 1、可能在设备设施上泄密; 2、可能在计算机系统上泄密; 3、可能在生产及学习训练过程中泄密; 4、职工跳槽频繁; 5、在物流中泄
8、密风险较大。 四、对主要泄密事故的分析评估 如果企业的核心资料外传,甚至落入竞争对手手中,则企业很可能在竞争中失败。所以,保证企业的核心资料不被泄露是保证企业在竞争激烈市场立足之本。 对于企业重要数据泄密的途径,可以归纳为七点:(1)笔记本电脑等移动终端遗失或失窃;(2)跨部门或跨计算机的数据转移以及外来计算机非法侵入;(3)存储介质随意使用;(4)网络外发程序,如发送电子邮件、QQ信息、微信等;(5)打印、复印以及光盘刻录; (6)数据非法二次转播;(7)OA等移动办公终端对于办公系统的接入。 所以,要有的放矢地开展保密工作,堵塞泄密途径。 五、进一步加强保密工作的措施 近几年来,随着信息技
9、术的飞速发展,现代办公设备逐渐走进了企业的日常工作,保密工作面临着一种全新环境;保密工作面临的形势日益严峻。 保密风险评估,作为企业开展保密工作的前提,能为单位领导准确把握本单位保密工作所面临的风险,进行重点防控提供科学依据。 篇二:保密风险评估报告 保密风险评估报告 一、做好保密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系
10、统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业操守,避免因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。 二、涉密项目监理工作保密重点 涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家
11、标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批和运维打下坚实基础,同时也可为承建方在方案设计、涉密改造、系统检测测试、试 运行、验收等各阶段提供咨询,确保项目能够按时按质量完成。对于后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制和管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信
12、息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催
13、化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见的事件可以进行很好的预防。总之,工程监理在涉密信 息系统建设的项目非常重要。 我公司对信息工程监理工作的主要业务流程如下: 1、 编制监理规划,监理规划是具体指导项目监理服务实施的文件。在收到施工图纸、工程施工合同等与监理工作有关的资料后,总监理工程师组织项目部全体人员研究有关资料,并主持依据监理规划; 2、 监理工作实施过程中,如实际情况或条件发生重大变化需要调整监理规划时,应由总监理工程师
14、组织专业监理工程师研究修改,按报审程序经过批准后报业主单位。 3、 总监理工程师应组织监理人员熟悉设计文件,并对设计文件中存在的问题向业主单位、承建单位提出书面意见和建议。项目监理人员应参加由业主单位组织的设计技术交底会,总监理工程师对设计技术交底会议纪进行签认。 4、 总监理工程师组织专业监理工程师审查承建单位报送的施工组织设计(方案)报审表,提出审查意见,经总监理工程师审核、签认后回复承建单位并报业主单位。 5、 总监理工程师应审查承建单位现场项目管理机构的质量管理体系、技术管理体系和安全保证体系。在上述体系可以保证工程项目施工质量、安全时予以确认。 6、 专业监理工程师应审查承建单位报送
15、的工程开工/复工报审表,确认具备开工条件,由总监理工程师签署意见后回复承建单位并报业主单位。 7、 监理人员参加由业主单位主持召开的第一次工地会议。总监理工程师对施工准备情况提出意见和要求,介绍监理规划主要内容,对监理工作进行交底,以求得工作上的配合。会议纪要由 项目部起草,并经与会各方代表会签。 8、 专业监理工程师将当日工程进展情况和监理所做的工作及时,准确地记在个人监理日记上。项目部的监理日记由总监理工程师或其授权的专人负责编写,编写过程中要充分收集专业监理工程师的意见和记录,该日记由总监理工程师或经其授权的人员在间隔不超过一周内检查并签字。 9、 承建单位在施工过程中出现违反相关规范和
16、法规的行为,未按施工组织设计或施工方案开展施工工作,专业监理工程师签发监理工程师通知单并督促施工单位进行整改。整改完毕后应由承建单位填报监理工程师通知回复单并由专业监理工程师进行复检并签认。 10、 在施工过程中,当承建单位对已批准的施工组织设计进行调整、补充或变动时,应经专业监理工程师审查,并应由总监理工程师签认。对于重点部位、关键工序,专业监理工程师应要求承建单位报送施工方案,审核同意后予以签认。发现施工单位擅自更改施工组织设计或施工方案,并由可能对工程质量造成不良影响时,监理工程师应及时签发监理工程师通知单,必要时签发工程暂停令。 11、 专业监理工程师应对承建单位报送的工程材料/构配件
17、/设备报审表及其质量证明资料进行审核,并对进场的实物进行检查和验收,对于进口设备,专业监理工程师应配合商检局开箱验收。并应按照委托监理合同约定或有关工程质量管理文件规定的比例采用平行检验或见证取样方式进行抽检。对未经监理人员验收或验收不合格的工程材料、构配件、设备,监理人员应拒绝签认,并应签发监理工程师通知单,书面通知 承建单位限期将不合格的工程材料、构配件、设备撤出现场。对承建单位提出紧急放行的要求,在该批材料可以追回的情况下,专业监理工程师应请示总监理工程师后作出相应决定,项目部对该类放行应做特别记录。 12、 总监理工程师安排监理人员对施工过程进行巡视和检查,检查情况记录于个人监理日记或
18、针对工程特点特别设计的实测检查表上。对隐蔽工程的隐蔽过程、下道工序施工完成后难以检查的重点部位,专业监理工程师应根据监理细则中的旁站监理计划安排监理员进行旁站。并根据承建单位报送的隐蔽工程报验申请和自检结果进行现场检查,符合要求予以签认。对未经监理人员验收或验收不合格的工序,监理人员拒绝签认,并要求承建单位严禁下一道工序的施工。 13、 专业监理工程师应对承建单位报送的分项工程质量验评资料进行审核,符合要求后予以签认;总监理工程师应组织监理人员对承建单位报送的分部工程和单位工程质量验评资料进行审核和现场检查,符合要求后予以签认。对施工过程中出现的质量问题,专业监理工程师应及时下达监理工程师通知
19、单,要求承建单位整改,并检查整改结果。 14、 专业监理工程师在进行现场计量的基础上,按施工合同约定的工程量计算规则和支付条款审核工程量清单和工程款支付申请表。审查意见报总监理工程师审定,由总监理工程师签署工程款支付证书,并报业主单位。未经监理人员质量验收合格的工程量,或不符合施工合同规定的工程量,监理人员拒绝计量和该部分的工程款支付申请。 15、 专业监理工程师检查进度计划的实施,并记录实际进度及 篇三:保密风险评估与控制策略 保密风险评估与控制策略 摘 要 针对问题一,首先,本文对军队保密风险的相关因素进行了全面分析,给出军队保密风险的定义,根据军队保密工作的现状和实际,从全面性、协调性和
20、层次性的要求出发,确定了指标体系的原则,建立了递阶层次结构模型;然后,根据每项指标应具有独立性、可量化和通用性的要求,确定军队保密风险评估指标原则,构建了指标;最后,建立了军队保密风险评估指标体系(见图3和表1)。 针对问题二,建立军队保密风险评估和控制策略的数学模型。首先,针对主观赋值法和客观赋值法确定权重系数的缺陷,本文采用了粗糙集理论确定权重系数,按最大隶属度原则,通过多级模糊综合评估模型对被评估对象进行风险评估;然后,运用全寿命周期管理思想,以总成本最小为目标,建立数学规划模型 minG?f?G?f?GQC i?GiYC?GiBC ? 确定被评估对象的风险控制策略;最后,采用调整系数法
21、对模型进行改进。 针对问题三,首先,按照问卷调查法对甲单位控制点数据进行采集,根据构建的分级标准(见表2和表3)对采集的数据进行量化(见表5),得出控制点的风险概率r和风险影响程度s;然后,运用所建立的模型对甲单位存在的保密风险进行综合评估;最后,用蒙特卡罗仿真法验证了该模型的合理性和实用性。 对于问题四,依据模型求出的结果,向甲单位的保密工作主管部门提出了加强“软件建设”、加强军事设施的安全建设、加强信息设备的安全建设和完善保密机制的建议。 关键词:递阶层次结构 多级模糊综合评估 蒙特卡罗仿真法 全寿命周期管理 一、问题重述 随着现代科学技术的发展信息化程度越来越高,军队保密工作已成为部队的
22、中心工作之一。在信息化条件下,军队的保密工作既是一项复杂的系统工程,同时也关系到部队的正常工作是否能够正常顺利进行。 “保密是军队永恒的战斗力,泄密是军队失败的导火索。”军队保密风险评估是军队保密工作的重要组成部分,是促进军队全面发展和保障部队正常建设的有效措施。军队保密风险评估要坚持以科学发展观为指导,深入调查研究,全面掌握军队保密风险因素及其影响,进而准确掌握军队保密工作面临的形势、存在的问题和努力方向。有效控制知悉范围、降低保密负荷、增强保密能力、防范窃密活动、消除泄密隐患、确保秘密安全,这是做好保密工作的基本要求。要实现这一目标,就要对军事秘密存在的风险进行识别、分析和评估,并对客观存
23、在的风险和潜在的风险进行有效的控制与防范。通过对军队保密风险的科学评估,准确把握涉密单位和涉密人员所掌管的秘密面临的风险,为进一步控制保密风险提供科学依据,实现军队保密工作的前馈管理。 请你们结合军队保密管理工作的实际情况,研究解决下列问题: 1.根据军队保密工作的现状和实际,分析研究军队保密风险的相关因素,并确定军队保密风险评估的指标体系。 2.根据评估指标体系,分析说明指标数据的采集和量化处理方法,并建立军队保密风险定量综合评估的数学模型。 3.利用你们的模型,试对某单位的保密工作存在的风险进行综合评估,并说明模型的合理性和实用性。(注:论文中不涉及具体的单位名称) 4.根据你们的模型和应
24、用情况,提出做好保密工作和保密风险的控制策略,并给该单位的保密工作主管部门写一份建议书。 二、模型的假设与符号说明 2.1模型的假设 1假设问卷调查能够如实反映甲单位的保密工作现状。 2假设采用最大隶属度原则有多个值相同时取最严重的等级。 2.2符号说明 U:军队保密风险因素集合; Ui:军队保密风险因素的所包含的第一级指标; uij:军队保密风险因素第二级指标中的子指标,其中j?1,2,?m,m为二级评估指标的个数; V:风险概率和风险影响程度的综合评价集合; vk:风险概率和风险影响程度的评估结果,其中k?1,2,?p,p为评估等级数; r:控制点的风险概率矩阵; s:控制点的风险影响程度
25、矩阵; wi:表示第i个指标在第j级的权重,m为指标的个数; vij:表示第i个指标在第j级的评估值; rij(4):第四级风险指标模糊综合评估中,每个控制点的风险概率,其中j?1,2,?5,为5个风险等级; (4):第四级风险指标模糊综合评估中,每个控制点的风险影响程度,其中j?1,2,?5,sij 为5个风险等级; wi1:第i个控制点的风险概率权重; wi2:第i个控制点的风险影响程度权重; Ri(4):为第四级的判断矩阵,表示每个控制点关于分级标准的隶属关系; Bi(4):第四级的模糊综合评价集; R(3):第三级判断矩阵; Wj(3):第三级指标因素的权重; B( j3):第三级中第
26、j个因素的模糊综合评估; B:风险综合评估集; k1:对控制点风险概率r的调整系数; k2:对控制点风险影响程度s的调整系数; G:军队保密风险全寿命管理的成本; ?G ?GQCi为军队保密风险全寿命管理前期策划阶段有效控制点的成本值; 为军队保密风险全寿命管理运行阶段有效控制点的成本; 为军队保密风险全寿命管理报废处理阶段有效控制点的成本; YCi?GBC i 三、问题分析 3.1 军队保密风险分析 3.1.1 军队保密风险定义 目前,国内外学术界对风险的概念有多种解释和规定,主要观点包括: 1.Williams认为风险概念包括两个方面,即危险事件发生的可能性和它发生时所产生的影响。 2.J
27、aafaril则将项目的风险定义为损失/获益发生的可能性和损失/获益数量的乘积。 3.Williamsetal将风险定义为:在给定情况下和特定时间内可能发生的结果间的差异,这种差异越大,风险就越大。 军队保密风险是一个相对比较新的概念。根据以上风险的定义,现定义军队保密风 险为军队保密工作中危险事件的发生率和潜在威胁发生的可能性,以及发生危险事件对部队正常工作的影响。所谓的潜在威胁是指现在没有发生但是在日后可能会发生的威胁。 军队保密风险一词包括了两方面的内涵。其一,风险意味着会对部队正常的工作带来影响;其二,这种影响出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与
28、否做出确定性判断。从上述可知,风险因素、风险事故和影响密切相关,它们构成了军队保密风险存在与否的基本条件。因此,要真正领悟军队保密风险的本质,就必须弄清这三个概念及相互联系,见图1。 图1 风险因素、风险事故,影响关系图 简单概括而言:风险因素引起风险事故,风险事故导致对部队带来影响。 3.1.2 军队保密风险的特征 风险主要有以下几个特征:客观性、偶然性、复杂性、可变性。 军队保密风险不同于一般的风险,它具有部队自身的特殊情况,所呈现的特征具体如下: 1.广泛性:军队是一个大集体,涉及的单位和人员繁多,军队保密风险的从地域上和范围上都体现出它的广泛性。因此军队保密风险的因素也种类繁多。 2.
29、主观性:军队的基本组成元素是有人员,军队的秘密也是有人员掌控的,人员的思想有很大的不确定性和不稳定性。军队保密风险也有很强的主观性。 3.复杂性:军队保密风险的复杂性可以体现在很多方面,有构成风险的原因,构成风险的因素,风险带来的影响,总之军队保密风险是一个庞大的系统工程。 4.多样性:军队的任务繁多,工作环节复杂,军队秘密的样式很丰富,军队保密风险就具有多样性。 3.1.3 军队保密风险的识别 军队保密风险识别是指通过调查与分析来识别军队保密工作面临和存在的风险。由于风险存在的客观性与普遍性及风险识别的主观性两者之间的差异,使正确识别风险成为风险管理中最重要,也是最困难的工作。风险的识别是一项连续性工作,新技术的应用、新装备的开发、人员的调动等都能改变军队保密工作内外风险的性质和本文来源:网络收集与整理,如有侵权,请联系作者删除,谢谢!第22页 共22页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页第 22 页 共 22 页