《涉密项目保密风险评估及防控措施范文(通用5篇).docx》由会员分享,可在线阅读,更多相关《涉密项目保密风险评估及防控措施范文(通用5篇).docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、涉密项目保密风险评估及防控措施范文(通用5篇)涉密项目保密风险评估及防控措施1一、做好保密风险评估的重要性XXX是专门从事信息工程咨询和监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生
2、漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业操守,避免因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。二、涉密项目监理工作保密重点涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批和运维打下坚实基础,同时也可为承建方在方案设计、涉密改造、系统检测测试、试运行、验收等各阶段提供咨询,确保
3、项目能够按时按质量完成。对于后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制和管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现和解决施工过程中承建单位不安管理规范进
4、行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见
5、的事件可以进行很好的预防。总之,工程监理在涉密信息系统建设的项目非常重要。涉密项目保密风险评估及防控措施2第一章总则第一条为了保守国家秘密和某省某投资集团有限公司(以下简称“集团公司”)的企业秘密,维护国家利益和集团公司利益,保障集团公司投资、经营、管理工作的顺利进行,根据中华人民共和国保密法和有关规定,制定本办法。第二条国家秘密是关系国家的安全和利益,遵照法定程序确定在一定时间内只限一定范围的人员知悉的事项;企业秘密是关系集团公司、所属企业及其子企业的安全和利益,依照一定程序确定,在一定时间内只限一定范围的人员知悉的事项和信息。第三条集团公司所属企业都有维护国家秘密和集团公司企业秘密的责任,
6、集团公司全体员工都有保守国家秘密和企业秘密的义务。第四条集团公司保密工作的主要任务是贯彻执行中华人民共和国保密法及省委、省政府有关保密工作的规定和要求,不断加强保密工作,确保国家秘密和企业秘密的安全,维护集团公司的利益。第五条集团公司保密工作贯彻“突出重点、积极防范、内外有别,既确保国家秘密、企业秘密,又便于各项工作开展”的方针。第六条集团公司综合事务部在集团公司保密委员会统一领导下,具体负责集团公司保守国家秘密和企业秘密的工作,并指导所属企业的保密工作。第二章秘密的范围和密级第七条根据集团公司的企业性质和日常工作的特点,集团公司企业秘密包括下列事项:(一)集团公司的发展战略和发展规划,重大战
7、略部署和投资决策、经营中的秘密事项;(二)集团公司年度计划、未下达的考核及评价指标,未公开的财务数据;(三)集团公司未公开的重大经营决策以及为决策所提供的资料、数据及其他秘密事项;(四)有关集团公司及所属企业重组、兼并、破产、关闭中涉及的秘密事项;(五)集团公司重要投资项目的可行性研究、财务分析及涉及投资项目的其他秘密事项;(六)历年投资、经营、管理活动中形成的重点科技成果,发明创造的关键技术、工艺、参数,重大科研项目的开发规划等秘密事项;(七)集团公司重要会议记录、会议专题报告和重要会议召开之前涉及的秘密事项;(八)人事档案、未公布的人事任免、工资分配、人员奖罚方案等事项;(九)查处重大违纪
8、、审计等案件所涉及的秘密事项;(十)日常工作中形成的,根据省委、省政府的有关规定应当保守的秘密事项。第八条在日常工作中涉及的国家秘密事项,根据有关法律、法规确定。第九条国家秘密和企业秘密按其性质分为绝密、机密、秘密三个等级。第十条属于集团公司企业秘密的文件、资料,应当按规定标明密级。秘密文件、资料密级和保密期限的确定,由经办部门或承办人提出,报集团公司有关领导审批。在办文结束后,交集团公司综合事务部保密室存档。第十一条已归档保存的文件、资料的密级,由保密员根据其内容和保密期限,经有关领导批准后,定期进行调整:(一)凡已批准对外公开或已超过保密期限,不再需要保密的文件、资料,予以解密;(二)凡秘
9、密程度已经降低,但仍要在一定范围或时间内保密的文件、资料,予以降密;(三)凡随时间推移,内容需加以保密或限制使用范围、领域的文件、资料,予以重定密级。第三章保密措施第十二条属于国家秘密的文件、资料和其它物品的制作、收发、传递、使用、复制、保存和销毁,应严格按国家保密工作的规定和程序处理:(一)未经原确定密级的单位确认或者上级机关批准,不得复制、摘转;(二)收发、传递和外出携带,必须按照国家规定程序办理手续后由保密员或集团公司有关领导指定的人员负责,并采取必要的安全措施;(三)必须在保密措施完善的设备或场地中保存。集团公司及所属企业在对外经济往来与合作中需提供的文件、资料,内容如涉及国家秘密的,
10、应按有关法律和法规规定程序办理。第十三条属于集团公司企业秘密范围的文件、资料和其它物品的制作、收发、传递、使用、复制、保存和销毁,应按国家保密工作有关规定和本办法要求处理:(一)未经集团公司有关领导批准,不得复制、摘转;(二)收发、传递和外出携带,由保密员或集团公司领导指定人员负责,并采取必要的安全措施;(三)必须在保密措施完善的设备或场地中保存。集团公司及所属企业在对外经济往来与合作中需提供的文件、资料,内容如涉及集团公司企业秘密的,应按本办法规定程序报请集团公司有关领导或所属企业领导批准。第十四条举行涉及国家秘密或集团公司企业秘密的会议和进行其它具有保密要求的活动,应采取保密措施,并对参加
11、人员进行保密教育,提出具体要求,其正式会议记录由集团公司保密室保存。第十五条集团公司根据需要设专职保密员(机要秘书),负责保密的具体工作。所属企业也必须按规定配置专职或兼职保密员。第十六条专、兼职保密人员必须具备较强的政治责任感、思想水平和专业素质,热爱本职工作,有事业心和进取心。涉密项目保密风险评估及防控措施3本次风险评估报告是根据公司保密委员会办公室20xx年上半年对涉密计算机进行检查后的检查登记表、二级单位组织的包含涉密计算机自查自查登记表等相关资料做出的评估。一、检查情况分析综合保密办检查情况和二级单位自查情况,对照今年下发的涉密计算机单机安全保密策略,经分析发现大部分涉密计算机单机安
12、全保密策略得到了较好的执行,涉密计算机整体安全状况较好,具体表现在:物理安全防护基本到位:涉密计算机无上网记录,物理隔离被严格执行:涉密计算机注册表信息无更改过的痕迹,产生的记录都是安装应用软件时产生的:涉密讲算机上安装的金城数据安全软件运行正常,使用人员和数据的访问控制比较规范:涉密计算机上的软件装控制严格,在安装之前需审批。二、问题与面临的风险这一次保密办检查和单位自查中也暴露出来不少问题,具体表现在:涉密计算机电源滤波防护措施还没有到位:个别涉密计算机硬盘内存储的涉密文件没有按规范的格式做密级标识:部分涉密计算机系统安全漏洞和病毒补丁程序没有及时打上:部分涉密计算机的本地安全策略没有设置
13、到位:部分涉密计算机在安装软件之前没有将要安装的软件在非涉密中间转换机上进行病毒检测。这些暴露出来的问题虽然都比较小,对涉密计算机安全造成的风险也比较小,但是如果不及时加以解决,有可能酿成比较大的安全隐患,应引起我们的高度重视。三、今后应采取的针对性措施针对这些暴露出来的问题,我们应采取以下针对性措施,并在20xx年新版本的涉密计算机单机安全保密策略中加以体现,从而降低涉密计算机安全所面临的风险:1、尽快为涉密计算机配备国家保密行政管理部门批准的滤波电源插座。2、明确责任人对涉密计算机硬盘内存储的涉密文件的密级标识进行规范整理。3、明确要求涉密计算机安装软件之前必须在非涉密中间转换机上进行病毒
14、检测。4、加强对涉密计算机管理员的培训,使其熟练掌握涉密计算机系统安全漏洞和病毒库补丁程序的下载、中间转换刻盘、安装以及安全策略设置。涉密项目保密风险评估及防控措施4一、做好保密风险评估的重要性我公司是专门的秘密载体印制企业,所以,保密工作是重中之重。众所周知,国家秘密一旦泄露,后果不堪设想。为切实有效地保护国家秘密必须事先做好保密风险评估报告,让保密工作有的放矢。随着现代科学技术的发展,信息化程度越来越高,保密工作已成为企业的中心工作之一。在信息化条件下,保密工作既是一项复杂的系统工程,同时也是关系到企业的正常工作是否能够顺利进行的重要因素。保密风险评估是保密工作的重要组成部分。保密风险评估
15、要坚持实事求是的原则,深入调查研究,全面掌握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此基础上提出切实可行的关于风险防范控制措施的建议方案。保密风险一词包括了两方面的内涵。其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的出现与否是一种不确定性随机现象,它可用概率表示出现的可能程度,但不能对出现与否做出确定性判断。从而可知,风险因素、风险事故和影响密切相关,它们构成了企业保密风险存在与否的基本条件。因此,要真正领悟企业保密风险的本质,就必须弄清这三个概念及其相互联系。简单概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。二、首先肯定已有
16、的优良保密措施,并提示要更加自觉地做实做细,发扬光大。在我公司,秘密载体生产场所实行全封闭管理,设置特营原辅料仓库、生产工序、检验包装区、成品仓库、废残次品仓库,共五个独立的工作部门。成立专门的保密管理领导小组(简称保密组)。有关秘密载体的印制工作:包括排版、制版、印刷、检验、包装入库均在封闭的生产场所内进行,使用全国统一的票据防伪专用品,各工序均由保密管理领导小组指定专人负责。1、公司专设保密印刷车间及保密室。涉及保密的印刷资料由保密印刷车间专门承印,并由保密组指定印刷人员专门负责,其他人员未经允许不得入内。2、保密室具备防盗、防火、防潮、防鼠功能;配备防盗门、窗;配备双锁、密码锁铁柜,用于
17、存放保密资料。3、承接印刷国家秘密载体业务时应由专职业务人员按照规定统一编号登记。不准随便互相转手,不准随便抄录或翻印秘密以上文件。4、凡秘密业务,实行数字化管理,生产部下达红票。秘密印刷业务的原稿、样张、打样纸必须数字准确,不得乱放或遗失。如果在生产过程中发现数字缺少,要及时查找并查明原因,同时立即向公司保卫部门报告。在找到丢失品前,有关人员不得离开工作场地,若一时无法找到,须经领导批准后方可离开。5、保密车间、库房在下班前,必须将门室关好锁好,下班后一般不准随便打开工房门。6、工作在保密岗位上的人员是工作的需要、单位的重托,在一定时间一定范围内知悉的保密事项,只能用于生产,不能向外泄露,不
18、得对外从事技术服务。必须妥善保管生产工艺、生产记录及其他各种保密资料,不得丢失泄密,不在报刊杂志上报道保密事项,不得把秘密资料传送到QQ空间、微信朋友圈或微博等。7、职工调离工厂或调岗,应将自己保管的保密资料上交,不得带走或留存。公司可以对其U盘等存储介质进行检查。8、为进一步贯彻落实涉密岗位责任制度,公司正在与涉密员工磋商签订保密协议。9、公司已经召开保密工作会议,对进一步开展保密工作做出全面部署,已经形成会议纪要。10、设计室是保密要害部门。计算机系统由专人管理,配备好防范设施,涉密文件的打印需用专用磁盘由专人负责。11、特营原辅材料的采购,必须根据委托合同,由业务部门按采购计划,报总经理
19、及保密组确认后,下达给采购、仓库、财务等部门执行,以便对特营原辅材料进行监管。12、特营原辅材料存放于专用仓库,有专职仓管员进行日常管理,落实防盗、防火等安全措施,确保物资安全。管。13、公司设立专门的成品仓库,配置专职保管员,要求成品仓库的账簿应记录完整,详细真实,并妥善保14、建立健全秘密载体残次品的管理制度,由专职管理员对废残次品的品种、数量、质量、发生工序及原因等资料做好真实详细的记录,存档保管。15、建立健全监控设施运行记录,对监控记录资料进行妥善保管和存档。16、监控室由专人管理,其他任何人未经允许不得进入。17、监控室专管人员不得擅离岗位,更不得使用监控设施进行游戏、娱乐等活动。
20、18、监控室专管人员要密切观察各布防区域的情况,如发现异常,必须及时汇报。19、一切从事秘密载体印制的员工应无犯罪记录,品德作风正派,并必须如实向人事部门申报本人及家庭详细情况,并交验有关的合法证件。三、存在的风险因素(一)保密工作团队上的问题;1、领导保密意识尚不够敏感;2、保密教育不经常、保密知识缺乏;3、保密组织的任务分工不明、对保密形势的估计不准确;4、专项检查不到位、安全隐患排查不彻底;5、保密员队伍建设还须加强;6、工作思路缺乏创新、工作缺乏协同合作。(二)保密工作环境上的问题:1、可能在设备设施上泄密;2、可能在计算机系统上泄密;3、可能在生产及学习训练过程中泄密;4、职工跳槽频
21、繁;5、在物流中泄密风险较大。涉密项目保密风险评估及防控措施5为了加强对涉密人员、场所、资产和项目管理等危害因素辨识、风险评价以及风险控制,确定重大及不可容忍的风险,采取有效或适当的控制改进措施,把风险降低到最低或控制在可以承受的程度。现将有关事项明确如下:一、中心每年12月份定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估;二、系统集成业务风险评估主要包括严格界定开展的业务类别(是否涉密及涉密等级)、在集成业务开展过程中的保密管理约束机制、对客户的保密指导及培训;三、人员风险评估主要包括对参与涉密系统集成人员的保密管理,按中心保密各项制度规定,进行监督、检查;四、资产风险评估主要包括对中心保密工作开展的各类设备、载体、设施进行定期清点、核对,进行使用或工作是否正常、管理是否完善的检查;五、场所风险评估主要包括场所是否变化、场所防护是否符合要求,人员出入管理是否完善等;六、各业务部门按照业务流程对保密风险进行识别、分析评估,根据评估结果,提出具体防控措施;七、将国家保密法规和标准要求、保密风险防控措施融入到管理制度和业务工作流程中,按照中心保密监督检查制度开展监督检查工作。