《公司保密风险评估报告.docx》由会员分享,可在线阅读,更多相关《公司保密风险评估报告.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、公司保密风险评估报告一、做好保密风险评估的重要性XXX 是特地从事信息工程询问和监理业务的企业,主要面对政府机关、行政事业单位及大型企业供给信息化建设询问工作,并供给工程实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,转变原有工作方式及业务流程,极大的提高工作效率,更好的效劳于社会。这些众多业务应用系统中或多或少会涉及到不同级别的隐秘,因此,信息化下的保密工作格外重要。对于我公司来说,如何在工程询问过程,为用户供给的解决方案能够到达保密的要求;在工程监理工作中,避开工程实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业
2、操守,避开因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。二、涉密工程监理工作保密重点涉密信息系统工程建设过程中监理的作用主要表达在:发挥工程监理的询问效劳功能;发挥工程监理对工程工程的治理作用。对于前者,工程监理可以向建设方供给关于涉密信息系统工程建设预备和过程中相关的国家标准及标准供给询问,也可以帮助建设方完善安全保密治理体系及相关制度的建设,为工程的测评、审批和运维打下坚实根底,同时也可为承建方在方案设计、涉密改造、系统检测测试、试运行、验收等各阶段供给询问,确保工程能够按时按质量完成。对于后者而言,由于涉密信息工程涉
3、及的业务内容繁多,过程较长,一些不按要求进展工作从而引起一些不行预见的影响工程进度的状况出 现,大大的增加了工程建设的简单性。此时,工程监理的重要性就表达出来了,工程监理依据治理标准对涉密信息系统进展监视、掌握和治理,严格依据施工流程掌握,并标准过程文档,协调各组织的关系, 准时觉察、妥当处理施工过程中消灭的问题就显的格外重要。工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的治理标准和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速觉察和解决施工过程中承建单位担忧治理标准进展的影响工程进度、质量的一系列行为。同时工程监理作为
4、独立的第三方,有利于涉密工程工程依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进展协调处理,避开与监理工程的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不依据法律、科学、标准、阅历、技术要求来办事的弊端。工程监理在涉密信息系统工程建设中是不行或缺的一个重要角 色,监理在工程建设中的作用,就好比化学反响中的催化剂,不仅可以很好的促进工程向更好的方向进展,同时也可以抑制其向不利于工程工程进展的方向进展。缺乏监理的状况下,就会不行避开的消灭各种可能会影响工程进度、质量及安全的大事,在有监理的状况下,对于那些可预见的大事可以进展很好的预防。总之,工程监理在涉密信息
5、系统建设的工程格外重要。我公司对信息工程监理工作的主要业务流程如下:1、编制监理规划,监理规划是具体指导工程监理效劳实施的文件。在收到施工图纸、工程施工合同等与监理工作有关的资料后,总监理工程师组织工程部全体人员争论有关资料,并主持依据监理规划;2、监理工作实施过程中,照实际状况或条件发生重大变化需要调整监理规划时,应由总监理工程师组织专业监理工程师争论修改,按报审程序经过批准后报业主单位。3、总监理工程师应组织监理人员生疏设计文件,并对设计文件中存在的问题向业主单位、承建单位提出书面意见和建议。工程监理人员应参与由业主单位组织的设计技术交底会,总监理工程师对设计技术交底会议纪进展签认。4、总
6、监理工程师组织专业监理工程师审查承建单位报送的施工组织设计(方案)报审表,提出审查意见,经总监理工程师审核、签认后回复承建单位并报业主单位。5、总监理工程师应审查承建单位现场工程治理机构的质量治理体系、技术治理体系和安全保证体系。在上述体系可以保证工程工程施工质量、安全时予以确认。6、专业监理工程师应审查承建单位报送的工程开工/复工报审表,确认具备开工条件,由总监理工程师签署意见后回复承建单位并报业主单位。7、监理人员参与由业主单位主持召开的第一次工地会议。总监理工程师对施工预备状况提出意见和要求,介绍监理规划主要内容,对监理工作进展交底,以求得工作上的协作。会议纪要由工程部起草,并经与会各方
7、代表会签。8、专业监理工程师将当日工程进展状况和监理所做的工作准时, 准确地记在个人监理日记上。工程部的监理日记由总监理工程师或其授权的专人负责编写,编写过程中要充分收集专业监理工程师的意见和记录,该日记由总监理工程师或经其授权的人员在间隔不超过一周内检查并签字。9、承建单位在施工过程中消灭违反相关标准和法规的行为,未按施工组织设计或施工方案开展施工工作,专业监理工程师签发监理工程师通知单并催促施工单位进展整改。整改完毕后应由承建单位填报监理工程师通知回复单并由专业监理工程师进展复检并签认。10、 在施工过程中,当承建单位对已批准的施工组织设计进展调整、补充或变动时,应经专业监理工程师审查,并
8、应由总监理工程师签认。对于重点部位、关键工序,专业监理工程师应要求承建单位报送施工方案,审核同意后予以签认。觉察施工单位擅自更改施工组织设计或施工方案,并由可能对工程质量造成不良影响时,监理工程师应准时签发监理工程师通知 单,必要时签发工程暂停令。11、 专业监理工程师应对承建单位报送的工程材料/构配件/ 设备报审表及其质量证明资料进展审核,并对进场的实物进展检查和验收,对于进口设备,专业监理工程师应协作商检局开箱验收。并应依据托付监理合同商定或有关工程质量治理文件规定的比例承受平行检验或见证取样方式进展抽检。对未经监理人员验收或验收不合格的工程材料、构配件、设备,监理人员应拒绝签认,并应签发
9、监理工程师通知单,书面通知承建单位限期将不合格的工程材料、构配件、设备撤消灭场。对承建单位提出紧急放行的要求,在该批材料可以追回的状况下,专业监理工程师应请示总监理工程师后作出相应打算,工程部对该类放行应做特别记录。12、 总监理工程师安排监理人员对施工过程进展巡察和检查, 检查状况记录于个人监理日记或针对工程特点特别设计的实 测检查表上。对隐蔽工程的隐蔽过程、下道工序施工完成后难以检查的重点部位,专业监理工程师应依据监理细则中的旁站监理打算安排监理员进展旁站。并依据承建单位报送的隐蔽工程报验申请和自检结果进展现场检查,符合要求予以签认。对未经监理人员验收或验收不合格的工序,监理人员拒绝签认,
10、 并要求承建单位严禁下一道工序的施工。13、 专业监理工程师应对承建单位报送的分项工程质量验评资料进展审核,符合要求后予以签认;总监理工程师应组织监理人员对承建单位报送的分部工程和单位工程质量验评资料进 行审核和现场检查,符合要求后予以签认。对施工过程中消灭的质量问题,专业监理工程师应准时下达监理工程师通知 单,要求承建单位整改,并检查整改结果。14、 专业监理工程师在进展现场计量的根底上,按施工合同商定的工程量计算规章和支付条款审核工程量清单和工程款支付申请表。审查意见报总监理工程师审定,由总监理工程师签署工程款支付证书,并报业主单位。未经监理人员质量验收合格的工程量,或不符合施工合同规定的
11、工程量,监理人员拒绝计量和该局部的工程款支付申请。15、 专业监理工程师检查进度打算的实施,并记录实际进度及其相关状况。检查状况记录于工程部的监理日记或针对工程特点特别设计的进度检查表上。当实际进度符合打算进度时,应要求承建单位编制下一期进度打算;当觉察实际进度滞后于打算进度时,应签发监理工程师通知单指令承建单位实行调整措施。当实际进度严峻滞后于打算进度时应准时报总监理工程 师,由总监理工程师与业主单位、承建单位共同分析缘由并争论对策,实行进一步的技术措施、组织措施、经济措施和其他配套措施。16、 总监理工程师组织专业监理工程师审查业主单位或承建单位提出的工程变更,审查同意后,由业主单位转交原
12、设计单位编制设计变更文件。当工程变更涉及安全、环保等内容时,应按规定经有关部门审定。专业监理工程师应了解实际状况和收集与工程变更有关的资料,确定工程变更工程与原工程工程之间的类似程度以及工程变更的难易程度、工程量、单价或总价。总监理工程师必需对工程变更的费用和工期作出评估,尚应就工程变更费用及工期的评估状况与承建单位和业主单位进展 协调。17、 在施工过程中,总监理工程师应定期主持召开工地例会。会议纪要应由工程部负责起草,并经与会各方代表会签。18、 专业监理工程师应检查承建单位是否执行安全技术措施打算或施工组织设计所规定的安全施工要求,并催促总承建单位管好分包单位,并按合同规定,供给安全施工
13、设施。19、 总监理工程师应组织专业监理工程师对承建单位的竣工资料进展审查,对工程质量进展预验收。专业监理工程师应催促承建单位对预验收提出的质量问题进展整改,对整改进展验证并作好记录,对需要跟踪验证的工程应与承建单位另订打算。20、 总监理工程师负责组织专业监理工程师按信息化工程监理标准、监理托付合同要求以及监理效劳过程中积存的资料整理编制监理总结报告。监理总结报告应经由总工程师审核。监理总结报告及其附件批准后,由总监理工程师代表公司签发、提交业主单位。21、 在编制监理规划时,我们考虑到本工程是安防建设工程,由于工程涉及到安全,会与一些涉密系统对接,本身系统也会依托公安专网,智能安防系统实际
14、上也是博乐才智城市的组成局部,在开展监理工作时,对于涉密方面必需要赐予重点考虑;在监理过程中,我们严格依据监理规划的要求及建设合同的商定开放监理工作,同时在工程实施过程中提出合理化建议,针对保密工作方面:1、对于涉密工程监理工作,明确保密领导小组组长负责保密治理工作,并严格掌握知悉范围。公司首先由涉密工作领导小组召开发动会, 依据公司保密制度制定工程工作打算,就是严格选择工程经理及工作人员;2、由保密办公室具体审查工程组成员,确保成员必需符合要求;3、工程经理制定本工程保密方案,保密领导小组审批;4、保密办公室负责依据审核后的保密方案,与工程组全部成员签订工程保密协议,人员应当依据有关规定进展
15、安全保密审查,与单位签订安全保密责任书,明确安全保密责任和义务。离开涉密工作岗位,应当清退涉密载体,实行脱密期治理。5、保密办公室负责监视、检查工程组的工作,觉察不符合要求的,马上责成工程经理整改;6、涉密载体应当依据有关规定标明密级和保密期限,建立台账,集中 统一治理;制作、收发、传递、使用、复制、保存、修理和销毁涉密载体含纸介质、磁介质等,应当严格依据国家保密治理规定,履行签收、登记、审批等手续;对接触或知悉绝密级国家隐秘的人员应当作出文字记载。7、涉密计算机治理l 涉密计算机及其移动存储介质集中治理,并建立台账;l 涉密计算机和信息系统与国际互联网和其它公共信息网物理隔离; 涉密计算机担
16、忧装任何无线通信设备;l 涉密信息系统投入使用前必需经过国家保密部门系统测评和审批;l 非涉密计算机和信息系统不存储和处理涉密信息;l 涉密信息远程传输应当依据国家保密部门要求实行密码保护措施;l 涉密计算机和信息系统内使用的移动存储介质实行绑定或有效的技术掌握措施,信息导入和导出应当符合国家有关保密要求;l 存储、处理国家隐秘的计算机和信息系统依据有关法律法规及标准进展技术防护。8、涉密通信和办公自动化设备治理l 涉密办公自动化设备不得连接互联网或其它公共信息网;l 不得使用具有无线互联功能的办公自动化设备处理涉密信息;l 不得使用一般通信设备传递涉密信息;l 不得使用一般 手机谈论涉密事项
17、;l 不得在涉密场所使用无绳 。对于工程组,要求工程经理在工程实施过程中,必需将保密工作放在重中之重,不管是从本公司工程组的成员治理、资料治理,还是对承建方,也要从其治理上进展监视,并对保密风险问题要求承建方整改,同时在工程实施过程中,也要对信息系统中的保密风险提出建议,对甲方负责,通常信息系统应当留意的保密风险:1、我们建议系统肯定要有系统访问掌握方面,主要承受两种方式实现:一种是限制访问系统的人员;另一种是限制进入系统的用户所能做的操作。前一种主要通过用户标识与验证来实现,而后一种则依靠存取掌握来实现;2、涉密系统必需建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用状况,一旦
18、有非法入侵者进入系统,能准时觉察并实行相应措施,确定和堵塞安全及保密的漏洞。利用日志和审计功能对系统进展安全监控,涉密系统应建立完善的审计系统和日志治理系统;l 对于办公自动化系统和治理信息系统软件的安全保密:l 对数据设置级别和使用权限;l 对用户进展分类;l 规定各类用户对应用系统功能的使用范围;l 对不同级别数据,规定可以访问的用户;l 依据实际工作流程确定对数据和系统功能的使用权限。l 对涉密信息必需进展标密。3、在计算机网络安全保密方面,要求计算机网络抵挡来自外界侵袭等应实行的安全保密措施。必需承受国产的设备来实现网络的安全保密。目前主要通过承受安全防火墙系统、安全代理效劳器、安全加
19、密网关等来实现。4、对于计算机信息传输的保密,要求实行不易被截取的通信方法如光纤通信,并要对传输数据进展数据流加密,使非法攻击者无法读出所截获的传输数据。5、从技术的层面考虑保密治理,还需要制定严格的保密制度,治理是安全保密的有效保障,通过对应用人员、系统设备、系统软件和所处理的信息及介质的制度化治理来保证用户的利益和安全。这主要是通过各单位机房治理制度或守则,计算机系统维护治理制度和介质治理制度等实现,各单位必需依据本单位的实际状况,制定和完善各项治理制度。三、对保密风险的生疏保密工作存在的风险因素一保密工作团队上的问题;1、领导保密意识尚不够敏感;2、不常常、保密学问缺乏;3、保密组织的任
20、务分工不明、对保密形势的估量不准确;4、专项检查不到位、安全隐患排查不彻底;5、保密员队伍建设还须加强;6、工作思路缺乏创、工作缺乏协同合作。二保密工作环境上的问题:1、可能在设备设施上泄密;2、可能在计算机系统上泄密;3、可能在工作及学习训练过程中泄密;4、员工跳槽频繁;假设企业的核心资料外传,甚至落入竞争对手手中,则企业很可能在竞争中失败。所以,保证企业的核心资料不被泄露是保证企业在竞争剧烈市场立足之本。对于企业重要数据泄密的途径,可以归纳为七点:(1) 笔记本电脑等移动终端遗失或失窃;(2) 跨部门或跨计算机的数据转移以及外来计算机非法侵入;(3) 存储介质随便使用;(4) 网络外发程序
21、,如发送电子邮件、QQ 信息、微信等;(5) 打印、复印以及光盘刻录;(6) 数据非法二次转播;(7) OA 等移动办公终端对于办公系统的接入。四、对保密工作自我评价及改进对保密工作要有的放矢地开展,堵塞泄密途径。我公司成立特地了保密治理领导小组,负责整体公司的保密工作,制定了保密治理制度,由保密领导小组监视制度执行状况,同时,公司针对涉密的工程, 还制定了如下措施:1、公司专设设置了涉密工程治理区域,但凡用户工程涉及隐秘, 都经由公司特地安排的涉密工程师进展处理,其他人员不得接触此类工程;2、涉密工程治理区具备特地的资料存档柜,钥匙交由保密领导小组治理,涉密资料查阅必需经过批准,涉密工程资料
22、不得外借、复制;3、涉密工程使用固定的涉密计算机及打印机,涉密计算机不能上网有线、无线均不行,涉密计算机不得带离涉密工作区域;4、涉密岗位上的人员是工作的需要,在肯定时间肯定范围内知悉的保密事项,只能用于工程,不能向外泄露,不得对外从事技术效劳。必需妥当保管各种保密资料,不得丧失泄密,不在报刊杂志上报道保密事项,不得把隐秘资料传送到 QQ 空间、微信朋友圈或微博等。5、涉密员工离职,应将自己保管的保密资料上交,不得带走或留存。6、为进一步贯彻落实涉密岗位责任制度,公司与涉密员工磋商签订保密协议。7、涉密办公区域是要害部门。计算机系统由专人治理,配备好防范设施,涉密文件的打印需用专用磁盘由专人负
23、责。8、建立健全涉密载体治理制度,对涉密资料做好真实具体的记录,存档保管。近几年来,随着信息技术的飞速进展,现代办公设备渐渐走进了企业的日常工作,保密工作面临着一种全环境;保密工作面临的形势日益严峻。保密风险评估,作为企业开展保密工作的前提,能为单位领导准确把握本单位保密工作所面临的风险,进展重点防控供给科学依据。依据对本公司保密状况的分析,认为本公司应当主要从加强保密条件建设方面进一步实行乐观有效的措施:1、进一步加强保密“软件建设”。 保密条件建设分为“软件建设”和“硬件建设”两大类,其中“软件建设”是灵魂,“硬件建设”是根底。加强保密“软件建设”,就是要从根本上进一步强化人员的保密意识,
24、建议有关部门领导要加强教育,统一思想,通过认真学习保密法和保密法实施条例,切实开展好保密工作的教育与宣传。准时传达贯彻上级保密工作会议精神及保密局文件精神,依据工作要求落实措施,对重点涉密人员进展常常性的。通过宣传教育,使所属人员的保密意识明显提高,政治责任感进一步增加。同时,要结合本公司保密工作面临的实际状况,进一步完善本公司保密制度,严峻保密工作纪律,发生失密、泄密,视情节轻重、危害大小,依据国家有关保密规定赐予批判教育或处分。将保密工作列入重要议事日程,确立“保密工作无小事”的思想理念,从思想教育入手,将保密工作摆在突出位置。2、进一步加强信息设备的安全建设。随着信息技术的进展,各种高技
25、术信息设备不断涌现,它们在为员工日常工作、学习、训练供给便利的同时,也给保密工作带来了更多挑战。为此,要进一步加强信息设备的安全建设,对一些存在较大安全隐患的设备坚决不能引进使用,使用时要制定严格的使用规章。对本公司的全部办公计算机、移动存储介质、打印机、复印机、 机、扫描仪等设备进展了一次全面、彻底的保密清查,将全部设备登记入册,进一步明确使用范围和责任人,同时对这些信息设备要进展不定时检查,将有隐患的设备准时处理。同时,要制定必要的防范措施,对网站要进展全天候监控, 严防病毒攻击与木马植入,涉密计算机软件要安装先进软件,安装防辐射、即时杀毒、备份软件,涉密信息设备要有防电磁辐射、防内置、防
26、失控 、防失窃功能。3、 进一步完善保密工作机制。俗话说:“无法规不成方圆。”同样,企业保密工作也需要完善的保密机制来保障。近年来,随着保密形势的日益严峻,对保密机制提出了更高的要求。所以,建议公司保密部门领导要加强制度建设,始终把落实规章制度作为的关键环节,认真贯彻落实保密法及有关保密工作的规定,从文件的登记、收发、传递、归档、销毁等各个环节都严格依据标准流程, 落实治理规定,做到了按制度管人管事。4、在劳动合同中商定员工保密义务和竞业限制。依据劳动合同法第 23 条、第24 条的规定,用人公司与劳动者可以在劳动合同中商定保守用人公司的商业隐秘和与学问产权相关的保密事项。竞业限制的人员限于用人公司的高级治理人员、高级技术人员和其他负有保密义务的人员。竞业限制的范围、地域、期限由用人公司与劳动者商定,竞业限制的商定不得违反法律、法规的规定。面对日益严峻的保密形势,保密风险的掌握更为困难。公司领导要带头做好保密工作,齐抓共管、综合治理,要适应要求、实行措施,充分生疏到形势下做好保密工作的重要性和紧迫性,进一步做好各项保密工作,努力促进本公司的保密工作再上一个台阶。