《保密风险评估报告(原创).docx》由会员分享,可在线阅读,更多相关《保密风险评估报告(原创).docx(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、保密风险评估报告(原创)保密风险评估报告XXXXX 开发XXXX 年 1 月 9 日XXXX目录31. 概述41.1 背景41.2 风险评估的依据61.3 风险评估的目的61.4 风险评估的措施72. 风险评估102.1 涉密人员风险评估102.2 涉密载体风险评估112.3 涉密设备风险评估132.4 涉密场所风险评估142.5 涉密工程风险评估152.5.1 招投标风险评估152.5.2 设计方案风险评估162.5.3 系统集成过程风险评估172.5.3.1 分保方案使用风险评估182.5.3.2 设备选购风险评估182.5.3.3 现场实施风险评估192.5.3.4 审查验收风险评估20
2、2.5.3.5 工程材料移交风险评估202.5.3.6 运行维护风险评估212.5.3.7 工程流程图223. 持续性改进机制264. 风险评估小结30XXXX1. 概述1.1 背景l 公司进展历史及现状XXXXXXX 于XXXXXXX 年4 月20 日注册成立,注册地址位于 XXXXXX, 注册资金XXX 万元,公司员工 XXX 人。公司成立初期主要业务范围是以XXXXXXX。为了公司进展需要,注册资金经过屡次变更,由最初的 XXXX 万元增资到 XXXX 万人民币。公司也在此期间取得了本行业相关的资质: ISO9001:2023 质量体系认证;信息系统集成三级资质和公共安全技术防范壹级资质
3、,并且是中心政府选购网的协议供货商及合格的竞价谈判供给商,并具备 XXXXXXX 政府及XXXXXXX 政府的供给商资格,还是 XXXXXXX 集团和 XXXXXXX 集团的合法供给商。目前公司现经营地址为 XXXXXXX, 拥有办公场地 XXXX 多平方米,客户普及政府,金融及保险,能源,军队等各大行业和机构,现已成为一家有着深厚技术实力和良好合作支 持,以系统集成,软件开发,网络维护及集成,音视频会议集成,监控设计及安装调试,应用开发与效劳为主的综合性 IT 企业。公司近三年系统集成工程金额达XXXXX 万元。l 公司人员组织构造公司留意团队建设和人才的培育,现拥有员工 XXXX 人,全体
4、员工80.4.%以上是本科以上文化程度,技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书,并且也取得国际认证的软、硬件工程师证书及各5生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成工程经理 X 人,高级工程经理 X 人,均具有本行业多年从业阅历,并参与了各种系统集成大型工程的设计与施工。公司的技术经理从业 X 年, 独立完多项系统集成工程设计及治理工作。XXXXXXX2023 年组织构造表总经理副总经理财务部技术部经理商务部人力资源部销售部系统集成部软件开发部技术效劳部公司所在周边地理环境我公司 XXXXXXX,处
5、于 XXXX 主干道上,西面有 XXX,东临 XXXXXXX 领地居民小区,北面有 xxx 居民小区。地处松嫩平原南部,不处在地震带和沉降带,地质构造稳定;远离海边江河,高于XXXXXXX 城区高点 45 米,不受洪水、海啸和台风威逼;远离山区,不受山洪和泥石流侵害; 区域内无核电站、强污染源及重盐害。存在风险:a) 公司周边是否有驻外大使馆b) 公司周边是否存在外资企业c) 公司周边是否有商业区针对风险点的防控措施:我公司位于 XXXXXXX 路上,周边不存在驻外大使馆、外资企业及商业区,进出入办公楼均有收发人员治理登记。公司内部物理环境XXXXXXX 位于 XXXXXXX 路XX 号XXX
6、 楼,此楼XXX 层为XXXX 店有单独的入口;XXXX 楼为办公楼区,有独立的入口。一楼大厅有收发人员登记, 并在电梯口处有视频监控系统。在我公司单位门口也有本单位自己的视频监控系统。存在的风险:a) 外来人员任凭进出b) 四周的双太电子城聚拢了多家 IT 企业,IT 企业人员众多、混杂, 对保密信息的安全性造成潜在的安全隐患。针对存在风险点的防控措施:在公司入口处设立登记处,由专人来负责登记和接待。1.2 风险评估的依据依据XXXXXXX 国家保密局公布的涉密信息系统集成资质保密标准、BMB17涉及国家隐秘的信息系统分级保护技术要求、BMB20涉及国 家隐秘的信息系统分级保护治理标准、BM
7、B23涉及国家隐秘的信息系统分级保护治理标准1.3 风险评估的目的XXXX保密风险评估是保密工作的重要组成局部。保密风险评估要坚持实事求是的原则,深入调查争辩,全面把握保密风险因素及其影响,进而科学分析企业保密工作面临的形势、存在的问题,在此根底上提出切实可行的关于风险防范把握措施的建议方案。风险因素导致不良影响引起风险事故保密风险一词包括了两方面的内涵。其一,风险意味着会对企业正常的工作带来不良影响;其二,这种影响的消灭与否是一种不确定性随机现象,它可用概率表示消灭的可能程度,但不能对消灭与否做出确定性推断。从而可知,风险因素、风险事故和影响亲热相关,它们构成了企业保密风险存在与否的根本条件
8、。因此,要真正领悟企业保密风险的本质,就必需弄清这三个概念及其相互联系。简洁概括而言:风险因素引起风险事故,风险事故导致对企业带来不良影响。1.4 风险评估的措施近几年来,随着信息技术的飞速进展,现代办公设备渐渐走进了企业的日常工作,保密工作面临着一种全环境,同时所面临的保密形势日益严峻。保密风险评估,作为企业开展保密工作的前提,能为单位领导准确把握本单位保密工作所面临的风险,进展重点防控供给科学依据。依据对本公司保密状况的分析,认为本公司应当主要从加强保密条件建设方面进一步实行乐观有效的措施:a) 进一步加强保密“软件建设”。 保密条件建设分为“软件建11设”和“硬件建设”两大类,其中“软件
9、建设”是灵魂,“硬件建设”是根底。加强保密“软件建设”,就是要从根本上进一步强化人员的保密意识,建议有关部门领导要加强教育,统一思想,通过认真学习保密法和保密法实施条例,切实开展好保密工作的教育与宣传。准时传达贯彻上级保密工作会议精神及保密局文件精神,依据工作要求落实措施, 对重点涉密人员进展经常性的保密教育。通过宣传教育,使涉密人员的保密意识明显提高,政治责任感进一步增加。同时,要结合本单位保密工作面临的实际状况,进一步完善本公司保密制度,严峻保密工作纪律,发生失密、泄密,视情节轻重、危害大小,依据国家有关保密规定赐予批判教育或处分。将保密工作列入重要议事日程,从思想教育入手, 将保密工作摆
10、在突出位置。努力做到领导不唱“独角戏”,全员上阵抓保密,准时订正“关好门、锁好柜、封住嘴、管好件”就能万事大吉的生疏偏差,形成人人参与保密的气氛,努力为本单位的安全保密工作筑牢思想上的“防火墙”。b) 进一步加强信息设备的安全建设。随着信息技术的进展,各种高技术信息设备不断涌现,它们在为员工日常工作、学习、训练供给便利的同时,也给保密工作带来了更多挑战。为此,要进一步加强信息设备的安全建设,对一些存在较大安全隐患的设备坚决不能引进使用,使用时要制定严格的使用规章。另外对本单位的全部办公计算机、移动存储介质、打印机、复印机、 机、扫描仪等设备进展了一次全面、彻底的保密清查,将全部设备登记入册,进
11、一步明确使用范围和责任人,同时对这些信息设备要进展不定时检查,将有隐患的设备准时处理。同时,要制定必要的防范措施,对网站要进展全天候监控,严防病毒攻击与木马植入,涉密计算机软件要安装先进软件,安装防辐射、即时杀毒、备份软件,涉密信息设备要有防电磁辐射、防内置、防失控 、防失窃功能。多管齐下、全方位防护,为本单位信息设备的安全使用开拓一条“绿色通道”。c) 进一步完善保密工作机制。 俗话说:“无规章不成方圆。”同样,企业保密工作也需要完善的保密机制来保障。近年来,随着保密形势的日益严峻,对保密机制提出了更高的要求。所以,建议单位保密部门领导要加强制度建设,始终把落实规章制度作为抓好保密工作的关键
12、环节,认真贯彻落实保密法及有关保密工作的规定,从文件的登记、收发、传递、归档、销毁等各个环节都严格依据标准流程,落实治理规定,做到了按制度管人管事。d) 和公司员工签署保密协议、保密责任书及保密承诺书。用人单位与劳动者可以在劳动合同中商定保守用人单位的商业隐秘和与学问产权相关的保密事项。限于用人单位的高级治理人员、高级技术人员和其他负有保密义务的人员。范围、地域、期限由用人单位与劳动者商定, 不得违反法律、法规的规定。面对日益严峻的保密形势,保密风险的把握更为困难。所以,建议保密部门领导要建立良好的保密秩序,有效遏制泄密问题的发生;要努力做到领导不唱“独角戏”,全员上阵抓保密,保密工作人人抓,
13、常抓不懈的良好局面;要建立长效机制,有章可循,真查实改。公司领导要带头做好保密工作,齐抓共管、综合治理,要适应要求 、实行措施,充分生疏到形势下做好保密工作的重要性和紧迫性,进一步做好各项保密工作,努力促进本公司的保密工作再上一个台阶。2. 风险评估2.1 涉密人员风险评估l 可能存在的风险点a) 聘请时人员是否满足涉密人员要求;b) 审核时竞聘人员是否有过犯罪记录,是否为中国公民;c) 上岗前是否承受过保密学问培训及考核;d) 是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价考表;e) 部门是否依据公司要求开展保密学问培训,加强部门涉密人员的保密意识;f) 涉密人员离岗时是否
14、签订离岗保密承诺书,保密工作领导小组是否对其进展脱密期治理。l 风险防控措施a) 应聘员工应满足公司对涉密人员的聘用标准;b) 上岗必需学习岗位保密业务,且保密学问考核成绩合格;c) 与公司签署保密协议、保密承诺书、保密责任书;d) 员工所在部门领导确认涉密人员考核评级表内容,确认无误后签字, 同时保密领导小组同意签字后,评价表交保密工作领导小组存档, 作为该员工作为涉密人员的考核内容;e) 保密办公室应在年初做好本年度保密学问培训打算及考核打算,组织涉密人员学习各项保密学问。f) 涉密人员在离岗后,严格遵守公司保密制度,与公司签署离岗保密承诺书,并严格遵守公司对离岗人员的脱密期治理。2.2
15、涉密载体风险评估l 可能存在的风险点纸质文件:a) 涉密文件、资料是否有专人治理;b) 涉密文件收发是否有记录,是否有文件丧失、泄露;c) 涉密文件复印、外借是否有登记,是否在记录中标明使用理由、复印数量及使用人签字;d) 涉密文件借阅是否有登记记录,是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字;e) 涉密文件是否准时归档,档案名目是否准时更。电子文件:a) 是否指派专人对涉密电子文件进展治理;b) 制作涉密电子文件时,是否记录使用范围及制作数量;c) 是否在非涉密计算机中传递涉密电子文件;d) 在携带涉密电子文件外出时,是否有专人携带;e) 涉密电子文件是否准时归档;f) 报废的
16、涉密电子文件如何处理。l 风险防控措施纸质文件XXXXa) 全部保密文件、文档、材料由涉密办公室治理员统一治理,统一登记入密码柜,定期进展清查,避开发生资料泄露及丧失。严禁其他人员任凭翻看保密资料,如有其他保密人员要借阅使用,由涉密办公室治理员进展登记,写明借阅时间及借阅理由,并保证不拿出涉密办公室以外的地方使用。b) 保密材料严格按领导批准的份数印刷,不得擅自多印多留,复印件视同原件治理,复印过程中产生的废纸、废件应准时销毁;在复印材料之前,需由涉密办公室治理员登记后进展,标明使用理由、复印份数;c) 传递保密材料要有保密措施,传递应专人专送,不得办理无关事项, 密件不得携入不利于保密的场所
17、;外出工作须携带保密材料,要经保密工作领导小组批准后进展。d) 对保密资料未经许可,不得擅自摘抄、翻印、复印、转借或损坏; 一旦造成损失由当事人担当责任。电子文件:a) 指定专人负责本单位涉密电子文件的日常治理工作。b) 制作涉密电子文件,应当依照有关规定文件内,使用范围及制作数量,并编号记录。c) 传递涉密电子文件,应当履行登记、签收等手续。制止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。d) 阅读、使用、复制和销毁涉密电子文件,应经保密工作领导小组批准,同时办理登记、签字手续。复制的电子文件视同原件治理。13e) 定期对涉密电子文件及载体进展清查、核对,觉察
18、问题准时向保密工作领导小组汇报。2.3 涉密设备风险评估l 可能存在的风险点a) 涉密计算机是否有违规操作;b) 涉密计算机端口是否插过其他存储介质;c) 涉密计算机是否配备三合一防护系统;d) 办公室自动化设备是否外借使用;e) 涉密计算机及办公室自动化设备修理、更换、报废如何治理。l 风险防控措施a) 涉密计算机安装了通软主机监控与审计系统 V6.0 软件进展端口审计;b) 涉密计算机安装了 360 杀毒软件,由专人进展病毒软件更,更周期不超过 15 天;c) 每台涉密计算机都配备了三合一防护系统,严格把握了计算机内涉密信息的流失;d) 涉密计算机配置了 10 位数以上的密码, 由专人统一
19、治理、记载;e) 办公室自动化设备均为涉密办公室处理涉密工程专用,不得外借使用;f) 涉密计算机及办公室自动化设备由保密工作领导小组确认专人使 用,机器明确标识使用人姓名并登记入册;使用人发生变化时,报保密工作领导小组审核,审核通过后进展变更;XXXXg) 涉密计算机及办公室自动化设备打印机、刻录机修理、更换、报废由涉密办公室治理员负责,做好相关登记;修理应由保密领导小组批准后进展;h) 涉密计算机修理应到 XXXXXXX 保密局指定的地点修理,修理前应卸下硬盘等敏感部件;修理后应进展安全检测前方可使用;i) 更换涉密计算机应事先提交涉密设备变更申请表,写明更换缘由, 经保密工作领导小组批准后
20、进展。在更换涉密计算机前应卸下硬盘, 卸下的硬盘不得在非涉密计算机上使用,硬盘交由涉密办公室保密 治理员登记备;硬盘留存于保密办公室,不得使用、外借;j) 涉密计算机报废不得当作废品出售,在申请报废后先到涉密办公室保密治理员处登记,卸下硬盘并由专人上交 XXXXXXX 国家保密局工作部门进展集中销毁处理,报废涉密计算机应报 XXXXXXX 国家保密局备案。2.4 涉密场所风险评估l 可能存在的风险点a) 涉密办公室内是否存在网络端口;b) 非涉密人员进出涉密办公室是否有记录;c) 涉密办公室是否依据 XXXXXXX 国家保密局要求配备了门禁系统、防盗报警系统、视频监控系统;d) 涉密人员进出涉
21、密办公室时是否携带相机,手机,录音笔等其它可存储介质。l 风险防控措施15a) 由安全保密治理员定期检涉密办公室的门禁、防盗报警、监控等设备的完好状态,确保保密材料安全。b) 非授权人员进出入涉密场所,须经公司保密领导小组审批并由授权 人员进展伴随方可进入,同时建立涉密场所非授权人员进入登记册, 对临时进出的人员记录登记;标明进出入时间及事由。c) 建立视频监控的治理检查机制,公司的安全保卫部门应当定期对视频监控信息进展回看检查,保密办公室应当对执行状况进展监视。视频监控信息保存时间不少于 3 个月。d) 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公室。2.5 涉密工
22、程风险评估2.5.1 招投标风险评估l 可能存在的风险点a) 投标小组成员是否为涉密人员,是否有保密意识;b) 是否有泄露标底的状况;c) 是否做好投标文件的保密状况;d) 是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况;e) 评标机构是否做好保密工作。l 风险防控措施a) 投标小组成员必需为涉密人员,必需与公司签署保密协议,保密承诺书及保密责任书前方可进入小组。b) 标底作为评标的主要依据,是工程招标保密工作的重中之重,标底假设泄露可能会导致工程招标本钱的提高。因此,投标小组应加强对标书的保密治理,涉及记载标底的文件不能任凭摆放,应视同保密材料一样保管于涉密办公室。c) 投标文件
23、是投标人的商业隐秘。既然投标人信任招标代理机构,招标代理机构也应把投标人递交的投标文件保存好。因此,招标代理机构有义务对投标文件进展保密,以避开投标人患病损失。由专人负责对投标文件的治理,没有保密工作领导小组领导的允许,除投标小组成员外,其他人员不得翻阅投标文件。d) 对每一个投标单位的资格预审应当单独进展。资格预审完毕后,招标人应当对资格预审合格的单位名单予以保密,并以书面或 的方式单独通知每一个报名单位其是否通过资格预审。e) 招标人依据工程招标工程的具体状况,可以组织潜在投标人踏勘项日现场。由于保密问题的存在,招标人不能同时组织全部潜在投标人进展现场踏勘。招标人可以制定现场踏勘的时间安排
24、表,然后分别组织潜在投标人进展踏勘。2.5.2 设计方案风险评估可能存在的风险点a) 设计人员是否为涉密人员,是否有保密意识;b) 涉密人员素养是否良好,是否会泄露设计方案;c) 办公环境是否满足涉密资质标准要求;d) 使用设备是否为涉密设备,是否满足标准;e) 是否在非涉密计算机上传递涉密工程信息。风险防控措施a) 在整个设计过程中,应确定领导小组组织构造,严格依据班组成员划分岗位职责,严谨杜绝滥用职权、擅离职守、推卸责任等状况的消灭。加强领导保密意识培训,起好带头表率作用。在设计过程中保密意识应随时表达在工作中,从现场的勘察、资料的整理、汇总、后期资料的加工、方案的修改、资料的传输、最终方
25、案的保存等都应当时刻提高保密意识,加强保密治理。b) 方案设计小组成员必需经过严格筛选,参与保密培训及考核合格前方能上岗。在工作中时刻留意警觉自己是涉密人员,增加保密意识。c) 在设计过程中对现在勘察时对周边环境应认真查找风险点,避开一切安全隐患的发生,不满足要求的准时整改。后期资料整合。方案编写都应当在涉密办公室进展,防止涉密信息外漏。d) 方案设计过程中所应用到的全部设备设施必需为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必需随身携带, 方案编写必需在涉密办公室内进展,如要将涉密文件等信息带出涉密办公室必需严格依据保密治理制度执行,保密领导小组组长同意方可。e) 必需在涉
26、密计算机上处理涉密工程,不允许在非涉密计算机上处理或传递涉密工程信息。也不允许将涉密信息通过任何方式拷贝、复印拿出涉密办公室。2.5.3 系统集成过程风险评估2.5.3.1 分保方案使用风险评估l 可能存在的风险点a) 在现场使用时,信息是否产生泄露;b) 涉密人员是否将图纸存放与他人手里或放在施工现场,导致工程设计方案泄露。l 风险把握措施a) 加强涉密人员保密意识;b) 涉密工程前期设计需由专人在涉密计算机上进展编写,并用光盘进展信息存储,并由托付方指定人员进展交接。不得将光盘存于他人手中或施工现场。c) 严禁使用外网计算机查询任何涉密工程信息,涉密工程方案的制定均应在涉密办公室内的涉密计
27、算机上进展编写。2.5.3.2 设备选购风险评估l 可能存在的风险点a) 工程建设周期导致从投标到选购的周期过长,存在供给商库存风险和技术偏离风险;b) 市场信息不够完全、充分、透亮,供给商在肯定范围内能影响价格;c) 设备选购过程中,供给商泄露工程信息。l 风险把握措施a) 工程建设周期导致从投标到选购的周期过长,存在供给商库存风险和技术偏离风险,可从三方面进展躲避:一方面可建立供给商预警机制,对价格、库存、技术等风险消灭前进展供方预警;一方面,对于工程前期设备的选型,应考虑工程建设周期因素,应避开选择市场寿命短的产品;另一方面,应在签订工程合同时,对于设备的更换代条款,应进展明示。b) 加
28、大市场信息猎取力度,使市场信息准确而全面,从而保证市场分析、本钱分析等数据的牢靠性;依据适用原则选择供给商并改善与供给商的关系,避开成为强势供给商价格联盟的受害者。c) 涉密工程的设备选购应单独选购,由涉密业务治理小组下的设备选购小组组长设立专人,不与其它工程的设备一起选购,与供给商签署保密承诺书,并承诺不泄露工程信息、设备价格。2.5.3.3 现场实施风险评估l 可能存在的风险点a) 合同及各项审核工作时间太长,导致工程信息泄露;b) 在施工过程中有涉密人员离职或调岗,导致涉密信息泄露;c) 施工现场环境是否满足涉密工程环境要求;d) 现场施工时,是否有除托付方及现场施工人员以外的人员进消灭
29、场;e) 设备安装调试时,是否通过非涉密计算机进展操作。l 风险防控措施a) 涉密工程签定的涉密合同必需由专职涉密人员进展登记、归档,存放于涉密办公室内的密码文件柜内。b) 调岗或离职的涉密人员必需进展脱密期处理,并签署涉密人员离岗保密承诺书。不得在脱密期间出国或在外资企业工作。c) 施工现场四周不允许有大使馆、外资企业等;如有请做好保密防护措施,如:安装视频监控系统、防盗报警系统等。加强施工现场保密环境。d) 现场施工时,不允许除托付方及现场施工人员以外的人员进消灭场。除保密工作领导小组指定人员外,其他人员不得进入施工现场。e) 调试设备时,必需用涉密计算机进展调试,不得用非涉密计算机进展。
30、避开通过非涉密计算机传递涉密信息,导致涉密工程信息泄露。2.5.3.4 审查验收风险评估l 可能存在的风险点a) 审查验收人员是否为涉密人员,是否是保密工作领导小组指定;b) 审查验收记录是否是由专人负责保管,是否产生记录丧失、泄露;c) 对用户进展设备使用培训,但用户保密意识不强,无意间泄露保密信息。l 风险防控措施a) 审查验收人员必需为涉密人员,必需由保密工作领导小组下的运行维护小组组长指派专人验收。b) 审查验收记录由专人携带,带回公司后交于涉密办公室治理员处登记备案,存放于密码柜中。c) 在审查验收时,应对用户进展相关保密学问培训。2.5.3.5 工程材料移交风险评估l 可能存在的风
31、险点a) 工程材料移交时是否是在保密环境下进展,记录是否齐全;b) 接收材料人员是否是涉密人员,是否由保密工作领导小组指定;c) 接收材料人员是否携带材料出入公共场所,导致信息泄露。l 风险防控措施a) 移交材料时,需在保密环境下进展,检查验收记录是否齐全,不能有记录不完整,不能在公共场所下进展。由专人进展材料交接,并将材料封存于档案袋中。b) 接收材料的人员必需是由保密工作领导小组指定的人。c) 接收材料后,必需马上携带资料返回公司,不得在公共场所逗留, 避开发生资料丧失,产生资料泄密。2.5.3.6 运行维护风险评估l 可能存在的风险点a) 后期运行维护的人员是否是涉密人员,是否明确涉密人
32、员的职责, 是否有保密意识;b) 在对设备维护时,是否使用非涉密计算机进展操作;c) 运行维护人员是否在交谈中泄露涉密信息;d) 维护记录是否保存好,是否产生记录丧失、泄露。l 风险防控措施a) 运行维护人员必需是涉密人员,要有保密意识。在上岗前是否参与涉密人员培训,是否与公司签订保密协议、保密责任书及保密承诺书。b) 运行维护人员需由保密工作领导小组指定,记录需要专人保存并带回公司,交于涉密办公室保密治理员处,登记存于密码文件柜中。XXXXc) 运行维护人员在维护设备时,相关信息肯定要在涉密计算机中处理。d) 运行维护人员要有保密意识,时刻警觉自己为涉密人员。不泄露任何工程信息。2.5.3.
33、7 工程流程图1 业务方提出工程需求风险点:参与者是否对工程标底进展保密,是否对工程工程投标状况2 依据工程需求安排相应工程师响应需求,协作业务部门的工作(参与者均为涉密人员)3 是否需要对客户进展现场效劳现场勘察风险点:工程现场周边环境存在商业区、大使馆等是否风险点:资格预审时潜在投标人是否保密以及现场踏勘中标人是否有保密3.1 现场勘察,记录客户需求,填写调查报告3.2 由销售方供给客户需求报告风险点:涉密项目前期设计阶段,工程信息泄4 汇总全部的工程数据,开会对工程状况进展争辩,推断工程可行性露风险点:设计人员保密意识风险、人员素养力量风险、工作方式风险5 进展解决方案的设计与制作6 对
34、方案可行性进展,依据标书确认方案风险点:是否做好投标方案的保密6.1 总经理进展最终确认风险点:内外网计算机混用导致涉密工程信息及技术文件通过外网计算机产生泄露7 制订技术方1.案、施工预算总表22售 前XXXX7.1 总经理进展最终确认8 提交设计方案书给业务销售部门8.1 对甲方技术问题进展现场解答9 签定合同书风险点:涉密合同书信息泄露10 依据工程施工方案确立工程施工组织计划表,并提交技术中心负责人进展审核10.1 总经理进展最终确认中11 进入工程实施阶段12 开工程预备大会争辩并落实工程的各项细节,明确分工、职责,并出具各项打算、图表工程台账工程出、入库单工程打算总表工程工程进度表
35、售13 依据工程大会的争辩结果,工程实施部门开工程实施前预备会,明确施工人员,进展施工打算、施工方案等技术交底工作,做好施工前预备全部涉密人员持证上岗23风险点:设备选购时是否产生涉密信息泄露14 进入甲方施工现场,安排休息区与库房,做好各项施工预备工作,包括外包施工人员分组, 工作安排等工作。材料设备收货。风险点:供给商是否泄密风险点:在施工过程中有涉密人员离职或调岗, 导致涉密信息泄露15 开头进展工程的施工,依据分组状况,各分工程负责人监视施工,并将觉察的问题准时上报工程经理16 工程经理在工程施工过程中对各分段工程的各个环节进展抽查,准时觉察问题并现场供给指导17 各分段工程完毕后分段
36、工程负责人供给阶段工程竣工报告,工程经理安排进展下一阶段施工18 全部工程完成后,各分段负责人供给安装文档,整理场地卫生,检查合格后施工人员与局部技术人员离场,设备安装调试人员进场,开头设备的安装调试风险点:审核验收人员是否保密,是否为涉密人员,验收记录是否丧失,泄露。19 测试:依据涉密信息集成图纸进展测试,并向工程经理报告测试结果。20 设备安装调试,填写设备安装报告, 并供给技术文档待以后交付于乙方工程经理抽查测试结果,并签字风险点:审查验收记录是否是由专人负责保管, 是否产生记录丧失、泄露。21 工程经理组织,个分工程负责人参与对整个工程进展内部总验收23 工程交接技术人员向甲方技术负
37、责人员进展工程交接,提交各种技术文档,并进展相应技术培训后离场风险点:业主方交接人员未进展涉密培训,导致涉密工程信息泄露22 提前一天通知甲方并且伴随甲方工程负责人对整个工程工程进展总验收,技术人员演示各项功能。验收完毕工程经理局部技术人员离场风险点:审查验收人员是否为涉密人员, 是否是保密工作领 导小组指定。24 工程实施流程完毕,建立客户效劳档案XXXX售后25 业务和销售代表依据客户要求,提出客户效劳申请26 依据故障类型,指派相关技术人员受理效劳风险点:后期运行维护的人员是否是涉密人员,是否明确涉密人员的职责, 是否有保密意识。风险点:维保记录是否保存好,是否产生记录丧失、泄露。27
38、技术工程师依据客户档案与故障现象与甲方进展联系风险点:运行维护人员是否在交谈中泄露涉密信息281 排解28 进展 故障的分析与排解282 未排解填写客户服务报告,注明故障现象风险点:运维服务人员是否 产生信息泄露29 销售代表,总经理签字同意出差效劳效劳人员填写出差申请单,申请到场效劳301 排解30 效劳工程师到达用户现场进展故障排解302 未排解31 问题排解后,请客户在效劳报告单上签字确认,效劳工程师回公司向技术经理汇报现场状况,总经理安排处理32 到公司后效劳人员找总经理签字,确33 技术人员凭效劳单报销出差的各项费用,将服认效劳完成25务单归档,效劳完毕XXXX3. 持续性改进机制时
39、代在不断进步,生产方式在不断更改,各种措施的密保与安全性都在经受考验。随着信息化的进一步进展,涉密集成资质单位对涉密信息系统安全保密的生疏也逐步提高,其安全问题日益突出,与生产业务的保密资格标准相关的要求和操作方式,对涉密集成资质单位安全保密策略提出了进一步要求。因此,制定具体的安全保密策略成为当前安全生产业务保密治理的重点,因时制宜的改进与处理,显得更为重要。我们必需与时俱进,制定相应的方针与策略来应对时代的进步,这就是为什么安全保密治理是一个不断完善,不断改进的过程,没有终点。由健全的网络与信息安全保障措施,到对涉密生产的安全保障措施、信息安全保密治理制度、用户信息安全治理制度做一个有力保
40、护屏障。在我国高度重视涉密集成资质单位生产业务的安全密保的同时,又要求参与生产效率与利要最大化。针对集成单位的工程实施在安全保密治理方面进展持续改进意义重大。持续改进的意义持续改进是一个组织自身生存和进展的需要,是组织的一个永恒目标。就外部环境而言任何事物都是在不断进展的,同人们对产品需求的变化是一样。持续改进有助于提高生产业务的安全性。从网络,系统,应用运行27治理、系统冗余等角度综合分析,承受先进的安全技术,对如防火墙、加密技术、数据清查等为网站供给系统防范的安全体系,可以有效地防止外来数据对自身系统攻击破坏与入侵。集成单位的工程实施在安全保密治理方面为企业单位的命脉,我们将在尽可能削减投
41、资,节约可利用资源的条件下,从系统构造、网络构造、技术措施、设施选型等方面综合考虑,以尽量削减系统中的单故障节点消灭率与单位电子系统被入侵率,经由网络效劳器实现 24 小时的不连续效劳,从而到达使生产过程中实现安全与效率最大化。如何进展持续改进a) 电子政务信息系统的使用随着计算机信息技术的飞速进展,电子政务信息系统在企事业单位和政府机关实际工作中已经发挥了越来越重要的作用。电子政务信息系统涉及对企业和国家隐秘信息和高敏感度核心的保护,涉及经济安全、商业隐秘、公共秩序和行政监管的准确实施,涉及为杜会供给公共效劳的质量保证。本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护治理所承受的产
42、品技术均综合考虑当今互联网进展趋势,承受相对先进同时市场相对成熟的产品技术,以满足将来热点网站的进展需求。既彰显业务开放的优良性,又兼备对涉密保密的高度技术要求。b) 安全运行系统的使用从安全法规,安全标准,安全机构,安全介质治理、安生人员治理、安全文档治理、安全场地治理等方面进展设计在保密生产业务的过程中,对信息安全进展治理的安全组织构造,制订信息系统安全策略,制订相应的人员安全治理及物理安全治理的各种规章制度,为信息安全供给治理指导和支持,安全运行体系是完善的安全治理体系最必不行少的组成局部。系统安全运行主要从安全运行体系组织机构、综台分析与风险治理、系统安全维护、安全备份,应急响应与灾难
43、恢复等方面进展考虑,保障系统正常运行,以及消灭特别紧急状况时的风险把握,应急和恢复方案。在软硬件系统包括时力科技以及第三方厂商的优秀产品,将为涉密集成资质单位的供给完整的生产业务应用集成。c) 涉密部门的计算机使用连续加大投入,涉密部门的计算机用双硬盘,内外网分开。加快进展保密技术,实现保密技术手段的现代化,认真落实中心保密办公室保密技术进展规划的要求,进一步加强对计算机信息系统保密防范和治理工作。加强对涉密内部网络的治理,帮助建立健全网络治理制度,严防失泄密大事的发生。严格执行“涉密信息不上网,上网信息不涉密”和“谁上网,谁负责”的原则,加强对涉密网络的检查。d) 加强对涉密介质的治理,准时
44、对保密安防设施进展升级改造加强对涉密介质的治理,对涉密介质的借阅和发放进展有效把握, 严格执行登记和审批手续,对上网计算机进展登记制度,下载资料严格要求进展中转,并特地设置了周转计算机和周转移动硬盘。在视频监控设施的治理上,不能放过任何一点纰漏,觉察问题,准时改进修复,经常检查保密要害部门和部位的物防设施,使之保持正常工作状态,对老化设施进展更换代,依据需要准时增配密码柜,保证保密安全防护系统的牢靠性。e) 调整保密组织机构人员,充分发挥兼职保密员的作用成立保密工作领导小组,乐观开展保密工作。由于公司机构变动和从业人员的流淌性,保密工作也会随之发生变化,因此不断调整保密办公室成员和兼职保密员,
45、并进一步明确分工。为使保密工作做到环环相扣、不留死角,保密办公室就要经常催促每个部门的兼职保密员认真负责的履行自己的职责,觉察不称职的兼职保密员,毫不留情的进展批判教育,并准时进展更换,通过兼职保密员的具体工作,真正作到随时觉察问题随时解决,起到了肯定的预防为主、乐观防范的作用。依据保密法要求,对全体员工工作岗位和工作性质进一步核查,确认各人员的密级,保证涉密人员与涉密内容的协调统一。f) 保密宣传教育工作不行无视为了防止工作中消灭失泄密现象,使保密工作真正做到“预防为主、乐观防范”,治理部门要不断加强学习,提高自身的防范意识,增加保密相关学问,乐观参与保密培训,同时要加大对涉密人员保密宣传教育工作的力度。可以从以下几个方面进展:(1) 以召开职工大会的形式传达上级领导