1、系統(tǒng)集成項目保密風險評估報告及防控措施XXXXXX有限責任公司 TOC o 1-5 h z 1、概述1風險評估的依據(jù) 1評估的目的 12、常見風險評估及防控措施 2參與涉密項目人員風險評估 2可能存在的風險點 2風險防控措施 2涉密載體風險評估 3可能存在的風險點 3風險防控措施 3涉密設備風險評估 4可能存在的風險點 5風險防控措施 5涉密場所風險評估 6可能存在的風險點 6風險防控措施 63、涉密項目風險評估 8招投標風險評估 8可能存在的風險點 8風險防控措施 8設計方案風險評估 9可能存在的風險點 9風險防控措施 9分包方案使用風險評估 10可能存在的風險點 10風險控制措施 10設備

2、采購風險評估 10可能存在的風險點 11風險控制措施 11現(xiàn)場實施風險評估 11可能存在的風險點 11風險防控措施 12審查驗收風險評估 12可能存在的風險點 12風險防控措施 13項目材料移交風險評估 13可能存在的風險點 13風險防控措施 13運行維護風險評估 13可能存在的風險點 13風險防控措施 141、概述風險評估依據(jù)中華人民共和國保守國家秘密法涉密信息系統(tǒng)集成資質(zhì)保密標準BMB17涉及國家秘密的信息系統(tǒng)分級保護技術要求BMB20涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范BMB23涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范評估目的涉密項目保密風險評估是涉密項目保密工作的重要組成部分。 保密風

3、險評估要堅持實事求是的原則，深入調(diào)查研究，全面掌握保 密風險因素及其影響，進而科學分析企業(yè)保密工作面臨的形勢、存 在的問題，在此基礎上提出切實可行的風險防范控制措施。近幾年來，隨著信息技術的飛速發(fā)展，現(xiàn)代辦公設備逐漸走進 了企業(yè)的日常工作，涉密項目的參與者和實施環(huán)境越來越復雜，保 密工作面臨著一種全新環(huán)境，同時所面臨的保密形勢日益嚴峻。涉密項目保密風險評估，作為涉密項目，開展保密風險評估， 能為項目部和公司保密機構準確把握涉密項目保密工作所面臨的 風險，進行重點防控提供科學依據(jù)。2、常見風險評估及防控措施參與涉密項目人員風險評估可能存在的風險點?項目部組建時人員是否滿足涉密人員要求；?上崗前是

4、否接受過保密知識培訓及考核；?是否與公司簽訂保密承諾書，保密協(xié)議，保密責任書及涉密人 員考核評價表；?部門是否按照公司要求開展保密知識培訓，加強部門涉密人員 的保密意識；?涉密人員離崗時是否簽訂離崗保密承諾書，保密工作領導小組 是否對其進行脫密期管理。風險防控措施?應聘員工應滿足公司對涉密人員的聘用標準；?上崗必須學習崗位保密業(yè)務，且保密知識考核成績合格；?與公司簽署保密協(xié)議、保密承諾書、保密責任書；?員工所在部門領導確認涉密人員考核評級表內(nèi)容，確認無誤后 簽字，同時保密領導小組同意簽字后，評價表交保密工作領導 小組存檔，作為該員工的涉密考核內(nèi)容；?保密辦公室應在年初做好本年度保密知識培訓計劃

5、及考核計劃， 組織涉密人員學習各項保密知識。?涉密人員在離開項目后，嚴格遵守公司保密制度，與公司簽署 離崗保密承諾書，并嚴格遵守公司對離崗人員的脫密期管理要求。涉密載體風險評估可能存在的風險點紙質(zhì)文件：?涉密文件、資料是否有專人管理；?涉密文件是否有收發(fā)記錄；?涉密文件復印、 外借是否有登記， 是否在記錄中標明使用理由、 復印數(shù)量及使用人簽字；?涉密文件借閱是否有登記記錄，是否在記錄中標明借閱理由、 使用時間、歸還時間及借閱人簽字；?涉密文件是否及時歸檔，檔案目錄是否及時更新。電子文件：?是否指派專人對涉密電子文件進行管理；?制作涉密電子文件時，是否記錄使用范圍及制作數(shù)量；?是否在非涉密計算機

6、中傳遞涉密電子文件；?在攜帶涉密電子文件外出時，是否有專人攜帶；?涉密電子文件是否及時歸檔；?報廢的涉密電子文件如何處理。風險防控措施紙質(zhì)文件?所有保密文件、文檔、材料由項目保密專員統(tǒng)一管理，統(tǒng)一登 記并存入密碼柜，定期進行清查，避免發(fā)生資料泄露或丟失。嚴禁其他人員隨意翻看保密資料，如有其他保密人員要借閱使用，由保密專員進行登記，寫明借閱時間及借閱理由，并保證 不拿到涉密辦公室以外的地方使用。?保密材料嚴格按保密領導辦公室批準的份數(shù)印刷，不得擅自多 印多留，復印件視同原件管理，復印過程中產(chǎn)生的廢紙、廢件 應及時銷毀；在復印材料之前，需由保密辦公室管理員登記后 方可進行，標明使用理由、復印份數(shù)；

7、?傳遞保密材料要有保密措施，傳遞應專人專送，不得辦理無關 事項，攜帶密件不得進入不利于保密的場所；外出工作需攜帶 保密材料的，要經(jīng)保密工作領導小組批準。?保密資料未經(jīng)許可，不得擅自摘抄、翻印、復印、轉借或損壞； 一旦造成損失由當事人承擔責任。電子文件：?指定專人負責項目涉密電子文件的日常管理工作。?制作涉密電子文件，應當依照有關文件，規(guī)定使用范圍及制作數(shù)量，并編號記錄。?傳遞涉密電子文件，應當履行登記、簽收等手續(xù)。禁止在任何 非涉密網(wǎng)絡上傳遞涉密電子文件。嚴禁在非涉密機上處理或存 儲涉密電子文件。?閱讀、使用、復制和銷毀涉密電子文件，應經(jīng)保密工作領導小 組批準，同時辦理登記、簽字手續(xù)。復制的電

8、子文件視同原件 管理。?定期對涉密電子文件及載體進行清查、核對，發(fā)現(xiàn)問題及時向 保密管理辦公室匯報。涉密設備風險評估可能存在的風險點 ?涉密計算機是否有違規(guī)操作；?涉密計算機端口是否插過其他存儲介質(zhì)；?涉密計算機是否配備三合一防護系統(tǒng)；?辦公場所自動化設備是否外借使用；?涉密計算機及辦公場所自動化設備維修、更換、報廢如何管理風險防控措施?涉密計算機安裝主機監(jiān)控與審計系統(tǒng)進行端口審計；?涉密計算機安裝江民病毒防護軟件，由專人進行病毒軟件更新，更新周期不超過 15天；?每臺涉密計算機都配備三合一防護系統(tǒng)，嚴格控制了計算機內(nèi) 涉密信息的流失；?涉密計算機配置 10位數(shù)以上的密碼，由專人統(tǒng)一管理、記載

9、；?辦公室自動化設備均為涉密辦公室處理涉密項目專用，不得外 借使用；?涉密計算機及辦公室自動化設備由保密工作領導小組確定專人 使用，機器明確標明使用人姓名并登記入冊；使用人發(fā)生變化 時，報保密工作領導小組審核，審核通過后進行變更；?涉密計算機及辦公室自動化設備（打印機、刻錄機）維修、更 換、報廢由涉密辦公室管理員負責，做好相關登記；維修應由 保密領導小組批準后進行；?涉密計算機維修應到保密局指定的地點維修，維修前應卸下硬 盤等敏感部件，維修后應進行安全檢測后方可使用；?更換涉密計算機應事先提交涉密設備變更申請表，寫明更換原 因，經(jīng)保密工作領導小組批準后進行。在更換涉密計算機前應 卸下硬盤，卸下

10、的硬盤不得在非涉密計算機上使用，硬盤交由 涉密辦公室保密管理員登記備案；硬盤留存于保密辦公室，不 得使用、外借；?涉密計算機報廢不得當作廢品出售，在申請報廢后先到保密辦 公室保密管理員處登記，卸下硬盤并由專人上交保密局工作部 門進行集中銷毀處理，報廢涉密計算機應報保密局備案并履行 相應的銷毀制度。涉密場所風險評估可能存在的風險點?涉密辦公場所內(nèi)是否存在網(wǎng)絡端口；?非涉密人員進出涉密辦公室是否有記錄；?涉密辦公場所是否按照國家保密局要求配備了門禁系統(tǒng)、防盜 報警系統(tǒng)、視頻監(jiān)控系統(tǒng)；?涉密人員進出涉密辦公室時是否攜帶相機，手機，錄音筆等其 它可存儲介質(zhì)。風險防控措施?由安全保密管理員定期檢查涉密辦

11、公室的門禁、防盜報警、視 頻監(jiān)控等設備的完好狀態(tài)，確保保密材料安全。?非授權人員進出涉密場所，須經(jīng)公司保密領導小組審批并由授 權人員進行全程陪同方可進入，同時建立涉密場所非授權人員 進入登記冊，對臨時進出的人員登記；標明進出時間及事由。?建立視頻監(jiān)控的檢查管理機制，公司的安全保衛(wèi)部門應當定期 對視頻監(jiān)控信息進行回看檢查，保密辦公室應當對執(zhí)行情況進 行監(jiān)督。視頻監(jiān)控信息保存時間不少于3個月。?未經(jīng)批準，不得將具有錄音、錄像、拍照、存儲、通信功能的 設備帶入涉密辦公室。3、涉密項目風險評估招投標風險評估可能存在的風險點?投標小組成員是否為涉密人員，是否有保密意識；?是否有泄露標底的情況；?是否做好

12、投標文件的保密情況；?是否做好資格預審時投標人的保密以及現(xiàn)場踏勘中標人的保密 情況；?評標機構是否做好保密工作。風險防控措施?投標小組成員必須為涉密人員，必須與公司簽署保密協(xié)議，保 密承諾書及保密責任書后方可進入小組。?標底作為評標的主要依據(jù)，是工程招標保密工作的重中之重， 標底如果泄露可能會導致工程招標成本的提高。因此，投標小 組應加強對標書的保密管理，涉及記載標底的文件不能隨意擺 放，應視同保密材料保管于保密辦公室。?投標文件是投標人的商業(yè)秘密。既然投標人信任招標代理機構, 招標代理機構也應把投標人遞交的投標文件保存好。因此，招 標代理機構有義務對投標文件進行保密，以避免投標人遭受損 失。

13、由專人負責對投標文件的管理，沒有保密工作領導小組領 導的允許，除投標小組成員外，其他人員不得翻閱投標文件。?對每一個投標單位的資格預審應當單獨進行。資格預審結束后， 招標人應當對資格預審合格單位的名單予以保密，并以書面或 電話的方式單獨通知每一個報名單位其是否通過資格預審。?招標人根據(jù)工程招標項目的具體情況，可以組織潛在投標人勘查項日現(xiàn)場。由于保密問題的存在，招標人不能同時組織所有 潛在投標人進行現(xiàn)場勘查。招標人可以制定現(xiàn)場勘查的時間安 排表，然后分別組織潛在投標人進行勘查。設計方案風險評估可能存在的風險點?設計人員是否為涉密人員，是否有保密意識；?涉密人員素質(zhì)是否良好，是否會泄露設計方案；?

14、辦公環(huán)境是否滿足涉密資質(zhì)標準要求；?使用設備是否為涉密設備，是否滿足標準；?是否在非涉密計算機上傳遞涉密項目信息。風險防控措施?在整個設計過程中，應確定領導小組組織結構，嚴格按照班組 成員劃分崗位職責，嚴禁杜絕濫用職權、擅離職守、推卸責任 等情況的出現(xiàn)。加強領導保密意識培訓，起好表率作用。在設 計過程中保密意識應時刻體現(xiàn)在工作中，從現(xiàn)場的勘察、資料 的整理、匯總、后期資料的加工、方案的修改、資料的傳輸、 最終方案的保存等都應該時刻提高保密意識，加強保密管理。?方案設計小組成員必須經(jīng)過嚴格篩選，參加保密培訓及考核合 格后方能上崗。在工作中時刻注意警惕自己是涉密人員，增強 保密意識。?在設計過程中

15、，現(xiàn)場勘察時對周邊環(huán)境應仔細查找風險點，避 免一切安全隱患的發(fā)生，不滿足要求的及時整改。方案編寫都 應該在涉密辦公室進行，防止涉密信息外漏。?方案設計過程中應用到的所有設備設施必須為涉密專用設備、 杜絕涉密設備與非涉密設備混用。涉密信息存儲設備必須隨身 攜帶，方案編寫必須在涉密辦公室內(nèi)進行，如要將涉密文件等 信息帶出涉密辦公室必須嚴格按照保密管理制度執(zhí)行，保密領 導小組組長同意方可。?必須在涉密計算機上處理涉密項目，不允許在非涉密計算機上 處理或傳遞涉密項目信息。也不允許將涉密信息通過任何方式 拷貝、復印拿出涉密辦公室。分包方案使用風險評估可能存在的風險點?在現(xiàn)場使用時，信息是否產(chǎn)生泄露；?涉

16、密人員是否將圖紙存放與他人手里或放在施工現(xiàn)場，導致項 目設計方案泄露。風險控制措施?加強涉密人員保密意識；?涉密項目前期設計需由專人在涉密計算機上進行編寫，并用光 盤進行信息存儲，并由委托方指定人員進行交接。不得將光盤 存于他人手中或施工現(xiàn)場。?嚴禁使用外網(wǎng)計算機查詢?nèi)魏紊婷茼椖啃畔ⅲ婷茼椖糠桨傅?制定均應在涉密辦公室內(nèi)的涉密計算機上進行編寫。設備采購風險評估io可能存在的風險點?工程建設周期導致從投標到采購的周期過長，存在供應商庫存 風險和技術偏離風險；?市場信息不夠完全、充分、透明，供應商在一定范圍內(nèi)能影響 價格；?設備采購過程中，供應商泄露項目信息。風險控制措施?工程建設周期導致從投標

17、到采購的周期過長，存在供應商庫存 風險和技術偏離風險，可從三方面進行規(guī)避：一方面可建立供 應商預警機制，對價格、庫存、技術等風險出現(xiàn)前進行供方預 警；一方面，對于項目前期設備的選型，應考慮項目建設周期 因素，應避免選擇市場壽命短的產(chǎn)品；另一方面，應在簽訂項 目合同時，對于設備的更新?lián)Q代條款，應進行明示。?加大市場信息獲取力度，使市場信息準確而全面，從而保證市 場分析、成本分析等數(shù)據(jù)的可靠性；依據(jù)適用原則選擇供應商 并改善與供應商的關系，避免成為強勢供應商價格聯(lián)盟的受害 者。?涉密項目的設備采購應單獨采購，由涉密業(yè)務管理小組下的設 備采購小組組長設立專人，不與其它項目的設備一起采購，與 供應商簽

18、署保密承諾書，并承諾不泄露項目信息、設備價格現(xiàn)場實施風險評估可能存在的風險點?合同及各項審核工作時間太長，導致項目信息泄露；?在施工過程中有涉密人員離職或調(diào)崗，導致涉密信息泄露；11?施工現(xiàn)場環(huán)境是否滿足涉密項目環(huán)境要求；?現(xiàn)場施工時，是否有除委托方及現(xiàn)場施工人員以外的人員進出 現(xiàn)場；?設備安裝調(diào)試時，是否通過非涉密計算機進行操作。風險防控措施?涉密項目簽訂的涉密合同必須由專職涉密人員進行登記、歸檔， 存放于涉密辦公室內(nèi)的密碼文件柜內(nèi)。?調(diào)崗或離職的涉密人員必須進行脫密期處理，并簽署涉密人員 離崗保密承諾書。不得在脫密期間出國或在外資企業(yè)工作。?施工現(xiàn)場周圍不允許有大使館、外資企業(yè)等；如有請做

19、好保密 防護措施，如：安裝視頻監(jiān)控系統(tǒng)、防盜報警系統(tǒng)等。加強施 工現(xiàn)場保密環(huán)境。?現(xiàn)場施工時，不允許除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場。除保密工作領導小組指定人員外，其他人員不得進入施 工現(xiàn)場。?調(diào)試設備時，必須用涉密計算機進行調(diào)試，不得用非涉密計算 機進行。避免通過非涉密計算機傳遞涉密信息，導致涉密項目 信息泄露。審查驗收風險評估可能存在的風險點?審查驗收人員是否為涉密人員，是否是保密工作領導小組指定；?審查驗收記錄是否是由專人負責保管，是否產(chǎn)生記錄丟失、泄7 = 1=/解；12?對用戶進行設備使用培訓，但用戶保密意識不強，無意間泄露 保密信息。風險防控措施?審查驗收人員必須為涉密人員，必須由保密工作領導小組下的 運行維護小組組長指派專人驗收。?審查