保密風險評估方案

目錄4075_WPSOffice_Level1一、概述 325536_WPSOffice_Level1二、評估依據 313265_WPSOffice_Level1三、評估流程 38416_WPSOffice_Level1四、評估方法 316923_WPSOffice_Level21.風險級別定義 325760_WPSOffice_Level22.對原有風險點的評估。 427685_WPSOffice_Level23.新風險識別 417231_WPSOffice_Level24.部門評估 4978_WPSOffice_Level25.公司評估 425011_WPSOffice_Level1附件1：參評人員和部門提交文件一覽表 625851_WPSOffice_Level1附件2：風險評估表 731307_WPSOffice_Level1附件3：風險評估匯總表 825939_WPSOffice_Level1附件4：風險評估參與人員表 918942_WPSOffice_Level1附件5：風險點列表 10

一、概述公司作為涉密信息系統集成資質單位，對保守國家秘密有相應義務并承擔重要的責任。為切實有效地保護國家秘密，必須事先做好保密風險評估工作，讓保密工作有的放矢。為了讓風險評估達到應有的成果，并有序進行，特制定本方案。二、評估依據《中華人民共和國保守國家秘密法》《中華人民共和國保守國家秘密法實旋條例》《涉密信息系統集成資質單位保密標準》《涉密信息系統集成資質管理辦法》公司保密管理制度三、評估流程風險評估包括風險識別、風險分析、風險評價。具體評估流程如下：1.保密辦根據當前已有的風險防控措施和保密管理制度出具風險點列表（見附件<風險點列表>）；2.各部門安排本部門涉密人員對風險點列表進行分析；3.涉密人員將評估結果以電子檔遞交本部門負責人；4.部門負責人匯總后形成風險評估匯總表，并打印簽字；5.部門負責人將風險評估匯總表紙質文檔和電子文檔遞交保密辦；6.保密辦匯總后出具風險評估報告。四、評估方法1.風險級別定義風險級別定義是對風險點進行風險評估的基礎。根據不同的風險級別需制定不同的風險防控措施。具體定義見下表：風險等級風險級別定義很高如果被利用，將對業務或資產造成完全損害。高如果被利用，將對業務或資產造成重大損害。中如果被利用，將對業務或資產造成一般損害。低如果被利用，將對業務或資產造成較小損害。很低如果被利用，對業務或資產造成損害可忽略。2.對原有風險點的評估。參加評估的人員對原有風險點的風險等級和防控措施進行評估。評估風險等級是否準確，防控措施是否有效。對識別出的問題，按修改后的風險等級和建議防控措施填寫到風險評估表中。序號按原風險點序號填寫。3.新風險識別參評人員根據日常工作情況和工作流程識別出的新風險，在風險評估表中填寫識別項目、風險點、風險等級和建議防控措施。序號不填。4.部門評估各參評人員把風險評估表以電子檔遞交到部門負責人。部門組織參評人員討論評估結果，形成最終結論后匯總評估表。各參評人員和部門提交文件見附件。5.公司評估各部門將評估結果匯總表以電子檔和紙質檔遞交保密辦，保密辦組織各部門討論評估結果。根據評估結果提出最終評估報告，并向公司提出防控措施意見和建議。保密辦

附件1：參評人員和部門提交文件一覽表附件2：風險評估表附件3：風險評估匯總表附件4：風險評估參與人員表附件5：風險點列表

附件1：參評人員和部門提交文件一覽表序號文件名稱文檔形式提交人接收人1風險評估表電子檔參評人部門負責人2風險評估匯總表紙質、電子檔部門負責人保密辦3風險評估參與人員表電子檔部門負責人保密辦4風險評估報告紙質保密辦保密領導小組5防控措施建議紙質保密辦保密領導小組

附件2：風險評估表部門：評估人：序號識別項目風險點風險等級防控措施101102

附件3：風險評估匯總表部門：部門負責人簽字：序號識別項目風險點風險等級防控措施101102

附件4：風險評估參與人員表序號姓名部門電話

附件5：風險點列表序號識別項目風險點風險等級現有防控措施人員101涉密人員上崗管理人員沒有進行保密審查中上崗前先進行保密審查，填寫保密審查表，審查流程為人事部－保密辦－保密領導小組。102人員保密審查內容不全面中審查表主要內容見《涉密人員保密審查表》103涉密人員沒有經崗前培訓考核中審查完成時進行崗前培訓和考核104涉密人員沒有簽訂保密承諾書或保密協議中崗前培訓和考核通過后簽訂保密承諾書105涉密人員在崗管理沒有開展日常保密教育培訓或培訓內容流干形式低涉密人員每年至少接受10h保密培訓。培訓內容包括保密法律法規、公司制度、泄密案例、保密意識、保密常識、分級保護相關知識等內容106人員涉密等級變更沒有進行審批中人員密級變更有按照相應審批流程進行。107涉密人員上崗或變更后沒有及時到出入境管理局和重慶市國家保密局備案中在涉密人員上崗或變更后五日內到出入境管理局和重慶市國家保密局備案。108沒有對涉密人員證件進行管理或涉密人員證件丟失中對涉密人員的因私護照、港澳通行證、臺灣地區通行證進行統一管理。如需使用必須經先審批后領取。109涉密人員出國（境）沒有進行審批高須先審批，后辦理出國（境）。110沒有對涉密人員進行定期復審中重要涉密人員每三年復審，一般涉密人員每五年復審。111沒有把保密管理納入績效低按部門和工作崗位每月開展績效評價112沒有及時向涉密人員發放保密補貼低按月發放保密補貼113涉密人員離崗離職管理沒有進行涉密人員離崗審批高涉密人員離職離崗審批表114離崗離職沒有進行相關資料移交高離崗離職前要進行資料移交115涉密人員沒有簽訂離崗保密承諾書中須簽訂保密承諾書116沒有對離崗離職涉密人員進行保密提醒談話中由保密辦進行提醒談話，并做好談話記錄117沒有對脫密期人員進行委托管理或委托其他單位進行管理中尚未對脫密期人員進行委托管理118沒有對脫密期人員進行回訪中對脫密期內人員每年進行一次回訪119涉密人員檔案管理沒有建立涉密人員檔案或檔案信息不全高檔案信息包括：姓名、性別、身份證號、部門、職務、密級、上崗日期、在崗狀態、復審日期、脫密期、是否備案120沒有對涉密人員進行分類管理和動態管理中建立涉密人員臺賬和動態管理臺賬場所201涉密場所安防設備沒有安防監控、防盜報警、門禁系統高有門禁、監控、防盜報警設備202沒有安裝鐵門、鐵窗，沒有配備保密文件柜高有防盜門、防盜窗、保密文件柜203安防監控記錄存儲時間不足三個月中監控存儲時長大于三個月204沒有定期對安防監控設備、防盜報警設備、門禁設備工作是否正常進行檢查高每月檢查，目前檢查人員為方武茂205沒有定期對安防監控記錄、門禁記錄進行檢查中每月檢查，目前檢查人員為方武茂206人員進出管理沒有對出入人員進行審批、登記高除白名單人員外，其他涉密人員進出須登記、非涉密人員和外來人員須先審批再進入207沒有定期對白名單進行復審中白名單人員每年一審涉密信息設備301信息設備臺賬沒有建立涉密信息設備臺賬高設備臺賬內容包括：設備名稱、型號類型、出廠編號、保密編號、密級、操作系統安裝日期、硬盤序列號、IP地址、MAC地址、三合一安裝情況、安放位置、責任人、設備狀態、啟用日期、報廢日期、測評證書編號、證書有效期302涉密信息設備臺賬信息與實物不符低每年組織一次保密檢查303信息設備使用維修沒有對涉密信息設備的維修、報廢進行審批和記錄中有相應審批和記錄304對涉密信息設備的外帶沒有進行審批和登記高有相應審批和記錄305沒有及時對使用后歸還的涉密信息設備進行保密檢查高對涉密電腦、涉密U盤使用后須進行保密檢查載體401涉密載體臺賬沒有建立涉密載體臺賬高有臺賬402涉密載體信息要素不全中臺賬內容包括：載體名稱、形式、編號、份數、單份頁數、密級、保密期限、來源、時間、責任人、接觸范圍/知悉程度、存放位置、外送退回日期403涉密載體信息與實物不符高每年進行一次保密檢查404涉密載體生產制作涉密載體的生產制作沒有經過審批中涉密載體生產制作須審批405涉密載體生產制作后沒有登記入載體臺賬高制作后由保密辦登記入臺賬406沒有有效控制涉密載體生產制作、輸出權限范圍中目前涉密室僅一臺電腦有打印刻錄權限。407涉密載體借閱傳遞涉密載體借閱、傳遞給不在知悉范圍內的人員高知悉范圍內人員借閱須登記408涉密載體借閱、傳遞無審批無記錄中知悉范圍外人員借閱須先審批，后借閱并登記409涉密載體外送無審批、無回執高外送須先審批后外送并提交回執業務流程501項目招投標投標小組成員是為非涉密人員；高投標小組成員必須經過審批，并且為涉密人員502投標小組成員沒有簽訂保密協議、保密承諾書或保密責任書中確定為投標小組成員后必須簽訂保密協議、保密承諾書或保密責任書503投標小組成員沒有保密意識或保密意識不強高對投標小組成員進行保密培訓或宣講保密管理規定。加強日常保密培訓工作。504投標小組成員有泄露標底的情況；高投標小組應加強對標書的保密管理，涉及記載標底的文件不能隨意擺放，應視同保密材料一樣保管于涉密辦公室505投標文件沒有定密高按照項目密級對相關文件進行定密506投標文件雖然經過定密但沒有按照密件管理要求標識密級、保密期限、編號、指定接觸范圍和涉密等級中按照定密密級和密件管理要求對投標文件進行管理。對投票文件進行統一編號，標識密級、保密期限、編號，并確定接觸范圍和涉密等級。507投標文件等涉密文件沒有在保密室制作或保密室不符合保密標準要求高投標文件必須在保密室制作。保密室必須有符合保密要求的鐵門、鐵窗、保密文件柜、門禁、監控、防盜報警等設施設備。508使用非涉密信息設備制作投標文件等涉密文件高非涉密信息設備不得帶入保密室，確需帶入保密室的要經過審批，做到先審批再帶入。帶入的非涉密信息設備不得處理投標文件等涉密信息。投標文件制作過程中應用到的所有設備設施必須為涉密專用設備、杜絕涉密設備與非涉密設備混用。涉密信息存儲設備必須隨身攜帶，投標文件編寫必須在涉密辦公室內進行，如要將涉密文件等信息帶出涉密辦公室必須嚴格按照保密管理制度執行，保密領導小組同意方可。509投標文件等涉密文件的制作沒有經過審批高投標文件等涉密文件的輸出做到相對集中，僅授權一臺電腦進行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸出。510投標文件等涉密文件傳遞沒有記錄高投標文件等涉密文件的所有遞交、傳閱、包括去向必須進行登記記錄。511投標文件等涉密文件沒有納入涉密載體臺賬管理高投標文件等涉密文件按照涉密載體管理要求進行登記，包括載體名稱、密級、保密期限、生產日期、份數、單份頁數、責任人、接觸范圍、知悉程度、存放位置、去向等進行登記。512方案設計設計人員為非涉密人員高確定方案設計小組人員須進行審批并核實人員涉密等級。對非涉密人員或涉密等級不符合的人員不得確定為設計人員。513設計人員沒有簽訂保密協議、保密承諾書或保密責任書中確定為設計小組成員后必須簽訂保密協議、保密承諾書或保密責任書后方可上崗514設計人員沒有保密意識或保密意識不夠高方案設計小組成員必須經過嚴格篩選，參加保密培訓及考核合格后方能上崗。在確定為方案設計小組成員后要進行保密教育或宣講保密管理規定。515設計人員有泄露設計方案的情況高設計小組成員應加強對標書的保密管理，涉及方案設計的文件不能隨意擺放，應視同保密材料一樣保管于涉密辦公室。516設計方案沒有在保密室制作或保密室不能滿足涉密資質標準要求高設計方案文件必須在保密室制作。保密室必須有符合保密要求的鐵門、鐵窗、保密文件柜、門禁、監控、防盜報警等設施設備。517使用非涉密設備制作設計方案高非涉密信息設備不得帶入保密室，確需帶入保密室的要經過審批，做到先審批再帶入。帶入的非涉密信息設備不得處理投標文件等涉密信息。方案設計過程中應用到的所有設備設施必須為涉密專用設備、杜絕涉密設備與非涉密設備混用。涉密信息存儲設備必須隨身攜帶，方案編寫必須在涉密辦公室內進行，如要將涉密文件等信息帶出涉密辦公室必須嚴格按照保密管理制度執行，保密領導小組同意方可。518在非涉密計算機上傳遞設計方案或涉密項目信息高必須在涉密計算機上處理涉密項目，不允許在非涉密計算機上處理或傳遞涉密項目信息。也不允許將涉密信息通過任何方式拷貝、復印拿出涉密辦公室。519設計方案等涉密文件的制作沒有經過審批高設計方案等涉密文件的輸出做到相對集中，僅授權一臺電腦進行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸出。520設計方案等涉密文件傳遞沒有記錄高設計方案等涉密文件的所有遞交、傳閱、包括去向進行登記記錄。521設計方案等涉密文件沒有納入涉密載體臺賬管理高設計方案等涉密文件按照涉密載體管理要求進行登記，包括載體名稱、密級、保密期限、生產日期、份數、單份頁數、責任人、接觸范圍、知悉程度、存放位置、去向等進行登記。522合同簽訂涉密合同信息泄露高涉密合同的簽訂過程必須是涉密人員參與，并有相應知悉權限，對涉密合同的送交應采用專人遞送，嚴禁采用普通快遞、郵件等無保密措施的遞送方式。523設備采購設備采購人員不是涉密人員高設備采購人員須進行審批并核實人員涉密等級。對非涉密人員或涉密等級不符合的人員不得確定為設計人員。524設備采購人員沒有保密意識或保密意識不夠高方案設計小組成員必須經過嚴格篩選，參加保密培訓及考核合格后方能上崗。在確定為方案設計小組成員后要進行保密教育或宣講保密管理規定。525設備采購過程中，供應商泄露項目信息中涉密項目的設備采購應單獨采購設備采購應為專人，不與其它項目的設備一起采購，與供應商簽署保密承諾書,并承諾不泄露項目信息、設備價格。526現場實施涉密項目主要參與人員不是涉密人員高涉密項目簽訂的涉密合同必須由專職涉密人員進行登記、歸檔，存放于涉密辦公室內的密碼文件柜內。527沒有對項目施工人員、第三方廠商調試人員等非涉密人員進行管理高要求通過對所有項目參與人員包括施工人員、第三方廠商調試人員等非涉密人員登記身份信息、聯系方式等，加強管理。528項目參與人員沒有保密意識或保密意識不夠高對于主要項目參與人員必須經過嚴格篩選，參加保密培訓及考核合格后方能上崗。在確定為項目參與人員后要進行保密教育或宣講保密管理規定。對于參與項目的其他非涉密人員在參與前要進行保密教育或宣講保密管理規定。529涉密項目參與人沒有簽訂保密協議中對確定的主要項目參與人和其他非涉密人員參與人必須簽訂保密協議、保密承諾書或保密責任書后方可上崗530涉密項目參與人信息沒有報保密辦備案，或涉密項目人員發生變化沒有報保密辦備案高涉密項目參與人確定后須要報保密辦備案，備案后方可實施。項目負責人要對人員進行動態管理，對項目實施過程中人員發生變動和變化的，要及時報保密辦備案。531項目實施前沒有制定保密工作方案并交保密辦備案中項目負責人在項目實施前編制項目保密工作方案，方案交保密辦備案后項目方可實施。532項目實施過程中產生制作涉密載體沒有經過審批高項目實施過程中嚴禁在外私自打印刻錄涉密載體，產生制作涉密載體的輸出做到相對集中，僅授權一臺電腦進行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸出。533項目涉密載體沒有標識密級、保密期限，沒有統一編號，沒有規定接觸范圍和知悉程度高按照定密密級和密件管理要求對項目實施過程中產生制作的涉密載體進行管理。對涉密文件進行統一編號，標識密級、保密期限、編號，并確定接觸范圍和涉密等級。534項目載體文件沒有定密高按照項目密級對相關文件進行定密。相關文件包括方案、圖紙、施工日志、驗收資料和驗收報告等535沒有建立項目涉密載體管理臺賬高項目涉密載體等涉密文件按照涉密載體管理要求進行登記，包括載體名稱、密級、保密期限、生產日期、份數、單份頁數、責任人、接觸范圍、知悉程度、存放位置、去向等進行登記。536在施工過程中有涉密人員離職或調崗，導致涉密信息泄露中調崗或離職的涉密人員必須進行脫密期處理，并簽署涉密人員離崗保密承諾書。不得在脫密期間出國