1、險 評 估 報 告XXXXX有限公司201xx 年 xx 月1概述針對公司主要業(yè)務(wù)流程進(jìn)行風(fēng)險評估，其中包含了涉密信息 系統(tǒng)集成業(yè)務(wù)管理、人力資源管理、資產(chǎn)管理、涉密場所管理等。2評估目的通過人員訪談、文檔審查和實地察看相結(jié)合的方式查找公司 信息系統(tǒng)軟件開發(fā)主要業(yè)務(wù)流程的薄弱環(huán)節(jié)和安全隱患，分析可 能面臨的風(fēng)險，為保密風(fēng)險防控措施的落實提供依據(jù)。3評估依據(jù)涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn)中華人民共和國保守國家秘密法中華人民共和國保守國家秘密法實旋條例涉密信息系統(tǒng)集成資質(zhì)管理辦法4評估內(nèi)容人力資源管理風(fēng)險評估根據(jù)涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn)及公司安全 保密管理制度中涉密人員管理制度中的規(guī)定，

2、從人員上崗、 在崗、離崗管理三方面分析公司涉密人員管理現(xiàn)狀，對公司涉密 人員管理的業(yè)務(wù)流程進(jìn)行風(fēng)險評估，識別并評估風(fēng)險點，進(jìn)而制 定出風(fēng)險防控措施。風(fēng)險級別定義風(fēng)險嚴(yán)重程度級別參考書級別標(biāo)識定義很高如果被利用，將對資產(chǎn)或業(yè)務(wù)造成完全損害高如果被利用，將對資產(chǎn)或業(yè)務(wù)造成重大損害如果被利用，將對資產(chǎn)或業(yè)務(wù)造成一般損害低如果被利用，將對資產(chǎn)或業(yè)務(wù)造成較小損害很低如果被利用，將對資產(chǎn)或業(yè)務(wù)造成的損害可以忽略風(fēng)險點對從事涉密業(yè)務(wù)的人員進(jìn)行審查，是否符合條件，符合條件 的方可將其確定為涉密人員。是否對涉密人員進(jìn)行保密教育 培訓(xùn)，并簽訂保密承諾書后方能上崗。對涉密人員是否保守國家秘密，嚴(yán)格遵守各項保密規(guī)章制

3、度 進(jìn)行審查，是否符合以下基本條件：（1）遵紀(jì)守法，具有良好的品行，無犯罪記錄；（2）屬于公司正式職工，并在其他公司無兼職；（3）社會關(guān)系清楚，本人及其配偶為中國境內(nèi)公民。審查公司與涉密人員簽訂的勞動合同或補(bǔ)充協(xié)議，是否已簽 署。公司在崗涉密人員是否每年參加保密教育與保密知識、技能 培訓(xùn)，培訓(xùn)的時間應(yīng)不少于10個學(xué)時。公司是否對在崗涉密人員進(jìn)行定期考核評價。公司是否向涉密人員發(fā)放保密補(bǔ)貼。公司涉密人員在離崗離職時，是否經(jīng)公司保密審查，簽訂保 密承諾書，并按相關(guān)保密規(guī)定實行脫密期管理。風(fēng)險分析編號風(fēng)險點描述嚴(yán)重程度1涉密人員資格審 查對涉密人員進(jìn)行資格審查低2涉密人員崗前培 訓(xùn)考核涉密人員保密教

4、育培訓(xùn)考核不嚴(yán)格中等3涉密人員教育培 訓(xùn)管理對涉密人員進(jìn)行保密教育 與保密技能培訓(xùn)10學(xué)時低4涉密人員離崗離職管理對離崗離職涉密人員的保 密審查到位低5涉密人員發(fā)放保 密補(bǔ)貼對公司涉密人員發(fā)放保密補(bǔ)貼審查到位低風(fēng)險防控措施編號風(fēng)險點嚴(yán)重程度防控措施1涉密人員 資格審查低計劃人員招聘階段，確定該人員是否為 公司涉密人員；對涉密人員進(jìn)行社會關(guān) 系的審查，確定其直系親屬是否均為中 國境內(nèi)公民；若此人員為前單位離職人 員，應(yīng)和前單位進(jìn)行確認(rèn)，確定其在其 它單位無兼職2涉密人員 崗前培訓(xùn) 考核中等涉密人員經(jīng)過保密教育培訓(xùn)后，必須保 證考試合格，并與公司簽訂公司涉密 人員保密責(zé)任書后方能上崗3涉密人員 教

5、育培訓(xùn) 管理低必須嚴(yán)格按照相關(guān)規(guī)定對涉密人員進(jìn)行 教育培訓(xùn)，必須保證培訓(xùn)學(xué)時不低于10 學(xué)時。公司保密工作領(lǐng)導(dǎo)小組必須對此 項工作進(jìn)行監(jiān)督管理。4涉密人員 離崗離職 管理低涉密人員離崗離職前，保密辦公司人員 必須對其在崗期間所負(fù)責(zé)的涉密信息系 統(tǒng)集成的信息和資料進(jìn)行審查，并確保 所有信息資料交回公司保密辦；為規(guī)避 人員離職離崗后發(fā)生泄密風(fēng)險，必須和 離崗離職的涉密人員簽訂保密承諾書， 并經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)方能離職離崗。對離 崗離職人員實行脫密期管理。(5涉密人員 發(fā)放保密 補(bǔ)貼低公司應(yīng)對涉密人員發(fā)放保密補(bǔ)貼。資產(chǎn)管理風(fēng)險評估根據(jù)涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn)及公司安全 保密管理制度中涉密載體管理

6、制度、信息系統(tǒng)、信息設(shè)備 和安全保密防護(hù)設(shè)備設(shè)施管理規(guī)定、資質(zhì)證書的使用和管理規(guī) 定中的規(guī)定，從涉密載體管理、信息系統(tǒng)及設(shè)備管理及資質(zhì)證 書管理等方面分析公司涉密資產(chǎn)管理現(xiàn)狀，對公司涉密資產(chǎn)管理 的業(yè)務(wù)流程進(jìn)行風(fēng)險評估，查找風(fēng)險點，并進(jìn)行風(fēng)險防控。風(fēng)險級別定義風(fēng)險嚴(yán)重程度級別參考表級別標(biāo)識定義很高高如果被利用，將對主要業(yè)務(wù)造成重大損害中等如果被利用，將對主要業(yè)務(wù)造成一般損害低如果被利用，將對主要業(yè)務(wù)造成較小損害很低如果被利用，將對主要業(yè)務(wù)造成的損害可以忽略風(fēng)險點審查涉密信息設(shè)備是否符合國家保密標(biāo)準(zhǔn)，有密級、編號、 責(zé)任人標(biāo)識，并建立管理臺帳。檢查涉密信息設(shè)備的使用是否符合相關(guān)保密規(guī)定。禁止涉密

7、 信息設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；禁止涉密信息設(shè) 備接入內(nèi)部非涉密信息系統(tǒng)；禁止使用非涉密信息設(shè)備和個 人設(shè)備存儲、處理涉密信息；禁止超越計算機(jī)、移動存儲介 質(zhì)的涉密等級存儲、處理涉密信息；禁止在涉密計算機(jī)和非 涉密計算機(jī)之間交叉使用移動存儲介質(zhì)；禁止在涉密計算機(jī) 與非涉密計算機(jī)之間共用打印機(jī)、掃描儀等信息設(shè)備。檢查涉密信息設(shè)備是否采取身份鑒別、訪問控制、違規(guī)外聯(lián) 監(jiān)控、安全審計、移動存儲介質(zhì)管控等安全保密措施，并及 時升級病毒和惡意代碼樣本庫，定期進(jìn)行病毒和惡意代碼查 殺。檢查采購的安全保密產(chǎn)品是否選用經(jīng)過國家保密行政管理部 門授權(quán)機(jī)構(gòu)檢測、符合國家保密標(biāo)準(zhǔn)要求的產(chǎn)品，計算機(jī)病 毒防護(hù)

8、產(chǎn)品應(yīng)當(dāng)選用公安機(jī)關(guān)批準(zhǔn)的國產(chǎn)產(chǎn)品，密碼產(chǎn)品應(yīng) 當(dāng)選用國家密碼管理部門批準(zhǔn)的產(chǎn)品。檢查涉密信息打印、刻錄等輸出是否相對集中、有效控制， 并采取相應(yīng)審計措施。檢查涉密計算機(jī)及辦公自動化設(shè)備是否拆除具有無線聯(lián)網(wǎng)功 能的硬件模塊，禁止使用具有無線互聯(lián)功能或配備無線鍵盤、 無線鼠標(biāo)等無線外圍裝置的信息設(shè)備處理國家秘密。檢查涉密信息設(shè)備的維修，是否在本公司內(nèi)部進(jìn)行，是否指 定專人全程監(jiān)督，嚴(yán)禁維修人員讀取或復(fù)制涉密信息。檢查涉密計算機(jī)及移動存儲介質(zhì)攜帶外出是否履行審批手 續(xù)，帶出前和帶回后，是否進(jìn)行保密檢查。風(fēng)險分析編號風(fēng)險點描述嚴(yán)重 程度1涉密載體臺賬管理建立涉密載體臺賬，但臺賬信息 不夠完整。中等2

9、涉密載體使用管理需要接收、交付、傳遞、保存、 銷毀涉密載體時，履行了登記手 續(xù)，但需要維修時,記錄不完整， 也沒有指定的維修廠家。中等3涉密信息設(shè)備臺賬管理建立信息設(shè)備臺賬，但臺賬信息 不夠完整中等4涉密信息設(shè)備維修、報廢管理對于涉密設(shè)備的維修、報廢的審 批流程不夠清晰中等5涉密信息設(shè)備攜帶管理涉密計算機(jī)攜帶外出，只履行登 記手續(xù)，審批流程不完整中等6涉密信息設(shè)備管理涉密計算機(jī)與非涉密計算機(jī)之 間共用打印機(jī)、掃描儀高風(fēng)險防控措施編 號風(fēng)險點嚴(yán)重問題防控措施1涉密載體臺賬管理中等必須按照要求建立涉密載體臺賬，明確 涉密載體的名稱、編號、密級、保密期 限等信息。并對涉密載體進(jìn)行動態(tài)管理， 及時做好

10、涉密載體的新增、減少等記錄。2涉密載體使用管理中等建立涉密載體的維修商家名錄，并對維 修商家的資格進(jìn)行核查，當(dāng)涉密載體需 要維修時，只能送到指定的維修商家進(jìn) 行維修。3涉密信息設(shè)備臺賬管理中等必須按照要求建立涉密信息設(shè)備挑戰(zhàn)， 明確涉密載體的名稱、編號、密級、責(zé) 任人標(biāo)識等信息。并對涉密信息設(shè)備進(jìn) 行動態(tài)管理。及時做好涉密信息設(shè)備的新增、減少等記錄。4涉密信息設(shè) 備維修、報 廢管理中等建立涉密信息設(shè)備的售后商家名錄，并 對售后商家的資格進(jìn)行核查，當(dāng)涉密信 息設(shè)備需要維修時，只能送到指定的維 修商家進(jìn)行維修。如必須有外來人員進(jìn) 行修理時，應(yīng)有保密辦人員全程陪同， 必須指定專人負(fù)責(zé)，對維修人員、維

11、修 對象、維修內(nèi)容、維修前后狀況進(jìn)行監(jiān) 督并詳細(xì)記錄。涉密信息設(shè)備需要報廢 時，應(yīng)填寫設(shè)備與介質(zhì)銷毀保密審批 表，送交保密行政管理部門設(shè)立的銷 毀工作機(jī)構(gòu)或者保密行政管理部門指定 的公司銷毀徹，徹底清除其中的涉密信 息后，對涉密信息存儲部件和介質(zhì)進(jìn)行 清點、登記、銷毀。5涉密信息設(shè)備攜帶管理中等攜帶涉密信息設(shè)備和介質(zhì)外出，不能只 做登記處理，必須報公司保密工作領(lǐng)導(dǎo) 小組批準(zhǔn)。未獲批攜帶涉密信息設(shè)備外 出，公司將對攜帶人員和保密辦公室人 員實行懲罰機(jī)制；外出時，攜帶人應(yīng)嚴(yán) 格采取保護(hù)措施，介質(zhì)始終處于有效控制之下，防止出現(xiàn)丟失、被盜、被毀以 及泄密等情況。6涉密信息設(shè)備管理高)涉密計算機(jī)必須單獨

12、使用打印機(jī)、掃描 儀，不能與非涉密計算機(jī)之間共用，確 保涉密信息打印、刻錄等輸出相對集中、 有效控制，并采取相應(yīng)審計措施。涉密場所管理風(fēng)險評估根據(jù)涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn)及公司安全 保密管理制度中涉密信息系統(tǒng)集成場所保密管理規(guī)定中的 規(guī)定，從場所出入、門禁系統(tǒng)、監(jiān)控系統(tǒng)、防盜報警系統(tǒng)等方面 查看并分析公司涉密場所管理現(xiàn)狀，對公司涉密場所管理的業(yè)務(wù) 流程進(jìn)行風(fēng)險評估，查找風(fēng)險點，并進(jìn)行風(fēng)險防控。風(fēng)險級別定義風(fēng)險嚴(yán)重程度級別參考表級別標(biāo)識定義很高如果被利用，將對主要業(yè)務(wù)造成完全損害高如果被利用，將對主要業(yè)務(wù)造成重大損害中等如果被利用，將對主要業(yè)務(wù)造成一般損害低如果被利用，將對主要業(yè)務(wù)造成較

13、小損害很低如果被利用，將對主要業(yè)務(wù)造成的損害可以忽略風(fēng)險點公司的涉密辦公場所是否固定在相對獨立的樓層或區(qū)域。檢查公司涉密辦公場所是否安裝門禁、視頻監(jiān)控、防盜報警 等安防系統(tǒng)，是否實行封閉式管理。監(jiān)控機(jī)房是否安排人員 值守。(是否建立視頻監(jiān)控的管理檢查機(jī)制，公司安全保衛(wèi)部門是否 定期對視頻監(jiān)控信息進(jìn)行回看檢查，保密管理辦公室是否對 執(zhí)行情況進(jìn)行監(jiān)督。視頻監(jiān)控信息保存時間不少于3個月。檢查門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)和防盜報警系統(tǒng)等是否定期檢 查維護(hù)，確保系統(tǒng)處于有效工作狀態(tài)。檢查公司涉密辦公場所是否明確允許進(jìn)入的人員范圍，其他 人員進(jìn)入，是否履行審批、登記手續(xù)，是否由接待人員全程陪同。檢查公司是否未經(jīng)

14、批準(zhǔn)，不得將具有錄音、錄像、拍照、存 儲、通信功能的設(shè)備帶入涉密辦公場所。風(fēng)險分析編號風(fēng)險點描述嚴(yán)重程度1視頻監(jiān)控管 理檢查機(jī)制管理部門對視頻監(jiān)控信息的回 看檢查不及時。中等2視頻監(jiān)控、 門禁、防盜 報警系統(tǒng)管 理對各個安防系統(tǒng)的檢查維護(hù)不 及時，安防系統(tǒng)出現(xiàn)故障才給予 維修，造成系統(tǒng)無法有效工作。中等3涉密場所出入管理對非涉密人員進(jìn)入涉密場所履 行了登記、審批手續(xù)，但對進(jìn)入 人員是否隨身攜帶具有錄音、錄 像、拍照、存儲、通信功能的設(shè) 備檢查不仔細(xì)，增加了涉密資料 泄密風(fēng)險。高風(fēng)險防控措施編號風(fēng)險點嚴(yán)重 程度防控措施1視頻監(jiān)控管理檢查機(jī)制中等嚴(yán)格按照公司涉密信息系統(tǒng)集成場 所保密管理規(guī)定的規(guī)定

15、，安排專人 對視頻監(jiān)控機(jī)房施行24小時值班， 值班人員要每天調(diào)看視頻監(jiān)控錄像， 并詳細(xì)做好值班登記表，發(fā)現(xiàn)可 疑情況，立即向公司分管領(lǐng)導(dǎo)報告， 并對查看結(jié)果作書面記錄。并保證視 頻監(jiān)控信息保存時間不得少于3個 月。2視頻監(jiān)控、 門禁、防盜 報警系統(tǒng)管 理中等>公司保密辦每季度應(yīng)對集成場所的 保密管理工作和安全防護(hù)設(shè)施進(jìn)行 檢查，對安防設(shè)施進(jìn)行維護(hù)和檢修， 發(fā)現(xiàn)問題及時整改，并建立檢查整改 記錄。確保制度落實、防護(hù)設(shè)施運(yùn)行 正常。3涉密場所出中等將涉密場所相關(guān)管理規(guī)定張貼在明入管理顯處，并對公司人員進(jìn)行宣貫。進(jìn)入 涉密場所的人員必須由保密辦工作 人員全程陪同，嚴(yán)禁進(jìn)入人員以任何 方式私自錄

16、音、錄像和攝影。業(yè)務(wù)流程管理風(fēng)險評估根據(jù)涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn)及公司安全 保密管理制度、軟件開發(fā)管理制度中的相關(guān)規(guī)定，從軟件開 發(fā)各個里程碑分析公司軟件開發(fā)香米管理現(xiàn)狀，對公司軟件開發(fā) 項目管理的業(yè)務(wù)流程進(jìn)行風(fēng)險評估，查找風(fēng)險點，并進(jìn)行風(fēng)險防 控。由于公司處于資質(zhì)申請階段，沒有承接涉密相關(guān)業(yè)務(wù)的資 格，既不能建設(shè)涉密信息系統(tǒng)，故僅能對公司目前的軟件開發(fā)項 目的主要業(yè)務(wù)流程進(jìn)行風(fēng)險評估，查找現(xiàn)有的項目管理業(yè)務(wù)流程 是否與保密管理相融合。風(fēng)險級別定義風(fēng)險嚴(yán)重程度級別參考表級別標(biāo)識定義很高如果被利用，將對主要業(yè)務(wù)造成完全損害高如果被利用，將對主要業(yè)務(wù)造成重大損害中等如果被利用，將對主要業(yè)務(wù)

17、造成一般損害低如果被利用，將對主要業(yè)務(wù)造成較小損害風(fēng)險點檢查公司進(jìn)入委托方現(xiàn)場進(jìn)行系統(tǒng)集成項目開發(fā)、工程施工、 運(yùn)行維護(hù)等是否嚴(yán)格執(zhí)行現(xiàn)場工作制度和流程。現(xiàn)場項目開發(fā)、工程施工、運(yùn)行維護(hù)是否在委托方的監(jiān)督下 進(jìn)行。未經(jīng)委托方檢查和書面批準(zhǔn)，不得將任何電子設(shè)備帶 入項目現(xiàn)場。公司是否對現(xiàn)場項目開發(fā)、工程施工、運(yùn)行維護(hù)的工作情況 進(jìn)行詳細(xì)記錄并存檔備查。風(fēng)險分析編號風(fēng)險點描述嚴(yán)重 程度1制度執(zhí)行 能力制定了軟件開發(fā)管理制度及開發(fā)工 作流程，但執(zhí)行力度不足。高項目進(jìn)程需求開發(fā)制度，會發(fā)現(xiàn)對用戶及產(chǎn)品的中等2管理需求分析不到位的情況，導(dǎo)致設(shè)計成果 和用戶期望存在一定的差距3系統(tǒng)設(shè)計階段，按照開發(fā)流程進(jìn)

18、行了設(shè) 計準(zhǔn)備、確定影響系統(tǒng)設(shè)計的約束因 素、確定設(shè)計策略、系統(tǒng)分解與設(shè)計， 但撰寫體系結(jié)構(gòu)設(shè)計文檔時不夠嚴(yán)謹(jǐn)， 無法將軟件系統(tǒng)概述、影響設(shè)計的約束 因素、實際策略、系統(tǒng)總體結(jié)構(gòu)、子系 統(tǒng)的結(jié)構(gòu)與模塊功能、系統(tǒng)集成策略及 開發(fā)、測試、運(yùn)行所需的軟硬件環(huán)境等 內(nèi)容完整表述。風(fēng)險防控措施編號風(fēng)險點嚴(yán)重程度防控措施1制度執(zhí)行能 力嚴(yán)重定期組織部門人員學(xué)習(xí)軟件開 發(fā)管理制度及工作流程，形成 培訓(xùn)記錄；部門負(fù)責(zé)人應(yīng)將制度 中的各里程碑的要求落實到位， 主管領(lǐng)導(dǎo)和公司內(nèi)審機(jī)構(gòu)每月對 落實情況進(jìn)行審查，審查不合格，需由部門負(fù)責(zé)人作出書面說明， 并出具整改方案，整改后仍不合 格的，公司應(yīng)實行相應(yīng)的處罰機(jī) 制。2項目進(jìn)程管 理中等需求開發(fā)階段，在首次獲得了用 戶及產(chǎn)品需求后（用戶的需求有 時只是口頭表述，不會形成文 檔），應(yīng)主動和用戶進(jìn)行溝通確 認(rèn)，并將初步的需求溝通以文檔 形式反饋給用戶，得到用戶初步 肯定后，再詳細(xì)撰寫用戶產(chǎn)品 需求說明書3中等系統(tǒng)設(shè)計階段，設(shè)計人員應(yīng)將各 里程碑（設(shè)計準(zhǔn)備、確定影響系 統(tǒng)設(shè)計的約束因素、確定設(shè)計策 略、系統(tǒng)分解和設(shè)計）的開展情 況及成果（包括每一次的設(shè)計變 更）進(jìn)行記錄，以確保此階段的 輸出物系統(tǒng)設(shè)計報告的完整 性、可靠性。5整改要求一、公司保密工作領(lǐng)導(dǎo)小組對此次保密風(fēng)險評估的結(jié)果負(fù)有 監(jiān)督整改的責(zé)任。二、風(fēng)險