1、保密風險評估與管理1. 保密風險評估的重要性保密風險評估是保密工作的重要組成部分。保密風險評估要堅持實事求是的原則，深入調查研究，全面掌握保密風險因素及其影響，進而科學分析企業保密工作面臨的形勢、存在的問題，在此基礎上提出切實可行的關于風險防范控制措施的建議方案。保密風險一詞包括了兩方面的內涵。其一，風險意味著會對企業正常的工作帶來不良影響；其二，這種影響的出現與否是一種不確定性隨機現象，它可用概率表示出現的可能程度，但不能對出現與否做出確定性判斷。從而可知，風險因素、風險事故和影響密切相關，它們構成了企業保密風險存在與否的基本條件。簡單概括而言：風險因素引起風險事故，風險事故導致對企業帶來不

2、良影響。2. 風險點及風控措施1) 涉密人員風險評估l 可能存在的風險點a) 招聘時人員是否滿足涉密人員要求；b) 審核時競聘人員是否有過犯罪記錄，是否為中國公民；c) 上崗前是否接受過保密知識培訓及考核；d) 是否與公司簽訂保密承諾書，保密協議，保密責任書及涉密人員考核評價考表；e) 部門是否按照公司要求開展保密知識培訓，加強部門涉密人員的保密意識；f) 涉密人員離崗時是否簽訂離崗保密承諾書，保密工作領導小組是否對其進行脫密期管理。l 風險防控措施a) 應聘員工應滿足公司對涉密人員的聘用標準；b) 上崗必須學習崗位保密業務，且保密知識考核成績合格；c) 與公司簽署保密協議、保密承諾書、保密責

3、任書；d) 員工所在部門領導確認涉密人員考核評級表內容，確認無誤后簽字，同時保密領導小組同意簽字后，評價表交保密工作領導小組存檔，作為該員工作為涉密人員的考核內容；e) 保密辦公室應在年初做好本年度保密知識培訓計劃及考核計劃，組織涉密人員學習各項保密知識。f) 涉密人員在離崗后，嚴格遵守公司保密制度，與公司簽署離崗保密承諾書，并嚴格遵守公司對離崗人員的脫密期管理。2) 涉密載體風險評估l 可能存在的風險點紙質文件：a) 涉密文件、資料是否有專人管理；b) 涉密文件收發是否有記錄，是否有文件丟失、泄露；c) 涉密文件復印、外借是否有登記，是否在記錄中標明使用理由、復印數量及使用人簽字；d) 涉密

4、文件借閱是否有登記記錄，是否在記錄中標明借閱理由、使用時間、歸還時間及借閱人簽字；e) 涉密文件是否及時歸檔，檔案目錄是否及時更新。電子文件：a) 是否指派專人對涉密電子文件進行管理；b) 制作涉密電子文件時，是否記錄使用范圍及制作數量；c) 是否在非涉密計算機中傳遞涉密電子文件；d) 在攜帶涉密電子文件外出時，是否有專人攜帶；e) 涉密電子文件是否及時歸檔；f) 報廢的涉密電子文件如何處理。l 風險防控措施紙質文件a) 所有保密文件、文檔、材料由涉密辦公室管理員統一管理，統一登記入密碼柜，定期進行清查，避免發生資料泄露及丟失。嚴禁其他人員隨意翻看保密資料，如有其他保密人員要借閱使用，由涉密辦

5、公室管理員進行登記，寫明借閱時間及借閱理由，并保證不拿出涉密辦公室以外的地方使用。b) 保密材料嚴格按領導批準的份數印刷，不得擅自多印多留，復印件視同原件管理，復印過程中產生的廢紙、廢件應及時銷毀；在復印材料之前，需由涉密辦公室管理員登記后進行，標明使用理由、復印份數；c) 傳遞保密材料要有保密措施，傳遞應專人專送，不得辦理無關事項，密件不得攜入不利于保密的場所；外出工作須攜帶保密材料，要經保密工作領導小組批準后進行。d) 對保密資料未經許可，不得擅自摘抄、翻印、復印、轉借或損壞；一旦造成損失由當事人承擔責任。電子文件：a) 指定專人負責本單位涉密電子文件的日常管理工作。b) 制作涉密電子文件

6、，應當依照有關規定文件內，使用范圍及制作數量，并編號記錄。c) 傳遞涉密電子文件，應當履行登記、簽收等手續。禁止在任何非涉密網絡上傳遞涉密電子文件。嚴禁在非涉密機上處理或存儲涉密電子文件。d) 閱讀、使用、復制和銷毀涉密電子文件，應經保密工作領導小組批準，同時辦理登記、簽字手續。復制的電子文件視同原件管理。e) 定期對涉密電子文件及載體進行清查、核對，發現問題及時向保密工作領導小組匯報。3) 涉密設備風險評估l 可能存在的風險點a) 涉密計算機是否有違規操作；b) 涉密計算機端口是否插過其他存儲介質；c) 涉密計算機是否配備三合一防護系統；d) 辦公室自動化設備是否外借使用；e) 涉密計算機及

7、辦公室自動化設備維修、更換、報廢如何管理。l 風險防控措施a) 涉密計算機安裝了通軟主機監控與審計系統V6.0軟件進行端口審計；b) 涉密計算機安裝了360殺毒軟件，由專人進行病毒軟件更新，更新周期不超過15天；c) 每臺涉密計算機都配備了三合一防護系統，嚴格控制了計算機內涉密信息的流失；d) 涉密計算機配置了10位數以上的密碼， 由專人統一管理、記載；e) 辦公室自動化設備均為涉密辦公室處理涉密項目專用，不得外借使用；f) 涉密計算機及辦公室自動化設備由保密工作領導小組確認專人使用，機器明確標識使用人姓名并登記入冊；使用人發生變化時，報保密工作領導小組審核，審核通過后進行變更；g) 涉密計算

8、機及辦公室自動化設備（打印機、刻錄機）維修、更換、報廢由涉密辦公室管理員負責，做好相關登記；維修應由保密領導小組批準后進行；h) 涉密計算機維修應到黑龍江省保密局指定的地點維修，維修前應卸下硬盤等敏感部件；維修后應進行安全檢測后方可使用；i) 更換涉密計算機應事先提交涉密設備變更申請表，寫明更換原因，經保密工作領導小組批準后進行。在更換涉密計算機前應卸下硬盤，卸下的硬盤不得在非涉密計算機上使用，硬盤交由涉密辦公室保密管理員登記備；硬盤留存于保密辦公室，不得使用、外借；j) 涉密計算機報廢不得當作廢品出售，在申請報廢后先到涉密辦公室保密管理員處登記，卸下硬盤并由專人上交黑龍江省國家保密局工作部門

9、進行集中銷毀處理，報廢涉密計算機應報黑龍江省國家保密局備案。4) 涉密場所風險評估l 可能存在的風險點a) 涉密辦公室內是否存在網絡端口；b) 非涉密人員進出涉密辦公室是否有記錄；c) 涉密辦公室是否按照黑龍江省國家保密局要求配備了門禁系統、防盜報警系統、視頻監控系統；d) 涉密人員進出涉密辦公室時是否攜帶相機，手機，錄音筆等其它可存儲介質。l 風險防控措施a) 由安全保密管理員定期檢涉密辦公室的門禁、防盜報警、監控等設備的完好狀態，確保保密材料安全。b) 非授權人員進出入涉密場所，須經公司保密領導小組審批并由授權人員進行陪同方可進入，同時建立涉密場所非授權人員進入登記冊，對臨時進出的人員記錄

10、登記；標明進出入時間及事由。c) 建立視頻監控的管理檢查機制，公司的安全保衛部門應當定期對視頻監控信息進行回看檢查，保密辦公室應當對執行情況進行監督。視頻監控信息保存時間不少于3個月。d) 未經批準，不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公室。5) 涉密項目風險評估A. 招投標風險評估l 可能存在的風險點a) 投標小組成員是否為涉密人員，是否有保密意識；b) 是否有泄露標底的情況；c) 是否做好投標文件的保密情況；d) 是否做好資格預審時投標人的保密以及現場踏勘中標人的保密情況；e) 評標機構是否做好保密工作。l 風險防控措施a) 投標小組成員必須為涉密人員，必須與公司簽署

11、保密協議，保密承諾書及保密責任書后方可進入小組。b) 標底作為評標的主要依據，是工程招標保密工作的重中之重，標底如果泄露可能會導致工程招標成本的提高。因此，投標小組應加強對標書的保密管理，涉及記載標底的文件不能隨意擺放，應視同保密材料一樣保管于涉密辦公室。c) 投標文件是投標人的商業秘密。既然投標人信任招標代理機構，招標代理機構也應把投標人遞交的投標文件保存好。因此，招標代理機構有義務對投標文件進行保密，以避免投標人遭受損失。由專人負責對投標文件的管理，沒有保密工作領導小組領導的允許，除投標小組成員外，其他人員不得翻閱投標文件。d) 對每一個投標單位的資格預審應當單獨進行。資格預審結束后，招標

12、人應當對資格預審合格的單位名單予以保密，并以書面或電話的方式單獨通知每一個報名單位其是否通過資格預審。e) 招標人根據工程招標項目的具體情況，可以組織潛在投標人踏勘項日現場。由于保密問題的存在，招標人不能同時組織所有潛在投標人進行現場踏勘。招標人可以制定現場踏勘的時間安排表，然后分別組織潛在投標人進行踏勘。B. 設計方案風險評估l 可能存在的風險點a) 設計人員是否為涉密人員，是否有保密意識；b) 涉密人員素質是否良好，是否會泄露設計方案；c) 辦公環境是否滿足涉密資質標準要求；d) 使用設備是否為涉密設備，是否滿足標準；e) 是否在非涉密計算機上傳遞涉密項目信息。l 風險防控措施a) 在整個

13、設計過程中，應確定領導小組組織結構，嚴格按照班組成員劃分崗位職責，嚴謹杜絕濫用職權、擅離職守、推卸責任等情況的出現。加強領導保密意識培訓，起好帶頭表率作用。在設計過程中保密意識應隨時體現在工作中，從現場的勘察、資料的整理、匯總、后期資料的加工、方案的修改、資料的傳輸、最終方案的保存等都應該時刻提高保密意識，加強保密管理。b) 方案設計小組成員必須經過嚴格篩選，參加保密培訓及考核合格后方能上崗。在工作中時刻注意警惕自己是涉密人員，增強保密意識。c) 在設計過程中對現在勘察時對周邊環境應仔細查找風險點，避免一切安全隱患的發生，不滿足要求的及時整改。后期資料整合。方案編寫都應該在涉密辦公室進行，防止

14、涉密信息外漏。d) 方案設計過程中所應用到的所有設備設施必須為涉密專用設備、杜絕涉密設備與非涉密設備混用。涉密信息存儲設備必須隨身攜帶，方案編寫必須在涉密辦公室內進行，如要將涉密文件等信息帶出涉密辦公室必須嚴格按照保密管理制度執行，保密領導小組組長同意方可。e) 必須在涉密計算機上處理涉密項目，不允許在非涉密計算機上處理或傳遞涉密項目信息。也不允許將涉密信息通過任何方式拷貝、復印拿出涉密辦公室。C. 系統集成過程風險評估（1） 分保方案使用風險評估l 可能存在的風險點a) 在現場使用時，信息是否產生泄露；b) 涉密人員是否將圖紙存放與他人手里或放在施工現場，導致項目設計方案泄露。l 風險控制措

15、施a) 加強涉密人員保密意識；b) 涉密項目前期設計需由專人在涉密計算機上進行編寫，并用光盤進行信息存儲，并由委托方指定人員進行交接。不得將光盤存于他人手中或施工現場。c) 嚴禁使用外網計算機查詢任何涉密項目信息，涉密項目方案的制定均應在涉密辦公室內的涉密計算機上進行編寫。（2） 設備采購風險評估l 可能存在的風險點a) 工程建設周期導致從投標到采購的周期過長，存在供應商庫存風險和技術偏離風險；b) 市場信息不夠完全、充分、透明，供應商在一定范圍內能影響價格；c) 設備采購過程中，供應商泄露項目信息。l 風險控制措施a) 工程建設周期導致從投標到采購的周期過長，存在供應商庫存風險和技術偏離風險

16、，可從三方面進行規避：一方面可建立供應商預警機制，對價格、庫存、技術等風險出現前進行供方預警；一方面，對于項目前期設備的選型，應考慮項目建設周期因素，應避免選擇市場壽命短的產品；另一方面，應在簽訂項目合同時，對于設備的更新換代條款，應進行明示。b) 加大市場信息獲取力度，使市場信息準確而全面，從而保證市場分析、成本分析等數據的可靠性；依據適用原則選擇供應商并改善與供應商的關系，避免成為強勢供應商價格聯盟的受害者。c) 涉密項目的設備采購應單獨采購，由涉密業務管理小組下的設備采購小組組長設立專人，不與其它項目的設備一起采購，與供應商簽署保密承諾書,并承諾不泄露項目信息、設備價格。（3） 現場實施

17、風險評估l 可能存在的風險點a) 合同及各項審核工作時間太長，導致項目信息泄露；b) 在施工過程中有涉密人員離職或調崗，導致涉密信息泄露；c) 施工現場環境是否滿足涉密項目環境要求；d) 現場施工時，是否有除委托方及現場施工人員以外的人員進出現場；e) 設備安裝調試時，是否通過非涉密計算機進行操作。l 風險防控措施a) 涉密項目簽定的涉密合同必須由專職涉密人員進行登記、歸檔，存放于涉密辦公室內的密碼文件柜內。b) 調崗或離職的涉密人員必須進行脫密期處理，并簽署涉密人員離崗保密承諾書。不得在脫密期間出國或在外資企業工作。c) 施工現場周圍不允許有大使館、外資企業等；如有請做好保密防護措施，如：安

18、裝視頻監控系統、防盜報警系統等。加強施工現場保密環境。d) 現場施工時，不允許除委托方及現場施工人員以外的人員進出現場。除保密工作領導小組指定人員外，其他人員不得進入施工現場。e) 調試設備時，必須用涉密計算機進行調試，不得用非涉密計算機進行。避免通過非涉密計算機傳遞涉密信息，導致涉密項目信息泄露。（4） 審查驗收風險評估l 可能存在的風險點a) 審查驗收人員是否為涉密人員，是否是保密工作領導小組指定；b) 審查驗收記錄是否是由專人負責保管，是否產生記錄丟失、泄露；c) 對用戶進行設備使用培訓，但用戶保密意識不強，無意間泄露保密信息。l 風險防控措施a) 審查驗收人員必須為涉密人員，必須由保密

19、工作領導小組下的運行維護小組組長指派專人驗收。b) 審查驗收記錄由專人攜帶，帶回公司后交于涉密辦公室管理員處登記備案，存放于密碼柜中。c) 在審查驗收時，應對用戶進行相關保密知識培訓。（5） 項目材料移交風險評估l 可能存在的風險點a) 項目材料移交時是否是在保密環境下進行，記錄是否齊全；b) 接收材料人員是否是涉密人員，是否由保密工作領導小組指定；c) 接收材料人員是否攜帶材料出入公共場所，導致信息泄露。 l 風險防控措施a) 移交材料時，需在保密環境下進行，檢查驗收記錄是否齊全，不能有記錄不完整，不能在公共場所下進行。由專人進行材料交接，并將材料封存于檔案袋中。b) 接收材料的人員必須是由

20、保密工作領導小組指定的人。c) 接收材料后，必須馬上攜帶資料返回公司，不得在公共場所逗留，避免發生資料丟失，產生資料泄密。（6） 運行維護風險評估l 可能存在的風險點a) 后期運行維護的人員是否是涉密人員，是否明確涉密人員的職責，是否有保密意識；b) 在對設備維護時，是否使用非涉密計算機進行操作；c) 運行維護人員是否在交談中泄露涉密信息；d) 維護記錄是否保存好，是否產生記錄丟失、泄露。l 風險防控措施a) 運行維護人員必須是涉密人員，要有保密意識。在上崗前是否參加涉密人員培訓，是否與公司簽訂保密協議、保密責任書及保密承諾書。b) 運行維護人員需由保密工作領導小組指定，記錄需要專人保存并帶回

21、公司，交于涉密辦公室保密管理員處，登記存于密碼文件柜中。c) 運行維護人員在維護設備時，相關信息一定要在涉密計算機中處理。d) 運行維護人員要有保密意識，時刻警惕自己為涉密人員。不泄露任何項目信息。3. 風險評估的措施近幾年來，隨著信息技術的飛速發展，現代辦公設備逐漸走進了企業的日常工作，保密工作面臨著一種全新環境，同時所面臨的保密形勢日益嚴峻。保密風險評估，作為企業開展保密工作的前提，能為單位領導準確把握本單位保密工作所面臨的風險，進行重點防控提供科學依據。根據對本公司保密狀況的分析，認為本公司應當主要從加強保密條件建設方面進一步采取積極有效的措施：a) 進一步加強保密“軟件建設”。 保密條

22、件建設分為“軟件建設”和“硬件建設”兩大類，其中“軟件建設”是靈魂，“硬件建設”是基礎。加強保密“軟件建設”，就是要從根本上進一步強化人員的保密意識，建議有關部門領導要加強教育，統一思想，通過認真學習保密法和保密法實施條例，切實開展好保密工作的教育與宣傳。及時傳達貫徹上級保密工作會議精神及保密局文件精神，按照工作要求落實措施，對重點涉密人員進行經常性的保密教育。通過宣傳教育，使涉密人員的保密意識明顯提高，政治責任感進一步增強。同時，要結合本單位保密工作面臨的實際情況，進一步完善本公司保密制度，嚴肅保密工作紀律，發生失密、泄密，視情節輕重、危害大小，依據國家有關保密規定給予批評教育或處分。將保密工作列入重要議事日程，從思想教育入手，將保密工作擺在突出位置。努力做到領導不唱“獨角戲”,全員上陣抓保密，及時糾正“關好門、鎖好柜、封住嘴、管好件”就能萬事大吉的認識偏差，形成人人參與保密的氛圍，努力為本單位的安全保密工作筑牢思想上的“防火墻”。b) 進一步加強信息設備的安全建設。隨著信息技術的發展，各種高技術信息設備不斷涌現，它們在為員工日常工作、學習、訓練提供便利的同時，也給保密工作帶來了更多挑戰。為此，要進一步加強信息設備的安全建設，對一些存在較大安全隱患的設備堅決不能引進使用，使用時要制定嚴格的使用規則。另外對本單位的所有辦公計算機、移動存儲介質、打印機