1、風險評估報告XXXXX有限公司201xx年xx月1 概述針對公司主要業務流程進行風險評估，其中包含了涉密信 息系統集成業務管理、人力資源管理、資產管理、涉密場所管 理等。2 評估目的通過人員訪談、文檔審查和實地察看相結合的方式查找公司信息系統軟件開發主要業務流程的薄弱環節和安全隱患， 分 析可能面臨的風險，為保密風險防控措施的落實提供依據。3 評估依據涉密信息系統集成資質單位保密標準中華人民共和國保守國家秘密法中華人民共和國保守國家秘密法實旋條例涉密信息系統集成資質管理辦法4 評估內容4.1 人力資源管理風險評估根據涉密信息系統集成資質單位保密標準及公司安全保密管理制度中涉密人員管理制度 中的

2、規定，從人員上崗、 在崗、離崗管理三方面分析公司涉密人員管理現狀， 對公司涉 密人員管理的業務流程進行風險評估，識別并評估風險點，進 而制定出風險防控措施。4.1.1 風險級別定義風險嚴重程度級別參考書級別標識定義很高如果被利用，將對資產或業務造成完全損害高如果被利用，將對資產或業務造成重大損害中等如果被利用，將對資產或業務造成般損害低如果被利用，將對資產或業務造成較小損害很低如果被利用，將對資產或業務造成的損害可以忽略4.1.2 風險點對從事涉密業務的人員進行審查，是否符合條件，符合條件 的方可將其確定為涉密人員。是否對涉密人員進行保密教育 培訓，并簽訂保密承諾書后方能上崗。對涉密人員是否保

3、守國家秘密，嚴格遵守各項保密規章制度 進行審查，是否符合以下基本條件：（1） 遵紀守法，具有良好的品行，無犯罪記錄；（2） 屬于公司正式職工，并在其他公司無兼職；（3） 社會關系清楚，本人及其配偶為中國境內公民。審查公司與涉密人員簽訂的勞動合同或補充協議，是否已簽 署。公司在崗涉密人員是否每年參加保密教育與保密知識、技能 培訓，培訓的時間應不少于10個學時。公司是否對在崗涉密人員進行定期考核評價。公司是否向涉密人員發放保密補貼。公司涉密人員在離崗離職時，是否經公司保密審查，簽訂保 密承諾書，并按相關保密規定實行脫密期管理。4.1.3 風險分析編號風險點描述嚴重程度1涉密人員資格審對涉密人員進行

4、資格審查低查2涉密人員崗前培訓考核涉密人員保密教育培訓考 核不嚴格中等3涉密人員教育培訓管理對涉密人員進行保密教育 與保密技能培訓10學時低4涉密人員離崗離職管理對離崗離職涉密人員的保密審查到位低5涉密人員發放保密補貼對公司涉密人員發放保密補貼審查到位低4.1.4 風險防控措施編號風險點嚴重程度防控措施1涉密人員資格審查低計劃人員招聘階段，確定該人員是否為 公司涉密人員；對涉密人員進行社會關 系的審查，確定其直系親屬是否均為中 國境內公民；若此人員為前單位離職人 員，應和前單位進行確認，確定其在其 它單位無兼職2涉密人員 崗前培訓 考核中等涉密人員經過保密教育培訓后，必須保 證考試合格， 并與

5、公司簽訂 公司涉密 人員保密責任書后方能上岡3涉密人員教育培訓管理低必須嚴格按照相關規定對涉密人員進行教育培訓，必須保證培訓學時不低于10學時。公司保密工作領導小組必須對此項工作進行監督管理。4涉密人員離崗離職管理低涉密人員離崗離職前，保密辦公司人員 必須對其在崗期間所負責的涉密信息系 統集成的信息和資料進行審查，并確保 所有信息資料交回公司保密辦；為規避 人員離職離崗后發生泄密風險，必須和 離崗離職的涉密人員簽訂保密承諾書，并經公司領導批準方能離職離崗。對離 崗離職人員實行脫密期管理。5涉密人員發放保密補貼低公司應對涉密人員發放保密補貼。4.2 資產管理風險評估根據涉密信息系統集成資質單位保

6、密標準及公司安全 保密管理制度中涉密載體管理制度、信息系統、信息設 備和安全保密防護設備設施管理規定、資質證書的使用和管 理規定中的規定，從涉密載體管理、 信息系統及設備管理及資 質證書管理等方面分析公司涉密資產管理現狀，對公司涉密資 產管理的業務流程進行風險評估，查找風險點，并進行風險防 控。4.2.1 風險級別定義風險嚴重程度級別參考表級別標識定義很高如果被利用，將對主要業務造成完全損害高如果被利用，將對主要業務造成重大損害中等如果被利用，將對主要業務造成般損害低如果被利用，將對主要業務造成較小損害很低如果被利用，將對主要業務造成的損害可以忽略422 風險點審查涉密信息設備是否符合國家保密

7、標準，有密級、編號、責任人標識，并建立管理臺帳。檢查涉密信息設備的使用是否符合相關保密規定。禁止涉密 信息設備接入互聯網及其他公共信息網絡；禁止涉密信息設 備接入內部非涉密信息系統；禁止使用非涉密信息設備和個 人設備存儲、處理涉密信息；禁止超越計算機、移動存儲介 質的涉密等級存儲、處理涉密信息；禁止在涉密計算機和非 涉密計算機之間交叉使用移動存儲介質；禁止在涉密計算機 與非涉密計算機之間共用打印機、掃描儀等信息設備。檢查涉密信息設備是否采取身份鑒別、訪問控制、違規外聯 監控、安全審計、移動存儲介質管控等安全保密措施，并及 時升級病毒和惡意代碼樣本庫，定期進行病毒和惡意代碼查 檢查采購的安全保密

8、產品是否選用經過國家保密行政管理部 門授權機構檢測、符合國家保密標準要求的產品，計算機病 毒防護產品應當選用公安機關批準的國產產品，密碼產品應 當選用國家密碼管理部門批準的產品。檢查涉密信息打印、刻錄等輸出是否相對集中、有效控制， 并采取相應審計措施。檢查涉密計算機及辦公自動化設備是否拆除具有無線聯網功 能的硬件模塊，禁止使用具有無線互聯功能或配備無線鍵 盤、無線鼠標等無線外圍裝置的信息設備處理國家秘密。檢查涉密信息設備的維修，是否在本公司內部進行，是否指 定專人全程監督，嚴禁維修人員讀取或復制涉密信息。檢查涉密計算機及移動存儲介質攜帶外出是否履行審批手 續，帶出前和帶回后，是否進行保密檢查。

9、423 風險分析編號風險點描述嚴重程度1涉密載體臺賬管理建立涉密載體臺賬，但臺賬信息 不夠完整。中等2涉密載體使用管理需要接收、交付、傳遞、保存、 銷毀涉密載體時，履行了登記手 續，但需要維修時，記錄不完整， 也沒有指定的維修廠家。中等3涉密信息設備臺賬管理建立信息設備臺賬，但臺賬信息 不夠完整中等4涉密信息設備維修、報廢管理對于涉密設備的維修、報廢的審批流程不夠清晰中等5涉密信息設備攜帶管理涉密計算機攜帶外出，只履行登記手續，審批流程不完整中等6涉密信息設備管理涉密計算機與非涉密計算機之間共用打印機、掃描儀高編號風險點嚴重問題防控措施1涉密載體臺賬管理中等必須按照要求建立涉密載體臺賬，明確

10、涉密載體的名稱、編號、密級、保密期 限等信息。并對涉密載體進行動態管理， 及時做好涉密載體的新增、 減少等記錄。2涉密載體使用管理中等建立涉密載體的維修商家名錄，并對維 修商家的資格進行核查，當涉密載體需 要維修時，只能送到指定的維修商家進 行維修。3涉密信息設備臺賬管理中等必須按照要求建立涉密信息設備挑戰， 明確涉密載體的名稱、編號、密級、責 任人標識等信息。并對涉密信息設備進行動態管理。及時做好涉密信息設備的 新增、減少等記錄。4涉密信息設備維修、報廢管理中等建立涉密信息設備的售后商家名錄，并 對售后商家的資格進行核查，當涉密信 息設備需要維修時，只能送到指定的維 修商家進行維修。如必須有

11、外來人員進 行修理時，應有保密辦人員全程陪同， 必須指定專人負責，對維修人員、維修 對象、維修內容、維修前后狀況進行監 督并詳細記錄。涉密信息設備需要報廢 時，應填寫設備與介質銷毀保密審批 表，送交保密行政管理部門設立的銷 毀工作機構或者保密行政管理部門指定 的公司銷毀徹，徹底清除其中的涉密信 息后，對涉密信息存儲部件和介質進行 清點、登記、銷毀。5涉密信息設備攜帶管理中等攜帶涉密信息設備和介質外出，不能只 做登記處理，必須報公司保密工作領導 小組批準。未獲批攜帶涉密信息設備外 出，公司將對攜帶人員和保密辦公室人 員實行懲罰機制；外出時，攜帶人應嚴 格采取保護措施，介質始終處于有效控制之下，防

12、止出現丟失、被盜、被毀以 及泄密等情況。6涉密信息設備管理高涉密計算機必須單獨使用打印機、掃描 儀，不能與非涉密計算機之間共用，確 保涉密信息打印、刻錄等輸出相對集中、 有效控制，并米取相應審計措施。4.3 涉密場所管理風險評估根據涉密信息系統集成資質單位保密標準及公司安全 保密管理制度中涉密信息系統集成場所保密管理規定中的 規定，從場所出入、門禁系統、監控系統、防盜報警系統等方 面查看并分析公司涉密場所管理現狀，對公司涉密場所管理的 業務流程進行風險評估，查找風險點，并進行風險防控。4.3.1 風險級別定義風險嚴重程度級別參考表級別標識定義很高如果被利用，將對主要業務造成完全損害高如果被利用

13、，將對主要業務造成重大損害中等如果被利用，將對主要業務造成 般損害低如果被利用，將對主要業務造成較小損害很低如果被利用，將對主要業務造成的損害可以忽略4.3.2 風險點公司的涉密辦公場所是否固定在相對獨立的樓層或區域。檢查公司涉密辦公場所是否安裝門禁、視頻監控、防盜報警等安防系統，是否實行封閉式管理。監控機房是否安排人員 值守。是否建立視頻監控的管理檢查機制，公司安全保衛部門是否 定期對視頻監控信息進行回看檢查，保密管理辦公室是否對 執行情況進行監督。視頻監控信息保存時間不少于3個月檢查門禁系統、視頻監控系統和防盜報警系統等是否定期檢 查維護，確保系統處于有效工作狀態。檢查公司涉密辦公場所是否

14、明確允許進入的人員范圍，其他 人員進入，是否履行審批、登記手續，是否由接待人員全程 陪同。檢查公司是否未經批準，不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公場所。4.3.3 風險分析編號風險點描述嚴重程度1視頻監控管理檢查機制管理部門對視頻監控信息的回 看檢查不及時。中等2視頻監控、 門禁、防盜 報警系統管 理對各個安防系統的檢查維護不 及時，安防系統出現故障才給予 維修，造成系統無法有效工作。中等3涉密場所出對非涉密人員進入涉密場所履高入管理行了登記、審批手續，但對進入 人貝是否隨身攜帶具有錄首、錄 像、拍照、存儲、通信功能的設 備檢查不仔細，增加了涉密資料 泄密風險。434

15、 風險防控措施編號風險點嚴重程度防控措施1視頻監控管理檢查機制中等嚴格按照公司涉密信息系統集成場 所保密管理規定的規定，安排專人 對視頻監控機房施行24小時值班， 值班人員要每天調看視頻監控錄像， 并詳細做好值班登記表，發現可 疑情況，立即向公司分管領導報告， 并對查看結果作書面記錄。并保證視 頻監控信息保存時間不得少于3個 月。2視頻監控、 門禁、防盜 報警系統管 理中等公司保密辦每季度應對集成場所的 保密管理工作和安全防護設施進行 檢查，對安防設施進行維護和檢修， 發現問題及時整改，并建立檢查整改 記錄。確保制度洛實、防護設施運行正常。3涉密場所出入管理中等將涉密場所相關管理規定張貼在明

16、顯處，并對公司人員進行宣貫。進入 涉密場所的人員必須由保密辦工作 人員全程陪同，嚴禁進入人員以任何 方式私自錄音、錄像和攝影。4.4 業務流程管理風險評估根據涉密信息系統集成資質單位保密標準及公司安全 保密管理制度、軟件開發管理制度中的相關規定，從軟件 開發各個里程碑分析公司軟件開發香米管理現狀， 對公司軟件 開發項目管理的業務流程進行風險評估，查找風險點，并進行 風險防控。由于公司處于資質申請階段，沒有承接涉密相關業務的資 格，既不能建設涉密信息系統， 故僅能對公司目前的軟件開發 項目的主要業務流程進行風險評估，查找現有的項目管理業務 流程是否與保密管理相融合。4.4.1 風險級別定義風險嚴

17、重程度級別參考表級別標識定義很高如果被利用，將對主要業務造成完全損害高如果被利用，將對主要業務造成重大損害中等如果被利用，將對主要業務造成 般損害低如果被利用，將對主要業務造成較小損害442 風險點檢查公司進入委托方現場進行系統集成項目開發、工程施 工、運行維護等是否嚴格執行現場工作制度和流程。現場項目開發、工程施工、運行維護是否在委托方的監督下 進行。未經委托方檢查和書面批準，不得將任何電子設備帶 入項目現場。公司是否對現場項目開發、工程施工、運行維護的工作情況 進行詳細記錄并存檔備查。4.4.3 風險分析編號風險點描述嚴重程度1制度執仃能力制定了 軟件開發管理制度 及開發工 作流程，但執行

18、力度不足。高2需求開發制度，會發現對用戶及產品的 需求分析不到位的情況，導致設計成果 和用戶期望存在一定的差距中等3項目進程管理系統設計階段，按照開發流程進行了設 計準備、確定影響系統設計的約束因 素、確疋設計策略、系統分解與設計，但撰寫體系結構設計文檔時不夠嚴謹，無法將軟件系統概述、影響設計的約束 因素、實際策略、系統總體結構、子系 統的結構與模塊功能、系統集成策略及開發、測試、運行所需的軟硬件環境等 內容完整表述。444 風險防控措施編號風險點嚴重程度防控措施1制度執行能力嚴重定期組織部門人員學習軟件開 發管理制度及工作流程，形成 培訓記錄；部門負責人應將制度 中的各里程碑的要求落實到位，主管領導和公司內審機構每月對 落實情況進行審查，審查不合格，需由部門負責人作出書面說明