4涉密项目保密风险评估及防控措施.doc

1、涉密项目保密风险评估及防控措施陕西华信智能建筑有限责任公司工程部目 录1、概述11.1 风险评估的依据11.2 评估的目的12、常见风险评估及防控措施22.1 参与涉密项目人员风险评估22.1.1 可能存在的风险点22.2.2 风险防控措施22.2 涉密载体风险评估32.2.1 可能存在的风险点32.2.2 风险防控措施42.3 涉密设备风险评估52.3.1 可能存在的风险点52.3.2 风险防控措施52.4 涉密场所风险评估62.4.1 可能存在的风险点62.4.2 风险防控措施73、涉密项目风险评估83.1 招投标风险评估83.1.1 可能存在的风险点83.1.2 风险防控措施83.2 设

2、计方案风险评估93.2.1 可能存在的风险点93.2.2 风险防控措施93.3 分包方案使用风险评估103.3.1 可能存在的风险点103.3.2 风险控制措施103.4 设备采购风险评估113.4.1 可能存在的风险点113.4.2 风险控制措施113.5 现场实施风险评估123.5.1 可能存在的风险点123.5.2 风险防控措施123.6 审查验收风险评估133.6.1 可能存在的风险点133.6.2 风险防控措施133.7 项目材料移交风险评估143.7.1 可能存在的风险点143.7.2 风险防控措施143.8 运行维护风险评估143.8.1 可能存在的风险点143.8.2 风险防控

3、措施15151、概述1.1 风险评估依据中华人民共和国保守国家秘密法涉密信息系统集成资质保密标准BMB17涉及国家秘密的信息系统分级保护技术要求BMB20涉及国家秘密的信息系统分级保护管理规范BMB23涉及国家秘密的信息系统分级保护管理规范1.2 评估目的涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的风险防范控制措施。近几年来，随着信息技术的飞速发展，现代办公设备逐渐走进了企业的日常工作，涉密项目的参与者和实施环境越来越复杂，保密工作面临

4、着一种全新环境，同时所面临的保密形势日益严峻。涉密项目保密风险评估，作为涉密项目，开展保密风险评估，能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险，进行重点防控提供科学依据。2、常见风险评估及防控措施2.1 参与涉密项目人员风险评估2.1.1 可能存在的风险点 项目部组建时人员是否满足涉密人员要求； 上岗前是否接受过保密知识培训及考核； 是否与公司签订保密承诺书，保密协议，保密责任书及涉密人员考核评价表； 部门是否按照公司要求开展保密知识培训，加强部门涉密人员的保密意识； 涉密人员离岗时是否签订离岗保密承诺书，保密工作领导小组是否对其进行脱密期管理。2.1.2 风险防控措施 应聘

5、员工应满足公司对涉密人员的聘用标准； 上岗必须学习岗位保密业务，且保密知识考核成绩合格； 与公司签署保密协议、保密承诺书、保密责任书； 员工所在部门领导确认涉密人员考核评级表内容，确认无误后签字，同时保密领导小组同意签字后，评价表交保密工作领导小组存档，作为该员工的涉密考核内容； 保密办公室应在年初做好本年度保密知识培训计划及考核计划，组织涉密人员学习各项保密知识。 涉密人员在离开项目后，严格遵守公司保密制度，与公司签署离岗保密承诺书，并严格遵守公司对离岗人员的脱密期管理要求。2.2 涉密载体风险评估2.2.1 可能存在的风险点纸质文件： 涉密文件、资料是否有专人管理； 涉密文件是否有收发记录

6、； 涉密文件复印、外借是否有登记，是否在记录中标明使用理由、复印数量及使用人签字； 涉密文件借阅是否有登记记录，是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字； 涉密文件是否及时归档，档案目录是否及时更新。电子文件： 是否指派专人对涉密电子文件进行管理； 制作涉密电子文件时，是否记录使用范围及制作数量； 是否在非涉密计算机中传递涉密电子文件； 在携带涉密电子文件外出时，是否有专人携带； 涉密电子文件是否及时归档； 报废的涉密电子文件如何处理。2.2.2 风险防控措施纸质文件 所有保密文件、文档、材料由项目保密专员统一管理，统一登记并存入密码柜，定期进行清查，避免发生资料泄露或丢失。严

7、禁其他人员随意翻看保密资料，如有其他保密人员要借阅使用，由保密专员进行登记，写明借阅时间及借阅理由，并保证不拿到涉密办公室以外的地方使用。 保密材料严格按保密领导办公室批准的份数印刷，不得擅自多印多留，复印件视同原件管理，复印过程中产生的废纸、废件应及时销毁；在复印材料之前，需由保密办公室管理员登记后方可进行，标明使用理由、复印份数； 传递保密材料要有保密措施，传递应专人专送，不得办理无关事项，携带密件不得进入不利于保密的场所；外出工作需携带保密材料的，要经保密工作领导小组批准。 保密资料未经许可，不得擅自摘抄、翻印、复印、转借或损坏；一旦造成损失由当事人承担责任。电子文件： 指定专人负责项目

8、涉密电子文件的日常管理工作。 制作涉密电子文件，应当依照有关文件，规定使用范围及制作数量，并编号记录。 传递涉密电子文件，应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。 阅读、使用、复制和销毁涉密电子文件，应经保密工作领导小组批准，同时办理登记、签字手续。复制的电子文件视同原件管理。 定期对涉密电子文件及载体进行清查、核对，发现问题及时向保密管理办公室汇报。2.3 涉密设备风险评估2.3.1 可能存在的风险点 涉密计算机是否有违规操作； 涉密计算机端口是否插过其他存储介质； 涉密计算机是否配备三合一防护系统； 办公场所自动化设备是否外

9、借使用； 涉密计算机及办公场所自动化设备维修、更换、报废如何管理。2.3.2 风险防控措施 涉密计算机安装主机监控与审计系统进行端口审计； 涉密计算机安装江民病毒防护软件，由专人进行病毒软件更新，更新周期不超过15天； 每台涉密计算机都配备三合一防护系统，严格控制了计算机内涉密信息的流失； 涉密计算机配置10位数以上的密码，由专人统一管理、记载； 办公室自动化设备均为涉密办公室处理涉密项目专用，不得外借使用； 涉密计算机及办公室自动化设备由保密工作领导小组确定专人使用，机器明确标明使用人姓名并登记入册；使用人发生变化时，报保密工作领导小组审核，审核通过后进行变更； 涉密计算机及办公室自动化设备

10、（打印机、刻录机）维修、更换、报废由涉密办公室管理员负责，做好相关登记；维修应由保密领导小组批准后进行； 涉密计算机维修应到保密局指定的地点维修，维修前应卸下硬盘等敏感部件，维修后应进行安全检测后方可使用； 更换涉密计算机应事先提交涉密设备变更申请表，写明更换原因，经保密工作领导小组批准后进行。在更换涉密计算机前应卸下硬盘，卸下的硬盘不得在非涉密计算机上使用，硬盘交由涉密办公室保密管理员登记备案；硬盘留存于保密办公室，不得使用、外借； 涉密计算机报废不得当作废品出售，在申请报废后先到保密办公室保密管理员处登记，卸下硬盘并由专人上交保密局工作部门进行集中销毁处理，报废涉密计算机应报保密局备案并履

11、行相应的销毁制度。2.4 涉密场所风险评估2.4.1 可能存在的风险点 涉密办公场所内是否存在网络端口； 非涉密人员进出涉密办公室是否有记录； 涉密办公场所是否按照国家保密局要求配备了门禁系统、防盗报警系统、视频监控系统； 涉密人员进出涉密办公室时是否携带相机，手机，录音笔等其它可存储介质。2.4.2 风险防控措施 由安全保密管理员定期检查涉密办公室的门禁、防盗报警、视频监控等设备的完好状态，确保保密材料安全。 非授权人员进出涉密场所，须经公司保密领导小组审批并由授权人员进行全程陪同方可进入，同时建立涉密场所非授权人员进入登记册，对临时进出的人员登记；标明进出时间及事由。 建立视频监控的检查管

12、理机制，公司的安全保卫部门应当定期对视频监控信息进行回看检查，保密办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。 未经批准，不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公室。3、涉密项目风险评估3.1 招投标风险评估3.1.1 可能存在的风险点 投标小组成员是否为涉密人员，是否有保密意识； 是否有泄露标底的情况； 是否做好投标文件的保密情况； 是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况； 评标机构是否做好保密工作。3.1.2 风险防控措施 投标小组成员必须为涉密人员，必须与公司签署保密协议，保密承诺书及保密责任书后方可进入小组。 标底作为评标的主

13、要依据，是工程招标保密工作的重中之重，标底如果泄露可能会导致工程招标成本的提高。因此，投标小组应加强对标书的保密管理，涉及记载标底的文件不能随意摆放，应视同保密材料保管于保密办公室。 投标文件是投标人的商业秘密。既然投标人信任招标代理机构，招标代理机构也应把投标人递交的投标文件保存好。因此，招标代理机构有义务对投标文件进行保密，以避免投标人遭受损失。由专人负责对投标文件的管理，没有保密工作领导小组领导的允许，除投标小组成员外，其他人员不得翻阅投标文件。 对每一个投标单位的资格预审应当单独进行。资格预审结束后，招标人应当对资格预审合格单位的名单予以保密，并以书面或电话的方式单独通知每一个报名单位

14、其是否通过资格预审。 招标人根据工程招标项目的具体情况，可以组织潜在投标人勘查项日现场。由于保密问题的存在，招标人不能同时组织所有潜在投标人进行现场勘查。招标人可以制定现场勘查的时间安排表，然后分别组织潜在投标人进行勘查。3.2 设计方案风险评估3.2.1 可能存在的风险点 设计人员是否为涉密人员，是否有保密意识； 涉密人员素质是否良好，是否会泄露设计方案； 办公环境是否满足涉密资质标准要求； 使用设备是否为涉密设备，是否满足标准； 是否在非涉密计算机上传递涉密项目信息。3.2.2 风险防控措施 在整个设计过程中，应确定领导小组组织结构，严格按照班组成员划分岗位职责，严禁杜绝滥用职权、擅离职守

15、、推卸责任等情况的出现。加强领导保密意识培训，起好表率作用。在设计过程中保密意识应时刻体现在工作中，从现场的勘察、资料的整理、汇总、后期资料的加工、方案的修改、资料的传输、最终方案的保存等都应该时刻提高保密意识，加强保密管理。 方案设计小组成员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在工作中时刻注意警惕自己是涉密人员，增强保密意识。 在设计过程中，现场勘察时对周边环境应仔细查找风险点，避免一切安全隐患的发生，不满足要求的及时整改。方案编写都应该在涉密办公室进行，防止涉密信息外漏。 方案设计过程中应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必

16、须随身携带，方案编写必须在涉密办公室内进行，如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行，保密领导小组组长同意方可。 必须在涉密计算机上处理涉密项目，不允许在非涉密计算机上处理或传递涉密项目信息。也不允许将涉密信息通过任何方式拷贝、复印拿出涉密办公室。3.3 分包方案使用风险评估3.3.1 可能存在的风险点 在现场使用时，信息是否产生泄露； 涉密人员是否将图纸存放与他人手里或放在施工现场，导致项目设计方案泄露。3.3.2 风险控制措施 加强涉密人员保密意识； 涉密项目前期设计需由专人在涉密计算机上进行编写，并用光盘进行信息存储，并由委托方指定人员进行交接。不得将光盘存于他人手

17、中或施工现场。 严禁使用外网计算机查询任何涉密项目信息，涉密项目方案的制定均应在涉密办公室内的涉密计算机上进行编写。3.4 设备采购风险评估3.4.1 可能存在的风险点 工程建设周期导致从投标到采购的周期过长，存在供应商库存风险和技术偏离风险； 市场信息不够完全、充分、透明，供应商在一定范围内能影响价格； 设备采购过程中，供应商泄露项目信息。3.4.2 风险控制措施 工程建设周期导致从投标到采购的周期过长，存在供应商库存风险和技术偏离风险，可从三方面进行规避：一方面可建立供应商预警机制，对价格、库存、技术等风险出现前进行供方预警；一方面，对于项目前期设备的选型，应考虑项目建设周期因素，应避免选

18、择市场寿命短的产品；另一方面，应在签订项目合同时，对于设备的更新换代条款，应进行明示。 加大市场信息获取力度，使市场信息准确而全面，从而保证市场分析、成本分析等数据的可靠性；依据适用原则选择供应商并改善与供应商的关系，避免成为强势供应商价格联盟的受害者。 涉密项目的设备采购应单独采购，由涉密业务管理小组下的设备采购小组组长设立专人，不与其它项目的设备一起采购，与供应商签署保密承诺书,并承诺不泄露项目信息、设备价格。3.5 现场实施风险评估3.5.1 可能存在的风险点 合同及各项审核工作时间太长，导致项目信息泄露； 在施工过程中有涉密人员离职或调岗，导致涉密信息泄露； 施工现场环境是否满足涉密项

19、目环境要求； 现场施工时，是否有除委托方及现场施工人员以外的人员进出现场； 设备安装调试时，是否通过非涉密计算机进行操作。3.5.2 风险防控措施 涉密项目签订的涉密合同必须由专职涉密人员进行登记、归档，存放于涉密办公室内的密码文件柜内。 调岗或离职的涉密人员必须进行脱密期处理，并签署涉密人员离岗保密承诺书。不得在脱密期间出国或在外资企业工作。 施工现场周围不允许有大使馆、外资企业等；如有请做好保密防护措施，如：安装视频监控系统、防盗报警系统等。加强施工现场保密环境。 现场施工时，不允许除委托方及现场施工人员以外的人员进出现场。除保密工作领导小组指定人员外，其他人员不得进入施工现场。 调试设备

20、时，必须用涉密计算机进行调试，不得用非涉密计算机进行。避免通过非涉密计算机传递涉密信息，导致涉密项目信息泄露。3.6 审查验收风险评估3.6.1 可能存在的风险点 审查验收人员是否为涉密人员，是否是保密工作领导小组指定； 审查验收记录是否是由专人负责保管，是否产生记录丢失、泄露； 对用户进行设备使用培训，但用户保密意识不强，无意间泄露保密信息。3.6.2 风险防控措施 审查验收人员必须为涉密人员，必须由保密工作领导小组下的运行维护小组组长指派专人验收。 审查验收记录由专人携带，带回公司后交于涉密办公室管理员处登记备案，存放于密码柜中。 在审查验收时，应对用户进行相关保密知识培训。3.7 项目材

21、料移交风险评估3.7.1 可能存在的风险点 项目材料移交时是否是在保密环境下进行，记录是否齐全； 接收材料人员是否是涉密人员，是否由保密工作领导小组指定； 接收材料人员是否携带材料出入公共场所，导致信息泄露。3.7.2 风险防控措施 移交材料时，需在保密环境下进行，检查验收记录是否齐全，不能有记录不完整，不能在公共场所下进行。由专人进行材料交接，并将材料封存于档案袋中。 接收材料的人员必须是由保密工作领导小组指定的人。 接收材料后，必须马上携带资料返回公司，不得在公共场所逗留，避免发生资料丢失，产生资料泄密。3.8 运行维护风险评估3.8.1 可能存在的风险点 后期运行维护的人员是否是涉密人员，是否明确涉密人员的职责，是否有保密意识； 在对设备维护时，是否使用非涉密计算机进行操作； 运行维护人员是否在交谈中泄露涉密信息； 维护记录是否保存好，是否产生记录丢失、泄露。3.8.2 风险防控措施 运行维护人员必须是涉密人员，要有保密意识。在上岗前是否参加涉密人员培训，是否与公司签订保密协议、保密责任书及保密承诺书。 运行维护人员需由保密工作领导小组指定，记录需要专人保存并带回公司，交于涉密办公室保密管理员处，登记存于密码文件柜中。 运行维护人员在维护设备时，相关信息一定要在涉密计算机中处理。 运行维护人员要有保密意识，时刻警惕自己为涉密人员。不泄露任何项目信息。