XXXX保密風險評估報告XXXXX開發(fā)有限公司XXXX年1月9日目錄TOC\o"1-4"\h\z\u1. 概述 41.1 背景 41.2 風險評估的依據(jù) 91.3 風險評估的目的 91.4 風險評估的措施 102. 風險評估 122.1 涉密人員風險評估 122.2 涉密載體風險評估 132.3 涉密設備風險評估 152.4 涉密場所風險評估 172.5 涉密項目風險評估 182.5.1 招投標風險評估 182.5.2 設計方案風險評估 192.5.3 系統(tǒng)集成過程風險評估 202.5.3.1 分保方案使用風險評估 202.5.3.2 設備采購風險評估 212.5.3.3 現(xiàn)場實施風險評估 222.5.3.4 審查驗收風險評估 222.5.3.5 項目材料移交風險評估 232.5.3.6 運行維護風險評估 242.5.3.7 項目流程圖 253. 持續(xù)性改進機制 294. 風險評估小結 33概述背景公司發(fā)展歷史及現(xiàn)狀XXXXXXX于XXXXXXX年4月20日注冊成立，注冊地址位于XXXXXX，注冊資金XXX萬元，公司員工XXX人。公司成立初期主要業(yè)務范圍是以XXXXXXX。為了公司發(fā)展需要，注冊資金經(jīng)過多次變更，由最初的XXXX萬元增資到XXXX萬人民幣。公司也在此期間取得了本行業(yè)相關的資質：ISO9001：2000質量體系認證;信息系統(tǒng)集成三級資質和公共安全技術防范壹級資質，并且是中央政府采購網(wǎng)的協(xié)議供貨商及合格的競價談判供應商，并具備XXXXXXX政府及XXXXXXX政府的供應商資格，還是XXXXXXX集團和XXXXXXX集團的合法供應商。目前公司現(xiàn)經(jīng)營地址為XXXXXXX，擁有辦公場地XXXX多平方米，客戶遍及政府，金融及保險，能源，軍隊等各大行業(yè)和機構，現(xiàn)已成為一家有著深厚技術實力和良好合作支持,以系統(tǒng)集成,軟件開發(fā)，網(wǎng)絡維護及集成，音視頻會議集成，監(jiān)控設計及安裝調試,應用開發(fā)與服務為主的綜合性IT企業(yè)。公司近三年系統(tǒng)集成項目金額達XXXXX萬元。公司人員組織結構公司注重團隊建設和人才的培養(yǎng)，現(xiàn)擁有員工XXXX人，全體員工80.4.%以上是本科以上文化程度，技術人員具備機電工程、建筑智能化工程、計算機系統(tǒng)集成、計算機網(wǎng)絡應用、軟件開發(fā)等所需的各種專業(yè)資質證書和從業(yè)證書，并且也取得國際認證的軟、硬件工程師證書及各生產(chǎn)廠家認證的工程師證書。公司擁有已有認證的計算機信息系統(tǒng)集成項目經(jīng)理X人，高級項目經(jīng)理X人，均具有本行業(yè)多年從業(yè)經(jīng)驗，并參與了各種系統(tǒng)集成大型項目的設計與施工。公司的技術經(jīng)理從業(yè)X年，獨立完多項系統(tǒng)集成項目設計及管理工作。XXXXXXX2015年組織結構表總經(jīng)理副總經(jīng)理財務部技術部經(jīng)理商務部人力資源部銷售部系統(tǒng)集成部軟件開發(fā)部技術服務部公司所在周邊地理環(huán)境我公司XXXXXXX，處于XXXX主干道上，西面有XXX，東臨XXXXXXX領地居民小區(qū)，北面有xxx居民小區(qū)。地處松嫩平原南部，不處在地震帶和沉降帶，地質結構穩(wěn)定；遠離海邊江河，高于XXXXXXX城區(qū)高點45米，不受洪水、海嘯和臺風威脅；遠離山區(qū)，不受山洪和泥石流侵害；區(qū)域內無核電站、強污染源及重鹽害。存在風險：公司周邊是否有駐外大使館公司周邊是否存在外資企業(yè)公司周邊是否有商業(yè)區(qū)針對風險點的防控措施：我公司位于XXXXXXX路上，周邊不存在駐外大使館、外資企業(yè)及商業(yè)區(qū)，進出入辦公樓均有收發(fā)人員管理登記。公司內部物理環(huán)境XXXXXXX位于XXXXXXX路XX號XXX樓，此樓XXX層為XXXX店有單獨的入口；XXXX樓為辦公樓區(qū)，有獨立的入口。一樓大廳有收發(fā)人員登記，并在電梯口處有視頻監(jiān)控系統(tǒng)。在我公司單位門口也有本單位自己的視頻監(jiān)控系統(tǒng)。存在的風險：外來人員隨意進出附近的雙太電子城聚集了多家IT企業(yè)，IT企業(yè)人員眾多、混雜，對保密信息的安全性造成潛在的安全隱患。針對存在風險點的防控措施：在公司入口處設立登記處，由專人來負責登記和接待。風險評估的依據(jù)依據(jù)XXXXXXX國家保密局發(fā)布的《涉密信息系統(tǒng)集成資質保密標準》、BMB17《涉及國家秘密的信息系統(tǒng)分級保護技術要求》、BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》、BMB23《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》風險評估的目的保密風險評估是保密工作的重要組成部分。保密風險評估要堅持實事求是的原則，深入調查研究，全面掌握保密風險因素及其影響，進而科學分析企業(yè)保密工作面臨的形勢、存在的問題，在此基礎上提出切實可行的關于風險防范控制措施的建議方案。保密風險一詞包括了兩方面的內涵。其一，風險意味著會對企業(yè)正常的工作帶來不良影響；其二，這種影響的出現(xiàn)與否是一種不確定性隨機現(xiàn)象，它可用概率表示出現(xiàn)的可能程度，但不能對出現(xiàn)與否做出確定性判斷。從而可知，風險因素、風險事故和影響密切相關，它們構成了企業(yè)保密風險存在與否的基本條件。因此，要真正領悟企業(yè)保密風險的本質，就必須弄清這三個概念及其相互聯(lián)系。風險因素不良影響風險事故引起導致風險因素不良影響風險事故簡單概括而言：風險因素引起風險事故，風險事故導致對企業(yè)帶來不良影響。風險評估的措施近幾年來，隨著信息技術的飛速發(fā)展，現(xiàn)代辦公設備逐漸走進了企業(yè)的日常工作，保密工作面臨著一種全新環(huán)境，同時所面臨的保密形勢日益嚴峻。保密風險評估，作為企業(yè)開展保密工作的前提，能為單位領導準確把握本單位保密工作所面臨的風險，進行重點防控提供科學依據(jù)。根據(jù)對本公司保密狀況的分析，認為本公司應當主要從加強保密條件建設方面進一步采取積極有效的措施：進一步加強保密“軟件建設”。保密條件建設分為“軟件建設”和“硬件建設”兩大類，其中“軟件建設”是靈魂，“硬件建設”是基礎。加強保密“軟件建設”，就是要從根本上進一步強化人員的保密意識，建議有關部門領導要加強教育，統(tǒng)一思想，通過認真學習《保密法》和《保密法實施條例》，切實開展好保密工作的教育與宣傳。及時傳達貫徹上級保密工作會議精神及保密局文件精神，按照工作要求落實措施，對重點涉密人員進行經(jīng)常性的保密教育。通過宣傳教育，使涉密人員的保密意識明顯提高，政治責任感進一步增強。同時，要結合本單位保密工作面臨的實際情況，進一步完善本公司《保密制度》，嚴肅保密工作紀律，發(fā)生失密、泄密，視情節(jié)輕重、危害大小，依據(jù)國家有關保密規(guī)定給予批評教育或處分。將保密工作列入重要議事日程，從思想教育入手，將保密工作擺在突出位置。努力做到領導不唱“獨角戲”,全員上陣抓保密，及時糾正“關好門、鎖好柜、封住嘴、管好件”就能萬事大吉的認識偏差，形成人人參與保密的氛圍，努力為本單位的安全保密工作筑牢思想上的“防火墻”。進一步加強信息設備的安全建設。隨著信息技術的發(fā)展，各種高技術信息設備不斷涌現(xiàn)，它們在為員工日常工作、學習、訓練提供便利的同時，也給保密工作帶來了更多挑戰(zhàn)。為此，要進一步加強信息設備的安全建設，對一些存在較大安全隱患的設備堅決不能引進使用，使用時要制定嚴格的使用規(guī)則。另外對本單位的所有辦公計算機、移動存儲介質、打印機、復印機、傳真機、掃描儀等設備進行了一次全面、徹底的保密清查，將所有設備登記入冊，進一步明確使用范圍和責任人，同時對這些信息設備要進行不定時檢查，將有隱患的設備及時處理。同時，要制定必要的防范措施，對網(wǎng)站要進行全天候監(jiān)控，嚴防病毒攻擊與木馬植入，涉密計算機軟件要安裝先進軟件，安裝防輻射、即時殺毒、備份軟件，涉密信息設備要有防電磁輻射、防內置、防失控、防失竊功能。多管齊下、全方位防護，為本單位信息設備的安全使用開辟一條“綠色通道”。進一步完善保密工作機制。俗話說：“無規(guī)矩不成方圓?！蓖瑯?，企業(yè)保密工作也需要完善的保密機制來保障。近年來，隨著保密形勢的日益嚴峻，對保密機制提出了更高的要求。所以，建議單位保密部門領導要加強制度建設，始終把落實規(guī)章制度作為抓好保密工作的關鍵環(huán)節(jié)，認真貫徹落實《保密法》及有關保密工作的規(guī)定，從文件的登記、收發(fā)、傳遞、歸檔、銷毀等各個環(huán)節(jié)都嚴格按照規(guī)范流程，落實管理規(guī)定，做到了按制度管人管事。和公司員工簽署保密協(xié)議、保密責任書及保密承諾書。用人單位與勞動者可以在勞動合同中約定保守用人單位的商業(yè)秘密和與知識產(chǎn)權相關的保密事項。限于用人單位的高級管理人員、高級技術人員和其他負有保密義務的人員。范圍、地域、期限由用人單位與勞動者約定，不得違反法律、法規(guī)的規(guī)定。面對日益嚴峻的保密形勢，保密風險的控制更為困難。所以，建議保密部門領導要建立良好的保密秩序，有效遏制泄密問題的發(fā)生；要努力做到領導不唱“獨角戲”,全員上陣抓保密，保密工作人人抓，常抓不懈的良好局面；要建立長效機制，有章可循，真查實改。公司領導要帶頭做好保密工作，齊抓共管、綜合治理，要適應新要求、采取新措施，充分認識到新形勢下做好保密工作的重要性和緊迫性，進一步做好各項保密工作，努力促進本公司的保密工作再上一個新臺階。風險評估涉密人員風險評估可能存在的風險點招聘時人員是否滿足涉密人員要求；審核時競聘人員是否有過犯罪記錄，是否為中國公民；上崗前是否接受過保密知識培訓及考核；是否與公司簽訂保密承諾書，保密協(xié)議，保密責任書及涉密人員考核評價考表；部門是否按照公司要求開展保密知識培訓，加強部門涉密人員的保密意識；涉密人員離崗時是否簽訂離崗保密承諾書，保密工作領導小組是否對其進行脫密期管理。風險防控措施應聘員工應滿足公司對涉密人員的聘用標準；上崗必須學習崗位保密業(yè)務，且保密知識考核成績合格；與公司簽署保密協(xié)議、保密承諾書、保密責任書；員工所在部門領導確認涉密人員考核評級表內容，確認無誤后簽字，同時保密領導小組同意簽字后，評價表交保密工作領導小組存檔，作為該員工作為涉密人員的考核內容；保密辦公室應在年初做好本年度保密知識培訓計劃及考核計劃，組織涉密人員學習各項保密知識。涉密人員在離崗后，嚴格遵守公司保密制度，與公司簽署離崗保密承諾書，并嚴格遵守公司對離崗人員的脫密期管理。涉密載體風險評估可能存在的風險點紙質文件：涉密文件、資料是否有專人管理；涉密文件收發(fā)是否有記錄，是否有文件丟失、泄露；涉密文件復印、外借是否有登記，是否在記錄中標明使用理由、復印數(shù)量及使用人簽字；涉密文件借閱是否有登記記錄，是否在記錄中標明借閱理由、使用時間、歸還時間及借閱人簽字；涉密文件是否及時歸檔，檔案目錄是否及時更新。電子文件：是否指派專人對涉密電子文件進行管理；制作涉密電子文件時，是否記錄使用范圍及制作數(shù)量；是否在非涉密計算機中傳遞涉密電子文件；在攜帶涉密電子文件外出時，是否有專人攜帶；涉密電子文件是否及時歸檔；報廢的涉密電子文件如何處理。風險防控措施紙質文件所有保密文件、文檔、材料由涉密辦公室管理員統(tǒng)一管理，統(tǒng)一登記入密碼柜，定期進行清查，避免發(fā)生資料泄露及丟失。嚴禁其他人員隨意翻看保密資料，如有其他保密人員要借閱使用，由涉密辦公室管理員進行登記，寫明借閱時間及借閱理由，并保證不拿出涉密辦公室以外的地方使用。保密材料嚴格按領導批準的份數(shù)印刷，不得擅自多印多留，復印件視同原件管理，復印過程中產(chǎn)生的廢紙、廢件應及時銷毀；在復印材料之前，需由涉密辦公室管理員登記后進行，標明使用理由、復印份數(shù)；傳遞保密材料要有保密措施，傳遞應專人專送，不得辦理無關事項，密件不得攜入不利于保密的場所；外出工作須攜帶保密材料，要經(jīng)保密工作領導小組批準后進行。對保密資料未經(jīng)許可，不得擅自摘抄、翻印、復印、轉借或損壞；一旦造成損失由當事人承擔責任。電子文件：指定專人負責本單位涉密電子文件的日常管理工作。制作涉密電子文件，應當依照有關規(guī)定文件內，使用范圍及制作數(shù)量，并編號記錄。傳遞涉密電子文件，應當履行登記、簽收等手續(xù)。禁止在任何非涉密網(wǎng)絡上傳遞涉密電子文件。嚴禁在非涉密機上處理或存儲涉密電子文件。閱讀、使用、復制和銷毀涉密電子文件，應經(jīng)保密工作領導小組批準，同時辦理登記、簽字手續(xù)。復制的電子文件視同原件管理。定期對涉密電子文件及載體進行清查、核對，發(fā)現(xiàn)問題及時向保密工作領導小組匯報。涉密設備風險評估可能存在的風險點涉密計算機是否有違規(guī)操作；涉密計算機端口是否插過其他存儲介質；涉密計算機是否配備三合一防護系統(tǒng)；辦公室自動化設備是否外借使用；涉密計算機及辦公室自動化設備維修、更換、報廢如何管理。風險防控措施涉密計算機安裝了通軟主機監(jiān)控與審計系統(tǒng)V6.0軟件進行端口審計；涉密計算機安裝了360殺毒軟件，由專人進行病毒軟件更新，更新周期不超過15天；每臺涉密計算機都配備了三合一防護系統(tǒng)，嚴格控制了計算機內涉密信息的流失；涉密計算機配置了10位數(shù)以上的密碼，由專人統(tǒng)一管理、記載；辦公室自動化設備均為涉密辦公室處理涉密項目專用，不得外借使用；涉密計算機及辦公室自動化設備由保密工作領導小組確認專人使用，機器明確標識使用人姓名并登記入冊；使用人發(fā)生變化時，報保密工作領導小組審核，審核通過后進行變更；涉密計算機及辦公室自動化設備（打印機、刻錄機）維修、更換、報廢由涉密辦公室管理員負責，做好相關登記；維修應由保密領導小組批準后進行；涉密計算機維修應到XXXXXXX保密局指定的地點維修，維修前應卸下硬盤等敏感部件；維修后應進行安全檢測后方可使用；更換涉密計算機應事先提交涉密設備變更申請表，寫明更換原因，經(jīng)保密工作領導小組批準后進行。在更換涉密計算機前應卸下硬盤，卸下的硬盤不得在非涉密計算機上使用，硬盤交由涉密辦公室保密管理員登記備；硬盤留存于保密辦公室，不得使用、外借；涉密計算機報廢不得當作廢品出售，在申請報廢后先到涉密辦公室保密管理員處登記，卸下硬盤并由專人上交XXXXXXX國家保密局工作部門進行集中銷毀處理，報廢涉密計算機應報XXXXXXX國家保密局備案。涉密場所風險評估可能存在的風險點涉密辦公室內是否存在網(wǎng)絡端口；非涉密人員進出涉密辦公室是否有記錄；涉密辦公室是否按照XXXXXXX國家保密局要求配備了門禁系統(tǒng)、防盜報警系統(tǒng)、視頻監(jiān)控系統(tǒng)；涉密人員進出涉密辦公室時是否攜帶相機，手機，錄音筆等其它可存儲介質。風險防控措施由安全保密管理員定期檢涉密辦公室的門禁、防盜報警、監(jiān)控等設備的完好狀態(tài)，確保保密材料安全。非授權人員進出入涉密場所，須經(jīng)公司保密領導小組審批并由授權人員進行陪同方可進入，同時建立涉密場所非授權人員進入登記冊，對臨時進出的人員記錄登記；標明進出入時間及事由。建立視頻監(jiān)控的管理檢查機制，公司的安全保衛(wèi)部門應當定期對視頻監(jiān)控信息進行回看檢查，保密辦公室應當對執(zhí)行情況進行監(jiān)督。視頻監(jiān)控信息保存時間不少于3個月。未經(jīng)批準，不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公室。涉密項目風險評估招投標風險評估可能存在的風險點投標小組成員是否為涉密人員，是否有保密意識；是否有泄露標底的情況；是否做好投標文件的保密情況；是否做好資格預審時投標人的保密以及現(xiàn)場踏勘中標人的保密情況；評標機構是否做好保密工作。風險防控措施投標小組成員必須為涉密人員，必須與公司簽署保密協(xié)議，保密承諾書及保密責任書后方可進入小組。標底作為評標的主要依據(jù)，是工程招標保密工作的重中之重，標底如果泄露可能會導致工程招標成本的提高。因此，投標小組應加強對標書的保密管理，涉及記載標底的文件不能隨意擺放，應視同保密材料一樣保管于涉密辦公室。投標文件是投標人的商業(yè)秘密。既然投標人信任招標代理機構，招標代理機構也應把投標人遞交的投標文件保存好。因此，招標代理機構有義務對投標文件進行保密，以避免投標人遭受損失。由專人負責對投標文件的管理，沒有保密工作領導小組領導的允許，除投標小組成員外，其他人員不得翻閱投標文件。對每一個投標單位的資格預審應當單獨進行。資格預審結束后，招標人應當對資格預審合格的單位名單予以保密，并以書面或電話的方式單獨通知每一個報名單位其是否通過資格預審。招標人根據(jù)工程招標項目的具體情況，可以組織潛在投標人踏勘項日現(xiàn)場。由于保密問題的存在，招標人不能同時組織所有潛在投標人進行現(xiàn)場踏勘。招標人可以制定現(xiàn)場踏勘的時間安排表，然后分別組織潛在投標人進行踏勘。設計方案風險評估可能存在的風險點設計人員是否為涉密人員，是否有保密意識；涉密人員素質是否良好，是否會泄露設計方案；辦公環(huán)境是否滿足涉密資質標準要求；使用設備是否為涉密設備，是否滿足標準；是否在非涉密計算機上傳遞涉密項目信息。風險防控措施在整個設計過程中，應確定領導小組組織結構，嚴格按照班組成員劃分崗位職責，嚴謹杜絕濫用職權、擅離職守、推卸責任等情況的出現(xiàn)。加強領導保密意識培訓，起好帶頭表率作用。在設計過程中保密意識應隨時體現(xiàn)在工作中，從現(xiàn)場的勘察、資料的整理、匯總、后期資料的加工、方案的修改、資料的傳輸、最終方案的保存等都應該時刻提高保密意識，加強保密管理。方案設計小組成員必須經(jīng)過嚴格篩選，參加保密培訓及考核合格后方能上崗。在工作中時刻注意警惕自己是涉密人員，增強保密意識。在設計過程中對現(xiàn)在勘察時對周邊環(huán)境應仔細查找風險點，避免一切安全隱患的發(fā)生，不滿足要求的及時整改。后期資料整合。方案編寫都應該在涉密辦公室進行，防止涉密信息外漏。方案設計過程中所應用到的所有設備設施必須為涉密專用設備、杜絕涉密設備與非涉密設備混用。涉密信息存儲設備必須隨身攜帶，方案編寫必須在涉密辦公室內進行，如要將涉密文件等信息帶出涉密辦公室必須嚴格按照保密管理制度執(zhí)行，保密領導小組組長同意方可。必須在涉密計算機上處理涉密項目，不允許在非涉密計算機上處理或傳遞涉密項目信息。也不允許將涉密信息通過任何方式拷貝、復印拿出涉密辦公室。系統(tǒng)集成過程風險評估分保方案使用風險評估可能存在的風險點在現(xiàn)場使用時，信息是否產(chǎn)生泄露；涉密人員是否將圖紙存放與他人手里或放在施工現(xiàn)場，導致項目設計方案泄露。風險控制措施加強涉密人員保密意識；涉密項目前期設計需由專人在涉密計算機上進行編寫，并用光盤進行信息存儲，并由委托方指定人員進行交接。不得將光盤存于他人手中或施工現(xiàn)場。嚴禁使用外網(wǎng)計算機查詢任何涉密項目信息，涉密項目方案的制定均應在涉密辦公室內的涉密計算機上進行編寫。設備采購風險評估可能存在的風險點工程建設周期導致從投標到采購的周期過長，存在供應商庫存風險和技術偏離風險；市場信息不夠完全、充分、透明，供應商在一定范圍內能影響價格；設備采購過程中，供應商泄露項目信息。風險控制措施工程建設周期導致從投標到采購的周期過長，存在供應商庫存風險和技術偏離風險，可從三方面進行規(guī)避：一方面可建立供應商預警機制，對價格、庫存、技術等風險出現(xiàn)前進行供方預警；一方面，對于項目前期設備的選型，應考慮項目建設周期因素，應避免選擇市場壽命短的產(chǎn)品；另一方面，應在簽訂項目合同時，對于設備的更新?lián)Q代條款，應進行明示。加大市場信息獲取力度，使市場信息準確而全面，從而保證市場分析、成本分析等數(shù)據(jù)的可靠性；依據(jù)適用原則選擇供應商并改善與供應商的關系，避免成為強勢供應商價格聯(lián)盟的受害者。涉密項目的設備采購應單獨采購，由涉密業(yè)務管理小組下的設備采購小組組長設立專人，不與其它項目的設備一起采購，與供應商簽署保密承諾書,并承諾不泄露項目信息、設備價格?，F(xiàn)場實施風險評估可能存在的風險點合同及各項審核工作時間太長，導致項目信息泄露；在施工過程中有涉密人員離職或調崗，導致涉密信息泄露；施工現(xiàn)場環(huán)境是否滿足涉密項目環(huán)境要求； 現(xiàn)場施工時，是否有除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場；設備安裝調試時，是否通過非涉密計算機進行操作。風險防控措施涉密項目簽定的涉密合同必須由專職涉密人員進行登記、歸檔，存放于涉密辦公室內的密碼文件柜內。調崗或離職的涉密人員必須進行脫密期處理，并簽署涉密人員離崗保密承諾書。不得在脫密期間出國或在外資企業(yè)工作。施工現(xiàn)場周圍不允許有大使館、外資企業(yè)等；如有請做好保密防護措施，如：安裝視頻監(jiān)控系統(tǒng)、防盜報警系統(tǒng)等。加強施工現(xiàn)場保密環(huán)境?，F(xiàn)場施工時，不允許除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場。除保密工作領導小組指定人員外，其他人員不得進入施工現(xiàn)場。調試設備時，必須用涉密計算機進行調試，不得用非涉密計算機進行。避免通過非涉密計算機傳遞涉密信息，導致涉密項目信息泄露。審查驗收風險評估可能存在的風險點審查驗收人員是否為涉密人員，是否是保密工作領導小組指定；審查驗收記錄是否是由專人負責保管，是否產(chǎn)生記錄丟失、泄露；對用戶進行設備使用培訓，但用戶保密意識不強，無意間泄露保密信息。風險防控措施審查驗收人員必須為涉密人員，必須由保密工作領導小組下的運行維護小組組長指派專人驗收。審查驗收記錄由專人攜帶，帶回公司后交于涉密辦公室管理員處登記備案，存放于密碼柜中。在審查驗收時，應對用戶進行相關保密知識培訓。項目材料移交風險評估可能存在的風險點項目材料移交時是否是在保密環(huán)境下進行，記錄是否齊全；接收材料人員是否是涉密人員，是否由保密工作領導小組指定；接收材料人員是否攜帶材料出入公共場所，導致信息泄露。風險防控措施移交材料時，需在保密環(huán)境下進行，檢查驗收記錄是否齊全，不能有記錄不完整，不能在公共場所下進行。由專人進行材料交接，并將材料封存于檔案袋中。接收材料的人員必須是由保密工作領導小組指定的人。接收材料后，必須馬上攜帶資料返回公司，不得在公共場所逗留，避免發(fā)生資料丟失，產(chǎn)生資料泄密。運行維護風險評估可能存在的風險點后期運行維護的人員是否是涉密人員，是否明確涉密人員的職責，是否有保密意識；在對設備維護時，是否使用非涉密計算機進行操作；運行維護人員是否在交談中泄露涉密信息；維護記錄是否保存好，是否產(chǎn)生記錄丟失、泄露。風險防控措施運行維護人員必須是涉密人員，要有保密意識。在上崗前是否參加涉密人員培訓，是否與公司簽訂保密協(xié)議、保密責任書及保密承諾書。運行維護人員需由保密工作領導小組指定，記錄需要專人保存并帶回公司，交于涉密辦公室保密管理員處，登記存于密碼文件柜中。運行維護人員在維護設備時，相關信息一定要在涉密計算機中處理。運行維護人員要有保密意識，時刻警惕自己為涉密人員。不泄露任何項目信息。項目流程圖1業(yè)務方提出項目需求售1業(yè)務方提出項目需求風險點：參與者風險點：參與者是否對項目標底進行保密，是否對工程項目投標情況進行保密風險點：風險點：資格預審時潛在投標人是否保密以及現(xiàn)場踏勘中標人是否有保密2根據(jù)項目需求安排相應工程師響應需求，配合業(yè)務部門的工作(參與者均為涉密人員)風險點：項目現(xiàn)場周邊環(huán)境存在商業(yè)區(qū)、大使館等危險點3風險點：項目現(xiàn)場周邊環(huán)境存在商業(yè)區(qū)、大使館等危險點3是否需要對客戶進行現(xiàn)場服務（現(xiàn)場勘察）是否3.1現(xiàn)場勘察，記錄客戶需求，填寫（調查報告）3.1現(xiàn)場勘察，記錄客戶需求，填寫（調查報告）3.2由銷售方提供（客戶需求報告）風險點：涉密項目前期設計階段，項目信息泄露風險點：涉密項目前期設計階段，項目信息泄露44匯總所有的項目數(shù)據(jù)，開會對項目情況進行討論，判斷項目可行性風險點：設計人員保密意識風險、人員素質能力風險、工作方式風險5風險點：設計人員保密意識風險、人員素質能力風險、工作方式風險5進行解決方案的設計與制作風險點：是否風險點：是否做好投標方案的保密66對方案可行性進行,根據(jù)標書確認方案6.1總經(jīng)理進行最后確認6.1總經(jīng)理進行最后確認風險點：內外網(wǎng)計算機風險點：內外網(wǎng)計算機混用導致涉密項目信息及技術文件通過外網(wǎng)計算機產(chǎn)生泄露7制訂（技術方案、施工預算總表）7.1總經(jīng)理進行最后確認7.1總經(jīng)理進行最后確認88提交設計方案書給業(yè)務銷售部門風險點：涉密風險點：涉密合同書信息泄露8.1對甲方技術問題進行現(xiàn)場解答8.1對甲方技術問題進行現(xiàn)場解答9簽定合同書9簽定合同書1010根據(jù)項目施工方案確立項目施工組織計劃表，并提交技術中心負責人進行審核10.1總經(jīng)理進行最后確認10.1總經(jīng)理進行最后確認1111進入項目實施階段12開項目準備大會討論并落實項目的各項細節(jié)，明確分工、職責，并出具各項計劃、圖表項目臺賬（項目出、入庫單）（項目計劃總表）（項目工程進度表）12開項目準備大會討論并落實項目的各項細節(jié)，明確分工、職責，并出具各項計劃、圖表項目臺賬（項目出、入庫單）（項目計劃總表）（項目工程進度表）1313根據(jù)項目大會的討論結果，項目實施部門開項目實施前準備會，明確施工人員，進行施工計劃、施工方案等技術交底工作，做好施工前準備（所有涉密人員持證上崗）風險點風險點：設備采購時是否產(chǎn)生涉密信息泄露風險點：風險點：供應商是否泄密1414進入甲方施工現(xiàn)場，安排休息區(qū)與庫房，做好各項施工準備工作，包括外包施工人員分組，工作安排等工作。材料設備收貨。風險點：在施工過程中有涉密人員離職或調崗風險點：在施工過程中有涉密人員離職或調崗，導致涉密信息泄露1515開始進行項目的施工，根據(jù)分組情況，各分項目負責人監(jiān)督施工，并將發(fā)現(xiàn)的問題及時上報項目經(jīng)理1616項目經(jīng)理在工程施工過程中對各分段項目的各個環(huán)節(jié)進行抽查，及時發(fā)現(xiàn)問題并現(xiàn)場提供指導17各分段項目結束后分段項目負責人提供階段工程竣工報告，項目經(jīng)理安排進行下一階段施工17各分段項目結束后分段項目負責人提供階段工程竣工報告，項目經(jīng)理安排進行下一階段施工1818全部項目完成后，各分段負責人提供安裝文檔，整理場地衛(wèi)生，檢查合格后施工人員與部分技術人員離場，設備安裝調試人員進場，開始設備的安裝調試風險點：審核風險點：審核驗收人員是否保密，是否為涉密人員，驗收記錄是否丟失，泄露。1919測試：根據(jù)涉密信息集成圖紙進行測試，并向項目經(jīng)理報告測試結果。項目經(jīng)理抽查測試結果，并簽字20設備安裝調試，填寫設備安裝報告，并提供技術文檔（待以后交付于乙方）項目經(jīng)理抽查測試結果，并簽字20設備安裝調試，填寫設備安裝報告，并提供技術文檔（待以后交付于乙方）風險點：審查風險點：審查驗收記錄是否是由專人負責保管，是否產(chǎn)生記錄丟失、泄露。風險點：審查驗收人員是否為涉密人員，是否是保密工作領導小組指定。2121項目經(jīng)理組織，個分項目負責人參加對整個項目進行內部總驗收2222提前一天通知甲方并且陪同甲方項目負責人對整個工程項目進行總驗收，技術人員演示各項功能。驗收完畢項目經(jīng)理部分技術人員離場2323項目交接技術人員向甲方技術負責人員進行項目交接，提交各種技術文檔，并進行相應技術培訓后離場風險點風險點：業(yè)主方交接人員未進行涉密培訓，導致涉密項目信息泄露2424項目實施流程完畢，建立客戶服務檔案風險點：后期運行維護的人員是否是涉密人員，是否明確涉密人員的職責，是否有保密意識。25業(yè)務和銷售代表根據(jù)客戶要求，提出客戶服務申請風險點：后期運行維護的人員是否是涉密人員，是否明確涉密人員的職責，是否有保密意識。25業(yè)務和銷售代表根據(jù)客戶要求，提出客戶服務申請2626根據(jù)故障類型，指派相關技術人員受理服務風險點：維保記錄是否保存好，是否產(chǎn)生記錄丟失、泄露。風險點：維保記錄是否保存好，是否產(chǎn)生記錄丟失、泄露。27技術工程師根據(jù)客戶檔案與故障現(xiàn)象與甲方進行聯(lián)系風險點風險點：運行維護人員是否在交談中泄露涉密信息28進行電話故障的分析與排除28進行電話故障的分析與排除28．1排除風險點：運維服務人員是否產(chǎn)生信息泄露28．風險點：運維服務人員是否產(chǎn)生信息泄露28．2未排除服務人員填寫出差申請單，申請到場服務填寫客戶服務報告，注明故障現(xiàn)象服務人員填寫出差申請單，申請到場服務填寫客戶服務報告，注明故障現(xiàn)象29銷售代表，總經(jīng)理簽字同意出差服務29銷售代表，總經(jīng)理簽字同意出差服務30．2未排除3030．2未排除30．1排除30服務工程師到達用戶現(xiàn)場進行故障排除31問題排除后，請客戶在服務報告單上簽字確認，服務工程師回公司31問題排除后，請客戶在服務報告單上簽字確認，服務工程師回公司向技術經(jīng)理匯報現(xiàn)場情況，總經(jīng)理安排處理33技術人員憑服務單報銷出差的各項費用，將服務單歸檔，服務結束33技術人員憑服務單報銷出差的各項費用，將服務單歸檔，服務結束32到公司后服務人員找總經(jīng)理簽字，確認服務完成持續(xù)性改進機制時代在不斷進步，生產(chǎn)方式在不斷更改，各種措施的密保與安全性都在經(jīng)受考驗。隨著信息化的進一步發(fā)展，涉密集成資質單位對涉密信息系統(tǒng)安全保密的認識也逐步提高，其安全問題日益突出，與生產(chǎn)業(yè)務的保密資格標準相關的要求和操作方式，對涉密集成資質單位安全保密策略提出了進一步要求。因此，制定詳細的安全保密策略成為當前安全生產(chǎn)業(yè)務保密管理的重點，因時制宜的改進與處理，顯得更為重要。我們必須與時俱進，制定相應的方針與策略來應對時代的進步，這就是為什么安全保密管理是一個不斷完善，不斷改進的過程，沒有終點。由健全的網(wǎng)絡與信息安全保障措施，到對涉密生產(chǎn)的安全保障措施、信息安全保密管理制度、用戶信息安全管理制度做一個有力保護屏障。在我國高度重視涉密集成資質單位生產(chǎn)業(yè)務的安全密保的同時，又要求參與生產(chǎn)效率與利要最大化。針對集成單位的項目實施在安全保密管理方面進行持續(xù)改進意義重大。持續(xù)改進的意義持續(xù)改進是一個組織自身生存和發(fā)展的需要，是組織的一個永恒目標。就外部環(huán)境而言．任何事物都是在不斷發(fā)展的，同人們對產(chǎn)品需求的變化是一樣。持續(xù)改進有助于提高生產(chǎn)業(yè)務的安全性。從網(wǎng)絡，系統(tǒng)，應用運行管理、系統(tǒng)冗余等角度綜合分析，采用先進的安全技術，對如防火墻、加密技術、數(shù)據(jù)清查等為網(wǎng)站提供系統(tǒng)防御的安全體系，可以有效地防止外來數(shù)據(jù)對自身系統(tǒng)攻擊破壞與入侵。集成單位的項目實施在安全保密管理方面為企業(yè)單位的命脈，我們將在盡可能減少投資，節(jié)約可利用資源的條件下，從系統(tǒng)結構、網(wǎng)絡結構、技術措施、設施選型等方面綜合考慮，以盡量減少系統(tǒng)中的單故障節(jié)點出現(xiàn)率與單位電子系統(tǒng)被入侵率，經(jīng)由網(wǎng)絡服務器實現(xiàn)24小時的不間斷服務，從而達到使生產(chǎn)過程中實現(xiàn)安全與效率最大化。如何進行持續(xù)改進電子政務信息系統(tǒng)的使用隨著計算機信息技術的飛速發(fā)展，電子政務信息系統(tǒng)在企事業(yè)單位和政府機關實際工作中已經(jīng)發(fā)揮了越來越重要的作用。電子政務信息系統(tǒng)涉及對企業(yè)和國家秘密信息和高敏感度核心的保護，涉及經(jīng)濟安全、商業(yè)秘密、公共秩序和行政監(jiān)管的準確實施，涉及為杜會提供公共服務的質量保證。本系統(tǒng)中的軟硬件平臺建設、應用系統(tǒng)的設計開發(fā)以及系統(tǒng)的維護管理所采用的產(chǎn)品技術均綜合考慮當今互聯(lián)網(wǎng)發(fā)展趨勢，采用相對先進同時市場相對成熟的產(chǎn)品技術，以滿足未來熱點網(wǎng)站的發(fā)展需求。既彰顯業(yè)務開放的優(yōu)良性，又兼?zhèn)鋵ι?/p>