涉密項(xiàng)目安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則引言為規(guī)范涉密項(xiàng)目安全風(fēng)險(xiǎn)評(píng)估工作，有效識(shí)別、分析和防控涉密項(xiàng)目全生命周期的安全風(fēng)險(xiǎn)，依據(jù)《中華人民共和國保守國家秘密法》《保密法實(shí)施條例》及相關(guān)保密管理規(guī)定，結(jié)合涉密項(xiàng)目管理實(shí)際，制定本實(shí)施細(xì)則。本細(xì)則適用于涉及國家秘密的科研、建設(shè)、運(yùn)維、服務(wù)等項(xiàng)目（以下簡(jiǎn)稱“涉密項(xiàng)目”）的安全風(fēng)險(xiǎn)評(píng)估活動(dòng)，項(xiàng)目承擔(dān)單位、評(píng)估機(jī)構(gòu)及相關(guān)監(jiān)管部門應(yīng)遵循本細(xì)則開展工作。第一章總則1.1適用范圍本細(xì)則適用于涉密項(xiàng)目的安全風(fēng)險(xiǎn)評(píng)估工作，涵蓋項(xiàng)目立項(xiàng)、實(shí)施、驗(yàn)收、運(yùn)維及終止等全生命周期階段。涉及國家秘密的科研攻關(guān)、工程建設(shè)、信息系統(tǒng)開發(fā)、技術(shù)服務(wù)等項(xiàng)目的風(fēng)險(xiǎn)評(píng)估活動(dòng)，均應(yīng)參照本細(xì)則執(zhí)行。1.2基本原則1.保密優(yōu)先：以保障國家秘密安全為核心目標(biāo)，所有評(píng)估活動(dòng)不得泄露項(xiàng)目涉密信息，評(píng)估過程需符合保密管理要求。2.全面覆蓋：對(duì)項(xiàng)目涉及的人員、技術(shù)、環(huán)境、管理等要素進(jìn)行全維度風(fēng)險(xiǎn)識(shí)別，覆蓋項(xiàng)目全流程環(huán)節(jié)。3.動(dòng)態(tài)評(píng)估：結(jié)合項(xiàng)目階段變化、技術(shù)發(fā)展及外部威脅演變，定期或不定期開展風(fēng)險(xiǎn)再評(píng)估，確保防控措施持續(xù)有效。4.科學(xué)規(guī)范：采用符合保密要求的評(píng)估方法和工具，遵循國家保密標(biāo)準(zhǔn)及行業(yè)規(guī)范，保證評(píng)估結(jié)果客觀準(zhǔn)確。1.3職責(zé)分工項(xiàng)目承擔(dān)單位：作為風(fēng)險(xiǎn)評(píng)估的責(zé)任主體，負(fù)責(zé)組織實(shí)施本單位涉密項(xiàng)目的風(fēng)險(xiǎn)評(píng)估，落實(shí)整改措施，建立風(fēng)險(xiǎn)臺(tái)賬并定期向監(jiān)管部門報(bào)備。評(píng)估機(jī)構(gòu)：需具備國家認(rèn)可的保密評(píng)估資質(zhì)，獨(dú)立開展評(píng)估工作，出具客觀公正的評(píng)估報(bào)告，對(duì)報(bào)告真實(shí)性、準(zhǔn)確性負(fù)責(zé)。監(jiān)管部門（如保密行政管理部門、項(xiàng)目主管部門）：負(fù)責(zé)對(duì)評(píng)估工作進(jìn)行監(jiān)督指導(dǎo)，審核評(píng)估報(bào)告，督促問題整改，查處違規(guī)行為。第二章評(píng)估流程2.1準(zhǔn)備階段2.1.1確定評(píng)估對(duì)象根據(jù)項(xiàng)目涉密等級(jí)（絕密、機(jī)密、秘密）、涉及秘密的范圍（如核心技術(shù)、敏感數(shù)據(jù)、關(guān)鍵設(shè)施）及項(xiàng)目規(guī)模，明確評(píng)估對(duì)象的邊界（含關(guān)聯(lián)系統(tǒng)、合作單位、參與人員等）。2.1.2組建評(píng)估團(tuán)隊(duì)團(tuán)隊(duì)?wèi)?yīng)包含保密管理專家（熟悉保密法規(guī)及管理流程）、技術(shù)專家（精通涉密系統(tǒng)攻防、加密技術(shù)等）、行業(yè)專家（了解項(xiàng)目所屬領(lǐng)域風(fēng)險(xiǎn)特點(diǎn)）及法律專家（把控合規(guī)性），必要時(shí)可邀請(qǐng)第三方機(jī)構(gòu)參與。2.1.3收集評(píng)估資料收集項(xiàng)目文檔（如立項(xiàng)書、技術(shù)方案、保密制度）、涉密信息載體清單（紙質(zhì)、電子、實(shí)物）、人員資質(zhì)文件、環(huán)境安防記錄、歷史風(fēng)險(xiǎn)事件報(bào)告等，確保資料真實(shí)完整且符合保密管理要求。2.2實(shí)施階段2.2.1風(fēng)險(xiǎn)識(shí)別采用全要素掃描法，從以下維度識(shí)別風(fēng)險(xiǎn)：項(xiàng)目?jī)?nèi)容：涉密信息的產(chǎn)生、存儲(chǔ)、傳輸、銷毀流程是否存在漏洞，成果輸出環(huán)節(jié)是否可控。人員管理：參與人員的保密意識(shí)、權(quán)限分配合理性、離職/轉(zhuǎn)崗人員的信息交接是否規(guī)范。環(huán)境安全：物理場(chǎng)所的門禁、監(jiān)控、電磁防護(hù)是否達(dá)標(biāo)，網(wǎng)絡(luò)環(huán)境的隔離、防護(hù)、審計(jì)是否有效。技術(shù)保障：加密算法合規(guī)性、訪問控制有效性、漏洞修復(fù)及時(shí)性、備份恢復(fù)機(jī)制完整性。2.2.2風(fēng)險(xiǎn)分析結(jié)合定性+定量方法，分析風(fēng)險(xiǎn)發(fā)生的可能性（高/中/低）及影響程度（重大/較大/一般）：定性分析：通過專家研討、案例類比，判斷風(fēng)險(xiǎn)場(chǎng)景的現(xiàn)實(shí)性（如“內(nèi)部人員違規(guī)操作”的發(fā)生概率）。定量分析：采用風(fēng)險(xiǎn)矩陣法，對(duì)可能性和影響程度賦值（如可能性“高=5，中=3，低=1”；影響程度“重大=5，較大=3，一般=1”），計(jì)算風(fēng)險(xiǎn)值（風(fēng)險(xiǎn)值=可能性×影響程度），劃分風(fēng)險(xiǎn)等級(jí)（高風(fēng)險(xiǎn)：≥15；中風(fēng)險(xiǎn)：5-14；低風(fēng)險(xiǎn)：≤4）。2.2.3風(fēng)險(xiǎn)評(píng)價(jià)根據(jù)風(fēng)險(xiǎn)等級(jí)，優(yōu)先關(guān)注高風(fēng)險(xiǎn)項(xiàng)，結(jié)合項(xiàng)目實(shí)際需求（如保密期限、技術(shù)迭代周期），確定風(fēng)險(xiǎn)可接受水平（如“高風(fēng)險(xiǎn)項(xiàng)必須100%整改，中風(fēng)險(xiǎn)項(xiàng)限期整改，低風(fēng)險(xiǎn)項(xiàng)持續(xù)監(jiān)控”）。2.3報(bào)告階段2.3.1編制評(píng)估報(bào)告報(bào)告應(yīng)包含：項(xiàng)目概況、評(píng)估方法、風(fēng)險(xiǎn)識(shí)別結(jié)果、風(fēng)險(xiǎn)分析過程、風(fēng)險(xiǎn)等級(jí)劃分、整改建議及防控措施。報(bào)告需經(jīng)評(píng)估團(tuán)隊(duì)負(fù)責(zé)人審核，確保內(nèi)容真實(shí)、結(jié)論明確、措施可行。2.3.2審核與審批項(xiàng)目承擔(dān)單位對(duì)報(bào)告進(jìn)行內(nèi)部審核，重點(diǎn)核查風(fēng)險(xiǎn)描述的準(zhǔn)確性、措施的針對(duì)性；監(jiān)管部門或委托的第三方機(jī)構(gòu)對(duì)報(bào)告進(jìn)行合規(guī)性審查，確認(rèn)評(píng)估流程符合法規(guī)要求。2.4整改階段2.4.1制定整改方案針對(duì)高、中風(fēng)險(xiǎn)項(xiàng)，制定“一風(fēng)險(xiǎn)一方案”，明確整改責(zé)任主體、整改措施、整改時(shí)限（如高風(fēng)險(xiǎn)項(xiàng)30日內(nèi)完成整改，中風(fēng)險(xiǎn)項(xiàng)60日內(nèi)完成）。2.4.2落實(shí)整改措施項(xiàng)目承擔(dān)單位按方案實(shí)施整改，同步記錄整改過程（如技術(shù)改造的日志、人員培訓(xùn)的簽到表），評(píng)估機(jī)構(gòu)可跟蹤指導(dǎo)。2.4.3整改復(fù)查整改完成后，由原評(píng)估團(tuán)隊(duì)或第三方機(jī)構(gòu)開展復(fù)查，驗(yàn)證措施有效性。復(fù)查通過的，將整改結(jié)果納入項(xiàng)目檔案；未通過的，重新制定整改方案并限期整改。第三章風(fēng)險(xiǎn)識(shí)別與分析要點(diǎn)3.1項(xiàng)目?jī)?nèi)容風(fēng)險(xiǎn)信息流轉(zhuǎn)：涉密數(shù)據(jù)是否在非涉密載體（如個(gè)人電腦、公共網(wǎng)盤）存儲(chǔ)/傳輸，跨級(jí)、跨域傳輸是否經(jīng)過審批。成果管理：涉密成果的發(fā)布、轉(zhuǎn)讓、使用是否符合“按需知密”原則，對(duì)外合作（如國際交流、聯(lián)合研發(fā)）中是否存在泄密隱患。3.2人員管理風(fēng)險(xiǎn)背景審查：新入職/合作人員的政治背景、信用記錄是否存在瑕疵，是否存在“帶病上崗”風(fēng)險(xiǎn)。權(quán)限濫用：是否存在“一人多權(quán)”（如既管密鑰又管系統(tǒng)）、“越權(quán)操作”（如普通人員訪問核心數(shù)據(jù)）等情況。意識(shí)薄弱：人員是否存在“重業(yè)務(wù)輕保密”傾向，對(duì)釣魚郵件、社交工程攻擊的識(shí)別能力是否不足。3.3環(huán)境安全風(fēng)險(xiǎn)物理環(huán)境：涉密場(chǎng)所是否與非涉密區(qū)域有效隔離，門禁系統(tǒng)是否具備防尾隨、防復(fù)制功能，電磁泄漏防護(hù)是否達(dá)標(biāo)（如涉密機(jī)房的電磁屏蔽等級(jí)）。網(wǎng)絡(luò)環(huán)境：涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)是否物理隔離，無線設(shè)備（如Wi-Fi、藍(lán)牙）是否違規(guī)接入涉密網(wǎng)絡(luò)，外部攻擊（如APT攻擊、惡意代碼）的防護(hù)是否到位。3.4技術(shù)保障風(fēng)險(xiǎn)加密機(jī)制：是否采用國家密碼管理局認(rèn)可的加密算法（如SM4、SM9），密鑰管理（生成、存儲(chǔ)、銷毀）是否符合“全生命周期安全”要求。漏洞管理：是否定期開展漏洞掃描（如每月一次），高危漏洞（如“永恒之藍(lán)”類漏洞）是否在24小時(shí)內(nèi)修復(fù)，是否存在“重檢測(cè)輕修復(fù)”現(xiàn)象。第四章評(píng)估方法與工具4.1檢查清單法依據(jù)《國家秘密定密管理暫行規(guī)定》《涉密信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》等法規(guī)標(biāo)準(zhǔn)，制定定制化檢查清單，涵蓋“管理、技術(shù)、人員、環(huán)境”四大維度（如管理維度包含“保密制度完整性”“人員培訓(xùn)頻率”等20項(xiàng)指標(biāo)），逐項(xiàng)核查并記錄合規(guī)性。4.2風(fēng)險(xiǎn)矩陣法建立風(fēng)險(xiǎn)矩陣（橫軸為“影響程度”，縱軸為“發(fā)生可能性”），對(duì)每個(gè)風(fēng)險(xiǎn)項(xiàng)進(jìn)行“雙維度”評(píng)分，明確風(fēng)險(xiǎn)等級(jí)及處置優(yōu)先級(jí)（如高風(fēng)險(xiǎn)項(xiàng)需立即整改，中風(fēng)險(xiǎn)項(xiàng)納入監(jiān)控，低風(fēng)險(xiǎn)項(xiàng)定期復(fù)查）。4.3漏洞掃描與滲透測(cè)試漏洞掃描：使用經(jīng)保密管理部門認(rèn)可的掃描工具（如國產(chǎn)涉密漏洞掃描系統(tǒng)），對(duì)涉密信息系統(tǒng)、終端設(shè)備進(jìn)行自動(dòng)化檢測(cè)，識(shí)別系統(tǒng)漏洞、弱口令、違規(guī)配置等問題。滲透測(cè)試：由專業(yè)技術(shù)人員模擬黑客攻擊，嘗試突破系統(tǒng)防護(hù)（如繞過訪問控制、竊取敏感數(shù)據(jù)），驗(yàn)證技術(shù)措施的有效性，需在“授權(quán)環(huán)境”下開展，避免非法入侵。4.4人員訪談與行為觀察人員訪談：選取不同崗位（如項(xiàng)目負(fù)責(zé)人、涉密人員、運(yùn)維人員）進(jìn)行半結(jié)構(gòu)化訪談，了解實(shí)際操作中的保密薄弱點(diǎn)（如“是否存在為方便工作而簡(jiǎn)化審批流程”）。行為觀察：在涉密場(chǎng)所隨機(jī)觀察人員操作（如文件傳遞、設(shè)備使用、權(quán)限申請(qǐng)），識(shí)別“習(xí)慣性違規(guī)”（如將涉密U盤插入非涉密電腦）。第五章風(fēng)險(xiǎn)防控措施5.1管理措施制度建設(shè)：建立《涉密項(xiàng)目全流程保密管理辦法》，明確立項(xiàng)審批、文檔管理、人員準(zhǔn)入、成果輸出等環(huán)節(jié)的保密要求，將保密責(zé)任納入績(jī)效考核。培訓(xùn)教育：每季度開展“分層級(jí)、分崗位”保密培訓(xùn)（如高層領(lǐng)導(dǎo)側(cè)重“責(zé)任意識(shí)”，技術(shù)人員側(cè)重“技術(shù)防護(hù)”），培訓(xùn)后進(jìn)行閉卷考核，考核不通過者暫停涉密工作。流程管控：涉密信息的產(chǎn)生、存儲(chǔ)、傳輸、銷毀需嚴(yán)格執(zhí)行“審批-操作-審計(jì)”閉環(huán)流程（如傳輸涉密文件需填寫《涉密信息傳輸審批單》，由雙人核驗(yàn)后加密傳輸）。5.2技術(shù)措施加密防護(hù)：對(duì)涉密數(shù)據(jù)（含存儲(chǔ)、傳輸）采用國密算法加密，密鑰長度不低于規(guī)定要求（如SM4算法采用128位密鑰），密鑰定期輪換（如每季度一次）。訪問控制：實(shí)施“最小權(quán)限+動(dòng)態(tài)授權(quán)”，用戶權(quán)限與崗位職責(zé)嚴(yán)格匹配，敏感操作（如刪除涉密數(shù)據(jù)）需“雙人復(fù)核+視頻留痕”，權(quán)限變更需經(jīng)三級(jí)審批（部門負(fù)責(zé)人、保密辦、分管領(lǐng)導(dǎo)）。5.3人員措施背景審查：新入職涉密人員需通過“公安聯(lián)網(wǎng)核查+信用報(bào)告審查+原單位背調(diào)”，合作單位人員需簽訂《保密承諾書》并提交背景審查材料。權(quán)限管理：建立“人員-權(quán)限-項(xiàng)目”關(guān)聯(lián)臺(tái)賬，定期（每半年）開展權(quán)限審計(jì)，離職/轉(zhuǎn)崗人員24小時(shí)內(nèi)收回所有涉密權(quán)限（含系統(tǒng)賬號(hào)、物理鑰匙）。行為約束：嚴(yán)禁涉密人員在非涉密設(shè)備存儲(chǔ)/處理涉密信息，禁止在社交平臺(tái)（如微信、微博）討論項(xiàng)目?jī)?nèi)容，個(gè)人終端需安裝保密檢查工具（如違規(guī)外聯(lián)監(jiān)測(cè)軟件）。5.4環(huán)境措施物理隔離：涉密機(jī)房與辦公區(qū)物理分隔，采用“門禁+紅外探測(cè)+視頻監(jiān)控”三重防護(hù)，無關(guān)人員禁止進(jìn)入，進(jìn)入人員需登記（含姓名、單位、事由、時(shí)間）。電磁防護(hù)：涉密機(jī)房安裝電磁屏蔽裝置（屏蔽效能≥B級(jí)），涉密設(shè)備遠(yuǎn)離無線信號(hào)源（如手機(jī)基站、Wi-Fi路由器），防止電磁泄漏。應(yīng)急處置：制定《涉密環(huán)境安全應(yīng)急預(yù)案》，針對(duì)火災(zāi)、斷電、網(wǎng)絡(luò)攻擊等突發(fā)事件，明確“斷網(wǎng)-隔離-報(bào)告-恢復(fù)”的處置流程，每半年開展一次應(yīng)急演練。第六章監(jiān)督與改進(jìn)6.1監(jiān)督機(jī)制定期檢查：項(xiàng)目承擔(dān)單位每半年開展一次“自查+互查”，重點(diǎn)核查風(fēng)險(xiǎn)整改情況、制度執(zhí)行情況；監(jiān)管部門每年開展一次“飛行檢查”，抽查高風(fēng)險(xiǎn)項(xiàng)目的評(píng)估報(bào)告及整改記錄。第三方審計(jì)：每年委托獨(dú)立第三方機(jī)構(gòu)對(duì)涉密項(xiàng)目進(jìn)行“穿透式審計(jì)”，審計(jì)內(nèi)容包括評(píng)估流程合規(guī)性、防控措施有效性、風(fēng)險(xiǎn)臺(tái)賬完整性，審計(jì)報(bào)告向監(jiān)管部門報(bào)備。違規(guī)追責(zé)：對(duì)評(píng)估中發(fā)現(xiàn)的“故意隱瞞風(fēng)險(xiǎn)”“整改不力”“違規(guī)操作”等行為，依規(guī)追究責(zé)任（如約談負(fù)責(zé)人、暫停項(xiàng)目經(jīng)費(fèi)、納入誠信黑名單）。6.2改進(jìn)機(jī)制動(dòng)態(tài)評(píng)估：當(dāng)項(xiàng)目階段變化（如進(jìn)入驗(yàn)收階段）、技術(shù)迭代（如引入AI工具）或外部威脅升級(jí)（如新型勒索病毒爆發(fā)）時(shí)，啟動(dòng)“專項(xiàng)風(fēng)險(xiǎn)再評(píng)估”，更新防控措施。經(jīng)驗(yàn)復(fù)用：建立“涉密項(xiàng)目風(fēng)險(xiǎn)案例庫”，收錄典型風(fēng)險(xiǎn)場(chǎng)景（如“員工誤將涉密文件發(fā)至公共郵箱”）及處置方案，供同類項(xiàng)目參考。持續(xù)優(yōu)化：每年度召開“風(fēng)險(xiǎn)評(píng)估復(fù)盤會(huì)”，總結(jié)評(píng)估方法、工具、流程的不足，結(jié)合