12目錄 二、評估依據(jù) 三、評估流程 2.對原有風(fēng)險點的評估 4 44.部門評估 45.公司評估 4附件1:參評人員和部門提交文件一覽表 6附件2:風(fēng)險評估表 7附件3:風(fēng)險評估匯總表 附件4:風(fēng)險評估參與人員表 附件5:風(fēng)險點列表103公司作為涉密信息系統(tǒng)集成資質(zhì)單位，對保守國家秘密有相應(yīng)義務(wù)并承擔(dān)重要的責(zé)任。為切實有效地保護(hù)國家秘密，必須事先做好保密風(fēng)險評估工作，讓保密工作有的放矢。為了讓風(fēng)險評估達(dá)到應(yīng)有的成果，并有序進(jìn)行，特制定本方二、評估依據(jù)《中華人民共和國保守國家秘密法》《中華人民共和國保守國家秘密法實旋條例》《涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn)》《涉密信息系統(tǒng)集成資質(zhì)管理辦法》公司保密管理制度三、評估流程風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價。具體評估流1.保密辦根據(jù)當(dāng)前已有的風(fēng)險防控措施和保密管理制度出具風(fēng)險點列表(見附件<風(fēng)險點列表>);2.各部門安排本部門涉密人員對風(fēng)險點列表進(jìn)行分析；3.涉密人員將評估結(jié)果以電子檔遞交本部門負(fù)責(zé)人；4.部門負(fù)責(zé)人匯總后形成風(fēng)險評估匯總表，并打印簽字；5.部門負(fù)責(zé)人將風(fēng)險評估匯總表紙質(zhì)文檔和電子文檔遞交保密辦；6.保密辦匯總后出具風(fēng)險評估報告。4四、評估方法風(fēng)險級別定義是對風(fēng)險點進(jìn)行風(fēng)險評估的基礎(chǔ)。根據(jù)不同的風(fēng)險級別需制定不同的風(fēng)險防控措施。具體定義見下表：風(fēng)險等級風(fēng)險級別定義很高高中如果被利用，將對業(yè)務(wù)或資產(chǎn)造成一般損害。低5很低參加評估的人員對原有風(fēng)險點的風(fēng)險等級和防控措施進(jìn)行評估。評估風(fēng)險等級是否準(zhǔn)確，防控措施是否有效。對識別出的問題，按修改后的風(fēng)險等級和建議防控措施填寫到風(fēng)險評估表中。序號按原風(fēng)險點序號填寫。3.新風(fēng)險識別參評人員根據(jù)日常工作情況和工作流程識別出的新風(fēng)險，在4.部門評估各參評人員把風(fēng)險評估表以電子檔遞交到部門負(fù)責(zé)人。部門組織參評人員討論評估結(jié)果，形成最終結(jié)論后匯總評估表。各參評人員和部門提交文件見附件。5.公司評估各部門將評估結(jié)果匯總表以電子檔和紙質(zhì)檔遞交保密辦，保密辦組織各部門討論評估結(jié)果。根據(jù)評估結(jié)果提出最終評估報告并向公司提出防控措施意見和建議。保密辦6附件1:參評人員和部門提交文件一覽表附件2:風(fēng)險評估表附件3:風(fēng)險評估匯總表附件4:風(fēng)險評估參與人員表附件5:風(fēng)險點列表7評人員和交文件覽表序號文件名稱文檔形式1風(fēng)險評估表電子檔參評人部門負(fù)責(zé)人2風(fēng)險評估匯總表紙質(zhì)、電子檔部門負(fù)責(zé)人保密辦3風(fēng)險評估參與電子檔部門負(fù)責(zé)人保密辦8人員表4風(fēng)險評估報告紙質(zhì)保密辦保密領(lǐng)導(dǎo)小組5防控措施建議紙質(zhì)保密辦保密領(lǐng)導(dǎo)9附件2:風(fēng)險評估表部門：部門：評估人：序號識別風(fēng)險點風(fēng)險等級附件3:風(fēng)險評估匯總表部門：部門：序號識別風(fēng)險點風(fēng)險等級防控措施序號姓名部門險點序號識別項目風(fēng)險點風(fēng)險等級現(xiàn)有防控措施人員涉密人員上崗管理人員沒有進(jìn)行保密審查中上崗前先進(jìn)行保密審查，填寫保密審查表，審查流程為人事部-保密辦-保人員保密審查內(nèi)容不全面中審查表主要內(nèi)容見《涉密涉密人員沒有經(jīng)崗前培訓(xùn)考核中審查完成時進(jìn)行崗前培訓(xùn)和考核涉密人員沒有簽訂保密承諾書或保密協(xié)議中崗前培訓(xùn)和考核通過后簽訂保密承諾書涉密人員在崗管理沒有開展日常保密教育培訓(xùn)或培訓(xùn)內(nèi)容流干形式低涉密人員每年至少接受10h保密培訓(xùn)。培訓(xùn)內(nèi)容包括保密法律法規(guī)、公司制度、泄密案例、保密意識、保密常識、分級保護(hù)附件5:風(fēng)險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施相關(guān)知識等內(nèi)容人員涉密等級變更沒有進(jìn)行審批中人員密級變更有按照相應(yīng)涉密人員上崗或變更后沒有及時到出入境管理局和重慶市國家保密局備案中在涉密人員上崗或變更后五日內(nèi)到出入境管理局和重慶市國家保密局備案。沒有對涉密人員證件進(jìn)行管理或涉密人員證件丟失中對涉密人員的因私護(hù)照、使用必須經(jīng)先審批后領(lǐng)涉密人員出國(境)沒有進(jìn)行審批高須先審批，后辦理出國沒有對涉密人員進(jìn)行定期復(fù)審中附件5:風(fēng)險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施沒有把保密管理納入績效低按部門和工作崗位每月開展績效評價沒有及時向涉密人員發(fā)放保密補貼低按月發(fā)放保密補貼涉密人員離崗離職管理沒有進(jìn)行涉密人員離崗審批高涉密人員離職離崗審批表離崗離職沒有進(jìn)行相關(guān)資料移交高離崗離職前要進(jìn)行資料移交涉密人員沒有簽訂離崗保密承諾書中須簽訂保密承諾書沒有對離崗離職涉密人員進(jìn)行保密提醒談話中由保密辦進(jìn)行提醒談話，并做好談話記錄沒有對脫密期人員進(jìn)行委托管理或委托其他單位進(jìn)行管理中尚未對脫密期人員進(jìn)行委托管理沒有對脫密期人員進(jìn)行回訪中對脫密期內(nèi)人員每年進(jìn)行一次回訪附件5:風(fēng)險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施涉密人員檔案管理沒有建立涉密人員檔案或檔案信息不全高檔案信息包括：姓名、性別、身份證號、部門、職務(wù)、密級、上崗日期、在崗狀態(tài)、復(fù)審日期、脫密期、是否備案沒有對涉密人員進(jìn)行分類管理和動態(tài)管理中建立涉密人員臺賬和動態(tài)管理臺賬場所涉密場所安防設(shè)備沒有安防監(jiān)控、防盜報警、門禁系統(tǒng)高有門禁、監(jiān)控、防盜報警設(shè)備沒有安裝鐵門、鐵窗，沒有配備保密文件柜高有防盜門、防盜窗、保密文件柜安防監(jiān)控記錄存儲時間不足三個月中監(jiān)控存儲時長大于三個月附件5:風(fēng)險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施沒有定期對安防監(jiān)控設(shè)備、防盜報警設(shè)備、門禁設(shè)備工作是否正常進(jìn)行檢查高每月檢查，目前檢查人員為方武茂沒有定期對安防監(jiān)控記錄、門禁記錄進(jìn)行檢查中每月檢查，目前檢查人員為方武茂人員進(jìn)出管理沒有對出入人員進(jìn)行審批、登記高除白名單人員外，其他涉密人員進(jìn)出須登記、非涉密人員和外來人員須先審批再進(jìn)入沒有定期對白名單進(jìn)行復(fù)審中白名單人員每年一審涉密信息設(shè)備信息設(shè)備沒有建立涉密信息設(shè)備臺賬高設(shè)備臺賬內(nèi)容包括：設(shè)備名稱、型號類型、出廠編險點序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施臺賬列號、IP地址、MAC地址、置、責(zé)任人、設(shè)備狀態(tài)、涉密信息設(shè)備臺賬信息與實物不符低每年組織一次保密檢查信息設(shè)備使用維修沒有對涉密信息設(shè)備的維修、報廢進(jìn)行審批和記錄中有相應(yīng)審批和記錄對涉密信息設(shè)備的外帶沒有進(jìn)行審批和登記高有相應(yīng)審批和記錄沒有及時對使用后歸還的涉密信息設(shè)備進(jìn)行保密檢查高對涉密電腦、涉密U盤使用后須進(jìn)行保密檢查險點序號識別項目風(fēng)險點等級載體涉密載體臺賬沒有建立涉密載體臺賬高有臺賬涉密載體信息要素不全中頁數(shù)、密級、保密期限、涉密載體信息與實物不符高每年進(jìn)行一次保密檢查涉密載體生產(chǎn)制作涉密載體的生產(chǎn)制作沒有經(jīng)過審批中涉密載體生產(chǎn)制作須審批涉密載體生產(chǎn)制作后沒有登記入載體臺賬高制作后由保密辦登記入臺賬沒有有效控制涉密中目前涉密室僅一臺電腦有附件險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施載體生產(chǎn)制作、輸出權(quán)限范圍涉密載體借閱傳遞涉密載體借閱、傳遞給不在知悉范圍內(nèi)的人員高知悉范圍內(nèi)人員借閱須登記涉密載體借閱、傳遞無審批無記錄中知悉范圍外人員借閱須先審批，后借閱并登記涉密載體外送無審批、無回執(zhí)高外送須先審批后外送并提交回執(zhí)業(yè)務(wù)流程招投標(biāo)投標(biāo)小組成員是為非涉密人員；高投標(biāo)小組成員必須經(jīng)過審批，并且為涉密人員投標(biāo)小組成員沒有簽訂保密協(xié)議、保密承諾書或保密責(zé)任書中確定為投標(biāo)小組成員后必須簽訂保密協(xié)議、保密承諾書或保密責(zé)任書附件5:風(fēng)險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施投標(biāo)小組成員沒有保密意識或保密意識不強高對投標(biāo)小組成員進(jìn)行保密培訓(xùn)或宣講保密管理規(guī)定。加強日常保密培訓(xùn)工作。投標(biāo)小組成員有泄露標(biāo)底的情況；高投標(biāo)小組應(yīng)加強對標(biāo)書的保密管理，涉及記載標(biāo)底的文件不能隨意擺放，應(yīng)視同保密材料一樣保管于涉密辦公室投標(biāo)文件沒有定密高按照項目密級對相關(guān)文件進(jìn)行定密投標(biāo)文件雖然經(jīng)過定密但沒有按照密件管理要求標(biāo)識密級、保密期限、編號、指定接觸范圍和涉密等級中按照定密密級和密件管理要求對投標(biāo)文件進(jìn)行管理。對投票文件進(jìn)行統(tǒng)一編號，標(biāo)識密級、保密期附件5:風(fēng)險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施投標(biāo)文件等涉密文件沒有在保密室制作或保密室不符合保密標(biāo)準(zhǔn)要求高投標(biāo)文件必須在保密室制保密室必須有符合保密要求的鐵門、鐵窗、保密文件柜、門禁、監(jiān)控、防盜報警等設(shè)施設(shè)備。使用非涉密信息設(shè)備制作投標(biāo)文件等涉密文件高非涉密信息設(shè)備不得帶入保密室，確需帶入保密室的要經(jīng)過審批，做到先審批再帶入。帶入的非涉密信息設(shè)備不得處理投標(biāo)文件等涉密信息。投標(biāo)文件制作過程中應(yīng)用到的所有設(shè)備設(shè)施必須為涉密專用設(shè)備、杜絕涉密設(shè)備與非涉密設(shè)備混用。涉密信息存儲設(shè)備必須隨身攜帶，投標(biāo)文件編寫必須在涉密辦公室內(nèi)進(jìn)行，如要將涉密文件等信息帶險點序號識別項目風(fēng)險點風(fēng)險等級現(xiàn)有防控措施出涉密辦公室必須嚴(yán)格按照保密管理制度執(zhí)行，保密領(lǐng)導(dǎo)小組同意方可。投標(biāo)文件制作過程中應(yīng)用到的所有設(shè)備設(shè)施必須為涉密專用設(shè)備、杜絕涉密設(shè)備與非涉密設(shè)備混用。涉密信息存儲設(shè)備必須隨身攜帶，投標(biāo)文件編寫必須在涉密辦公室內(nèi)進(jìn)行，如要將涉密文件等信息帶出涉密辦公室必須嚴(yán)格按照保密管理制度執(zhí)行，保密領(lǐng)導(dǎo)小組同意方可。投標(biāo)文件等涉密文件的制作沒有經(jīng)過審批高投標(biāo)文件等涉密文件的輸出做到相對集中，僅授權(quán)一臺電腦進(jìn)行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸附件險點序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施投標(biāo)文件等涉密文件傳遞沒有記錄高投標(biāo)文件等涉密文件的所有遞交、傳閱、包括去向投標(biāo)文件等涉密文件沒有納入涉密載體臺賬管理高數(shù)、單份頁數(shù)、責(zé)任人、方案設(shè)計設(shè)計人員為非涉密人員高確定方案設(shè)計小組人員須進(jìn)行審批并核實人員涉密等級。對非涉密人員或涉密等級不符合的人員不得確定為設(shè)計人員。設(shè)計人員沒有簽訂保密協(xié)議、保密承中確定為設(shè)計小組成員后必須簽訂保密協(xié)議、保密承附件險點序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施諾書或保密責(zé)任書諾書或保密責(zé)任書后方可上崗設(shè)計人員沒有保密意識或保密意識不夠高方案設(shè)計小組成員必須經(jīng)過嚴(yán)格篩選，參加保密培訓(xùn)及考核合格后方能上崗。在確定為方案設(shè)計小組成員后要進(jìn)行保密教育設(shè)計人員有泄露設(shè)計方案的情況高于涉密辦公室。設(shè)計方案沒有在保密室制作或保密室不能滿足涉密資質(zhì)標(biāo)準(zhǔn)要求高設(shè)計方案文件必須在保密保密室必須有符合保密要求的鐵門、鐵窗、保密文險點序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施件柜、門禁、監(jiān)控、防盜使用非涉密設(shè)備制作設(shè)計方案高非涉密信息設(shè)備不得帶入保密室，確需帶入保密室的要經(jīng)過審批，做到先審批再帶入。帶入的非涉密信息設(shè)備不得處理投標(biāo)文件等涉密信息。方案設(shè)計過程中應(yīng)用到的所有設(shè)備設(shè)施必須為涉密專用設(shè)備、杜絕涉密設(shè)備與非涉密設(shè)備混用。涉密信息存儲設(shè)備必須隨身攜帶，方案編寫必須在涉密辦公室內(nèi)進(jìn)行，如要將涉密文件等信息帶出涉密辦公室必須嚴(yán)格按照保密管理制度執(zhí)行，保密領(lǐng)導(dǎo)小組同意方可。附件險點序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施在非涉密計算機上傳遞設(shè)計方案或涉密項目信息高設(shè)計方案等涉密文件的制作沒有經(jīng)過審批高設(shè)計方案等涉密文件的輸出做到相對集中，僅授權(quán)一臺電腦進(jìn)行打印、刻錄等輸出工作。文件制作輸出時要做到先審批后輸設(shè)計方案等涉密文件傳遞沒有記錄高設(shè)計方案等涉密文件的所有遞交、傳閱、包括去向進(jìn)行登記記錄。設(shè)計方案等涉密文件沒有納入涉密載高設(shè)計方案等涉密文件按照涉密載體管理要求進(jìn)行登險點序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施體臺賬管理數(shù)、單份頁數(shù)、責(zé)任人、合同簽訂涉密合同信息泄露高涉密合同的簽訂過程必須是涉密人員參與，并有相應(yīng)知悉權(quán)限，對涉密合同的送交應(yīng)采用專人遞送，嚴(yán)禁采用普通快遞、郵件等無保密措施的遞送方設(shè)備采購設(shè)備采購人員不是涉密人員高設(shè)備采購人員須進(jìn)行審批并核實人員涉密等級。對非涉密人員或涉密等級不符合的人員不得確定為設(shè)附件險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施設(shè)備采購人員沒有保密意識或保密意識不夠高方案設(shè)計小組成員必須經(jīng)過嚴(yán)格篩選，參加保密培訓(xùn)及考核合格后方能上崗。在確定為方案設(shè)計小組成員后要進(jìn)行保密教育供應(yīng)商泄露項目信息中不與其它項目的設(shè)備一起采購，與供應(yīng)商簽署保密信息、設(shè)備價格?，F(xiàn)場實施涉密項目主要參與人員不是涉密人員高涉密項目簽訂的涉密合同必須由專職涉密人員進(jìn)行公室內(nèi)的密碼文件柜內(nèi)。附件5:風(fēng)險點列表序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施沒有對項目施工人員、第三方廠商調(diào)試人員等非涉密人員進(jìn)行管理高要求通過對所有項目參與人員包括施工人員、第三方廠商調(diào)試人員等非涉密人員登記身份信息、聯(lián)系方式等，加強管理。項目參與人員沒有保密意識或保密意識不夠高對于主要項目參與人員必須經(jīng)過嚴(yán)格篩選，參加保密培訓(xùn)及考核合格后方能上崗。在確定為項目參與人員后要進(jìn)行保密教育或宣講保密管理規(guī)定。對于參與項目的其他非涉密人員在參與前要進(jìn)行保密教育或宣講保密管理規(guī)涉密項目參與人沒有簽訂保密協(xié)議中對確定的主要項目參與人和其他非涉密人員參與人必須簽訂保密協(xié)議、保密承諾書或保密責(zé)任書后方險點序號識別風(fēng)險點風(fēng)險等級現(xiàn)有防控措施可上崗涉密項目參與人信息沒有報保密辦備案，或涉密項目人員發(fā)生變化沒有報保密辦備案高涉密項目參與人確定后須要報保密辦備案，備案后方可實施。項目負(fù)責(zé)人要對人員進(jìn)行動態(tài)管理，對項目實施過程中人員發(fā)生變動和變化的，要及時報保密辦備案。項目實施前沒有制定保密工作方案并交保密辦備案中項目負(fù)責(zé)人在項目實施前編制項目保密工作方案，方案交保密辦備案后項目方可實施。項目實施過程中產(chǎn)生制作涉密載體沒有經(jīng)過審批高項目實施過程中嚴(yán)禁在外私自打印刻錄涉密載體，產(chǎn)生制作涉密載體的輸出做到相對集中，僅授權(quán)一臺電腦進(jìn)行打印、刻錄等險點序號識別項目風(fēng)險點風(fēng)險等級現(xiàn)有防控措施輸出工作。文件制作輸出和知悉程度高按照定密密級和密件管理要求對項目實施過程中產(chǎn)生制作的涉密載體進(jìn)行管理。對涉密文件進(jìn)行統(tǒng)一編號，標(biāo)識密級、保密期項目載體文件沒有定密高方案、圖紙、施工日志、驗收資料和驗收報告等沒有建立項目涉密載體管理臺賬高險點序號識別項目風(fēng)險點風(fēng)險等級現(xiàn)有防控措施在施工過程中有涉密人員離職或調(diào)崗，導(dǎo)致涉密信息泄露中調(diào)崗或離職的涉密人員必須進(jìn)行脫密期處理，并簽署涉密人員離崗保密承諾書。不得在脫密期間出國或在外資企業(yè)工作。施工現(xiàn)場環(huán)境不滿足涉密項目環(huán)境要求高場保密環(huán)境?，F(xiàn)場施工