保密风险评估报告.doc

保密风险评估报告 PAGE PAGE 1 XXXXXXXXXXX公司 保密风险评估报告（2020年度） 编制：XXX 审核：XXX 批准：XXX 日期：202X年X月X日  保密风险评估报告（202X年度） 一、单位概况： XXXXXXXXXXX公司（以下简称“公司”）成立于X年，现注册资本约X亿元，注册地XXXXXX。 XXXX XXXX XXXX XXXX 二、评估目的与范围 2.1保密风险评估的目的 保密风险评估是企业确定保密安全需求的一个重要途径，属于企业保密管理体系策划的过程，是企业开展保密工作的一个主要内容，通过事先分析、评价，制定保密风险控制措施，实现管理关口前移、事前预防，达到消减危害、降低控制风险，由保密风险评估领导小组负责进行危害因素识别和风险评估工作，最终实现企业“零失泄密”。 2.2保密风险评估的范围 保密风险评估，是指针对公司不同业务和日常管理流程，识别存在的可能发生失泄密风险的危害因素，分析可能产生的直接后果以及次生、衍生后果，评估各种后果的危害程度和影响范围，提出防范和控制风险措施的过程。评价范围如下： 涉密人员的保密管理要求落实情况； （2）信息设备的保密管理要求落实情况； （3）涉密系统集成业务的保密管理要求落实情况； （4）涉密软件开发业务的保密管理要求落实情况。 评估流程图 收集资料、现场检查 收集资料、现场检查 组成评估小组 风险类型 风险发生原因 风险辨识 风险评价 风险等级 风险可能发生性 风险严重程度 监 测 审 查 制定风险控制计划 落实减少或防范风险的措施 风险控制 评估依据 保密风险评估工作依据《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质保密标准》、《XXXXXXXXXXX公司保密管理制度汇编》等相关法律法规及公司管理制度。 保密风险评估过程 风险评估人员基于《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质保密标准》、公司《保密管理制度汇编》等相关制度及管理办法的要求及内容，对照公司机构、人员、制度等体系，对系统集成业务及管理过程进行分析、查找存在的问题并进行改进。 保密风险等级设定 保密风险等级划分为低级、一般、中级、高级四个等级，按照风险等级评价影响程度评定具体风险点的风险等级。 评估组织人员 为做好保密风险评估工作，公司成立了风险评估小组，公司负责人直接负责风险评估工作，组织制定风险评估程序，明确风险评估的目的、范围，选择科学合理的评价方法和评价准则，进行风险评估，确定风险等级。全体员工积极组织、参与风险评估工作。公司风险评估小组成员如下： 组 长：XXX 副组长：XXX 成 员：XXX、XXX、XXX、XXX、XXX、XXX 风险评估 8.1涉密人员保密风险评估 涉密人员管理分成上岗，在岗，离岗三个阶段。上岗管理主要是涉密人员基本条件审查，密级界定，培训和考核，签订承诺书；在岗管理包括因私出境备案，日常教育培训，保密补贴发放，保密责任考核，动态管理等；离岗管理主要是离岗审批，载体及信息设备清退，脱密期管理。 根据涉密岗位初步确定涉密人员 根据涉密岗位初步确定 涉密人员 确定涉密岗位 上岗教育、考核、签订承诺书 保密审查、定岗、签订责任书 上岗管理 在岗管理 日常保密教育培训、考试 责任考核、检查、发放保密补贴 因私出国境管理、备案 全程管理 离岗审批、载体清退、教育 脱密期回访 离岗管理 此次风险评估主要针对涉密人员管理三个阶段中可能出现的风险点进行识别。 涉密人员日常管理可能存在的风险点： 涉密人员有过犯罪记录，不是中国公民，有外国永久居住权，有涉外婚姻关系； 涉密人员上岗前未接受过保密知识培训及考核； 涉密人员未与公司签订保密承诺书，保密协议，保密责任书及涉密人员考核评价考表； 未按照公司要求开展保密知识培训，加强涉密人员的保密意识； 涉密人员离岗时未签订离岗保密承诺书，保密工作领导小组未对其进行脱密期管理； 涉密项目驻点开发时，未展开保密教育培训，将甲方保密管理要求告知于驻点工作人员； 涉密项目驻点开发时，未对涉密人员进行定期检查，管控驻点工作人员的行为； 各部门未定期对员工进行保密教育培训和检查； 派遣非密人员参与涉密项目。 8.2信息设备保密风险评估 信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描机、照相机、摄像机等具有信息存储和处理功能的设备。信息设备应严格区分涉密与非涉密的信息设备，应当统一采购、登记、标识、配备，明确使用管理责任人、密级。在日常使用严禁越级使用信息设备存储和处理信息。 信息设备日常管理可能存在的风险点： 公司非密信息设备未进行管控，无登记无标识； 公司非密信息设