安全保密風險點及防控措施管理手冊

1、安全保密風險點及防控措施管理匯總表序號評估項風險點風險級別風險事項防控措施備注1安全保密管理制度體系組織機構成員設置不合理低組織成員組成不合理，不能在人、財、物等方面及時提供協調和落實成立保密工作領導小組。由總經理、保密總監(jiān)、工程部、技術部、人事部、財務部、采購部、市場部、保密管理辦公室主任組成。保密管理辦公室由專職保密管理辦公室主任、保密管理員、涉密設備管理員、安全審計員組成。負責日常保密管理工作的指導、監(jiān)督、檢查。組織機構職責分工不明確中保密管理事項落實不及時，責任不清晰。根據公司崗位職責，明確保密管理職責分工。保密工作領導小組成員職責、涉密業(yè)務相關部門的職責、保密管理辦公室成員職責。組織

2、機構崗位人員變動低人員變動對保密管理工作落實加強保密監(jiān)管和教育培訓。核查崗位職能及人員編制情況，開展保密教育并考核。管理制度不完善中保密管理要求不能落實，職責要求不明確，不能有效做到保密監(jiān)管依據集成資質管理辦法完善公司保密管理制度。從組織機構建立、人員管理、場所管理、資產使用管理、涉密業(yè)務管理等方面編制和完善19項保密管理制度。各項規(guī)章制度中明確審批、記錄、登記等表格。管理制度與公司各項管理制度的融合不緊密低公司各項管理制度與保密管理融合不夠。保密管理工作落實不及時公司各項管理制度的職責分工與保密管理制度中保密管理要求融合。人力資源制度、財務制度和行政管理制度增加相應保密管理要求和流程。無涉密

3、項目管理制度高涉密項目管理是涉密文檔管理、流程控制管理、實施人員管理、實施現場環(huán)境管理等主要依據編制涉密項目管理制度，包括：項目密級和知悉范圍確定，項目過程管理，實施人員管理，文檔資料審批、登記、歸檔、移交和備案等的管理要求，項目實施細則的流程控制等保密工作的考核與獎懲中保密工作落實未納入績效考核，缺乏牽制機制在管理制度中明確獎懲機制。每季度對涉密人員/涉密業(yè)務部門進行考核，表現優(yōu)秀的進行獎勵，對違反各項法律法規(guī)的，進行嚴懲，并將獎懲情況納入個人的年度績效考核中。未按時按要求組織進行內部自查、建立持續(xù)改進機制中沒有定期開展內部監(jiān)督審查，涉密人員對保密知識不扎實，易導致泄密事件發(fā)生；項目管理部門

4、未制定保密工作方案，易導致項目管理存在安全漏洞保密管理辦公室落實每季度監(jiān)督審查，在內部尋找安全隱患，及時進行整改并制定相應的防控措施；加強對人員、載體、項目、資產、場所等保密管理知識培訓。2涉密人員管理涉密人員的入職中涉密人員入職未經政審、審批和保密教育涉密人員管理制度中對涉密人員入職基本條件、涉密人員界定、審查要求、上崗履行手續(xù)等進行明確要求。涉密人員崗前管理中涉密人員上崗前未進行保密教育考核，不具備保密知識水平保密管理辦公室加強管理，對通過資格審查的涉密人員進行崗前的保密教育培訓，并對其進行保密教育考核，確保上崗前的涉密人員均能通過考核。涉密人員崗前管理高涉密人員上崗前未通過保密教育考核，

5、未簽訂保密責任書保密管理辦公室加強管理與監(jiān)督檢查，確保涉密人員通過保密教育考核并簽訂保密責任書，具備保密知識與明確保密責任后方能上崗。涉密人員在崗管理中涉密人員在崗未履行教育培訓、考核、出境管理明確涉密人員每年不少于12學時的教育培訓：保密法律法規(guī)、保密制度和審批要求；涉密業(yè)務相關的技能培訓；涉密人員出入境審批管理和流程要求；涉密人員檢查：人員每季度自查、部門每季度保密檢查。涉密崗位和涉密人員的涉密等級劃分不明確中 涉密崗位和涉密等級劃分不清晰，導致涉密人員對自身定位要求不明確，不能落實對應的責權利保密管理辦公室嚴格按照保密管理規(guī)定及公司業(yè)務工作需要，對涉密人員的涉密崗位和涉密等級進行明確劃分

6、并登記在案。涉密人員可根據工作需要向保密辦提出申請，履行相應的審批手續(xù)進行變更涉密崗位或涉密等級。保密補貼制度未落實低涉密人員保密補貼未發(fā)放或未按時發(fā)放，導致涉密人員權利無法保障，涉密人員對保密工作不積極保密管理辦公室跟進落實財務部對涉密人員保密補貼的發(fā)放，實行保密補貼簽收制。涉密人員離職/離崗管理中涉密人員離職未通過保密管理辦公室、保密工作領導小組的審查和審批涉密人員離職須經過保密管理辦公室的審批同意，并對其進行離職后的相關保密教育。涉密人員離職/離崗管理中涉密人員離職/離崗需要履行相關審批手續(xù)，未簽訂離職保密承諾書，并將涉密載體進行清退保密管理辦公室均需對離職/離崗涉密人員進行審查同意，并

7、與其簽訂離職保密承諾書，明確離職后的保密義務，接觸過涉密載體的離職涉密人員需要辦理移交手續(xù)，憑借涉密人員離職/離崗審批表和涉密載體移交表方能到人事部辦理員工的離職手續(xù)。離職涉密人員的脫密期管理中涉密人員在脫密期期間不遵守有關保密規(guī)定，泄露保密信息保密管理辦公室負責對離職涉密人員每2個月進行回訪跟蹤，回訪內容包括但不限于：目前所在地方、工作內容、工作性質、所在單位性質。3資產使用管理涉密設備、防護設施、安全保密防護產品和辦公設備的保密管理要求高涉密有關設備的采購管理和使用管理全過程監(jiān)管不嚴格；使用審批、維修、報廢責任部門、責任人不明確；防護設施的管理和巡查巡檢機制不健全；載體和介質制作、收發(fā)、傳

8、遞審批和記錄不全；涉密文檔資料的輸入輸出審批流程不清晰。涉密資產與公司各項管理制度融合。公司各項管理制度增加保密監(jiān)管條款。制度中對涉密資產（設備、設施、安全防護產品、辦公自動化設備、載體及介質等）的采購申請、購買流程、配備、檢查等的全過程監(jiān)管；涉密設備維護、維修、報廢審批監(jiān)管；涉密便攜式計算機的使用管理要求；防護設施的管理，建立巡防巡查機制的；涉密載體、介質制作、收發(fā)、傳遞的管理要求和審批監(jiān)管。記錄登記和備案流程；保密辦核查核對檢查；輸入輸出涉密文件審批流程，登記、備案措施；個人保密自查、業(yè)務部門檢查、保密辦保密檢查中對負責的設備進行核查核對。缺少對非涉密設備監(jiān)管低非涉密設備管理管控缺失保密管

9、理要求非涉密設備不得存儲處理涉密信息；不得在涉密計算機和非涉密計算機間交叉使用介質；納入保密辦保密檢查中。涉密設備存放低涉密設備與非涉密設備混合存放容易產生泄密事件涉密設備與非涉密設備分開存放，涉密設備存放在保密室，由涉密設備管理員負責管理。建立信息設備臺賬中未建立信息設備臺賬容易發(fā)生設備丟失保密管理辦公室委派涉密設備管理員負責建立涉密設備信息臺賬，并定期進行核查。涉密信息設備標識中涉密信息設備沒有作出標識，容易導致涉密設備與非涉密設備混合使用，導致泄密事件發(fā)生涉密設備管理員對所有涉密設備在明顯部位進行標識。4涉密場所管理涉密場所界定及防護措施低缺少涉密場所界定審批；防護設施的使用管理和檢查不

10、及時；涉密場所責任人監(jiān)管不嚴格。公司設置涉密辦公區(qū)200多平方米（內設1個保密檔案室）。對涉密場區(qū)根據使用功能進行界定審批，明確責任人。粘貼警示標識。涉密場所日常保密管理中涉密場所進出管理落實不到位涉密場所責任人是涉密場所的安全、保密第一責任人。對進入涉密場所履行的審批、登記監(jiān)督管理。公司限定涉密人員進入涉密場所的人員名單，進出保密室須履行登記手續(xù)。其他涉密人員或非涉密人員因工作需要進去涉密場所須履行審批手續(xù)，姓名、身份證號碼、進入離開時間、陪同人員、審批人員等；所有人員禁止將帶有錄音、錄像、拍照和存儲功能的信息設備帶入涉密區(qū)；禁止將手機帶入公司涉密辦公室場所。涉密場所監(jiān)控、消防、門禁管理中保

11、密室門禁、消防、監(jiān)控等系統故障，無法保障涉密場所的安全涉密設備管理員定期對涉密場所的門禁系統、視頻監(jiān)控系統、消防報警系統進行檢查，確保設備能正常運行。涉密場所網絡環(huán)境中保密室局域網與互聯網相通，涉密信息會通過互聯網被非法獲取，造成保密信息泄露；涉密設備使用無線網絡信號容易被非法截獲，篡改保密室局域網禁止與互聯網相通，保密室禁止使用無線網絡。5涉密業(yè)務管理涉密業(yè)務部門保密管理中部門崗位職責與保密管理要求不完善；涉密人員自查、部門保密檢查要求不明確涉密業(yè)務部門負責人為涉密部門第一責任人；監(jiān)督涉密人員自查、涉密部門保密檢查等的落實整改；部門人員的保密職責履行情況管理。部門安全保密管理風險評估（一年）

12、。涉密項目保密管理高涉密項目實施全過程監(jiān)控管理不規(guī)范、執(zhí)行不嚴格、落實不到位；涉密項目工程資料的密級及知悉范圍不清晰；涉密項目實施過程監(jiān)管不完善每個涉密項目都制定項目保密管理方案；涉密項目實施流程保密管理控制措施；涉密項目工程檔案的密級和知悉范圍列表；涉密項目的備案、實施人員的保密管理、非涉密人員進入實施現場的審批、登記、陪同控制管理、涉密設備的保管、辦公場所的保密管理、涉密文檔資料的整理、登記、備案、借閱的流程控制等管理要求。涉密項目組建階段中非涉密人員加入涉密項目小組，涉密項目組成員未進行項目實施前的教育培訓項目經理在項目實施前向保密管理辦公室確認項目小組成員，并協同保密管理辦公室開展對項

13、目組成員在項目實施前的保密教育培訓。涉密項目實施階段中非涉密人員隨意進入項目實施現場，進入項目實施現場的人員攜帶具有通信、拍照、錄音、錄像等功能的電子設備項目經理明確進入涉密項目現場的人員名單，其他人員進入項目實施現場需經項目經理和業(yè)主方的書面同意，任何人進入項目實施現場不得私自攜帶電子設備。涉密項目的全階段高利用電郵、QQ、微信等個人通信工具討論涉密項目、傳送涉密文件保密管理辦公室加強對涉密項目實施管理的監(jiān)督檢查，加強對涉密項目組成員的保密教育，涉密辦公必須在保密場所并使用涉密設備進行。涉密項目的全階段高利用普通復印機和打印機復制和打印涉密文件保密管理辦公室加強對涉密項目實施管理的監(jiān)督檢查，

14、加強對涉密項目組成員的保密教育，涉密文件、資料不得私自打印、復印，打印、復印涉密文件、資料須履行相關審批手續(xù)并使用涉密打印機和復印件進行打印和復印。項目涉密文檔資料管理中項目涉密文檔資料的登記、使用、收發(fā)管理要求不明確項目涉密文檔資料和非涉密文檔的登記、備案管理。涉密文檔的借閱、帶出審批。涉密資料的打印、復制審批。6保密檔案管理涉密項目文檔資料檔案管理中涉密工程項目文檔資料登記、備案過程監(jiān)管落實不嚴格招標階段、工程合同、項目啟動、項目實施、項目驗收、項目支付、項目移交階段各類文檔的密級和知悉范圍。涉密項目保密管理機構的備案、工程資料移交、項建設管理情況總結。工程部保密專員負責涉密工程項目資料的

15、歸檔管理。保密專員負責涉密項目工程資料的借閱、打印和復印的集中輸出操作，并做好記錄，及時到保密部門備案。保密管理工作檔案管理低保密工作檔案的密級及知悉范圍保密辦負責保密工作檔案的登記、備案的管理工作。保密工作檔案包括：各類設備的分臺賬、總臺賬；年度保密工作計劃、總結；涉密人員相關檔案資料；涉密人員自查表；涉密部門檢查表；部門、公司風險評估報告；各種審批、記錄表單；保密工作會議紀要、保密教育培訓資料。7涉密載體管理涉密載體的界定中涉密載體界定不清晰容易導致涉密載體的使用出現泄露事件、丟失等保密管理辦公室對所有的涉密載體進行標識，標明編號、密級、保密期限、接觸范圍、知悉范圍等信息涉密載體的收發(fā)、借閱、使用、保存等保密管理高不按照保密管理收發(fā)、使用、借閱、保存等不按規(guī)定進行容易導致涉密信息的泄露、涉密文件的丟失等保密管理辦公室加強涉密人員對涉密載體使用的保密管理等相關知識的保密教育培訓，涉密載體的使用須履行有關的審批手續(xù)，保密辦負責加強對涉密載體使用的監(jiān)督檢查力度攜帶涉密載體外出低未經審批擅自攜帶涉密載體外出保密管理辦公室加強涉密人員對涉密載體管理的保密教育，涉密載體攜帶外出須得到保密辦的審批同意，由保密管理