保密風險評估報告原創(chuàng)_第1頁
保密風險評估報告原創(chuàng)_第2頁
保密風險評估報告原創(chuàng)_第3頁
保密風險評估報告原創(chuàng)_第4頁
保密風險評估報告原創(chuàng)_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

保密風險評定報告XXXXX開發(fā)有限公司XXXX年1月9日目錄TOC\o"1-4"\h\z\u1. 概述 41.1 背景 41.2 風險評定的根據(jù) 91.3 風險評定的目的 91.4 風險評定的方法 102. 風險評定 122.1 涉密人員風險評定 122.2 涉密載體風險評定 132.3 涉密設(shè)備風險評定 152.4 涉密場合風險評定 172.5 涉密項目風險評定 182.5.1 招投標風險評定 182.5.2 設(shè)計方案風險評定 192.5.3 系統(tǒng)集成過程風險評定 202.5.3.1 分保方案使用風險評定 202.5.3.2 設(shè)備采購風險評定 212.5.3.3 現(xiàn)場實施風險評定 222.5.3.4 審查驗收風險評定 222.5.3.5 項目材料移交風險評定 232.5.3.6 運行維護風險評定 242.5.3.7 項目流程圖 253. 持續(xù)性改善機制 294. 風險評定小結(jié) 33概述背景公司發(fā)展歷史及現(xiàn)狀XXXXXXX于XXXXXXX年4月20日注冊成立,注冊地址位于XXXXXX,注冊資金XXX萬元,公司員工XXX人。公司成立早期重要業(yè)務(wù)范疇是以XXXXXXX。為了公司發(fā)展需要,注冊資金通過多次變更,由最初的XXXX萬元增資到XXXX萬人民幣。公司也在此期間獲得了本行業(yè)有關(guān)的資質(zhì):ISO9001:質(zhì)量體系認證;信息系統(tǒng)集成三級資質(zhì)和公共安全技術(shù)防備壹級資質(zhì),并且是中央政府采購網(wǎng)的合同供貨商及合格的競價談判供應(yīng)商,并含有XXXXXXX政府及XXXXXXX政府的供應(yīng)商資格,還是XXXXXXX集團和XXXXXXX集團的正當供應(yīng)商。現(xiàn)在公司現(xiàn)經(jīng)營地址為XXXXXXX,擁有辦公場地XXXX多平方米,客戶遍及政府,金融及保險,能源,軍隊等各大行業(yè)和機構(gòu),現(xiàn)已成為一家有著深厚技術(shù)實力和良好合作支持,以系統(tǒng)集成,軟件開發(fā),網(wǎng)絡(luò)維護及集成,音視頻會議集成,監(jiān)控設(shè)計及安裝調(diào)試,應(yīng)用開發(fā)與服務(wù)為主的綜合性IT公司。公司近三年系統(tǒng)集成項目金額達XXXXX萬元。公司人員組織構(gòu)造公司重視團體建設(shè)和人才的培養(yǎng),現(xiàn)擁有員工XXXX人,全體員工80.4.%以上是本科以上文化程度,技術(shù)人員含有機電工程、建筑智能化工程、計算機系統(tǒng)集成、計算機網(wǎng)絡(luò)應(yīng)用、軟件開發(fā)等所需的多種專業(yè)資質(zhì)證書和從業(yè)證書,并且也獲得國際認證的軟、硬件工程師證書及各生產(chǎn)廠家認證的工程師證書。公司擁有已有認證的計算機信息系統(tǒng)集成項目經(jīng)理X人,高級項目經(jīng)理X人,均含有本行業(yè)數(shù)年從業(yè)經(jīng)驗,并參加了多種系統(tǒng)集成大型項目的設(shè)計與施工。公司的技術(shù)經(jīng)理從業(yè)X年,獨立完多項系統(tǒng)集成項目設(shè)計及管理工作。XXXXXXX組織構(gòu)造表總經(jīng)理副總經(jīng)理財務(wù)部技術(shù)部經(jīng)理商務(wù)部人力資源部銷售部系統(tǒng)集成部軟件開發(fā)部技術(shù)服務(wù)部公司所在周邊地理環(huán)境我公司XXXXXXX,處在XXXX主干道上,西面有XXX,東臨XXXXXXX領(lǐng)地居民社區(qū),北面有xxx居民社區(qū)。地處松嫩平原南部,不處在地震帶和沉降帶,地質(zhì)構(gòu)造穩(wěn)定;遠離海邊江河,高于XXXXXXX城區(qū)高點45米,不受洪水、海嘯和臺風威脅;遠離山區(qū),不受山洪和泥石流侵害;區(qū)域內(nèi)無核電站、強污染源及重鹽害。存在風險:公司周邊與否有駐外大使館公司周邊與否存在外資公司公司周邊與否有商業(yè)區(qū)針對風險點的防控方法:我公司位于XXXXXXX路上,周邊不存在駐外大使館、外資公司及商業(yè)區(qū),進出入辦公樓都有收發(fā)人員管理登記。公司內(nèi)部物理環(huán)境XXXXXXX位于XXXXXXX路XX號XXX樓,此樓XXX層為XXXX店有單獨的入口;XXXX樓為辦公樓區(qū),有獨立的入口。一樓大廳有收發(fā)人員登記,并在電梯口處有視頻監(jiān)控系統(tǒng)。在我公司單位門口也有本單位自己的視頻監(jiān)控系統(tǒng)。存在的風險:外來人員隨意進出附近的雙太電子城聚集了多家IT公司,IT公司人員眾多、混雜,對保密信息的安全性造成潛在的安全隱患。針對存在風險點的防控方法:在公司入口處設(shè)立登記處,由專人來負責登記和接待。風險評定的根據(jù)根據(jù)XXXXXXX國家保密局公布的《涉密信息系統(tǒng)集成資質(zhì)保密原則》、BMB17《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)規(guī)定》、BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》、BMB23《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》風險評定的目的保密風險評定是保密工作的重要構(gòu)成部分。保密風險評定要堅持實事求是的原則,進一步調(diào)查研究,全方面掌握保密風險因素及其影響,進而科學分析公司保密工作面臨的形勢、存在的問題,在此基礎(chǔ)上提出切實可行的有關(guān)風險防備控制方法的建議方案。保密風險一詞涉及了兩方面的內(nèi)涵。其一,風險意味著會對公司正常的工作帶來不良影響;其二,這種影響的出現(xiàn)與否是一種不擬定性隨機現(xiàn)象,它可用概率表達出現(xiàn)的可能程度,但不能對出現(xiàn)與否做出擬定性判斷。從而可知,風險因素、風險事故和影響親密有關(guān),它們構(gòu)成了公司保密風險存在與否的基本條件。因此,要真正領(lǐng)悟公司保密風險的本質(zhì),就必須搞清這三個概念及其互相聯(lián)系。風險因素不良影響風險事故引發(fā)造成風險因素不良影響風險事故簡樸概括而言:風險因素引發(fā)風險事故,風險事故造成對公司帶來不良影響。風險評定的方法近幾年來,隨著信息技術(shù)的飛速發(fā)展,當代辦公設(shè)備逐步走進了公司的日常工作,保密工作面臨著一種全新環(huán)境,同時所面臨的保密形勢日益嚴峻。保密風險評定,作為公司開展保密工作的前提,能為單位領(lǐng)導精確把握本單位保密工作所面臨的風險,進行重點防控提供科學根據(jù)。根據(jù)對我司保密狀況的分析,認為我司應(yīng)當重要從加強保密條件建設(shè)方面進一步采用主動有效的方法:進一步加強保密“軟件建設(shè)”。保密條件建設(shè)分為“軟件建設(shè)”和“硬件建設(shè)”兩大類,其中“軟件建設(shè)”是靈魂,“硬件建設(shè)”是基礎(chǔ)。加強保密“軟件建設(shè)”,就是要從根本上進一步強化人員的保密意識,建議有關(guān)部門領(lǐng)導要加強教育,統(tǒng)一思想,通過認真學習《保密法》和《保密法實施條例》,切實開展好保密工作的教育與宣傳。及時傳達貫徹上級保密工作會議精神及保密局文獻精神,按照工作規(guī)定貫徹方法,對重點涉密人員進行經(jīng)常性的保密教育。通過宣傳教育,使涉密人員的保密意識明顯提高,政治責任感進一步增強。同時,要結(jié)合本單位保密工作面臨的實際狀況,進一步完善我司《保密制度》,嚴肅保密工作紀律,發(fā)生失密、泄密,視情節(jié)輕重、危害大小,根據(jù)國家有關(guān)保密規(guī)定予以批評教育或處分。將保密工作列入重要議事日程,從思想教育入手,將保密工作擺在突出位置。努力做到領(lǐng)導不唱“獨角戲”,全員上陣抓保密,及時糾正“關(guān)好門、鎖好柜、封住嘴、管好件”就能萬事大吉的認識偏差,形成人人參加保密的氛圍,努力為本單位的安全保密工作筑牢思想上的“防火墻”。進一步加強信息設(shè)備的安全建設(shè)。隨著信息技術(shù)的發(fā)展,多種高技術(shù)信息設(shè)備不停涌現(xiàn),它們在為員工日常工作、學習、訓練提供便利的同時,也給保密工作帶來了更多挑戰(zhàn)。為此,要進一步加強信息設(shè)備的安全建設(shè),對某些存在較大安全隱患的設(shè)備果斷不能引進使用,使用時要制訂嚴格的使用規(guī)則。另外對本單位的全部辦公計算機、移動存儲介質(zhì)、打印機、復(fù)印機、傳真機、掃描儀等設(shè)備進行了一次全方面、徹底的保密清查,將全部設(shè)備登記入冊,進一步明確使用范疇和負責人,同時對這些信息設(shè)備要進行不定時檢查,將有隱患的設(shè)備及時解決。同時,要制訂必要的防備方法,對網(wǎng)站要進行全天候監(jiān)控,嚴防病毒攻擊與木馬植入,涉密計算機軟件要安裝先進軟件,安裝防輻射、即時殺毒、備份軟件,涉密信息設(shè)備要有防電磁輻射、防內(nèi)置、防失控、防失竊功效。多管齊下、全方位防護,為本單位信息設(shè)備的安全使用開辟一條“綠色通道”。進一步完善保密工作機制。俗話說:“無規(guī)矩不成方圓?!蓖瑯樱颈C芄ぷ饕残枰晟频谋C軝C制來保障。近年來,隨著保密形勢的日益嚴峻,對保密機制提出了更高的規(guī)定。因此,建議單位保密部門領(lǐng)導要加強制度建設(shè),始終把貫徹規(guī)章制度作為抓好保密工作的核心環(huán)節(jié),認真貫徹貫徹《保密法》及有關(guān)保密工作的規(guī)定,從文獻的登記、收發(fā)、傳遞、歸檔、銷毀等各個環(huán)節(jié)都嚴格按照規(guī)范流程,貫徹管理規(guī)定,做到了按制度管人管事。和公司員工訂立保密合同、保密責任書及保密承諾書。用人單位與勞動者能夠在勞動合同中商定保守用人單位的商業(yè)秘密和與知識產(chǎn)權(quán)有關(guān)的保密事項。限于用人單位的高級管理人員、高級技術(shù)人員和其它負有保密義務(wù)的人員。范疇、地區(qū)、期限由用人單位與勞動者商定,不得違反法律、法規(guī)的規(guī)定。面對日益嚴峻的保密形勢,保密風險的控制更為困難。因此,建議保密部門領(lǐng)導要建立良好的保密秩序,有效遏制泄密問題的發(fā)生;要努力做到領(lǐng)導不唱“獨角戲”,全員上陣抓保密,保密工作人人抓,常抓不懈的良好局面;要建立長效機制,有章可循,真查實改。公司領(lǐng)導要帶頭做好保密工作,齊抓共管、綜合治理,要適應(yīng)新規(guī)定、采用新方法,充足認識到新形勢下做好保密工作的重要性和急迫性,進一步做好各項保密工作,努力增進我司的保密工作再上一種新臺階。風險評定涉密人員風險評定可能存在的風險點招聘時人員與否滿足涉密人員規(guī)定;審核時競聘人員與否有過犯罪統(tǒng)計,與否為中國公民;上崗前與否接受過保密知識培訓及考核;與否與公司訂立保密承諾書,保密合同,保密責任書及涉密人員考核評價考表;部門與否按照公司規(guī)定開展保密知識培訓,加強部門涉密人員的保密意識;涉密人員離崗時與否訂立離崗保密承諾書,保密工作領(lǐng)導小組與否對其進行脫密期管理。風險防控方法應(yīng)聘員工應(yīng)滿足公司對涉密人員的聘任原則;上崗必須學習崗位保密業(yè)務(wù),且保密知識考核成績合格;與公司訂立保密合同、保密承諾書、保密責任書;員工所在部門領(lǐng)導確認涉密人員考核評級表內(nèi)容,確認無誤后簽字,同時保密領(lǐng)導小組同意簽字后,評價表交保密工作領(lǐng)導小組存檔,作為該員工作為涉密人員的考核內(nèi)容;保密辦公室應(yīng)在年初做好本年度保密知識培訓計劃及考核計劃,組織涉密人員學習各項保密知識。涉密人員在離崗后,嚴格恪守公司保密制度,與公司訂立離崗保密承諾書,并嚴格恪守公司對離崗人員的脫密期管理。涉密載體風險評定可能存在的風險點紙質(zhì)文獻:涉密文獻、資料與否有專人管理;涉密文獻收發(fā)與否有統(tǒng)計,與否有文獻丟失、泄露;涉密文獻復(fù)印、外借與否有登記,與否在統(tǒng)計中標明使用理由、復(fù)印數(shù)量及使用人簽字;涉密文獻借閱與否有登記統(tǒng)計,與否在統(tǒng)計中標明借閱理由、使用時間、償還時間及借閱人簽字;涉密文獻與否及時歸檔,檔案目錄與否及時更新。電子文獻:與否指派專人對涉密電子文獻進行管理;制作涉密電子文獻時,與否統(tǒng)計使用范疇及制作數(shù)量;與否在非涉密計算機中傳遞涉密電子文獻;在攜帶涉密電子文獻外出時,與否有專人攜帶;涉密電子文獻與否及時歸檔;報廢的涉密電子文獻如何解決。風險防控方法紙質(zhì)文獻全部保密文獻、文檔、材料由涉密辦公室管理員統(tǒng)一管理,統(tǒng)一登記入密碼柜,定時進行清查,避免發(fā)生資料泄露及丟失。嚴禁其別人員隨意翻看保密資料,如有其它保密人員要借閱使用,由涉密辦公室管理員進行登記,寫明借閱時間及借閱理由,并確保不拿出涉密辦公室以外的地方使用。保密材料嚴格按領(lǐng)導同意的份數(shù)印刷,不得私自多印多留,復(fù)印件視同原件管理,復(fù)印過程中產(chǎn)生的廢紙、廢件應(yīng)及時銷毀;在復(fù)印材料之前,需由涉密辦公室管理員登記后進行,標明使用理由、復(fù)印份數(shù);傳遞保密材料要有保密方法,傳遞應(yīng)專人專送,不得辦理無關(guān)事項,密件不得攜入不利于保密的場合;外出工作須攜帶保密材料,要經(jīng)保密工作領(lǐng)導小組同意后進行。對保密資料未經(jīng)許可,不得私自摘抄、翻印、復(fù)印、轉(zhuǎn)借或損壞;一旦造成損失由當事人承當責任。電子文獻:指定專人負責本單位涉密電子文獻的日常管理工作。制作涉密電子文獻,應(yīng)當根據(jù)有關(guān)規(guī)定文獻內(nèi),使用范疇及制作數(shù)量,并編號統(tǒng)計。傳遞涉密電子文獻,應(yīng)當推行登記、簽收等手續(xù)。嚴禁在任何非涉密網(wǎng)絡(luò)上傳遞涉密電子文獻。嚴禁在非涉密機上解決或存儲涉密電子文獻。閱讀、使用、復(fù)制和銷毀涉密電子文獻,應(yīng)經(jīng)保密工作領(lǐng)導小組同意,同時辦理登記、簽字手續(xù)。復(fù)制的電子文獻視同原件管理。定時對涉密電子文獻及載體進行清查、核對,發(fā)現(xiàn)問題及時向保密工作領(lǐng)導小組報告。涉密設(shè)備風險評定可能存在的風險點涉密計算機與否有違規(guī)操作;涉密計算機端口與否插過其它存儲介質(zhì);涉密計算機與否配備三合一防護系統(tǒng);辦公室自動化設(shè)備與否外借使用;涉密計算機及辦公室自動化設(shè)備維修、更換、報廢如何管理。風險防控方法涉密計算機安裝了通軟主機監(jiān)控與審計系統(tǒng)V6.0軟件進行端口審計;涉密計算機安裝了360殺毒軟件,由專人進行病毒軟件更新,更新周期不超出15天;每臺涉密計算機都配備了三合一防護系統(tǒng),嚴格控制了計算機內(nèi)涉密信息的流失;涉密計算機配備了10位數(shù)以上的密碼,由專人統(tǒng)一管理、記載;辦公室自動化設(shè)備均為涉密辦公室解決涉密項目專用,不得外借使用;涉密計算機及辦公室自動化設(shè)備由保密工作領(lǐng)導小組確認專人使用,機器明確標記使用人姓名并登記入冊;使用人發(fā)生變化時,報保密工作領(lǐng)導小組審核,審核通過后進行變更;涉密計算機及辦公室自動化設(shè)備(打印機、刻錄機)維修、更換、報廢由涉密辦公室管理員負責,做好有關(guān)登記;維修應(yīng)由保密領(lǐng)導小組同意后進行;涉密計算機維修應(yīng)到XXXXXXX保密局指定的地點維修,維修前應(yīng)卸下硬盤等敏感部件;維修后應(yīng)進行安全檢測后方可使用;更換涉密計算機應(yīng)事先提交涉密設(shè)備變更申請表,寫明更換因素,經(jīng)保密工作領(lǐng)導小組同意后進行。在更換涉密計算機前應(yīng)卸下硬盤,卸下的硬盤不得在非涉密計算機上使用,硬盤交由涉密辦公室保密管理員登記備;硬盤留存于保密辦公室,不得使用、外借;涉密計算機報廢不得當作廢品出售,在申請報廢后先到涉密辦公室保密管理員處登記,卸下硬盤并由專人上交XXXXXXX國家保密局工作部門進行集中銷毀解決,報廢涉密計算機應(yīng)報XXXXXXX國家保密局備案。涉密場合風險評定可能存在的風險點涉密辦公室內(nèi)與否存在網(wǎng)絡(luò)端口;非涉密人員進出涉密辦公室與否有統(tǒng)計;涉密辦公室與否按照XXXXXXX國家保密局規(guī)定配備了門禁系統(tǒng)、防盜報警系統(tǒng)、視頻監(jiān)控系統(tǒng);涉密人員進出涉密辦公室時與否攜帶相機,手機,錄音筆等其它可存儲介質(zhì)。風險防控方法由安全保密管理員定時檢涉密辦公室的門禁、防盜報警、監(jiān)控等設(shè)備的完好狀態(tài),確保保密材料安全。非授權(quán)人員進出入涉密場合,須經(jīng)公司保密領(lǐng)導小組審批并由授權(quán)人員進行陪伴方可進入,同時建立涉密場合非授權(quán)人員進入登記冊,對臨時進出的人員統(tǒng)計登記;標明進出入時間及事由。建立視頻監(jiān)控的管理檢查機制,公司的安全保衛(wèi)部門應(yīng)當定時對視頻監(jiān)控信息進行回看檢查,保密辦公室應(yīng)當對執(zhí)行狀況進行監(jiān)督。視頻監(jiān)控信息保存時間不少于3個月。未經(jīng)同意,不得將含有錄音、錄像、拍照、存儲、通信功效的設(shè)備帶入涉密辦公室。涉密項目風險評定招投標風險評定可能存在的風險點投標小構(gòu)組員與否為涉密人員,與否有保密意識;與否有泄露標底的狀況;與否做好投標文獻的保密狀況;與否做好資格預(yù)審時投標人的保密以及現(xiàn)場踏勘中標人的保密狀況;評標機構(gòu)與否做好保密工作。風險防控方法投標小構(gòu)組員必須為涉密人員,必須與公司訂立保密合同,保密承諾書及保密責任書后方可進入小組。標底作為評標的重要根據(jù),是工程招標保密工作的重中之重,標底如果泄露可能會造成工程招標成本的提高。因此,投標小組應(yīng)加強對標書的保密管理,涉及記載標底的文獻不能隨意擺放,應(yīng)視同保密材料同樣保管于涉密辦公室。投標文獻是投標人的商業(yè)秘密。既然投標人信任招標代理機構(gòu),招標代理機構(gòu)也應(yīng)把投標人遞交的投標文獻保存好。因此,招標代理機構(gòu)有義務(wù)對投標文獻進行保密,以避免投標人遭受損失。由專人負責對投標文獻的管理,沒有保密工作領(lǐng)導小組領(lǐng)導的允許,除投標小構(gòu)組員外,其別人員不得翻閱投標文獻。對每一種投標單位的資格預(yù)審應(yīng)當單獨進行。資格預(yù)審結(jié)束后,招標人應(yīng)當對資格預(yù)審合格的單位名單予以保密,并以書面或電話的方式單獨告知每一種報名單位其與否通過資格預(yù)審。招標人根據(jù)工程招標項目的具體狀況,能夠組織潛在投標人踏勘項日現(xiàn)場。由于保密問題的存在,招標人不能同時組織全部潛在投標人進行現(xiàn)場踏勘。招標人能夠制訂現(xiàn)場踏勘的時間安排表,然后分別組織潛在投標人進行踏勘。設(shè)計方案風險評定可能存在的風險點設(shè)計人員與否為涉密人員,與否有保密意識;涉密人員素質(zhì)與否良好,與否會泄露設(shè)計方案;辦公環(huán)境與否滿足涉密資質(zhì)原則規(guī)定;使用設(shè)備與否為涉密設(shè)備,與否滿足原則;與否在非涉密計算機上傳遞涉密項目信息。風險防控方法在整個設(shè)計過程中,應(yīng)擬定領(lǐng)導小組組織構(gòu)造,嚴格按照班構(gòu)組員劃分崗位職責,嚴謹杜絕濫用職權(quán)、擅離職守、推卸責任等狀況的出現(xiàn)。加強領(lǐng)導保密意識培訓,起好帶頭表率作用。在設(shè)計過程中保密意識應(yīng)隨時體現(xiàn)在工作中,從現(xiàn)場的勘察、資料的整頓、匯總、后期資料的加工、方案的修改、資料的傳輸、最后方案的保存等都應(yīng)當時刻提高保密意識,加強保密管理。方案設(shè)計小構(gòu)組員必須通過嚴格篩選,參加保密培訓及考核合格后方能上崗。在工作中時刻注意警惕自己是涉密人員,增強保密意識。在設(shè)計過程中對現(xiàn)在勘察時對周邊環(huán)境應(yīng)認真查找風險點,避免一切安全隱患的發(fā)生,不滿足規(guī)定的及時整治。后期資料整合。方案編寫都應(yīng)當在涉密辦公室進行,避免涉密信息外漏。方案設(shè)計過程中所應(yīng)用到的全部設(shè)備設(shè)施必須為涉密專用設(shè)備、杜絕涉密設(shè)備與非涉密設(shè)備混用。涉密信息存儲設(shè)備必須隨身攜帶,方案編寫必須在涉密辦公室內(nèi)進行,如要將涉密文獻等信息帶出涉密辦公室必須嚴格按照保密管理制度執(zhí)行,保密領(lǐng)導小組組長同意方可。必須在涉密計算機上解決涉密項目,不允許在非涉密計算機上解決或傳遞涉密項目信息。也不允許將涉密信息通過任何方式拷貝、復(fù)印拿出涉密辦公室。系統(tǒng)集成過程風險評定分保方案使用風險評定可能存在的風險點在現(xiàn)場使用時,信息與否產(chǎn)生泄露;涉密人員與否將圖紙寄存與別人手里或放在施工現(xiàn)場,造成項目設(shè)計方案泄露。風險控制方法加強涉密人員保密意識;涉密項現(xiàn)在期設(shè)計需由專人在涉密計算機上進行編寫,并用光盤進行信息存儲,并由委托方指定人員進行交接。不得將光盤存于別人手中或施工現(xiàn)場。嚴禁使用外網(wǎng)計算機查詢?nèi)魏紊婷茼椖啃畔ⅲ婷茼椖糠桨傅闹朴喚鶓?yīng)在涉密辦公室內(nèi)的涉密計算機上進行編寫。設(shè)備采購風險評定可能存在的風險點工程建設(shè)周期造成從投標到采購的周期過長,存在供應(yīng)商庫存風險和技術(shù)偏離風險;市場信息不夠完全、充足、透明,供應(yīng)商在一定范疇內(nèi)能影響價格;設(shè)備采購過程中,供應(yīng)商泄露項目信息。風險控制方法工程建設(shè)周期造成從投標到采購的周期過長,存在供應(yīng)商庫存風險和技術(shù)偏離風險,可從三方面進行規(guī)避:首先可建立供應(yīng)商預(yù)警機制,對價格、庫存、技術(shù)等風險出現(xiàn)邁進行供方預(yù)警;首先,對于項現(xiàn)在期設(shè)備的選型,應(yīng)考慮項目建設(shè)周期因素,應(yīng)避免選擇市場壽命短的產(chǎn)品;另首先,應(yīng)在訂立項目合同時,對于設(shè)備的更新?lián)Q代條款,應(yīng)進行明示。加大市場信息獲取力度,使市場信息精確而全方面,從而確保市場分析、成本分析等數(shù)據(jù)的可靠性;根據(jù)合用原則選擇供應(yīng)商并改善與供應(yīng)商的關(guān)系,避免成為強勢供應(yīng)商價格聯(lián)盟的受害者。涉密項目的設(shè)備采購應(yīng)單獨采購,由涉密業(yè)務(wù)管理小組下的設(shè)備采購小組組長設(shè)立專人,不與其它項目的設(shè)備一起采購,與供應(yīng)商訂立保密承諾書,并承諾不泄露項目信息、設(shè)備價格?,F(xiàn)場實施風險評定可能存在的風險點合同及各項審核工作時間太長,造成項目信息泄露;在施工過程中有涉密人員離職或調(diào)崗,造成涉密信息泄露;施工現(xiàn)場環(huán)境與否滿足涉密項目環(huán)境規(guī)定; 現(xiàn)場施工時,與否有除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場;設(shè)備安裝調(diào)試時,與否通過非涉密計算機進行操作。風險防控方法涉密項目簽定的涉密合同必須由專職涉密人員進行登記、歸檔,寄存于涉密辦公室內(nèi)的密碼文獻柜內(nèi)。調(diào)崗或離職的涉密人員必須進行脫密期解決,并訂立涉密人員離崗保密承諾書。不得在脫密期間出國或在外資公司工作。施工現(xiàn)場周邊不允許有大使館、外資公司等;如有請做好保密防護方法,如:安裝視頻監(jiān)控系統(tǒng)、防盜報警系統(tǒng)等。加強施工現(xiàn)場保密環(huán)境?,F(xiàn)場施工時,不允許除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場。除保密工作領(lǐng)導小組指定人員外,其別人員不得進入施工現(xiàn)場。調(diào)試設(shè)備時,必須用涉密計算機進行調(diào)試,不得用非涉密計算機進行。避免通過非涉密計算機傳遞涉密信息,造成涉密項目信息泄露。審查驗收風險評定可能存在的風險點審查驗收人員與否為涉密人員,與否是保密工作領(lǐng)導小組指定;審查驗收統(tǒng)計與否是由專人負責保管,與否產(chǎn)生統(tǒng)計丟失、泄露;對顧客進行設(shè)備使用培訓,但顧客保密意識不強,無意間泄露保密信息。風險防控方法審查驗收人員必須為涉密人員,必須由保密工作領(lǐng)導小組下的運行維護小組組長指派專人驗收。審查驗收統(tǒng)計由專人攜帶,帶回公司后交于涉密辦公室管理員處登記備案,寄存于密碼柜中。在審查驗收時,應(yīng)對顧客進行有關(guān)保密知識培訓。項目材料移交風險評定可能存在的風險點項目材料移交時與否是在保密環(huán)境下進行,統(tǒng)計與否齊全;接受材料人員與否是涉密人員,與否由保密工作領(lǐng)導小組指定;接受材料人員與否攜帶材料出入公共場合,造成信息泄露。風險防控方法移交材料時,需在保密環(huán)境下進行,檢查驗收統(tǒng)計與否齊全,不能有統(tǒng)計不完整,不能在公共場合下進行。由專人進行材料交接,并將材料封存于檔案袋中。接受材料的人員必須是由保密工作領(lǐng)導小組指定的人。接受材料后,必須立即攜帶資料返回公司,不得在公共場合逗留,避免發(fā)生資料丟失,產(chǎn)生資料泄密。運行維護風險評定可能存在的風險點后期運行維護的人員與否是涉密人員,與否明確涉密人員的職責,與否有保密意識;在對設(shè)備維護時,與否使用非涉密計算機進行操作;運行維護人員與否在交談中泄露涉密信息;維護統(tǒng)計與否保存好,與否產(chǎn)生統(tǒng)計丟失、泄露。風險防控方法運行維護人員必須是涉密人員,要有保密意識。在上崗前與否參加涉密人員培訓,與否與公司訂立保密合同、保密責任書及保密承諾書。運行維護人員需由保密工作領(lǐng)導小組指定,統(tǒng)計需要專人保存并帶回公司,交于涉密辦公室保密管理員處,登記存于密碼文獻柜中。運行維護人員在維護設(shè)備時,有關(guān)信息一定要在涉密計算機中解決。運行維護人員要有保密意識,時刻警惕自己為涉密人員。不泄露任何項目信息。項目流程圖1業(yè)務(wù)方提出項目需求售1業(yè)務(wù)方提出項目需求風險點:參加風險點:參加者與否對項目的底進行保密,與否對工程項目投標狀況進行保密風險點:風險點:資格預(yù)審時潛在投標人與否保密以及現(xiàn)場踏勘中標人與否有保密2根據(jù)項目需求安排對應(yīng)工程師響應(yīng)需求,配合業(yè)務(wù)部門的工作(參加者均為涉密人員)風險點:項目現(xiàn)場周邊環(huán)境存在商業(yè)區(qū)、大使館等危險點3風險點:項目現(xiàn)場周邊環(huán)境存在商業(yè)區(qū)、大使館等危險點3與否需要對客戶進行現(xiàn)場服務(wù)(現(xiàn)場勘察)是否3.1現(xiàn)場勘察,3.1現(xiàn)場勘察,統(tǒng)計客戶需求,填寫(調(diào)查報告)3.2由銷售方提供(客戶需求報告)風險點:涉密項現(xiàn)在風險點:涉密項現(xiàn)在期設(shè)計階段,項目信息泄露44匯總?cè)康捻椖繑?shù)據(jù),開會對項目狀況進行討論,判斷項目可行性風險點:設(shè)計人員保密意識風險、人員素質(zhì)能力風險、工作方式風險5風險點:設(shè)計人員保密意識風險、人員素質(zhì)能力風險、工作方式風險5進行解決方案的設(shè)計與制作風險點:與否風險點:與否做好投標方案的保密66對方案可行性進行,根據(jù)標書確認方案6.1總經(jīng)理進行最后確認6.1總經(jīng)理進行最后確認風險點:內(nèi)外網(wǎng)計算機風險點:內(nèi)外網(wǎng)計算機混用造成涉密項目信息及技術(shù)文獻通過外網(wǎng)計算機產(chǎn)生泄露7制訂(技術(shù)方案、施工預(yù)算總表)7.1總經(jīng)理進行最后確認7.1總經(jīng)理進行最后確認88提交設(shè)計方案書給業(yè)務(wù)銷售部門風險點:涉密風險點:涉密合同書信息泄露8.1對甲方技術(shù)問題進行現(xiàn)場解答8.1對甲方技術(shù)問題進行現(xiàn)場解答9簽定合同書9簽定合同書1010根據(jù)項目施工方案確立項目施工組織計劃表,并提交技術(shù)中心負責人進行審核10.1總經(jīng)理進行最后確認10.1總經(jīng)理進行最后確認1111進入項目實施階段12開項目準備大會討論并12開項目準備大會討論并貫徹項目的各項細節(jié),明確分工、職責,并出具各項計劃、圖表項目臺賬(項目出、入庫單)(項目計劃總表)(項目工程進度表)1313根據(jù)項目大會的討論成果,項目實施部門開項目實施前準備會,明確施工人員,進行施工計劃、施工方案等技術(shù)交底工作,做好施工前準備(全部涉密人員持證上崗)風險點風險點:設(shè)備采購時與否產(chǎn)生涉密信息泄露風險點:風險點:供應(yīng)商與否泄密1414進入甲方施工現(xiàn)場,安排休息區(qū)與庫房,做好各項施工準備工作,涉及外包施工人員分組,工作安排等工作。材料設(shè)備收貨。風險點:在施工過程中有涉密人員離職或調(diào)崗風險點:在施工過程中有涉密人員離職或調(diào)崗,造成涉密信息泄露1515開始進行項目的施工,根據(jù)分組狀況,各分項目負責人監(jiān)督施工,并將發(fā)現(xiàn)的問題及時上報項目經(jīng)理1616項目經(jīng)理在工程施工過程中對各分段項目的各個環(huán)節(jié)進行抽查,及時發(fā)現(xiàn)問題并現(xiàn)場提供指導17各分段項目結(jié)束后分段項目負責人提供階段工程竣工報告,項目經(jīng)理安排進行下一階段施工17各分段項目結(jié)束后分段項目負責人提供階段工程竣工報告,項目經(jīng)理安排進行下一階段施工1818全部項目完畢后,各分段負責人提供安裝文檔,整頓場地衛(wèi)生,檢查合格后施工人員與部分技術(shù)人員離場,設(shè)備安裝調(diào)試人員進場,開始設(shè)備的安裝調(diào)試風險點:審核風險點:審核驗收人員與否保密,與否為涉密人員,驗收統(tǒng)計與否丟失,泄露。1919測試:根據(jù)涉密信息集成圖紙進行測試,并向項目經(jīng)理報告測試成果。項目經(jīng)理抽查測試成果,并簽字項目經(jīng)理抽查測試成果,并簽字20設(shè)備安裝調(diào)試,填寫設(shè)備安裝報告,并提供技術(shù)文檔(待后來交付于乙方)風險點:審查風險點:審查驗收統(tǒng)計與否是由專人負責保管,與否產(chǎn)生統(tǒng)計丟失、泄露。風險點:審查驗收人員與否為涉密人員,與否是保密工作領(lǐng)導小組指定。2121項目經(jīng)理組織,個分項目負責人參加對整個項目進行內(nèi)部總驗收2222提前一天告知甲方并且陪伴甲方項目負責人對整個工程項目進行總驗收,技術(shù)人員演示各項功效。驗收完畢項目經(jīng)理部分技術(shù)人員離場2323項目交接技術(shù)人員向甲方技術(shù)負責人員進行項目交接,提交多種技術(shù)文檔,并進行對應(yīng)技術(shù)培訓后離場風險點風險點:業(yè)主方交接人員未進行涉密培訓,造成涉密項目信息泄露2424項目實施流程完畢,建立客戶服務(wù)檔案風險點:后期運行維護的人員與否是涉密人員,風險點:后期運行維護的人員與否是涉密人員,與否明確涉密人員的職責,與否有保密意識。25業(yè)務(wù)和銷售代表根據(jù)客戶規(guī)定,提出客戶服務(wù)申請2626根據(jù)故障類型,指派有關(guān)技術(shù)人員受理服務(wù)風險點:維保風險點:維保統(tǒng)計與否保存好,與否產(chǎn)生統(tǒng)計丟失、泄露。27技術(shù)工程師根據(jù)客戶檔案與故障現(xiàn)象與甲方進行聯(lián)系風險點風險點:運行維護人員與否在交談中泄露涉密信息28進行電話故障的分析與排除28進行電話故障的分析與排除28.1排除風險點:運維服務(wù)人員與否產(chǎn)生信息泄露28風險點:運維服務(wù)人員與否產(chǎn)生信息泄露28.2未排除服務(wù)人員填寫出差申請單,申請到場服務(wù)填寫客戶服務(wù)報告,注明故障現(xiàn)象服務(wù)人員填寫出差申請單,申請到場服務(wù)填寫客戶服務(wù)報告,注明故障現(xiàn)象29銷售代表,總經(jīng)理簽字同意出差服務(wù)29銷售代表,總經(jīng)理簽字同意出差服務(wù)30.2未排除3030.2未排除30.1排除30服務(wù)工程師達成顧客現(xiàn)場進行故障排除31問題排除后,請客戶在服務(wù)報告單上簽字確認,服務(wù)工程師回公司31問題排除后,請客戶在服務(wù)報告單上簽字確認,服務(wù)工程師回公司向技術(shù)經(jīng)理報告現(xiàn)場狀況,總經(jīng)理安排解決33技術(shù)人員憑服務(wù)單報銷出差的各項費用,將服務(wù)單歸檔,服務(wù)結(jié)束33技術(shù)人員憑服務(wù)單報銷出差的各項費用,將服務(wù)單歸檔,服務(wù)結(jié)束32到公司后服務(wù)人員找總經(jīng)理簽字,確認服務(wù)完畢持續(xù)性改善機制時代在不停進步,生產(chǎn)方式在不停更改,多種方法的密保與安全性都在經(jīng)受考驗。隨著信息化的進一步發(fā)展,涉密集成資質(zhì)單位對涉密信息系統(tǒng)安全保密的認識也逐步提高,其安全問題日益突出,與生產(chǎn)業(yè)務(wù)的保密資格原則有關(guān)的規(guī)定和操作方式,對涉密集成資質(zhì)單位安全保密方略提出了進一步規(guī)定。因此,制訂具體的安全保密方略成為現(xiàn)在安全生產(chǎn)業(yè)務(wù)保密管理的重點,因時制宜的改善與解決,顯得更為重要。我們必須與時俱進,制訂對應(yīng)的方針與方略來應(yīng)對時代的進步,這就是為什么安全保密管理是一種不停完善,不停改善的過程,沒有終點。由健全的網(wǎng)絡(luò)與信息安全保障方法,到對涉密生產(chǎn)的安全保障方法、信息安全保密管理制度、顧客信息安全管理制度做一種有力保護屏障。在我國高度重視涉密集成資質(zhì)單位生產(chǎn)業(yè)務(wù)的安全密保的同時,又規(guī)定參加生產(chǎn)效率與利要最大化。針對集成單位的項目實施在安全保密管理方面進行持續(xù)改善意義重大。持續(xù)改善的意義持續(xù)改善是一種組織本身生存和發(fā)展的需要,是組織的一種永恒目的。就外部環(huán)境而言.任何事物都是在不停發(fā)展的,同人們對產(chǎn)品需求的變化是同樣。持續(xù)改善有助于提高生產(chǎn)業(yè)務(wù)的安全性。從網(wǎng)絡(luò),系統(tǒng),應(yīng)用運行管理、系統(tǒng)冗余等角度綜合分析,采用先進的安全技術(shù),對如防火墻、加密技術(shù)、數(shù)據(jù)清查等為網(wǎng)站提供系統(tǒng)防御的安全體系,能夠有效地避免外來數(shù)據(jù)對本身系統(tǒng)攻擊破壞與入侵。集成單位的項目實施在安全保密管理方面為公司單位的命脈,我們將在盡量減少投資,節(jié)省可運用資源的條件下,從系統(tǒng)構(gòu)造、網(wǎng)絡(luò)構(gòu)造、技術(shù)方法、設(shè)施選型等方面綜合考慮,以盡量減少系統(tǒng)中的單故障節(jié)點出現(xiàn)率與單位電子系統(tǒng)被入侵率,經(jīng)由網(wǎng)絡(luò)服務(wù)器實現(xiàn)24小時的不間斷服務(wù),從而達成使生產(chǎn)過程中實現(xiàn)安全與效率最大化。如何進行持續(xù)改善電子政務(wù)信息系統(tǒng)的使用隨著計算機信息技術(shù)的飛速發(fā)展,電子政務(wù)信息系統(tǒng)在企事業(yè)單位和政府機關(guān)實際工作中已經(jīng)發(fā)揮了越來越重要的作用。電子政務(wù)信息系統(tǒng)涉及對公司和國家秘密信息和高敏感度核心的保護,涉及經(jīng)濟安全、商業(yè)秘密、公共秩序和行政監(jiān)管的精確實施,涉及為杜會提供公共服務(wù)的質(zhì)量確保。本系統(tǒng)中的軟硬件平臺建設(shè)、應(yīng)用系統(tǒng)的設(shè)計開發(fā)以及系統(tǒng)的維護管理所采用的產(chǎn)品技術(shù)均綜合考慮當今互聯(lián)網(wǎng)發(fā)展趨勢,采用相對先進同時市場相對成熟的產(chǎn)品技術(shù),以滿足將來熱點網(wǎng)站的發(fā)展需求。既彰顯業(yè)務(wù)開放的優(yōu)良性,又兼?zhèn)鋵ι婷鼙C艿母叨燃夹g(shù)規(guī)定。安全運行系統(tǒng)的使用從安全法規(guī),安全原則,安全機構(gòu),安全介質(zhì)管理、安生人員管理、安全文檔管理、安全場地管理等方面進行設(shè)計.在保密生產(chǎn)業(yè)務(wù)的過程中,對信息安全進行管理的安全組織構(gòu)造,制訂信息系統(tǒng)安全方略,制訂對應(yīng)的人員安全管理及物理安全管理的多種規(guī)章制度,為信息安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論