秘密载体许可证保密风险评估报告

＃＃＃＃＃＃＃有限公司保密风险评估报告

＃＃＃＃＃＃＃有限公司

2015年11月

保密风险评估报告

一、做好保密风险评估的重要性

我公司是专门的＃＃企业，所以，保密工作是重中之重。

众所周知，国家秘密一旦泄露，后果不堪设想。为切实有效地保护国家秘密．必须事先做好保密风险评估报告，让保密工作有的放矢。

随着现代科学技术的发展，信息化程度越来越高，保密工作已成为企业的中心工作之一。在信息化条件下，保密工作既是一项复杂的系统工程，同时也是关系到企业的正常工作是否能够顺利进行的重要因素。

保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。

二、首先肯定已有的优良保密措施，并提示要更加自觉地做实做细，发扬光大。

在我公司，秘密载体生产场所实行全封闭管理，设置特营原辅料仓库、生产工序、检验包装区、成品仓库、废残次品仓库，共五个独立的工作部门。成立专门的保密管理领导小组（简称保密组）。有关秘密载体的印制工作：包括排版、制版、印刷、检验、包装入库均在封闭的生产场所内进行，使用全国统一的票据防伪专用品，各工序均由保密管理领导小组指定专人负责。

1、公司专设保密印刷车间及保密室。涉及保密的印刷资料由保密印刷车间专门承印，并由保密组指定印刷人员专门负责，其他人员未经允许不得入内。

2、保密室具备防盗、防火、防潮、防鼠功能；配备防盗门、窗；配备双锁、密码锁铁柜，用于存放保密资料。

3、承接印刷国家秘密载体业务时应由专职业务人员按照规定统一编号登记。不准随便互相转手，不准随便抄录或翻印秘密以上文件。

4、凡秘密业务，实行数字化管理，生产部下达红票。秘密印刷业务的原稿、样张、打样纸必须数字准确，不得乱放或遗失。如果在生产过程中发现数字缺少，要及时查找并查明原因，同时立即向公司保卫部门报告。在找到丢失品前，有关人员不得离开工作场地，若一时无法找到，须经领导批准后方可离开。

5、保密车间、库房在下班前，必须将门室关好锁好，下班后一般不准随便打开工房门。

6、工作在保密岗位上的人员是工作的需要、单位的重托，在一定时间一定范围内知悉的保密事项，只能用于生产，不能向外泄露，不得对外从事技术服务。必须妥善保管生产工艺、生产记录及其他各种保密资料，不得丢失泄密，不在报刊杂志上报道保密事项，不得把秘密资料传送到QQ空间、微信朋友圈或微博等。

7、职工调离工厂或调岗，应将自己保管的保密资料上交，不得带走或留存。公司可以对其U盘等存储介质进行检查。

8、为进一步贯彻落实涉密岗位责任制度，公司正在与涉密员工磋商签订《保密协议》。

9、公司已经召开保密工作会议，对进一步开展保密工作做出全面部署，已经形成《会议纪要》。

10、设计室是保密要害部门。计算机系统由专人管理，配备好防范设施，涉密文件的打印需用专用磁盘由专人负责。

11、特营原辅材料的采购，必须根据委托合同，由业务部门按采购计划，报总经理及保密组确认后，下达给采购、仓库、财务等部门执行，以便对特营原辅材料进行监管。

12、特营原辅材料存放于专用仓库，有专职仓管员进行日常管理，落实防盗、防火等安全措施，确保物资安全。

13、公司设立专门的成品仓库，配置专职保管员，要求成品仓库的账簿应记录完整，详细真实，并妥善保管。

14、建立健全秘密载体残次品的管理制度，由专职管理员对废残次品的品种、数量、质量、发生工序及原因等资料做好真实详细的记录，存档保管。

15、建立健全监控设施运行记录，对监控记录资料进行妥善保管和存档。

16、监控室由专人管理，其他任何人未经允许不得进入。

17、监控室专管人员不得擅离岗位，更不得使用监控设施进行游戏、娱乐等活动。

18、监控室专管人员要密切观察各布防区域的情况，如发现异常，必须及时汇报。

19、一切从事秘密载体印制的员工应无犯罪记录，品德作风正派，并必须如实向人事部门申报本人及家庭详细情况，并交验有关的合法证件。

三、存在的风险因素

（一）保密工作团队上的问题；

1 、领导保密意识尚不够敏感；

2 、保密教育不经常、保密知识缺乏；

3、保密组织的任务分工不明、对保密形势的估计不准确；

4、专项检查不到位、安全隐患排查不彻底；

5、保密员队伍建设还须加强；

6、工作思路缺乏创新、工作缺乏协同合作。

（二）保密工作环境上的问题：

1、可能在设备设施上泄密；

2、可能在计算机系统上泄密；

3、可能在生产及学习训练过程中泄密；

4、职工跳槽频繁；

5、在物流中泄密风险较大。

四、对主要泄密事故的分析评估

如果企业的核心资料外传，甚至落入竞争对手手中，则企业很可能在竞争中失败。所以，保证企业的核心资料不被泄露是保证企业在竞争激烈市场立足之本。

对于企业重要数据泄密的途径，可以归纳为七点：（1）笔记本电脑等移动终端遗失或失窃；（2）跨部门或跨计算机的数据转移以及外来计算机非法侵入；（3）存储介质随意使用；（4）网络外发程序，如发送电子邮件、QQ信息、微信等；（5）打印、复印以及光盘刻录；（6）数据非法二次转播；（7）OA等移动办公终端对于办公系统的接入。

所以，要有的放矢地开展保密工作，堵塞泄密途径。

五、进一步加强保密工作的措施

近几年来，随着信息技术的飞速发展，现代办公设备逐渐走进了企业的日常工作，保密工作面临着一种全新环境；保密工作面临的形势日益严峻。

保密风险评估，作为企业开展保密工作的前提，能为单位领导准确把握本单位保密工作所面临的风险，进行重点防控提供科学依据。

根据对本公司保密状况的分析，认为本公司应当主要从加强保密条件建设方面进一步采取积极有效的措施：

1、进一步加强保密“软件建设”。保密条件建设分为“软件建设”和“硬件建设”两大类，其中“软件建设”是灵魂，“硬件建设”是基础。加强保密“软件建设”，就是要从根本上进一步强化人员的保密意识，建议有关部门领导要加强教育，统一思想，通过认真学习《保密法》和《保密法实施条例》，切实开展好保密工作的教育与宣传。及时传达贯彻上级保密工作会议精神及保密局文件精神，按照工作要求落实措施，对重点涉密人员进行经常性的保密教育。通过宣传教育，使所属人员的保密意识明显提高，政治责任感进一步增强。同时，要结合本单位保密工作面临的实际情况，进一步完善本公司《保密制度》，严肃保密工作纪律，发生失密、泄密，视情节轻重、危害大小，依据国家有关保密规定给予批评教育或处分。将保密工作列入重要议事日程，确立“保密工作无小事”的思想理念，从思想教育入手，将保密工作摆在突出位置。努力做到领导不唱“独角戏”,全员上阵抓保密，及时纠正“关好门、锁好柜、封住嘴、管好件”就能万事大吉的认识偏差，形成人人参与保密的氛围，努力为本单位的安全保密工作筑牢思想上的“防火墙”。

2、进一步加强信息设备的安全建设。随着信息技术的发展，各种高技术信息设备不断涌现，它们在为员工日常工作、学习、训练提供便利的同时，也给保密工作带来了更多挑战。为此，要进一步加强信息设备的安全建设，对一些存在较大安全隐患的设备坚决不能引进

使用，使用时要制定严格的使用规则。另外，建议对本单位的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、彻底的保密清查，将所有设备登记入册，进一步明确使用范围和责任人，同时对这些信息设备要进行不定时检查，将有隐患的设备及时处理。同时，要制定必要的防范措施，对网站要进行全天候监控，严防病毒攻击与木马植入，涉密计算机软件要安装先进软件，安装防辐射、即时杀毒、备份软件，涉密信息设备要有防电磁辐射、防内置、防失控、防失窃功能。多管齐下、全方位防护，为本单位信息设备的安全使用开辟一条“绿色通道”。

3、进一步完善保密工作机制。俗话说：“无规矩不成方圆。”同样，企业保密工作也需要完善的保密机制来保障。近年来，随着保密形势的日益严峻，对保密机制提出了更高的要求。所以，建议单位保密部门领导要加强制度建设，始终把落实规章制度作为抓好保密工作的关键环节，认真贯彻落实《保密法》及有关保密工作的规定，从文件的登记、收发、传递、归档、销毁等各个环节都严格按照规范流程，落实管理规定，做到了按制度管人管事。

4、在劳动合同中约定员工保密义务和竞业限制。根据《劳动合同法》第23条、第24条的规定，用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。竞业限制的人员限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。竞业限制的范围、地域、期限由用人单位与劳动者约定，竞业限制的约定不得违反法律、法规的规定。

面对日益严峻的保密形势，保密风险的控制更为困难。所以，建议保密部门领导要建立良好的保密秩序，有效遏制泄密问题的发生；要努力做到领导不唱“独角戏”,全员上阵抓保密，保密工作人人抓，常抓不懈的良好局面；要建立长效机制，有章可循，真查实改。公司领导要带头做好保密工作，齐抓共管、综合治理，要适应新要求、采取新措施，充分认识到新形势下做好保密工作的重要性和紧迫性，进一步做好各项保密工作，努力促进本公司的保密工作再上一个新台阶。

＃＃＃＃＃＃＃有限公司

二0一五年十一月二十日

保密风险评估报告

保密风险评估报告 XXXXX开发有限公司 XXXX年1月9日

目录 1.概述 (4) 1.1背景 (4) 1.2风险评估的依据 (6) 1.3风险评估的目的 (6) 1.4风险评估的措施 (7) 2.风险评估 (10) 2.1涉密人员风险评估 (10) 2.2涉密载体风险评估 (11) 2.3涉密设备风险评估 (13) 2.4涉密场所风险评估 (14) 2.5涉密项目风险评估 (15) 2.5.1招投标风险评估 (15) 2.5.2设计方案风险评估 (16) 2.5.3系统集成过程风险评估 (17) 2.5.3.1分保方案使用风险评估 (18) 2.5.3.2设备采购风险评估 (18) 2.5.3.3现场实施风险评估 (19) 2.5.3.4审查验收风险评估 (20) 2.5.3.5项目材料移交风险评估 (20) 2.5.3.6运行维护风险评估 (21) 2.5.3.7项目流程图 (22)

3.持续性改进机制 (26) 4.风险评估小结 (30)

1.概述 1.1背景 ●公司发展历史及现状 XXXXXXX于XXXXXXX年4月20日注册成立，注册地址位于XXXXXX，注册资金XXX万元，公司员工XXX人。公司成立初期主要业务范围是以XXXXXXX。 为了公司发展需要，注册资金经过多次变更，由最初的XXXX万元增资到XXXX万人民币。公司也在此期间取得了本行业相关的资质：ISO9001：2000质量体系认证;信息系统集成三级资质和公共安全技术防范壹级资质，并且是中央政府采购网的协议供货商及合格的竞价谈判供应商，并具备XXXXXXX政府及XXXXXXX政府的供应商资格，还是XXXXXXX 集团和XXXXXXX集团的合法供应商。目前公司现经营地址为XXXXXXX，拥有办公场地XXXX多平方米，客户遍及政府，金融及保险，能源，军队等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持,以系统集成,软件开发，网络维护及集成，音视频会议集成，监控设计及安装调试,应用开发与服务为主的综合性IT企业。公司近三年系统集成项目金额达XXXXX万元。 ●公司人员组织结构 公司注重团队建设和人才的培养，现拥有员工XXXX人，全体员工80.4.%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书，并且也取得国际认证的软、硬件工程师证书及各

新版保密风险评估.pdf

风 险 评 估 报 告 XXXXX有限公司201xx年xx月

1 概述 针对公司主要业务流程进行风险评估，其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。 2 评估目的 通过人员访谈、文档审查和实地察看相结合的方式查找公司 信息系统软件开发主要业务流程的薄弱环节和安全隐患，分析可能面临的风险，为保密风险防控措施的落实提供依据。 3 评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4 评估内容 4.1 人力资源管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定，从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状，对公司涉密人员管理的业务流程进行风险评估，识别并评估风险点，进而制定出风险防控措施。 4.1.1 风险级别定义

风险严重程度级别参考书 级别标识定义 很高如果被利用，将对资产或业务造成完全损害 高如果被利用，将对资产或业务造成重大损害 中等如果被利用，将对资产或业务造成一般损害 低如果被利用，将对资产或业务造成较小损害 很低如果被利用，将对资产或业务造成的损害可以忽略4.1.2 风险点 对从事涉密业务的人员进行审查，是否符合条件，符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训，并签订保密承诺书后方能上岗。 对涉密人员是否保守国家秘密，严格遵守各项保密规章制度进行审查，是否符合以下基本条件： （1）遵纪守法，具有良好的品行，无犯罪记录； （2）属于公司正式职工，并在其他公司无兼职； （3）社会关系清楚，本人及其配偶为中国境内公民。 审查公司与涉密人员签订的劳动合同或补充协议，是否已签署。 公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训，培训的时间应不少于10个学时。

保密风险评估

保密风险评估

风 险 评 估 报 告 XXXXX有限公司201xx年xx月

1 概述 针对公司主要业务流程进行风险评估，其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等。 2 评估目的 通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患，分析可能面临的风险，为保密风险防控措施的落实提供依据。 3 评估依据 《涉密信息系统集成资质单位保密标准》 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》 《涉密信息系统集成资质管理办法》 4 评估内容 4.1 人力资源管理风险评估 根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定，从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状，对公司涉密人员管理的业务流程进行风险评估，识别并评估风险点，进而制

定出风险防控措施。 4.1.1 风险级别定义 风险严重程度级别参考书 4.1.2 风险点 ?对从事涉密业务的人员进行审查，是否符合条件，符合条件的方可将其确定为涉密人员。是否对涉密人员进行保密教育培训，并签订保密承诺书后方能上岗。 ?对涉密人员是否保守国家秘密，严格遵守各项保密规章制度进行审查，是否符合以下基本条件： （1）遵纪守法，具有良好的品行，无犯罪记录； （2）属于公司正式职工，并在其他公司无兼职；

（3）社会关系清楚，本人及其配偶为中国境内公民。 ?审查公司与涉密人员签订的劳动合同或补充协议，是否已签署。 ?公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训，培训的时间应不少于10个学时。 ?公司是否对在岗涉密人员进行定期考核评价。 ?公司是否向涉密人员发放保密补贴。 ?公司涉密人员在离岗离职时，是否经公司保密审查，签订保密承诺书，并按相关保密规定实行脱密期管理。 4.1.3 风险分析

公司保密风险评估报告.doc

公司保密风险评估报告1 公司保密风险评估报告 一、做好保密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业，主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作，并提供项目实施全过程监理。目前，信息化的应用越来越广泛，政府机关、行政企事业单位大量运用信息化技术和手段，改变原有工作方式及业务流程，极大的提高工作效率，更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密，因此，信息化下的保密工作非常重要。对于我公司来说，如何在项目咨询过程，为用户提供的解决方案能够达到保密的要求；在项目监理工作中，避免项目实施过程及系统运行产生漏洞，降低保密风险；公司的工作人员如何遵守保密制度和职业操守，避免因用户保密信息泄露，这是我公司在保密制度建设及相应保密措施执行上，需要重点考虑解决的问题，是我公司保密工作的重中之重。 二、涉密项目监理工作保密重点 涉密信息系统工程建设过程中监理的作用主要体现在：发挥工程监理的咨询服务功能；发挥工程监理对工程项目的管理作用。对于前者，工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询，也可以协助建设方完善安全保密管理体系及相关制度的建设，为工程的测评、审批和运维打下坚实基础，同时也可为承建方在方案设计、

涉密改造、系统检测测试、试 运行、验收等各阶段提供咨询，确保项目能够按时按质量完成。对于后者而言，由于涉密信息工程涉及的业务内容繁多，过程较长，一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现，大大的增加了工程建设的复杂性。此时，工程监理的重要性就体现出来了，工程监理按照管理规范对涉密信息系统进行监督、控制和管理，严格按照施工流程控制，并规范过程文档，协调各组织的关系，及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信息系统建设过程中，通过运用自身对国家相关涉密信息系统建设的管理规范和要求，能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求，能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方，有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理，避免与监理项目的承建单位存在隶属关系和利益关系，或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色，监理在工程建设中的作用，就好比化学反应中的催化剂，不仅可以很好的促进工程向更好的方向发展，同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下，就会不可避免的出现各种可能会影响工程进度、质量及安全的事件，在有监理的情况下，对于那些可预见的事件可以进行很好的预防。

软件开发保密资质保密风险评估报告

软件开发保密资质保密风险评估报告 保密风险评估报告 编写人：XX XX网络科技有限公司 年XX月XX日

目录 概述 (3) 1.1背景 (3) 1.2风险评估的依据 (4) 1.3风险评估的目的 (5) 1.4风险评估的措施 (5) 1.风险评估 (8) 2.1涉密人员风险评估 (8) 2.2涉密载体风险评估 (9) 2.3涉密设备风险评估 (11) 2.4涉密场所风险评估 (13) 2.5涉密项目风险评估 (14) 2.5.1招投标风险评估 (14) 2.5.2设计方案风险评估 (16) 2.5.3软件开发设计过程风险评估 (17) 2.5.3.1分保方案使用风险评估 (17) 2.5.3.2第三方软件采购风险评估 (18) 2.5.3.3项目实施风险评估 (18) 2.5.3.4审查验收风险评估 (19) 2.5.3.5项目材料移交风险评估 (19) 2.5.3.6运行维护风险评估 (20) 2.5.3.7项目流程图 (21) 2.持续性改进机制 (24) 3.风险评估小结 (28)

概述 1.1背景 ●公司发展历史及现状 海口XXX有限公司于xx年XX月注册成立。注册资金XX万元，公司员工56人。公司成立初期主要业务范围是以系统集成为主，最近两年，主营业务逐渐由系统集成向软件开发转变。 公司也在此期间取得了多项行业相资质： ISO9001：2000质量体系认证;信息系统集成三级资质；软件能力成熟度CMMI3认证，并具备海南省政府及海南省各市县级政府的供应商资格，还是中石化海南炼化和中海油东方石化等能源化工企业的合法供应商。目前公司现经营地址为xxx，拥有办公场地300多平方米，客户遍及政府安监、政府应急，生产制造，能源化工等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持,以软件开发，系统集成,智能工厂，IT外包等服务为主的综合性IT企业。 ●公司人员结构 公司注重团队建设和人才的培养，员工80%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书，并且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理8人，高级项目经理4人，均具有本行业多年从业经验，并参与了各种大型软件开发项目的设计与实施。公司的技术副总从业17年，独立完多项大型软件项目的设

信息安全风险评估报告

XXXXX公司 信息安全风险评估报告

历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与 服务的企业。 3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方 法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产 清单；

5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。主要工作过程如下： 1.2017-9-10 ~ 2017-9-10，风险评估培训； 2.2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3.2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4.2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在 风险，并在ISMS工作组内审核； 5.2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作 组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风险115个，不可接受风险42个.

保密风险评估报告

风险评估报告 一、做好风险评估的重要性 我公司是专门的秘密载体印制企业，所以，工作是重中之重。 众所周知，国家秘密一旦泄露，后果不堪设想。为切实有效地保护国家秘密．必须事先做好风险评估报告，让工作有的放矢。 随着现代科学技术的发展，信息化程度越来越高，工作已成为企业的中心工作之一。在信息化条件下，工作既是一项复杂的系统工程，同时也是关系到企业的正常工作是否能够顺利进行的重要因素。 风险评估是工作的重要组成部分。风险评估要坚持实事的原则，深入调查研究，全面掌握风险因素及其影响，进而科学分析企业工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防控制措施的建议方案。 风险一词包括了两方面的涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业风险存在与否的基本条件。因此，要真正领悟企业风险的本质，就必须弄清这三个概念及其相互联系。 简单概括而言：风险因素引起风险事故，风险事故导致对企业带

来不良影响。 二、首先肯定已有的优良措施，并提示要更加自觉地做实做细，发扬光大。 在我公司，秘密载体生产场所实行全封闭管理，设置特营原辅料仓库、生产工序、检验包装区、成品仓库、废残次品仓库，共五个独立的工作部门。成立专门的管理领导小组（简称组）。有关秘密载体的印制工作：包括排版、制版、印刷、检验、包装入库均在封闭的生产场所进行，使用全国统一的票据防伪专用品，各工序均由管理领导小组指定专人负责。 1、公司专设印刷车间及室。涉及的印刷资料由印刷车间专门承印，并由组指定印刷人员专门负责，其他人员未经允许不得入。 2、室具备防盗、防火、防潮、防鼠功能；配备防盗门、窗；配备双锁、密码锁铁柜，用于存放资料。 3、承接印刷国家秘密载体业务时应由专职业务人员按照规定统一编号登记。不准随便互相转手，不准随便抄录或翻印秘密以上文件。 4、凡秘密业务，实行数字化管理，生产部下达红票。秘密印刷业务的原稿、样、打样纸必须数字准确，不得乱放或遗失。如果在生产过程中发现数字缺少，要及时查找并查明原因，同时立即向公司保卫部门报告。在找到丢失品前，有关人员不得离开工作场地，若一时无法找到，须经领导批准后方可离开。 5、车间、库房在下班前，必须将门室关好锁好，下班后一般不准随便打开工房门。

公司涉密风险评估报告

公司涉密风险评估报告 一、做好涉密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业，主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作，并提供项目实施全过程监理。目前，信息化的应用越来越广泛，政府机关、行政企事业单位大量运用信息化技术和手段，改变原有工作方式及业务流程，极大的提高工作效率，更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密，因此，信息化下的涉密工作非常重要。对于我公司来说，如何在项目咨询过程，为用户提供的解决方案能够达到涉密的要求；在项目监理工作中，避免项目实施过程及系统运行产生漏洞，降低涉密风险；公司的工作人员如何遵守涉密制度和职业操守，避免因用户涉密信息泄露，这是我公司在涉密制度建设及相应涉密措施执行上，需要重点考虑解决的问题，是我公司涉密工作的重中之重。 二、涉密项目监理工作涉密重点 涉密信息系统工程建设过程中监理的作用主要体现在：发挥工程监理的咨询服务功能；发挥工程监理对工程项目的管理作用。对于前者，工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询，也可以协助建设方完善安全涉密管理体系及相关制度的建设，为工程的测评、审批和运维打下坚实基础，同时也可为承建方在方案设计、涉密改造、系统检测测试、试

运行、验收等各阶段提供咨询，确保项目能够按时按质量完成。对于后者而言，由于涉密信息工程涉及的业务内容繁多，过程较长，一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现，大大的增加了工程建设的复杂性。此时，工程监理的重要性就体现出来了，工程监理按照管理规范对涉密信息系统进行监督、控制和管理，严格按照施工流程控制，并规范过程文档，协调各组织的关系，及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信息系统建设过程中，通过运用自身对国家相关涉密信息系统建设的管理规范和要求，能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求，能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方，有利于涉密工程项目依据国家涉密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理，避免与监理项目的承建单位存在隶属关系和利益关系，或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色，监理在工程建设中的作用，就好比化学反应中的催化剂，不仅可以很好的促进工程向更好的方向发展，同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下，就会不可避免的出现各种可能会影响工程进度、质量及安全的事件，在有监理的情况下，对于那些可预见的事件可以进行很好的预防。总之，工程监理在涉密信

风险评估报告模板

附件： 信息系统 信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

保密风险评估报告()

保密风险评估报告 一、做好保密风险评估的重要性 众所周知，国家秘密一旦泄露，后果不堪设想。为切实有效地保护国家秘密．必须事先做好保密风险评估报告，让保密工作有的放矢。 随着现代科学技术的发展，信息化程度越来越高，保密工作已成为企业的中心工作之一。在信息化条件下，保密工作既是一项复杂的系统工程，同时也是关系到企业的正常工作是否能够顺利进行的重要因素。 保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。 保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

导致对企业带来不良影响。 二、首先肯定已有的优良保密措施，并提示要更加自觉地做实做细，发扬光大。 1、保密室具备防盗、防火、防潮、防鼠功能；配备双锁、密码锁铁柜，用于存放保密资料。 2、工作在保密岗位上的人员是工作的需要、单位的重托，在一定时间一定范围内知悉的保密事项，只能用于生产，不能向外泄露，不得对外从事技术服务。必须妥善保管各种保密资料，不得丢失泄密，不在报刊杂志上报道保密事项，不得把秘密资料传送到QQ空间、微信朋友圈或微博等。 3、员工离开岗位，应将自己保管的保密资料上交，不得带走或留存。公司可以对其U盘等存储介质进行检查。 4、公司已经召开保密工作会议，对进一步开展保密工作做出全面部署。 5、公司设立专门的仓库，配置专职保管员，要求成品仓库的账簿应记录完整，详细真实，并妥善保管。建立健全秘密的管理制度，做好真实详细的记录，存档保管。 6、建立健全监控设施运行记录，对监控记录资料进行妥善保

系统集成项目保密风险评估报告

系统集成项目保密风险评估报告及防控措施 XXXXXX有限责任公司

目录 1、概述 (1) 1.1 风险评估的依据 (1) 1.2 评估的目的 (1) 2、常见风险评估及防控措施 (2) 2.1 参与涉密项目人员风险评估 (2) 2.1.1 可能存在的风险点 (2) 2.2.2 风险防控措施 (2) 2.2 涉密载体风险评估 (3) 2.2.1 可能存在的风险点 (3) 2.2.2 风险防控措施 (3) 2.3 涉密设备风险评估 (4) 2.3.1 可能存在的风险点 (5) 2.3.2 风险防控措施 (5) 2.4 涉密场所风险评估 (6) 2.4.1 可能存在的风险点 (6) 2.4.2 风险防控措施 (6) 3、涉密项目风险评估 (8) 3.1 招投标风险评估 (8) 3.1.1 可能存在的风险点 (8) 3.1.2 风险防控措施 (8) 3.2 设计方案风险评估 (9) 3.2.1 可能存在的风险点 (9) 3.2.2 风险防控措施 (9) 3.3 分包方案使用风险评估 (10) 3.3.1 可能存在的风险点 (10) 3.3.2 风险控制措施 (10)

3.4 设备采购风险评估 (10) 3.4.1 可能存在的风险点 (11) 3.4.2 风险控制措施 (11) 3.5 现场实施风险评估 (11) 3.5.1 可能存在的风险点 (11) 3.5.2 风险防控措施 (12) 3.6 审查验收风险评估 (12) 3.6.1 可能存在的风险点 (12) 3.6.2 风险防控措施 (13) 3.7 项目材料移交风险评估 (13) 3.7.1 可能存在的风险点 (13) 3.7.2 风险防控措施 (13) 3.8 运行维护风险评估 (13) 3.8.1 可能存在的风险点 (13) 3.8.2 风险防控措施 (14)

保密风险评估与管理制度汇编

保密风险评估与管理制度 第一条本制度规定了所采用的风险评估方法。通过识别信息资产、风险等级评估，认知公司的风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将风险控制在可接受的水平，保持公司业务持续性发展，以满足管理方针的要求。 第二条本制度适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。 第三条技术部负责牵头成立风险评估小组。 第四条风险评估小组每半年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制风险评估计划，确认评估结果，形成《风险评估报告》。 第五条各部门负责部门使用或管理的信息资产的识别和风险评估，并负责部门所涉及的信息资产的具体安全控制工作。 第六条各部门负责人负责部门的信息资产识别。技术部经理负责汇总、校对全公司的信息资产。 第七条技术部负责风险评估的策划。

第八条技术部牵头成立风险评估小组，小组成员至少应该包含：管理保密部门的成员、重要责任部门的成员。 第九条信息资产 1)软件：应用软件、系统软件和适用程序等。 2)硬件：计算机设备、通讯设备、可移动介质和其他设 备。 3)数据：数据库数据、系统文档、计划、报告、用户手 册、客户配置策略等 4)服务：培训服务、租赁服务、公用设施（能源、电力）。 5)文档：纸质的各种文件、传真、电报、财务报告、发 展计划等 6)人员：人员的资格、技能和经验。 7)其他：组织的声誉、商标、形象。 第十条本公司的资产范围包括： 系统文件、研究信息、用户手册、培训教材、培训操作、培训软件、支持性程序、业务连续性计划、应变安排、审核记录、审核的追踪、归档信息。 第十一条评估程序 本评估应考虑：范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适应。 第十二条资产属性赋值

电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式

附件： 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

保密风险评估报告

保密风险评估报告 篇一：保密风险评估报告 保密风险评估报告 一、做好保密风险评估的重要性 我公司是专门的秘密载体印制企业，所以，保密工作是重中之重。众所周知，国家秘密一旦泄露，后果不堪设想。为切实有效地保护国家秘密．必须事先做好保密风险评估报告，让保密工作有的放矢。 随着现代科学技术的发展，信息化程度越来越高，保密工作已成为企业的中心工作之一。在信息化条件下，保密工作既是一项复杂的系统工程，同时也是关系到企业的正常工作是否能够顺利进行的重要因素。 保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。 保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。 简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。 二、首先肯定已有的优良保密措施，并提示要更加自觉地做实做细，发扬光大。

在我公司，秘密载体生产场所实行全封闭管理，设置特营原辅料仓库、生产工序、检验包装区、成品仓库、废残次品仓库，共五个独立的工作部门。成立专门的保密管理领导小组（简称保密组）。有关秘密载体的印制工作：包括排版、制版、印刷、检验、包装入库均在封闭的生产场所内进行，使用全国统一的票据防伪专用品，各工序均由保密管理领导小组指定专人负责。 1、公司专设保密印刷车间及保密室。涉及保密的印刷资料由保密印刷车间专门承印，并由保密组指定印刷人员专门负责，其他人员未经允许不得入内。 2、保密室具备防盗、防火、防潮、防鼠功能；配备防盗门、窗；配备双锁、密码锁铁柜，用于存放保密资料。 3、承接印刷国家秘密载体业务时应由专职业务人员按照规定统一编号登记。不准随便互相转手，不准随便抄录或翻印秘密以上文件。 4、凡秘密业务，实行数字化管理，生产部下达红票。秘密印刷业务的原稿、样张、打样纸必须数字准确，不得乱放或遗失。如果在生产过程中发现数字缺少，要及时查找并查明原因，同时立即向公司保卫部门报告。在找到丢失品前，有关人员不得离开工作场地，若一时无法找到，须经领导批准后方可离开。 5、保密车间、库房在下班前，必须将门室关好锁好，下班后一般不准随便打开工房门。 6、工作在保密岗位上的人员是工作的需要、单位的重托，在一定时间一定范围内知悉的保密事项，只能用于生产，不能向外泄露，不得对外从事技术服务。必须妥善保管生产工艺、生产记录及其他各种保密资料，不得丢失泄密，不在报刊杂志上报道保密事项，不得把秘密资料传送到QQ空间、微信朋友圈或微博等。

风险评估报告

文件编号: 风险评估报告 version：1.0 编制人：日期: 审核人: 日期: 批准人日期: 受控状态：

目录 1.目的 (4) 2.适用范围 (4) 2.1风险评估的范围包括： (4) 2.2风险评估所涉及的业务活动包括： (4) 3.风险评估引用文件 (4) 3.1风险评估引用文件包括 (4) 4.风险评估程序及准则 (5) 4.1风险评估准备阶段： (5) 4.2资产清点阶段： (5) 4.3风险评估阶段 (6) 5.风险评估结果 (7) 5.1可接受及不可接受风险划分标准 (7) 5.2信息安全风险概况 (7) 5.3各部门详细风险概况 (8) 6.风险控制措施选择 (9)

1. 目的 本次风险评估是公司为建立信息安全管理体系所进行的初始风险评估，其目的通过系统地识别公司核心业务以及支持性业务所面临的风险，并根据风险评估准则，对不可接受的风险进行确定。 2. 适用范围 2.1风险评估的范围包括： 公司所属部门、子公司。 2.2 风险评估所涉及的业务活动包括： 2.2.1与公司核心业务相关的所有业务过程，包括： 软件外包服务 信息服务外包 软件设计与开发 系统解决方案设计与维护 2.2.2与公司支持性业务相关的所有业务过程，包括： 企业内部信息化管理过程 品质管理 财务与人力资源 IT网络服务 行政后勤 2.3风险评估时间 2008年4月12日至2008年5月13日。 3. 风险评估引用文件 3.1风险评估引用文件包括 1）ISO 27001：2005信息安全管理实施指南 2）ISO 27002:2005 信息安全管理体系规范 3）ISO 27001实施指南–风险评估与风险管理指南

公司保密风险评估报告47431

公司保密风险评估报告 一、做好保密风险评估的重要性 XXX是专门从事信息工程咨询和监理业务的企业，主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作，并提供项目实施全过程监理。目前，信息化的应用越来越广泛，政府机关、行政企事业单位大量运用信息化技术和手段，改变原有工作方式及业务流程，极大的提高工作效率，更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密，因此，信息化下的保密工作非常重要。对于我公司来说，如何在项目咨询过程，为用户提供的解决方案能够达到保密的要求；在项目监理工作中，避免项目实施过程及系统运行产生漏洞，降低保密风险；公司的工作人员如何遵守保密制度和职业操守，避免因用户保密信息泄露，这是我公司在保密制度建设及相应保密措施执行上，需要重点考虑解决的问题，是我公司保密工作的重中之重。 二、涉密项目监理工作保密重点 涉密信息系统工程建设过程中监理的作用主要体现在：发挥工程监理的咨询服务功能；发挥工程监理对工程项目的管理作用。对于前者，工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询，也可以协助建设方完善安全保密管理体系及相关制度的建设，为工程的测评、审批和运维打下坚实基础，同时也可为承建方在方案设计、涉密改造、系统检测测试、试

运行、验收等各阶段提供咨询，确保项目能够按时按质量完成。对于后者而言，由于涉密信息工程涉及的业务内容繁多，过程较长，一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现，大大的增加了工程建设的复杂性。此时，工程监理的重要性就体现出来了，工程监理按照管理规范对涉密信息系统进行监督、控制和管理，严格按照施工流程控制，并规范过程文档，协调各组织的关系，及时发现、妥善处理施工过程中出现的问题就显的非常重要。 工程监理在涉密信息系统建设过程中，通过运用自身对国家相关涉密信息系统建设的管理规范和要求，能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求，能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方，有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理，避免与监理项目的承建单位存在隶属关系和利益关系，或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。 工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色，监理在工程建设中的作用，就好比化学反应中的催化剂，不仅可以很好的促进工程向更好的方向发展，同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下，就会不可避免的出现各种可能会影响工程进度、质量及安全的事件，在有监理的情况下，对于那些可预见的事件可以进行很好的预防。总之，工程监理在涉密信

涉密计算机风险评估报告

涉密计算机风险评估报告 本次风险评估报告是根据公司保密委员会办公室2015年上半年对涉密计算机进行检查后的检查登记表、二级单位组织的包含涉密计算机自查自查登记表等相关资料做出的评估。 一、　检查情况分析 综合保密办检查情况和二级单位自查情况，对照今年下发的《涉密计算机单机安全保密策略》，经分析发现大部分涉密计算机单机安全保密策略得到了较好的执行，涉密计算机整体安全状况较好，具体表现在：物理安全防护基本到位：涉密计算机无上网记录，物理隔离被严格执行：涉密计算机注册表信息无更改过的痕迹，产生的记录都是安装应用软件时产生的：涉密讲算机上安装的金城数据安全软件运行正常，使用人员和数据的访问控制比较规范：涉密计算机上的软件装控制严格，在安装之前需审批。 二、　问题与面临的风险 这一次保密办检查和单位自查中也暴露出来不少问题，具体表现在：涉密计算机电源滤波防护措施还没有到位：个别涉密计算机硬盘内存储的涉密文件没有按规范的格式做密级标识：部分涉密计算机系统安全漏洞和病毒补丁程序没有及时打上：部分涉密计算机的本地安全策略没有设置到位：部分涉密计算机在安装软件之前没有将要安装的软件在非涉密中间转换机上进行病毒检测。 这些暴露出来的问题虽然都比较小，对涉密计算机安全造成的

风险也比较小，但是如果不及时加以解决，有可能酿成比较大的安全隐患，应引起我们的高度重视。 三、　今后应采取的针对性措施 针对这些暴露出来的问题，我们应采取以下针对性措施，并在2015年新版本的《涉密计算机单机安全保密策略》中加以体现，从而降低涉密计算机安全所面临的风险： 1、尽快为涉密计算机配备国家保密行政管理部门批准的滤波电 源插座。 2、明确责任人对涉密计算机硬盘内存储的涉密文件的密级标识 进行规范整理。 3、明确要求涉密计算机安装软件之前必须在非涉密中间转换机 上进行病毒检测。 4、加强对涉密计算机管理员的培训，使其熟练掌握涉密计算机 系统安全漏洞和病毒库补丁程序的下载、中间转换刻盘、安装 以及安全策略设置。 风险评估人： 年月日

保密风险评估与管理办法

保密风险评估与管理办法 一、总则 为及时识别、监控公司保密潜在风险及其发生概率，确定公司保密风险承受能力及限度，认定该等风险所可能带来的损失，根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际，特制定本管理办法。 二、职责分工 1、公司保密风险评估与管理主管部门为风险管理部。 2、各部门、各经营单元协助风险管理部实施本管理办法。 3、公司各涉密经营单元是保密风险管理的第一道防线，负责本经营单元和公司内纵向归口管 理事项的保密风险管理工作。 4、公司保密风险评估工作小组（以下简称工作小组）是保密风险管理的第二道防线，接受保 密管理办公室的监督（以下简称保密办），负责指导和检查保密风险评估工作的开展。 5、公司保密工作领导小组（以下简称领导小组）是保密风险管理的第三道防线。作为保密风 险管理的决策机构，负责监督保密风险评估工作的开展，负责组织建立完善保密管理的持续改进机制。 三、工作内容及流程。 1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担 任，成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和研究，查找出在保密管理的制度、流程和执行等方面的问题，组织对制度和流程进行修订和完善。 2、工作小组至少每半年开展一次保密风险评估，使用“上海市涉密信息系统集成资质保密风 险评估及自查自评系统”开展保密风险评估工作，按照业务流程对保密风险进行识别、分析和评估，评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。 3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次，从人员风险、涉密载 体风险、涉密计算机、涉密场所、投标、项目实施等，对每个风险点进行低、中、高等级识别，制定相应的防范措施。 4、工作小组在评估过程中如发现问题，及时向领导小组汇报，《保密风险评估报告》形成后， 应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况，监督防控措施

软件开发项目保密风险评估报告

软件开发项目保密风险 评估报告 编写人：XXX 2019年XX月XX日

目录 概述 (4) 1.1背景 (4) 1.2风险评估的依据 (5) 1.3风险评估的目的 (5) 1.4风险评估的措施 (6) 1.风险评估 (8) 2.1涉密人员风险评估 (8) 2.2涉密载体风险评估 (9) 2.3涉密设备风险评估 (11) 2.4涉密场所风险评估 (13) 2.5涉密项目风险评估 (14) 2.5.1招投标风险评估 (15) 2.5.2设计方案风险评估 (16) 2.5.3软件开发设计过程风险评估 (17) 2.5.3.1分保方案使用风险评估 (17) 2.5.3.2第三方软件采购风险评估 (18) 2.5.3.3项目实施风险评估 (18) 2.5.3.4审查验收风险评估 (19) 2.5.3.5项目材料移交风险评估 (20) 2.5.3.6运行维护风险评估 (20)

2.5.3.7项目流程图 (21) 2.持续性改进机制 (25) 3.风险评估小结 (29)

概述 1.1背景 ●公司发展历史及现状 XXX有限公司于xx年XX月注册成立。注册资金XX万元，公司员工XX 人。公司成立初期主要业务范围是以系统集成为主，最近两年，主营业务逐渐由系统集成向软件开发转变。 公司也在此期间取得了多项行业相资质： ISO9001：2000质量体系认证;信息系统集成三级资质；软件能力成熟度CMMI3认证，并具备海南省政府及海南省各市县级政府的供应商资格，还是中石化海南炼化和中海油东方石化等能源化工企业的合法供应商。目前公司现经营地址为xxx，拥有办公场地XXX多平方米，客户遍及政府安监、政府应急，生产制造，能源化工等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持,以软件开发，系统集成,智能工厂，IT外包等服务为主的综合性IT企业。 ●公司人员结构 公司注重团队建设和人才的培养，员工90%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书，并且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理8人，高级项目经理4人，均具有本行业多年从业经验，并参与了各种大型软件开发项目的设计与实施。公司的技术副总从业17年，独立完多项大型软件项目的设计开发及管理工作。 ●公司所在周边地理环境