信息系统集成项目风险评估及防控措施

1、信息系统集成工程风险评估及防控措施本页仅作为文档封面，使用时可以删除This document is for reference only-rar21 year.March信息系统集成工程风险评估及防控措施1、参与涉密工程人员风险评估 可能存在的风险点项 a 部组建时人员是否满足涉密人员要求； 上岗前是否接受过保密知识培训及考核； 是否与公司签订保密承诺书，保密协议，保密责任书及涉密人员考核 评价 表；部门是否按照公司要求开展保密知识培训，加强部门涉密人员的保密意识；涉密人员离岗时是否签订离岗保密承诺书，保密工作领导小组是否对其进行脱密期管理。风险防控措施 应聘员工应满足公司对涉密人员的聘用标

2、准； 上岗必须学习岗位保密业务，且保密知识考核成绩合格； 与公司签署保密协议、保密承诺书、保密责任书； 员工所在部门领导确认涉密人员考核评级表内容，确认无误后签字。 同时 保密领导小组同意签字后 . 评价表交保密工作领导小组存档，做为该 员工的涉密 考核内容；保密办公室应在年初做好本年度保密知识培训方案及考核方案，组织j 处宓人民学习各俣宓知 i 口山涉遍人员在离开嶺 H 豈 严格遵守公司保密制度，与公司签署离岗保 密承诺 书，并严格遵守公司对离岗人员的脱密期管理要求。2、涉密载体风险评估 可能存在的风险点 纸质文件： 涉密文件、资料是否有专人管理； 涉密文件是否有收发记录； 涉密文件复印、外

3、借是否有登记，是否在记录中标明使用理山、复印数量及使用人签字；涉密文件借阅是否有登记记录，是否在记录中标明借阅理山、使用时间、归还时间及借阅人签字；涉密文件是否及时归档，档案口录是否及时更新。电子文件： 匾否指派专人对涉密电子文件进行管理： 制作涉密电子文件时，是否记录使用范围及制作数量： 是否在非涉密计算机中传递涉密电子文件； 在携带涉密电子文件外出时，是否有专人携带； 涉密电子文件是否及时归档； 报废的涉密电子文件如何处理。2 .2 风险防控措施 纸质文件：所有保密文件、文档、材料山项 H 保密专员统一管理，统一登记并存入密 码 柜，定期进行清查，防止发生资料泄露或丧失。严禁其他人员随意翻

4、看 保密资 料，如有其他保密人员要借阅使用，山保密专员进行登记，写明借 阅时间及借阅 理山，并保证不拿到涉密办公室以外的地方使用。保密材料严格按保密领导办公室批准的份数印刷，不得擅自多印多 留，复 印件视同原件管理，复印过程中产生的废纸、废件应及时销毁；在 复印材料之 前，需山保密办公室管理员登记前方可进行，标明使用理山、 复印份数； 传递保密材料要有保密措施，传递应专人专送，不得办理无关事项， 携带 密件不得进入不利于保密的场所；外出工作需携带保密材料的，要经 保密工作领 导小组批准。保密资料未经许可，不得擅自摘抄、翻印、复印、转借或损坏；一旦 造成 损失由当事人承当责任。电子文件： 君定专

5、人负责工程涉密电子文件的日常管理工作。 制作涉密电子文件，应当依照有关文件，规定使用范围及制作数量，并编号记录。传递涉密电子文件，应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。阅读、使用、复制和销毁涉密电子文件，应经保密工作领导小组批 准，同 时办理登记、签字手续。复制的电子文件视同原件管理。定期对涉密电子文件及载体进行清查、核对，发现问题及时向保密管 理办 公室汇报。3、涉密设备风险评估 可能存在的风险点 涉密计算机是否有违规操作： 涉密计算机端口是否插过其他存储介质； 涉密计算机是否配备三合一防护 系统： 办公场所自动化设备是否外

6、借使用 : 涉密计算机及办公场所自动化设备维修、更换、报废如何管理。3 .2 风险防控措施 涉密计算机安装主机监控与审计系统进行端口审计； 涉密计算机安装江民病毒防护软件，山专人进行病毒软件更新，更新周期不超过 15 天： 每台涉密计算机都配备三合一防护系统，严格控制了计算机内涉密信息的流失；涉密计算机配置 10 位数以上的密码，由专人统一管理 . 记载； 办公室自动 化设备均为涉密办公室处理涉密项 U 专用，不得外借使 用； 涉密计算机及办公室自动化设备山保密工作领导小组确定专人使用， 机器 明确标明使用人姓名并登记入册；使用人发生变化时，报保密工作领 导小组审 核，审核通过后进行变更：涉密

7、计算机及办公室自动化设备打印机、刻录机维修、应由保密领导小组批准后进行；涉密计算机维修应到保密局指定的地点维修，维修前应卸下硬盘等敬感部件，维修后应进行平安检测前方可使用；更换涉密计算机应事先提交涉密设备变更中请表，写明更换原因，经保密 工作领 导小组批准后进行。在更换涉密计算机前应卸下硬盘，卸下的硬盘 不得在非涉密 讣算机上使用，硬盘交山涉密办公室保密管理员登记备案； 硬盘留存于保密办公 室，不得使用、外借； 涉密计算机报废不得当作废品岀售，在中请报废后先到保密办公室保 密管 理员处登记，卸下硬盘并山专人上交保密局工作部门进行集中销毁处 理，报废涉 密计算机应报保密局备案并履行相应的销毁制度

8、。4、涉密场所风险评估 可能存在的风险点 涉密办公场所内是否存在网络端口 : 非涉密人员进出涉密办公室是否有记录； 涉密办公场所是否按照国家保密局要求配备了门禁系统、防盗报警系统、视频监控系统；涉密人员进岀涉密办公室时是否携带相机， ，录音笔等其它可存储介质。4? 2 风险防控措施由平安保密管理员定期检查涉密办公室的门禁、防盗报警、视频监控等设备的完好状态，确保保密材料平安。非授权人员进出涉密场所，须经公司保密领导小组审批并山授权人员进行全程陪同方可进入，同时建立涉密场所非授权人员进入登记册，对临 时进出的人 员登记；标明进出时间及事由。建立视频监控的检查管理机制，公司的平安保卫部门应当定期对

9、视频 监控 信息进行回看检查，保密办公室应当对执行情况进行监督。视频监控 信息保存时 间不少于 3 个月。未经批准，不得将具有录音、录像、拍照、存储、通信功能的设备带 入涉 密办公室。5、分包方案使用风险评估 可能存在的风险点在现场使用时，信息是否产生泄露； 涉密人员是否将图纸存放与他人手里或放在施工现场，导致项口设计 方案 泄露。风险控制措施加强涉密人员保密意识；涉密项 U 前期设计需山专人在涉密计算机上进行编写，并用光盘进行 信息 存储，并山委托方指定人员进行交接。不得将光盘存于他人手中或施 工现场。严禁使用外网计算机查询任何涉密项口信息，涉密项方案的制定均 应在涉 密办公室内的涉密计算机

10、上进行编写。6、设备采购风险评估 可能存在的风险点 工程建设周期导致从投标到采购的周期过长，存在供给商库存风险和技术偏离风险：市场信息不够完全、充分、透明，供给商在一定范围内能影响价格：设备采购过程中，供给商泄露项风险控制措施H 信息。工程建设周期导致从投标到采购的周期过长，存在供给商库存风险和 技术 偏离风险，可从三方面进行躲避：一方面可建立供给商预警机制，对 价格、库 存、技术等风险出现前进行供方预警；一方面，对于项 H 前期设 备的选型，应 考虑项 U 建设周期因索，应防止选择市场寿命短的产品；另一方面，应在签订项 H 合同时，对于设备的更新换代条款，应进行明示。加大市场信息获取力度，使

11、市场信息准确而全面，从而保证市场分 析、成 本分析等数据的可靠性：依据适用原那么选择供给商并改善与供给商 的关系，防止 成为强势供给商价格联盟的受害者。涉密项 U 的设备采购应单独采购，山涉密业务管理小组下的设备采购小组组长设立专人，不与其它项 U 的设备一起采购，与供给商签署保密承 诺书，并 承诺不泄露工程信息、设备价格。7、现场实施风险评估可能存在的风险点合同及各项审核工作时间太长，导致工程信息泄露； 在施工过程中有涉密人员离职或调岗，导致涉密信息泄露； 施工现场环境是否满足涉密工程环境要求； 现场施工时，是否有除委托方及现场施工人员以外的人员进出现场： 设备 安装调试时，是否通过非涉密计

12、算机进行操作。风险防控措施涉密项 U 签订的涉密合同必须山专职涉密人员进行登记、归档，存放于涉密办公室内的密码文件柜内。调岗或离职的涉密人员必须进行脱密期处理，并签署涉密人员离岗保 密承诺 书。不得在脱密期间出国或在外资企业工作。施工现场周围不允许有大使馆、 外资企业等； 如有请做好保密防护措 施，如： 安装视频监控系统、防盗报警系统等。加强施工现场保密环境。现场施工时，不允许除委托方及现场施工人员以外的人员进出现场。 除保密 工作领导小组指定人员外，其他人员不得进入施工现场。调试设备时，必须用涉密计算机进行调试，不得用非涉密计算机进 行。防止 通过非涉密计算机传递涉密信息，导致涉密项 LI

13、信息泄露。8、审查验收风险评估 可能存在的风险点 审查验收人员是否为涉密人员，是否是保密工作领导小组指定； 审查验收 记录是否是 III 专人负责保管，是否产生记录丧失、泄露； 对用户进行设备使用 培训，但用户保密意识不强，无意间泄露保密信 息。风险防控措施审查验收人员必须为涉密人员，必须由保密工作领导小组下的运行维 护小组 组长指派专人验收。审查验收记录山专人携带，带回公司后交于涉密办公室管理员处登记 备案， 存放于密码柜中。在审查验收时，应对用户进行相关保密知识培训。9、工程材料移交风险评估可能存在的风险点项口材料移交时是否是在保密环境下进行，记录是否齐全； 接收材料人员是否是涉密人员，是否山保密工作领导小组指定；接收材料人员是否携带材料岀入公共场所，导致信息泄露。 风险防控措施移交材料时，需在保密环境下进行，检查验收记录是否齐全，不能有 记录 不完整，不能在公共场所下进行。山专人进行材料交接，并将材料封 存于档案袋 中。接收材料的人员必须是山保密工作领导小组指定的人。 接收材料后，必须马上携带资料返回公司，不得在公共场所逗留，避 免发 生资料丧失，产生资料泄密。10、运行维护风险评估 可能存在的风险点后期运行维护的人员是否是涉密人员，是否明确涉密人员的职责，是 否有 保密意识；在对设备维护时，是否使用非涉密计算机进行操作： 运行维护人员是否在交谈中泄露涉密