保密风险评价报告

1、保密风险评估报告XXXXXF发有限公司XXXX年1月9日1. 概述41.1 背景41.2 风险评估的依据61.3 风险评估的目的61.4 风险评估的措施72. 风险评估102.1 涉密人员风险评估102.2 涉密载体风险评估112.3 涉密设备风险评估132.4 涉密场所风险评估142.5 涉密项目风险评估152.5.1 招投标风险评估152.5.2 设计方案风险评估162.5.3 系统集成过程风险评估172.5.3.1 分保方案使用风险评估182.5.3.2 设备采购风险评估182.5.3.3 现场实施风险评估192.5.3.4 审查验收风险评估202.5.3.5 项目材料移交风险评估202

2、.5.3.6 运行维护风险评估212.5.3.7 项目流程图223. 持续性改进机制264. 风险评估小结301 .概述1.1 背景公司发展历史及现状XXXXXXXXXXXXXX4月20日注册成立，注册地址位于XXXXXX注册资金XXX万元，公司员工XXX人。公司成立初期主要业务范围是以XXXXXXX为了公司发展需要，注册资金经过多次变更，由最初的XXXX万元增资到XXXX万人民币。公司也在此期间取得了本行业相关的资质：ISO9001:2000质量体系认证；信息系统集成三级资质和公共安全技术防范壹级资质，弁且是中央政府采购网的协议供货商及合格的竞价谈判供应商，弁具备XXXXXX政府及XXXXX

3、X政府的供应商资格，还是XXXXXXX集团和XXXXXXX1团的合法供应商。目前公司现经营地址为XXXXXXX拥有办公场地XXXX多平方米，客户遍及政府，金融及保险，能源，军队等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持，以系统集成，软件开发，网络维护及集成，音视频会议集成，监控设计及安装调试,应用开发与服务为主的综合性IT企业。公司近三年系统集成项目金额达XXXXXX元。公司人员组织结构公司注重团队建设和人才的培养，现拥有员工XXXX人，全体员工80.4.%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资

4、质证书和从业证书，弁且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理X人，高级项目经理X人，均具有本行业多年从业经验，弁参与了各种系统集成大型项目的设计与施工。公司的技术经理从业X年,独立完多项系统集成项目设计及管理工作。XXXXXXX2015年组织结构表公司所在周边地理环境我公司XXXXXXX处于XXXX主干道上，西面有XXX东临XXXXXXX领地居民小区，北面有xxx居民小区。地处松嫩平原南部，不处在地震带和沉降带，地质结构稳定；远离海边江河，高于XXXXXXX区高点45米，不受洪水、海啸和台风威胁；远离山区，不受山洪和泥石流侵

5、害；区域内无核电站、强污染源及重盐害。存在风险:a）公司周边是否有驻外大使馆b）公司周边是否存在外资企业c）公司周边是否有商业区针对风险点的防控措施：我公司位于XXXXXX潞上，周边不存在驻外大使馆、外资企业及商业区，进出入办公楼均有收发人员管理登记。公司内部物理环境XXXXXX施于XXXXXX胳XX号XXX楼，此楼XXX层为XXXX店有单独的入口；XXXX娄为办公楼区，有独立的入口。一楼大厅有收发人员登记，弁在电梯口处有视频监控系统。在我公司单位门口也有本单位自己的视频监控系统。存在的风险：a）外来人员随意进出b）附近的双太电子城聚集了多家IT企业，IT企业人员众多、混杂，对保密信息的安全性

6、造成潜在的安全隐患。针对存在风险点的防控措施：在公司入口处设立登记处，由专人来负责登记和接待。1.2 风险评估的依据依据xxxxxxX家保密局发布的涉密信息系统集成资质保密标准BMB17涉及国家秘密的信息系统分级保护技术要求、BMB20涉及国家秘密的信息系统分级保护管理规范、BMB23涉及国家秘密的信息系统分级保护管理规范1.3 风险评估的目的保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。保密风险一词包括了两方面的内涵。其

7、一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。风险因素I引起I风险事故I导致I不良影响简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。1.4 风险评估的措施近几年来，随着信息技术的飞速发展，现代办公设备逐渐走进了企业的日常工作，保密工作面临着一种全新环境，同时所面临的保密形势日益严峻。保密风险评估，作为企业开展保

8、密工作的前提，能为单位领导准确把握本单位保密工作所面临的风险，进行重点防控提供科学依据。根据对本公司保密状况的分析，认为本公司应当主要从加强保密条件建设方面进一步采取积极有效的措施：a) 进一步加强保密“软件建设”o保密条件建设分为“软件建设”和“硬件建设”两大类，其中“软件建设”是灵魂，“硬件建设”是基础。加强保密“软件建设”，就是要从根本上进一步强化人员的保密意识，建议有关部门领导要加强教育，统一思想，通过认真学习保密法和保密法实施条例，切实开展好保密工作的教育与宣传。及时传达贯彻上级保密工作会议精神及保密局文件精神，按照工作要求落实措施，对重点涉密人员进行经常性的保密教育。通过宣传教育，

9、使涉密人员的保密意识明显提高，政治责任感进一步增强。同时，要结合本单位保密工作面临的实际情况，进一步完善本公司保密制度，严肃保密工作纪律，发生失密、泄密，视情节轻重、危害大小，依据国家有关保密规定给予批评教育或处分。将保密工作列入重要议事日程，从思想教育入手，将保密工作摆在突出位置。努力做到领导不唱“独角戏”，全员上阵抓保密，及时纠正“关好门、锁好柜、封住嘴、管好件”就能万事大吉的认识偏差，形成人人参与保密的氛围，努力为本单位的安全保密工作筑牢思想上的“防火墙”Ob) 进一步加强信息设备的安全建设。随着信息技术的发展，各种高技术信息设备不断涌现，它们在为员工日常工作、学习、训练提供便利的同时，

10、也给保密工作带来了更多挑战。为此，要进一步加强信息设备的安全建设，对一些存在较大安全隐患的设备坚决不能引进使用，使用时要制定严格的使用规则。另外对本单位的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、彻底的保密清查，将所有设备登记入册，进一步明确使用范围和责任人，同时对这些信息设备要进行不定时检查，将有隐患的设备及时处理。同时，要制定必要的防范措施，对网站要进行全天候监控，严防病毒攻击与木马植入，涉密计算机软件要安装先进软件，安装防辐射、即时杀毒、备份软件，涉密信息设备要有防电磁辐射、防内置、防失控、防失窃功能。多管齐下、全方位防护，为本单位信息设备的安全使

11、用开辟一条“绿色通道”。C)进一步完善保密工作机制。俗话说：“无规矩不成方圆。”同样，企业保密工作也需要完善的保密机制来保障。近年来，随着保密形势的日益严峻，对保密机制提出了更高的要求。所以，建议单位保密部门领导要加强制度建设，始终把落实规章制度作为抓好保密工作的关键环节，认真贯彻落实保密法及有关保密工作的规定，从文件的登记、收发、传递、归档、销毁等各个环节都严格按照规范流程，落实管理规定，做到了按制度管人管事。d)和公司员工签署保密协议、保密责任书及保密承诺书。用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。限于用人单位的高级管理人员、高级技术人员和其他

12、负有保密义务的人员。范围、地域、期限由用人单位与劳动者约定，不得违反法律、法规的规定。面对日益严峻的保密形势，保密风险的控制更为困难。所以，建议保密部门领导要建立良好的保密秩序，有效遏制泄密问题的发生；要努力做到领导不唱“独角戏”,全员上阵抓保密，保密工作人人抓，常抓不懈的良好局面；要建立长效机制，有章可循，真查实改。公司领导要带头做好保密工作，齐抓共管、综合治理，要适应新要求、采取新措施，充分认识到新形势下做好保密工作的重要性和紧迫性，进一步做好各项保密工作，努力促进本公司的保密工作再上一个新台阶。2.风险评估2.1涉密人员风险评估可能存在的风险点a）招聘时人员是否满足涉密人员要求；b）审核

13、时竞聘人员是否有过犯罪记录，是否为中国公民；c）上岗前是否接受过保密知识培训及考核；d）是否与公司签订保密承诺书，保密协议，保密责任书及涉密人员考核评价考表；e）部门是否按照公司要求开展保密知识培训，加强部门涉密人员的保密意识；f）涉密人员离岗时是否签订离岗保密承诺书，保密工作领导小组是否对其进行脱密期管理。风险防控措施a）应聘员工应满足公司对涉密人员的聘用标准；b）上岗必须学习岗位保密业务，且保密知识考核成绩合格；c）与公司签署保密协议、保密承诺书、保密责任书；d）员工所在部门领导确认涉密人员考核评级表内容，确认无误后签字,同时保密领导小组同意签字后，评价表交保密工作领导小组存档，作为该员工

14、作为涉密人员的考核内容；e）保密办公室应在年初做好本年度保密知识培训计划及考核计划，组织涉密人员学习各项保密知识。f）涉密人员在离岗后，严格遵守公司保密制度，与公司签署离岗保密承诺书，弁严格遵守公司对离岗人员的脱密期管理。2.2涉密载体风险评估可能存在的风险点纸质文件：a）涉密文件、资料是否有专人管理；b）涉密文件收发是否有记录，是否有文件丢失、泄露；c）涉密文件复印、外借是否有登记，是否在记录中标明使用理由、复印数量及使用人签字；d）涉密文件借阅是否有登记记录，是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字；e）涉密文件是否及时归档，档案目录是否及时更新。电子文件：a）是否指派专人

15、对涉密电子文件进行管理；b）制作涉密电子文件时，是否记录使用范围及制作数量；c）是否在非涉密计算机中传递涉密电子文件；d）在携带涉密电子文件外出时，是否有专人携带；e）涉密电子文件是否及时归档；f）报废的涉密电子文件如何处理。风险防控措施纸质文件a）所有保密文件、文档、材料由涉密办公室管理员统一管理，统一登记入密码柜，定期进行清查，避免发生资料泄露及丢失。严禁其他人员随意翻看保密资料，如有其他保密人员要借阅使用，由涉密办公室管理员进行登记，写明借阅时间及借阅理由，弁保证不拿出涉密办公室以外的地方使用。b）保密材料严格按领导批准的份数印刷，不得擅自多印多留，复印件视同原件管理，复印过程中产生的废

16、纸、废件应及时销毁；在复印材料之前，需由涉密办公室管理员登记后进行，标明使用理由、复印份数；c）传递保密材料要有保密措施，传递应专人专送，不得办理无关事项,密件不得携入不利于保密的场所；外出工作须携带保密材料，要经保密工作领导小组批准后进行。d）对保密资料未经许可，不得擅自摘抄、翻印、复印、转借或损坏；一旦造成损失由当事人承担责任。电子文件：a）指定专人负责本单位涉密电子文件的日常管理工作。b）制作涉密电子文件，应当依照有关规定文件内，使用范围及制作数量，弁编号记录。c）传递涉密电子文件，应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。

17、d）阅读、使用、复制和销毁涉密电子文件，应经保密工作领导小组批准，同时办理登记、签字手续。复制的电子文件视同原件管理。e）定期对涉密电子文件及载体进行清查、核对，发现问题及时向保密工作领导小组汇报。2.3涉密设备风险评估可能存在的风险点a）涉密计算机是否有违规操作；b）涉密计算机端口是否插过其他存储介质；c）涉密计算机是否配备三合一防护系统；d）办公室自动化设备是否外借使用；e）涉密计算机及办公室自动化设备维修、更换、报废如何管理。风险防控措施a）涉密计算机安装了通软主机监控与审计系统V6.0软件进行端口审计；b）涉密计算机安装了360杀毒软件，由专人进行病毒软件更新，更新周期不超过15天；c

18、）每台涉密计算机都配备了三合一防护系统，严格控制了计算机内涉密信息的流失；d）涉密计算机配置了10位数以上的密码，由专人统一管理、记载；e）办公室自动化设备均为涉密办公室处理涉密项目专用，不得外借使用；f）涉密计算机及办公室自动化设备由保密工作领导小组确认专人使用，机器明确标识使用人姓名弁登记入册；使用人发生变化时，报保密工作领导小组审核，审核通过后进行变更；g）涉密计算机及办公室自动化设备（打印机、刻录机）维修、更换、报废由涉密办公室管理员负责，做好相关登记；维修应由保密领导小组批准后进行；h）涉密计算机维修应到XXXXXX）纸密局指定的地点维修，维修前应卸下硬盘等敏感部件；维修后应进行安全

19、检测后方可使用；i） 更换涉密计算机应事先提交涉密设备变更申请表，写明更换原因，经保密工作领导小组批准后进行。在更换涉密计算机前应卸下硬盘，卸下的硬盘不得在非涉密计算机上使用，硬盘交由涉密办公室保密管理员登记备；硬盘留存于保密办公室，不得使用、外借；j） 涉密计算机报废不得当作废品出售，在申请报废后先到涉密办公室保密管理员处登记，卸下硬盘弁由专人上交xxxxxxX1家保密局工作部门进行集中销毁处理，报废涉密计算机应报xxxxxxX1家保密局备案。2.4 涉密场所风险评估可能存在的风险点a）涉密办公室内是否存在网络端口；b）非涉密人员进出涉密办公室是否有记录；c）涉密办公室是否按照XXXXXXX

20、1家保密局要求配备了门禁系统、防盗报警系统、视频监控系统；d）涉密人员进出涉密办公室时是否携带相机，手机，录音笔等其它可存储介质。风险防控措施a）由安全保密管理员定期检涉密办公室的门禁、防盗报警、监控等设备的完好状态，确保保密材料安全。b）非授权人员进出入涉密场所，须经公司保密领导小组审批弁由授权人员进行陪同方可进入，同时建立涉密场所非授权人员进入登记册,对临时进出的人员记录登记；标明进出入时间及事由。c）建立视频监控的管理检查机制，公司的安全保卫部门应当定期对视频监控信息进行回看检查，保密办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。d）未经批准，不得将具有录音、录像、拍照

21、、存储、通信功能的设备带入涉密办公室。2.5 涉密项目风险评估2.5.1 招投标风险评估可能存在的风险点a）投标小组成员是否为涉密人员，是否有保密意识；b）是否有泄露标底的情况；c）是否做好投标文件的保密情况；d）是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况；e）评标机构是否做好保密工作。风险防控措施a）投标小组成员必须为涉密人员，必须与公司签署保密协议，保密承诺书及保密责任书后方可进入小组。b）标底作为评标的主要依据，是工程招标保密工作的重中之重，标底如果泄露可能会导致工程招标成本的提高。因此，投标小组应加强对标书的保密管理，涉及记载标底的文件不能随意摆放，应视同保密材料一样保

22、管于涉密办公室。C）投标文件是投标人的商业秘密。既然投标人信任招标代理机构，招标代理机构也应把投标人递交的投标文件保存好。因此，招标代理机构有义务对投标文件进行保密，以避免投标人遭受损失。由专人负责对投标文件的管理，没有保密工作领导小组领导的允许，除投标小组成员外，其他人员不得翻阅投标文件。d）对每一个投标单位的资格预审应当单独进行。资格预审结束后，招标人应当对资格预审合格的单位名单予以保密，弁以书面或电话的方式单独通知每一个报名单位其是否通过资格预审。e）招标人根据工程招标项目的具体情况，可以组织潜在投标人踏勘项日现场。由于保密问题的存在，招标人不能同时组织所有潜在投标人进行现场踏勘。招标人

23、可以制定现场踏勘的时间安排表，然后分别组织潜在投标人进行踏勘。2.5.2 设计方案风险评估可能存在的风险点a）设计人员是否为涉密人员，是否有保密意识；b）涉密人员素质是否良好，是否会泄露设计方案；c）办公环境是否满足涉密资质标准要求；d）使用设备是否为涉密设备，是否满足标准；e）是否在非涉密计算机上传递涉密项目信息。风险防控措施a）在整个设计过程中，应确定领导小组组织结构，严格按照班组成员划分岗位职责，严谨杜绝滥用职权、擅离职守、推卸责任等情况的出现。加强领导保密意识培训，起好带头表率作用。在设计过程中保密意识应随时体现在工作中，从现场的勘察、资料的整理、汇总、后期资料的加工、方案的修改、资料

24、的传输、最终方案的保存等都应该时刻提高保密意识，加强保密管理。b）方案设计小组成员必须经过严格筛选，参加保密培训及考核合格后方能上岗。在工作中时刻注意警惕自己是涉密人员，增强保密意识。c）在设计过程中对现在勘察时对周边环境应仔细查找风险点，避免一切安全隐患的发生，不满足要求的及时整改。后期资料整合。方案编写都应该在涉密办公室进行，防止涉密信息外漏。d）方案设计过程中所应用到的所有设备设施必须为涉密专用设备、杜绝涉密设备与非涉密设备混用。涉密信息存储设备必须随身携带，方案编写必须在涉密办公室内进行，如要将涉密文件等信息带出涉密办公室必须严格按照保密管理制度执行，保密领导小组组长同意方可。e）必须

25、在涉密计算机上处理涉密项目，不允许在非涉密计算机上处理或传递涉密项目信息。也不允许将涉密信息通过任何方式拷贝、复印拿出涉密办公室。2.5.3 系统集成过程风险评估2.5.3.1分保方案使用风险评估可能存在的风险点a）在现场使用时，信息是否产生泄露；b）涉密人员是否将图纸存放与他人手里或放在施工现场，导致项目设计方案泄露。风险控制措施a）加强涉密人员保密意识；b）涉密项目前期设计需由专人在涉密计算机上进行编写，弁用光盘进行信息存储，弁由委托方指定人员进行交接。不得将光盘存于他人手中或施工现场。c）严禁使用外网计算机查询任何涉密项目信息，涉密项目方案的制定均应在涉密办公室内的涉密计算机上进行编写。

26、2.5.3.2 设备采购风险评估可能存在的风险点a）工程建设周期导致从投标到采购的周期过长，存在供应商库存风险和技术偏离风险；b）市场信息不够完全、充分、透明，供应商在一定范围内能影响价格；c）设备采购过程中，供应商泄露项目信息。风险控制措施a）工程建设周期导致从投标到采购的周期过长，存在供应商库存风险和技术偏离风险，可从三方面进行规避：一方面可建立供应商预警机制，对价格、库存、技术等风险出现前进行供方预警；一方面，对于项目前期设备的选型，应考虑项目建设周期因素，应避免选择市场寿命短的产品；另一方面，应在签订项目合同时，对于设备的更新换代条款，应进行明示。b）加大市场信息获取力度，使市场信息准

27、确而全面，从而保证市场分析、成本分析等数据的可靠性；依据适用原则选择供应商弁改善与供应商的关系，避免成为强势供应商价格联盟的受害者。C）涉密项目的设备采购应单独采购，由涉密业务管理小组下的设备采购小组组长设立专人，不与其它项目的设备一起采购，与供应商签署保密承诺书，弁承诺不泄露项目信息、设备价格。2.5.3.3 现场实施风险评估可能存在的风险点a）合同及各项审核工作时间太长，导致项目信息泄露；b）在施工过程中有涉密人员离职或调岗，导致涉密信息泄露；c）施工现场环境是否满足涉密项目环境要求；d）现场施工时，是否有除委托方及现场施工人员以外的人员进出现场；e）设备安装调试时，是否通过非涉密计算机进

28、行操作。风险防控措施a）涉密项目签定的涉密合同必须由专职涉密人员进行登记、归档，存放于涉密办公室内的密码文件柜内。b）调岗或离职的涉密人员必须进行脱密期处理，弁签署涉密人员离岗保密承诺书。不得在脱密期间出国或在外资企业工作。c）施工现场周围不允许有大使馆、外资企业等；如有请做好保密防护措施，如：安装视频监控系统、防盗报警系统等。加强施工现场保密环境。d）现场施工时，不允许除委托方及现场施工人员以外的人员进出现场。除保密工作领导小组指定人员外，其他人员不得进入施工现场。e）调试设备时，必须用涉密计算机进行调试，不得用非涉密计算机进行。避免通过非涉密计算机传递涉密信息，导致涉密项目信息泄露。2.5

29、.3.4 审查验收风险评估可能存在的风险点a）审查验收人员是否为涉密人员，是否是保密工作领导小组指定；b）审查验收记录是否是由专人负责保管，是否产生记录丢失、泄露；c）对用户进行设备使用培训，但用户保密意识不强，无意间泄露保密信息。风险防控措施a）审查验收人员必须为涉密人员，必须由保密工作领导小组下的运行维护小组组长指派专人验收。b）审查验收记录由专人携带，带回公司后交于涉密办公室管理员处登记备案，存放于密码柜中。c）在审查验收时，应对用户进行相关保密知识培训。2.5.3.5 项目材料移交风险评估可能存在的风险点a）项目材料移交时是否是在保密环境下进行，记录是否齐全；b）接收材料人员是否是涉密

30、人员，是否由保密工作领导小组指定；C）接收材料人员是否携带材料出入公共场所，导致信息泄露。风险防控措施a）移交材料时，需在保密环境下进行，检查验收记录是否齐全，不能有记录不完整，不能在公共场所下进行。由专人进行材料交接，弁将材料封存于档案袋中。b）接收材料的人员必须是由保密工作领导小组指定的人。c）接收材料后，必须马上携带资料返回公司，不得在公共场所逗留，避免发生资料丢失，产生资料泄密。2.5.3.6 运行维护风险评估可能存在的风险点a）后期运行维护的人员是否是涉密人员，是否明确涉密人员的职责，是否有保密意识；b）在对设备维护时，是否使用非涉密计算机进行操作；c）运行维护人员是否在交谈中泄露涉

31、密信息；d）维护记录是否保存好，是否产生记录丢失、泄露。风险防控措施a）运行维护人员必须是涉密人员，要有保密意识。在上岗前是否参加涉密人员培训，是否与公司签订保密协议、保密责任书及保密承诺书。b）运行维护人员需由保密工作领导小组指定，记录需要专人保存弁带同公司，交于涉密办公室保密管理员处，登记存于密码文件柜中。C）运行维护人员在维护设备时，相关信息一定要在涉密计算机中处理。d）运行维护人员要有保密意识，时刻警惕自己为涉密人员。不泄露任何项目信息。2.5.3.7 项目流程图1业务方提出项目需求风险点：参与者是否对项目标底进行保密，是否对工程项目投标情况风险点：项目现场周边环境存在商业I区、大使馆

32、等2根据项目需求安排相应工程师响应需求，配合业务部门的工作（参与者均为忸密人员）3是否需要对客户进行现场服务（现场勘察）>3.1现场勘察，记录客户需小，填写（调查报告3.2需求报告）风险点：资格预审时潜在投标人是否保密以及现场踏勘中标人是否有保密售方提供节户风险点：涉密项目前期设计阶段，项露风险点：设计人员保密意识风险、人员素质能力风险、i工作方式风险4汇总所有的项目数据，开会对项目情况进行讨论，判断项目可行性5进行解决方案的设计与制作6对方案可行性进行，根据标书确认方ir风险点：是否做好投标方案的保密6.11总、经理进行最后确认风险点：内外网计算机混用导致涉密项目信息及技术文件通过外网

33、计算机产生泄露7制订（技术抽、施工预算总表）on中r风险点：供应商是否泄密17各分段项目结束后分段项目负责人提供阶段工程竣工报告，项目经理安排进行下一阶段施工风险点：审查验收记录是否是由专人负责保管，是否产生记录丢失、泄露。风险点：审查验收人员是否为涉密人员,是否是保密工作领导小组指定。21项目经理组织，个分项目负责人参加对整个项目进行内部总验收22提前一天通知甲方并且陪同甲方项目负责人对整个工程项目进行总验收，技术人员演示各项功能。验收完毕项目经理部分技术人员离场23项目交接技术人员向甲方技术负责人员进行项目交接，提交各种技术文档，并进行相应技术培训后离场风险点：业主方交接人员未进行涉密培训

34、，导致涉密项目信息泄露24项目实施流程完毕，建立客户服务档案25业务和销售代表根据客户要求，提出客户服务申请G险点：后期运行维护的26根据故障类型，指派相关技术人员受理服务人员是否是涉密人员，是否明确涉密人员的职责，是否有保密意识。风险点：维保记录是否保存好，是否产生记录丢失、泄露。27技术工程师根据客户档案与故障现象与甲方进行联系风险点：运行维护人员是否在交谈中泄露涉密信息3 .持续性改进机制时代在不断进步，生产方式在不断更改，各种措施的密保与安全性都在经受考验。随着信息化的进一步发展，涉密集成资质单位对涉密信息系统安全保密的认识也逐步提高，其安全问题日益突出，与生产业务的保密资格标准相关的

35、要求和操作方式，对涉密集成资质单位安全保密策略提出了进一步要求。因此，制定详细的安全保密策略成为当前安全生产业务保密管理的重点，因时制宜的改进与处理，显得更为重要。我们必须与时俱进，制定相应的方针与策略来应对时代的进步，这就是为什么安全保密管理是一个不断完善，不断改进的过程，没有终点。由健全的网络与信息安全保障措施，到对涉密生产的安全保障措施、信息安全保密管理制度、用户信息安全管理制度做一个有力保护屏障。在我国高度重视涉密集成资质单位生产业务的安全密保的同时，又要求参与生产效率与利要最大化。针对集成单位的项目实施在安全保密管理方面进行持续改进意义重大。持续改进的意义持续改进是一个组织自身生存和

36、发展的需要，是组织的一个永恒目标。就外部环境而言.任何事物都是在不断发展的，同人们对产品需求的变化是一样。持续改进有助于提高生产业务的安全性。从网络，系统，应用运行管理、系统冗余等角度综合分析，采用先进的安全技术，对如防火墙、加密技术、数据清查等为网站提供系统防御的安全体系，可以有效地防止外来数据对自身系统攻击破坏与入侵。集成单位的项目实施在安全保密管理方面为企业单位的命脉，我们将在尽可能减少投资，节约可利用资源的条件下，从系统结构、网络结构、技术措施、设施选型等方面综合考虑，以尽量减少系统中的单故障节点出现率与单位电子系统被入侵率，经由网络服务器实现24小时的不间断服务，从而达到使生产过程中

37、实现安全与效率最大化。如何进行持续改进a）电子政务信息系统的使用随着计算机信息技术的飞速发展，电子政务信息系统在企事业单位和政府机关实际工作中已经发挥了越来越重要的作用。电子政务信息系统涉及对企业和国家秘密信息和高敏感度核心的保护，涉及经济安全、商业秘密、公共秩序和行政监管的准确实施，涉及为杜会提供公共服务的质量保证。本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护管理所采用的产品技术均综合考虑当今互联网发展趋势，采用相对先进同时市场相对成熟的产品技术，以满足未来热点网站的发展需求。既彰显业务开放的优良性，又兼备对涉密保密的高度技术要求。b）安全运行系统的使用从安全法规，安全标准，安全机构，安全介质管理、安生人员管理、安全文档管理、安全场地管理等方面进行设计.在保密生产业务的过程中，对信息安全进行管理的安全组织结构，制订信息系统安全策略，制订相应的人员安全管理及物理安全管理的各种规章制度，为信息安全提供管理指导和支持，安全运行体系是完善的安全管理体系最必不可少的组成部分。系统安全运行主要从安全运行体系组织机构、综台分析与风险管理、系统安全维护、安全备份，应急响应与灾难恢复等方面进行考虑，保障系统正常运行，以及出现特殊紧急情况时的风险控制，应急和恢复方案。在软硬件系统包括时力科技以及第三方厂商的