安全保密风险点及防控措施管理手册

1、安全保密风险点及防控措施管理汇总表序号评估项风险点风险级别风险事项防控措施备注1安全保密管理制度体系组织机构成员设置不合理低组织成员组成不合理，不能在人、财、物等方面及时提供协调和落实成立保密工作领导小组。由总经理、保密总监、工程部、技术部、人事部、财务部、采购部、市场部、保密管理办公室主任组成。保密管理办公室由专职保密管理办公室主任、保密管理员、涉密设备管理员、安全审计员组成。负责日常保密管理工作的指导、监督、检查。组织机构职责分工不明确中保密管理事项落实不及时，责任不清晰。根据公司岗位职责，明确保密管理职责分工。保密工作领导小组成员职责、涉密业务相关部门的职责、保密管理办公室成员职责。组织

2、机构岗位人员变动低人员变动对保密管理工作落实加强保密监管和教育培训。核查岗位职能及人员编制情况，开展保密教育并考核。管理制度不完善中保密管理要求不能落实，职责要求不明确，不能有效做到保密监管依据集成资质管理办法完善公司保密管理制度。从组织机构建立、人员管理、场所管理、资产使用管理、涉密业务管理等方面编制和完善19项保密管理制度。各项规章制度中明确审批、记录、登记等表格。管理制度与公司各项管理制度的融合不紧密低公司各项管理制度与保密管理融合不够。保密管理工作落实不及时公司各项管理制度的职责分工与保密管理制度中保密管理要求融合。人力资源制度、财务制度和行政管理制度增加相应保密管理要求和流程。无涉密

3、项目管理制度高涉密项目管理是涉密文档管理、流程控制管理、实施人员管理、实施现场环境管理等主要依据编制涉密项目管理制度，包括：项目密级和知悉范围确定，项目过程管理，实施人员管理，文档资料审批、登记、归档、移交和备案等的管理要求，项目实施细则的流程控制等保密工作的考核与奖惩中保密工作落实未纳入绩效考核，缺乏牵制机制在管理制度中明确奖惩机制。每季度对涉密人员/涉密业务部门进行考核，表现优秀的进行奖励，对违反各项法律法规的，进行严惩，并将奖惩情况纳入个人的年度绩效考核中。未按时按要求组织进行内部自查、建立持续改进机制中没有定期开展内部监督审查，涉密人员对保密知识不扎实，易导致泄密事件发生；项目管理部门

4、未制定保密工作方案，易导致项目管理存在安全漏洞保密管理办公室落实每季度监督审查，在内部寻找安全隐患，及时进行整改并制定相应的防控措施；加强对人员、载体、项目、资产、场所等保密管理知识培训。2涉密人员管理涉密人员的入职中涉密人员入职未经政审、审批和保密教育涉密人员管理制度中对涉密人员入职基本条件、涉密人员界定、审查要求、上岗履行手续等进行明确要求。涉密人员岗前管理中涉密人员上岗前未进行保密教育考核，不具备保密知识水平保密管理办公室加强管理，对通过资格审查的涉密人员进行岗前的保密教育培训，并对其进行保密教育考核，确保上岗前的涉密人员均能通过考核。涉密人员岗前管理高涉密人员上岗前未通过保密教育考核，

5、未签订保密责任书保密管理办公室加强管理与监督检查，确保涉密人员通过保密教育考核并签订保密责任书，具备保密知识与明确保密责任后方能上岗。涉密人员在岗管理中涉密人员在岗未履行教育培训、考核、出境管理明确涉密人员每年不少于12学时的教育培训：保密法律法规、保密制度和审批要求；涉密业务相关的技能培训；涉密人员出入境审批管理和流程要求；涉密人员检查：人员每季度自查、部门每季度保密检查。涉密岗位和涉密人员的涉密等级划分不明确中 涉密岗位和涉密等级划分不清晰，导致涉密人员对自身定位要求不明确，不能落实对应的责权利保密管理办公室严格按照保密管理规定及公司业务工作需要，对涉密人员的涉密岗位和涉密等级进行明确划分

6、并登记在案。涉密人员可根据工作需要向保密办提出申请，履行相应的审批手续进行变更涉密岗位或涉密等级。保密补贴制度未落实低涉密人员保密补贴未发放或未按时发放，导致涉密人员权利无法保障，涉密人员对保密工作不积极保密管理办公室跟进落实财务部对涉密人员保密补贴的发放，实行保密补贴签收制。涉密人员离职/离岗管理中涉密人员离职未通过保密管理办公室、保密工作领导小组的审查和审批涉密人员离职须经过保密管理办公室的审批同意，并对其进行离职后的相关保密教育。涉密人员离职/离岗管理中涉密人员离职/离岗需要履行相关审批手续，未签订离职保密承诺书，并将涉密载体进行清退保密管理办公室均需对离职/离岗涉密人员进行审查同意，并

7、与其签订离职保密承诺书，明确离职后的保密义务，接触过涉密载体的离职涉密人员需要办理移交手续，凭借涉密人员离职/离岗审批表和涉密载体移交表方能到人事部办理员工的离职手续。离职涉密人员的脱密期管理中涉密人员在脱密期期间不遵守有关保密规定，泄露保密信息保密管理办公室负责对离职涉密人员每2个月进行回访跟踪，回访内容包括但不限于：目前所在地方、工作内容、工作性质、所在单位性质。3资产使用管理涉密设备、防护设施、安全保密防护产品和办公设备的保密管理要求高涉密有关设备的采购管理和使用管理全过程监管不严格；使用审批、维修、报废责任部门、责任人不明确；防护设施的管理和巡查巡检机制不健全；载体和介质制作、收发、传

8、递审批和记录不全；涉密文档资料的输入输出审批流程不清晰。涉密资产与公司各项管理制度融合。公司各项管理制度增加保密监管条款。制度中对涉密资产（设备、设施、安全防护产品、办公自动化设备、载体及介质等）的采购申请、购买流程、配备、检查等的全过程监管；涉密设备维护、维修、报废审批监管；涉密便携式计算机的使用管理要求；防护设施的管理，建立巡防巡查机制的；涉密载体、介质制作、收发、传递的管理要求和审批监管。记录登记和备案流程；保密办核查核对检查；输入输出涉密文件审批流程，登记、备案措施；个人保密自查、业务部门检查、保密办保密检查中对负责的设备进行核查核对。缺少对非涉密设备监管低非涉密设备管理管控缺失保密管

9、理要求非涉密设备不得存储处理涉密信息；不得在涉密计算机和非涉密计算机间交叉使用介质；纳入保密办保密检查中。涉密设备存放低涉密设备与非涉密设备混合存放容易产生泄密事件涉密设备与非涉密设备分开存放，涉密设备存放在保密室，由涉密设备管理员负责管理。建立信息设备台账中未建立信息设备台账容易发生设备丢失保密管理办公室委派涉密设备管理员负责建立涉密设备信息台账，并定期进行核查。涉密信息设备标识中涉密信息设备没有作出标识，容易导致涉密设备与非涉密设备混合使用，导致泄密事件发生涉密设备管理员对所有涉密设备在明显部位进行标识。4涉密场所管理涉密场所界定及防护措施低缺少涉密场所界定审批；防护设施的使用管理和检查不

10、及时；涉密场所责任人监管不严格。公司设置涉密办公区200多平方米（内设1个保密档案室）。对涉密场区根据使用功能进行界定审批，明确责任人。粘贴警示标识。涉密场所日常保密管理中涉密场所进出管理落实不到位涉密场所责任人是涉密场所的安全、保密第一责任人。对进入涉密场所履行的审批、登记监督管理。公司限定涉密人员进入涉密场所的人员名单，进出保密室须履行登记手续。其他涉密人员或非涉密人员因工作需要进去涉密场所须履行审批手续，姓名、身份证号码、进入离开时间、陪同人员、审批人员等；所有人员禁止将带有录音、录像、拍照和存储功能的信息设备带入涉密区；禁止将手机带入公司涉密办公室场所。涉密场所监控、消防、门禁管理中保

11、密室门禁、消防、监控等系统故障，无法保障涉密场所的安全涉密设备管理员定期对涉密场所的门禁系统、视频监控系统、消防报警系统进行检查，确保设备能正常运行。涉密场所网络环境中保密室局域网与互联网相通，涉密信息会通过互联网被非法获取，造成保密信息泄露；涉密设备使用无线网络信号容易被非法截获，篡改保密室局域网禁止与互联网相通，保密室禁止使用无线网络。5涉密业务管理涉密业务部门保密管理中部门岗位职责与保密管理要求不完善；涉密人员自查、部门保密检查要求不明确涉密业务部门负责人为涉密部门第一责任人；监督涉密人员自查、涉密部门保密检查等的落实整改；部门人员的保密职责履行情况管理。部门安全保密管理风险评估（一年）

12、。涉密项目保密管理高涉密项目实施全过程监控管理不规范、执行不严格、落实不到位；涉密项目工程资料的密级及知悉范围不清晰；涉密项目实施过程监管不完善每个涉密项目都制定项目保密管理方案；涉密项目实施流程保密管理控制措施；涉密项目工程档案的密级和知悉范围列表；涉密项目的备案、实施人员的保密管理、非涉密人员进入实施现场的审批、登记、陪同控制管理、涉密设备的保管、办公场所的保密管理、涉密文档资料的整理、登记、备案、借阅的流程控制等管理要求。涉密项目组建阶段中非涉密人员加入涉密项目小组，涉密项目组成员未进行项目实施前的教育培训项目经理在项目实施前向保密管理办公室确认项目小组成员，并协同保密管理办公室开展对项

13、目组成员在项目实施前的保密教育培训。涉密项目实施阶段中非涉密人员随意进入项目实施现场，进入项目实施现场的人员携带具有通信、拍照、录音、录像等功能的电子设备项目经理明确进入涉密项目现场的人员名单，其他人员进入项目实施现场需经项目经理和业主方的书面同意，任何人进入项目实施现场不得私自携带电子设备。涉密项目的全阶段高利用电邮、QQ、微信等个人通信工具讨论涉密项目、传送涉密文件保密管理办公室加强对涉密项目实施管理的监督检查，加强对涉密项目组成员的保密教育，涉密办公必须在保密场所并使用涉密设备进行。涉密项目的全阶段高利用普通复印机和打印机复制和打印涉密文件保密管理办公室加强对涉密项目实施管理的监督检查，

14、加强对涉密项目组成员的保密教育，涉密文件、资料不得私自打印、复印，打印、复印涉密文件、资料须履行相关审批手续并使用涉密打印机和复印件进行打印和复印。项目涉密文档资料管理中项目涉密文档资料的登记、使用、收发管理要求不明确项目涉密文档资料和非涉密文档的登记、备案管理。涉密文档的借阅、带出审批。涉密资料的打印、复制审批。6保密档案管理涉密项目文档资料档案管理中涉密工程项目文档资料登记、备案过程监管落实不严格招标阶段、工程合同、项目启动、项目实施、项目验收、项目支付、项目移交阶段各类文档的密级和知悉范围。涉密项目保密管理机构的备案、工程资料移交、项建设管理情况总结。工程部保密专员负责涉密工程项目资料的

15、归档管理。保密专员负责涉密项目工程资料的借阅、打印和复印的集中输出操作，并做好记录，及时到保密部门备案。保密管理工作档案管理低保密工作档案的密级及知悉范围保密办负责保密工作档案的登记、备案的管理工作。保密工作档案包括：各类设备的分台账、总台账；年度保密工作计划、总结；涉密人员相关档案资料；涉密人员自查表；涉密部门检查表；部门、公司风险评估报告；各种审批、记录表单；保密工作会议纪要、保密教育培训资料。7涉密载体管理涉密载体的界定中涉密载体界定不清晰容易导致涉密载体的使用出现泄露事件、丢失等保密管理办公室对所有的涉密载体进行标识，标明编号、密级、保密期限、接触范围、知悉范围等信息涉密载体的收发、借阅、使用、保存等保密管理高不按照保密管理收发、使用、借阅、保存等不按规定进行容易导致涉密信息的泄露、涉密文件的丢失等保密管理办公室加强涉密人员对涉密载体使用的保密管理等相关知识的保密教育培训，涉密载体的使用须履行有关的审批手续，保密办负责加强对涉密载体使用的监督检查力度携带涉密载体外出低未经审批擅自携带涉密载体外出保密管理办公室加强涉密人员对涉密载体管理的保密教育，涉密载体携带外出须得到保密办的审批同意，由保密管理