保密风险评价与管理

1、保密风险评估与管理.保密风险评估的重要性保密风险评估是保密工作的重要组成部分。保密风险评 估要坚持实事求是的原则，深入调查研究，全面掌握保密风 险因素及其影响，进而科学分析企业保密工作面临的形势、 存在的问题，在此基础上提出切实可行的关于风险防范控制 措施的建议方案。保密风险一词包括了两方面的内涵。其一，风险意味着 会对企业正常的工作带来不良影响；其二，这种影响的出现 与否是一种不确定性随机现象，它可用概率表示出现的可能 程度，但不能对出现与否做出确定性判断。从而可知，风险 因素、风险事故和影响密切相关，它们构成了企业保密风险 存在与否的基本条件。简单概括而言：风险因素引起风险事故，风险事故导

2、致 对企业带来不良影响。.风险点及风控措施1）涉密人员风险评估可能存在的风险点a）招聘时人员是否满足涉密人员要求；b）审核时竞聘人员是否有过犯罪记录，是否为中国公民； c）上岗前是否接受过保密知识培训及考核；-可编辑修改-d）是否与公司签订保密承诺书，保密协议，保密责任书及 涉密人员考核评价考表；e）部门是否按照公司要求开展保密知识培训，加强部门涉 密人员的保密意识；f）涉密人员离岗时是否签订离岗保密承诺书，保密工作领 导小组是否对其进行脱密期管理。风险防控措施 a）应聘员工应满足公司对涉密人员的聘用标准；b）上岗必须学习岗位保密业务，且保密知识考核成绩合格;c）与公司签署保密协议、保密承诺书

3、、保密责任书；d）员工所在部门领导确认涉密人员考核评级表内容，确认 无误后签字，同时保密领导小组同意签字后，评价表交 保密工作领导小组存档，作为该员工作为涉密人员的考 核内容；e）保密办公室应在年初做好本年度保密知识培训计划及 考核计划，组织涉密人员学习各项保密知识。f）涉密人员在离岗后，严格遵守公司保密制度，与公司签 署离岗保密承诺书，并严格遵守公司对离岗人员的脱密 期管理。2）涉密载体风险评估可能存在的风险点纸质文件：-可编辑修改- a）涉密文件、资料是否有专人管理；b）涉密文件收发是否有记录，是否有文件丢失、泄露；c）涉密文件复印、外借是否有登记，是否在记录中标明使 用理由、复印数量及使

4、用人签字；d）涉密文件借阅是否有登记记录，是否在记录中标明借阅 理由、使用时间、归还时间及借阅人签字；e）涉密文件是否及时归档，档案目录是否及时更新。电子文件：a）是否指派专人对涉密电子文件进行管理；b）制作涉密电子文件时，是否记录使用范围及制作数量； c）是否在非涉密计算机中传递涉密电子文件；d）在携带涉密电子文件外出时，是否有专人携带；e）涉密电子文件是否及时归档；f）报废的涉密电子文件如何处理。风险防控措施纸质文件a）所有保密文件、文档、材料由涉密办公室管理员统一管 理，统一登记入密码柜，定期进行清查，避免发生资料 泄露及丢失。严禁其他人员随意翻看保密资料，如有其 他保密人员要借阅使用，

5、由涉密办公室管理员进行登记， 写明借阅时间及借阅理由，并保证不拿出涉密办公室以 外的地方使用。-可编辑修改- b）保密材料严格按领导批准的份数印刷，不得擅自多印多 留，复印件视同原件管理，复印过程中产生的废纸、废 件应及时销毁；在复印材料之前，需由涉密办公室管理 员登记后进行，标明使用理由、复印份数；c）传递保密材料要有保密措施，传递应专人专送，不得办 理无关事项，密件不得携入不利于保密的场所；外出工 作须携带保密材料，要经保密工作领导小组批准后进行。d）对保密资料未经许可，不得擅自摘抄、翻印、复印、转 借或损坏；一旦造成损失由当事人承担责任。电子文件：a）指定专人负责本单位涉密电子文件的日常

6、管理工作。b）制作涉密电子文件，应当依照有关规定文件内，使用范围及制作数量，并编号记录。c）传递涉密电子文件，应当履行登记、签收等手续。禁止在任何非涉密网络上传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。d）阅读、使用、复制和销毁涉密电子文件，应经保密工作领导小组批准，同时办理登记、签字手续。复制的电子文件视同原件管理。-可编辑修改-e）定期对涉密电子文件及载体进行清查、核对，发现问题 及时向保密工作领导小组汇报。3）涉密设备风险评估可能存在的风险点a）涉密计算机是否有违规操作；b）涉密计算机端口是否插过其他存储介质；c）涉密计算机是否配备三合一防护系统；d）办公室自动化设备是否外

7、借使用；e）涉密计算机及办公室自动化设备维修、更换、报废如何 管理。风险防控措施a）涉密计算机安装了通软主机监控与审计系统V6.0软件 进行端口审计；b）涉密计算机安装了 360杀毒软件由专人进行病毒软件 更新，更新周期不超过15天；c）每台涉密计算机都配备了三合一防护系统，严格控制了 计算机内涉密信息的流失；d）涉密计算机配置了 10位数以上的密码，由专人统一管 理、记载；e）办公室自动化设备均为涉密办公室处理涉密项目专用， 不得外借使用；f）涉密计算机及办公室自动化设备由保密工作领导小组-可编辑修改-确认专人使用，机器明确标识使用人姓名并登记入册； 使用人发生变化时，报保密工作领导小组审核

8、，审核通 过后进行变更；g）涉密计算机及办公室自动化设备（打印机、刻录机）维 修、更换、报废由涉密办公室管理员负责，做好相关登 记；维修应由保密领导小组批准后进行；h）涉密计算机维修应到黑龙江省保密局指定的地点维修， 维修前应卸下硬盘等敏感部件；维修后应进行安全检测 后方可使用；i）更换涉密计算机应事先提交涉密设备变更申请表，写明 更换原因，经保密工作领导小组批准后进行。在更换涉 密计算机前应卸下硬盘，卸下的硬盘不得在非涉密计算 机上使用，硬盘交由涉密办公室保密管理员登记备；硬 盘留存于保密办公室，不得使用、外借；j）涉密计算机报废不得当作废品出售，在申请报废后先到 涉密办公室保密管理员处登记

9、，卸下硬盘并由专人上交 黑龙江省国家保密局工作部门进行集中销毁处理，报废 涉密计算机应报黑龙江省国家保密局备案。4）涉密场所风险评估可能存在的风险点a）涉密办公室内是否存在网络端口；b）非涉密人员进出涉密办公室是否有记录；-可编辑修改-c）涉密办公室是否按照黑龙江省国家保密局要求配备了 门禁系统、防盗报警系统、视频监控系统；d）涉密人员进出涉密办公室时是否携带相机，手机，录音 笔等其它可存储介质。风险防控措施a）由安全保密管理员定期检涉密办公室的门禁、防盗报警、 监控等设备的完好状态，确保保密材料安全。b）非授权人员进出入涉密场所，须经公司保密领导小组审 批并由授权人员进行陪同方可进入，同时建

10、立涉密场所 非授权人员进入登记册，对临时进出的人员记录登记； 标明进出入时间及事由。c）建立视频监控的管理检查机制，公司的安全保卫部门应 当定期对视频监控信息进行回看检查，保密办公室应当 对执行情况进行监督。视频监控信息保存时间不少于3 个月。d）未经批准，不得将具有录音、录像、拍照、存储、通信 功能的设备带入涉密办公室。5）涉密项目风险评估A.招投标风险评估可能存在的风险点a）投标小组成员是否为涉密人员，是否有保密意识；b）是否有泄露标底的情况；-可编辑修改- c）是否做好投标文件的保密情况；d）是否做好资格预审时投标人的保密以及现场踏勘中标人的保密情况；e）评标机构是否做好保密工作。风险防控措施a）投标小组成员必须为涉密人员，必须与公司签署保密协 议，保密承诺书及保密责任书后方可进入小组。b）标底作为评标的主要依据，是工程招标保密工作的重中 之重，标底如果泄露可能会导致工程招标成本的提高。 因此，投标小组应加强对标书的保密管理，涉及记载标 底的文件不能随意摆放，应视同保密材料一样保管于涉 密办公室。c）投标文件是投标人的商业秘密。既然投标人信任招标代 理机构，招标代理机构也应把投标人递交的投标文件保 存好。因此，招标代理机构有义务