信息系統(tǒng)集成項(xiàng)目風(fēng)險(xiǎn)評(píng)價(jià)及防控措施

1、信息系統(tǒng)集成項(xiàng)目風(fēng)險(xiǎn)評(píng)估及防控措施1、參與涉密項(xiàng)目人員風(fēng)險(xiǎn)評(píng)估1.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 項(xiàng)目部組建時(shí)人員是否滿足涉密人員要求；? 上崗前是否接受過保密知識(shí)培訓(xùn)及考核；? 是否與公司簽訂保密承諾書，保密協(xié)議，保密責(zé)任書及涉密人員考核評(píng)價(jià)表；? 部門是否按照公司要求開展保密知識(shí)培訓(xùn)，加強(qiáng)部門涉密人員的保密意識(shí)；? 涉密人員離崗時(shí)是否簽訂離崗保密承諾書， 保密工作領(lǐng)導(dǎo)小組是否對(duì)其進(jìn)行 脫密期管理。1.2風(fēng)險(xiǎn)防控措施? 應(yīng)聘員工應(yīng)滿足公司對(duì)涉密人員的聘用標(biāo)準(zhǔn)；? 上崗必須學(xué)習(xí)崗位保密業(yè)務(wù)，且保密知識(shí)考核成績(jī)合格；? 與公司簽署保密協(xié)議、保密承諾書、保密責(zé)任書；? 員工所在部門領(lǐng)導(dǎo)確認(rèn)涉密人員考核評(píng)級(jí)表

2、內(nèi)容，確認(rèn)無誤后簽字。同時(shí)保 密領(lǐng)導(dǎo)小組同意簽字后.評(píng)價(jià)表交保密工作領(lǐng)導(dǎo)小組存檔，做為該員工的涉 密考核內(nèi)容；? 保密辦公室應(yīng)在年初做好本年度保密知識(shí)培訓(xùn)計(jì)劃及考核計(jì)劃，組織涉密人員學(xué)習(xí)各項(xiàng)保密知識(shí)。? 涉密人員在離開項(xiàng)目后，嚴(yán)格遵守公司保密制度，與公司簽署離崗保密承諾 書，并嚴(yán)格遵守公司對(duì)離崗人員的脫密期管理要求。2、涉密載體風(fēng)險(xiǎn)評(píng)估2.1可能存在的風(fēng)險(xiǎn)點(diǎn)紙質(zhì)文件：? 涉密文件、資料是否有專人管理；? 涉密文件是否有收發(fā)記錄；? 涉密文件復(fù)印、外借是否有登記，是否在記錄中標(biāo)明使用理由、復(fù)印數(shù)量及 使用人簽字；? 涉密文件借閱是否有登記記錄，是否在記錄中標(biāo)明借閱理由、使用時(shí)間、歸 還時(shí)間及借閱

3、人簽字；? 涉密文件是否及時(shí)歸檔，檔案目錄是否及時(shí)更新。電子文件：? 是否指派專人對(duì)涉密電子文件進(jìn)行管理：? 制作涉密電子文件時(shí)，是否記錄使用范圍及制作數(shù)量：? 是否在非涉密計(jì)算機(jī)中傳遞涉密電子文件；? 在攜帶涉密電子文件外出時(shí)，是否有專人攜帶；? 涉密電子文件是否及時(shí)歸檔；? 報(bào)廢的涉密電子文件如何處理。2 .2風(fēng)險(xiǎn)防控措施紙質(zhì)文件：? 所有保密文件、文檔、材料由項(xiàng)目保密專員統(tǒng)一管理，統(tǒng)一登記并存入密碼 柜，定期進(jìn)行活查，避免發(fā)生資料泄露或丟失。嚴(yán)禁其他人員隨意翻看保密 資料，如有其他保密人員要借閱使用，由保密專員進(jìn)行登記，寫明借閱時(shí)間 及借閱理由，并保證不拿到涉密辦公室以外的地方使用。?

4、保密材料嚴(yán)格按保密領(lǐng)導(dǎo)辦公室批準(zhǔn)的份數(shù)印刷，不得擅自多印多留，復(fù)印 件視同原件管理，復(fù)印過程中產(chǎn)生的廢紙、廢件應(yīng)及時(shí)銷毀；在復(fù)印材料之 前，需由保密辦公室管理員登記后方可進(jìn)行，標(biāo)明使用理由、復(fù)印份數(shù)；? 傳遞保密材料要有保密措施，傳遞應(yīng)專人專送，不得辦理無關(guān)事項(xiàng)，攜帶密 件不得進(jìn)入不利于保密的場(chǎng)所；外出工作需攜帶保密材料的，要經(jīng)保密工作 領(lǐng)導(dǎo)小組批準(zhǔn)。? 保密資料未經(jīng)許可，不得擅自摘抄、翻印、復(fù)印、轉(zhuǎn)借或損壞；一旦造成損 失由當(dāng)事人承擔(dān)責(zé)任。電子文件：? 指定專人負(fù)責(zé)項(xiàng)目涉密電子文件的日常管理工作。? 制作涉密電子文件，應(yīng)當(dāng)依照有關(guān)文件，規(guī)定使用范圍及制作數(shù)量，并編號(hào) 記錄。? 傳遞涉密電子文

5、件，應(yīng)當(dāng)履行登記、簽收等手續(xù)。禁止在任何非涉密網(wǎng)絡(luò)上 傳遞涉密電子文件。嚴(yán)禁在非涉密機(jī)上處理或存儲(chǔ)涉密電子文件。? 閱讀、使用、復(fù)制和銷毀涉密電子文件，應(yīng)經(jīng)保密工作領(lǐng)導(dǎo)小組批準(zhǔn)，同時(shí) 辦理登記、簽字手續(xù)。復(fù)制的電子文件視同原件管理。? 定期對(duì)涉密電子文件及載體進(jìn)行活查、核對(duì)，發(fā)現(xiàn)問題及時(shí)向保密管理辦公 室匯報(bào)。3、涉密設(shè)備風(fēng)險(xiǎn)評(píng)估3.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 涉密計(jì)算機(jī)是否有違規(guī)操作：? 涉密計(jì)算機(jī)端口是否插過其他存儲(chǔ)介質(zhì)；? 涉密計(jì)算機(jī)是否配備三合一防護(hù)系統(tǒng)：? 辦公場(chǎng)所自動(dòng)化設(shè)備是否外借使用：? 涉密計(jì)算機(jī)及辦公場(chǎng)所自動(dòng)化設(shè)備維修、更換、報(bào)廢如何管理。3 .2風(fēng)險(xiǎn)防控措施? 涉密計(jì)算機(jī)安裝主機(jī)

6、監(jiān)控與審計(jì)系統(tǒng)進(jìn)行端口審計(jì)；? 涉密計(jì)算機(jī)安裝7工民病蠹防護(hù)軟件，由專人進(jìn)行病蠹軟件更新，更新周期不 超過15天：? 每臺(tái)涉密計(jì)算機(jī)都配備三合一防護(hù)系統(tǒng)，嚴(yán)格控制了計(jì)算機(jī)內(nèi)涉密信息的流 失；? 涉密計(jì)算機(jī)配置10位數(shù)以上的密碼，由專人統(tǒng)一管理、記載；? 辦公室自動(dòng)化設(shè)備均為涉密辦公室處理涉密項(xiàng)目專用，不得外借使用；? 涉密計(jì)算機(jī)及辦公室自動(dòng)化設(shè)備山保密工作領(lǐng)導(dǎo)小組確定專人使用，機(jī)器明確標(biāo)明使用人姓名并登記入冊(cè)；使用人發(fā)生變化時(shí)，報(bào)保密工作領(lǐng)導(dǎo)小組審 核，審核通過后進(jìn)行變更：? 涉密計(jì)算機(jī)及辦公室自動(dòng)化設(shè)備（打印機(jī)、刻錄機(jī)）維修、應(yīng)由保密領(lǐng)導(dǎo)小 組批準(zhǔn)后進(jìn)行；? 涉密計(jì)算機(jī)維修應(yīng)到保密局指定的地

7、點(diǎn)維修， 維修前應(yīng)卸下硬盤等敏感部件， 維修后應(yīng)進(jìn)行安全檢測(cè)后方可使用；? 更換涉密計(jì)算機(jī)應(yīng)事先提交涉密設(shè)備變更中請(qǐng)表，寫明更換原因，經(jīng)保密工 作領(lǐng)導(dǎo)小組批準(zhǔn)后進(jìn)行。在更換涉密計(jì)算機(jī)前應(yīng)卸下硬盤，卸下的硬盤不得 在非涉密計(jì)算機(jī)上使用，硬盤交由涉密辦公室保密管理員登記備案；硬盤留 存于保密辦公室，不得使用、外借；? 涉密計(jì)算機(jī)報(bào)廢不得當(dāng)作廢品出售，在中請(qǐng)報(bào)廢后先到保密辦公室保密管理 員處登記，卸下硬盤并由專人上交保密局工作部門進(jìn)行集中銷毀處理，報(bào)廢 涉密計(jì)算機(jī)應(yīng)報(bào)保密局備案并履行相應(yīng)的銷毀制度。4、涉密場(chǎng)所風(fēng)險(xiǎn)評(píng)估4.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 涉密辦公場(chǎng)所內(nèi)是否存在網(wǎng)絡(luò)端口 ；? 非涉密人員進(jìn)出涉密

8、辦公室是否有記錄；? 涉密辦公場(chǎng)所是否按照國(guó)家保密局要求配備了門禁系統(tǒng)、防盜報(bào)警系統(tǒng)、視 頻監(jiān)控系統(tǒng)；? 涉密人員進(jìn)出涉密辦公室時(shí)是否攜帶相機(jī)，手機(jī)，錄音筆等其它可存儲(chǔ)介質(zhì)。4、2風(fēng)險(xiǎn)防控措施? 由安全保密管理員定期檢查涉密辦公室的門禁、防盜報(bào)警、視頻監(jiān)控等設(shè)備 的完好狀態(tài)，確保保密材料安全。? 非授權(quán)人員進(jìn)出涉密場(chǎng)所，須經(jīng)公司保密領(lǐng)導(dǎo)小組審批并山授權(quán)人員進(jìn)行全 程陪同方可進(jìn)入，同時(shí)建立涉密場(chǎng)所非授權(quán)人員進(jìn)入登記冊(cè)，對(duì)臨時(shí)進(jìn)出的 人員登記；標(biāo)明進(jìn)出時(shí)間及事由。? 建立視頻監(jiān)控的檢查管理機(jī)制，公司的安全保衛(wèi)部門應(yīng)當(dāng)定期對(duì)視頻監(jiān)控信 息進(jìn)行回看檢查，保密辦公室應(yīng)當(dāng)對(duì)執(zhí)行情況進(jìn)行監(jiān)督。視頻監(jiān)控信息保

9、存 時(shí)間不少于3個(gè)月。? 未經(jīng)批準(zhǔn)，不得將具有錄音、錄像、拍照、存儲(chǔ)、通信功能的設(shè)備帶入涉密 辦公室。5、分包方案使用風(fēng)險(xiǎn)評(píng)估5.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 在現(xiàn)場(chǎng)使用時(shí)，信息是否產(chǎn)生泄露；? 涉密人員是否將圖紙存放與他人手里或放在施工現(xiàn)場(chǎng)，導(dǎo)致項(xiàng)目設(shè)計(jì)方案泄露。5.2風(fēng)險(xiǎn)控制措施? 加強(qiáng)涉密人員保密意識(shí)；? 涉密項(xiàng)目前期設(shè)計(jì)需由專人在涉密計(jì)算機(jī)上進(jìn)行編寫，并用光盤進(jìn)行信息存儲(chǔ)，并由委托方指定人員進(jìn)行交接。不得將光盤存于他人手中或施工現(xiàn)場(chǎng)。? 嚴(yán)禁使用外網(wǎng)計(jì)算機(jī)查詢?nèi)魏紊婷茼?xiàng)目信息，涉密項(xiàng)目方案的制定均應(yīng)在涉密辦公室內(nèi)的涉密計(jì)算機(jī)上進(jìn)行編寫。6、設(shè)備米購(gòu)風(fēng)險(xiǎn)評(píng)估6.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 工程建設(shè)周期

10、導(dǎo)致從投標(biāo)到采購(gòu)的周期過長(zhǎng)，存在供應(yīng)商庫(kù)存風(fēng)險(xiǎn)和技術(shù)偏 離風(fēng)險(xiǎn)：? 市場(chǎng)信息不夠完全、充分、透明，供應(yīng)商在一定范圍內(nèi)能影響價(jià)格：? 設(shè)備采購(gòu)過程中，供應(yīng)商泄露項(xiàng)目信息。6.2風(fēng)險(xiǎn)控制措施? 工程建設(shè)周期導(dǎo)致從投標(biāo)到采購(gòu)的周期過長(zhǎng)，存在供應(yīng)商庫(kù)存風(fēng)險(xiǎn)和技術(shù)偏 離風(fēng)險(xiǎn)，可從三方面進(jìn)行規(guī)避：一方面可建立供應(yīng)商預(yù)警機(jī)制，對(duì)價(jià)格、庫(kù) 存、技術(shù)等風(fēng)險(xiǎn)出現(xiàn)前進(jìn)行供方預(yù)警；一方面，對(duì)于項(xiàng)目前期設(shè)備的選型， 應(yīng)考慮項(xiàng)目建設(shè)周期因索，應(yīng)避免選擇市場(chǎng)壽命短的產(chǎn)品；另一方面，應(yīng)在 簽訂項(xiàng)目合同時(shí)，對(duì)于設(shè)備的更新?lián)Q代條款，應(yīng)進(jìn)行明示。? 加大市場(chǎng)信息獲取力度，使市場(chǎng)信息準(zhǔn)確而全面，從而保證市場(chǎng)分析、成本 分析等數(shù)據(jù)的可

11、靠性：依據(jù)適用原則選擇供應(yīng)商并改善與供應(yīng)商的關(guān)系，避 免成為強(qiáng)勢(shì)供應(yīng)商價(jià)格聯(lián)盟的受害者。? 涉密項(xiàng)目的設(shè)備采購(gòu)應(yīng)單獨(dú)采購(gòu)，由涉密業(yè)務(wù)管理小組下的設(shè)備采購(gòu)小組組 長(zhǎng)設(shè)立專人，不與其它項(xiàng)目的設(shè)備一起采購(gòu)，與供應(yīng)商簽署保密承諾書，并 承諾不泄露項(xiàng)目信息、設(shè)備價(jià)格。7、現(xiàn)場(chǎng)實(shí)施風(fēng)險(xiǎn)評(píng)估7.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 合同及各項(xiàng)審核工作時(shí)間太長(zhǎng)，導(dǎo)致項(xiàng)目信息泄露；? 在施工過程中有涉密人員離職或調(diào)崗，導(dǎo)致涉密信息泄露；? 施工現(xiàn)場(chǎng)環(huán)境是否滿足涉密項(xiàng)目環(huán)境要求；? 現(xiàn)場(chǎng)施工時(shí)，是否有除委托方及現(xiàn)場(chǎng)施工人員以外的人員進(jìn)出現(xiàn)場(chǎng)：? 設(shè)備安裝調(diào)試時(shí)，是否通過非涉密計(jì)算機(jī)進(jìn)行操作。7.2風(fēng)險(xiǎn)防控措施? 涉密項(xiàng)目簽訂的涉

12、密合同必須由專職涉密人員進(jìn)行登記、歸檔，存放于涉密 辦公室內(nèi)的密碼文件柜內(nèi)。? 調(diào)崗或離職的涉密人員必須進(jìn)行脫密期處理，并簽署涉密人員離崗保密承諾 書。不得在脫密期間出國(guó)或在外資企業(yè)工作。? 施工現(xiàn)場(chǎng)周圍不允許有大使館、外資企業(yè)等；如有請(qǐng)做好保密防護(hù)措施，如: 安裝視頻監(jiān)控系統(tǒng)、防盜報(bào)警系統(tǒng)等。加強(qiáng)施工現(xiàn)場(chǎng)保密環(huán)境。? 現(xiàn)場(chǎng)施工時(shí)，不允許除委托方及現(xiàn)場(chǎng)施工人員以外的人員進(jìn)出現(xiàn)場(chǎng)。除保密 工作領(lǐng)導(dǎo)小組指定人員外，其他人員不得進(jìn)入施工現(xiàn)場(chǎng)。? 調(diào)試設(shè)備時(shí)，必須用涉密計(jì)算機(jī)進(jìn)行調(diào)試，不得用非涉密計(jì)算機(jī)進(jìn)行。避免 通過非涉密計(jì)算機(jī)傳遞涉密信息，導(dǎo)致涉密項(xiàng)目信息泄露。8、審查驗(yàn)收風(fēng)險(xiǎn)評(píng)估8.1可能存在的

13、風(fēng)險(xiǎn)點(diǎn)? 審查驗(yàn)收人員是否為涉密人員，是否是保密工作領(lǐng)導(dǎo)小組指定；? 審查驗(yàn)收記錄是否是由專人負(fù)責(zé)保管，是否產(chǎn)生記錄丟失、泄露；? 對(duì)用戶進(jìn)行設(shè)備使用培訓(xùn)，但用戶保密意識(shí)不強(qiáng)，無意間泄露保密信息。8.2風(fēng)險(xiǎn)防控措施? 審查驗(yàn)收人員必須為涉密人員， 必須由保密工作領(lǐng)導(dǎo)小組下的運(yùn)行維護(hù)小組 組長(zhǎng)指派專人驗(yàn)收。? 審查驗(yàn)收記錄由專人攜帶，帶回公司后交于涉密辦公室管理員處登記備案， 存放于密碼柜中。? 在審查驗(yàn)收時(shí)，應(yīng)對(duì)用戶進(jìn)行相關(guān)保密知識(shí)培訓(xùn)。9、項(xiàng)目材料移交風(fēng)險(xiǎn)評(píng)估9.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 項(xiàng)目材料移交時(shí)是否是在保密環(huán)境下進(jìn)行，記錄是否齊全；? 接收材料人員是否是涉密人員，是否由保密工作領(lǐng)導(dǎo)小組指

14、定；? 接收材料人員是否攜帶材料出入公共場(chǎng)所，導(dǎo)致信息泄露。9.2風(fēng)險(xiǎn)防控措施? 移交材料時(shí)，需在保密環(huán)境下進(jìn)行，檢查驗(yàn)收記錄是否齊全，不能有記錄不 完整，不能在公共場(chǎng)所下進(jìn)行。由專人進(jìn)行材料交接，并將材料封存于檔案 袋中。? 接收材料的人員必須是山保密工作領(lǐng)導(dǎo)小組指定的人。? 接收材料后，必須馬上攜帶資料返回公司，不得在公共場(chǎng)所逗留，避免發(fā)生 資料丟失，產(chǎn)生資料泄密。10、運(yùn)行維護(hù)風(fēng)險(xiǎn)評(píng)估10.1可能存在的風(fēng)險(xiǎn)點(diǎn)? 后期運(yùn)行維護(hù)的人員是否是涉密人員，是否明確涉密人員的職責(zé)，是否有保 密意識(shí)；? 在對(duì)設(shè)備維護(hù)時(shí)，是否使用非涉密計(jì)算機(jī)進(jìn)行操作：? 運(yùn)行維護(hù)人員是否在交談中泄露涉密信息；? 維護(hù)記錄是