信息系統(tǒng)集成項目風險評估及防控措施

1、信息系統(tǒng)集成工程風險評估及防控措施本頁僅作為文檔封面，使用時可以刪除This document is for reference only-rar21 year.March信息系統(tǒng)集成工程風險評估及防控措施1、參與涉密工程人員風險評估 可能存在的風險點項 a 部組建時人員是否滿足涉密人員要求； 上崗前是否接受過保密知識培訓及考核； 是否與公司簽訂保密承諾書，保密協(xié)議，保密責任書及涉密人員考核 評價 表；部門是否按照公司要求開展保密知識培訓，加強部門涉密人員的保密意識；涉密人員離崗時是否簽訂離崗保密承諾書，保密工作領導小組是否對其進行脫密期管理。風險防控措施 應聘員工應滿足公司對涉密人員的聘用標

2、準； 上崗必須學習崗位保密業(yè)務，且保密知識考核成績合格； 與公司簽署保密協(xié)議、保密承諾書、保密責任書； 員工所在部門領導確認涉密人員考核評級表內(nèi)容，確認無誤后簽字。 同時 保密領導小組同意簽字后 . 評價表交保密工作領導小組存檔，做為該 員工的涉密 考核內(nèi)容；保密辦公室應在年初做好本年度保密知識培訓方案及考核方案，組織j 處宓人民學習各俁宓知 i 口山涉遍人員在離開嶺 H 豈 嚴格遵守公司保密制度，與公司簽署離崗保 密承諾 書，并嚴格遵守公司對離崗人員的脫密期管理要求。2、涉密載體風險評估 可能存在的風險點 紙質(zhì)文件： 涉密文件、資料是否有專人管理； 涉密文件是否有收發(fā)記錄； 涉密文件復印、外

3、借是否有登記，是否在記錄中標明使用理山、復印數(shù)量及使用人簽字；涉密文件借閱是否有登記記錄，是否在記錄中標明借閱理山、使用時間、歸還時間及借閱人簽字；涉密文件是否及時歸檔，檔案口錄是否及時更新。電子文件： 匾否指派專人對涉密電子文件進行管理： 制作涉密電子文件時，是否記錄使用范圍及制作數(shù)量： 是否在非涉密計算機中傳遞涉密電子文件； 在攜帶涉密電子文件外出時，是否有專人攜帶； 涉密電子文件是否及時歸檔； 報廢的涉密電子文件如何處理。2 .2 風險防控措施 紙質(zhì)文件：所有保密文件、文檔、材料山項 H 保密專員統(tǒng)一管理，統(tǒng)一登記并存入密 碼 柜，定期進行清查，防止發(fā)生資料泄露或喪失。嚴禁其他人員隨意翻

4、看 保密資 料，如有其他保密人員要借閱使用，山保密專員進行登記，寫明借 閱時間及借閱 理山，并保證不拿到涉密辦公室以外的地方使用。保密材料嚴格按保密領導辦公室批準的份數(shù)印刷，不得擅自多印多 留，復 印件視同原件管理，復印過程中產(chǎn)生的廢紙、廢件應及時銷毀；在 復印材料之 前，需山保密辦公室管理員登記前方可進行，標明使用理山、 復印份數(shù)； 傳遞保密材料要有保密措施，傳遞應專人專送，不得辦理無關事項， 攜帶 密件不得進入不利于保密的場所；外出工作需攜帶保密材料的，要經(jīng) 保密工作領 導小組批準。保密資料未經(jīng)許可，不得擅自摘抄、翻印、復印、轉(zhuǎn)借或損壞；一旦 造成 損失由當事人承當責任。電子文件： 君定專

5、人負責工程涉密電子文件的日常管理工作。 制作涉密電子文件，應當依照有關文件，規(guī)定使用范圍及制作數(shù)量，并編號記錄。傳遞涉密電子文件，應當履行登記、簽收等手續(xù)。禁止在任何非涉密網(wǎng)絡上傳遞涉密電子文件。嚴禁在非涉密機上處理或存儲涉密電子文件。閱讀、使用、復制和銷毀涉密電子文件，應經(jīng)保密工作領導小組批 準，同 時辦理登記、簽字手續(xù)。復制的電子文件視同原件管理。定期對涉密電子文件及載體進行清查、核對，發(fā)現(xiàn)問題及時向保密管 理辦 公室匯報。3、涉密設備風險評估 可能存在的風險點 涉密計算機是否有違規(guī)操作： 涉密計算機端口是否插過其他存儲介質(zhì)； 涉密計算機是否配備三合一防護 系統(tǒng)： 辦公場所自動化設備是否外

6、借使用 : 涉密計算機及辦公場所自動化設備維修、更換、報廢如何管理。3 .2 風險防控措施 涉密計算機安裝主機監(jiān)控與審計系統(tǒng)進行端口審計； 涉密計算機安裝江民病毒防護軟件，山專人進行病毒軟件更新，更新周期不超過 15 天： 每臺涉密計算機都配備三合一防護系統(tǒng)，嚴格控制了計算機內(nèi)涉密信息的流失；涉密計算機配置 10 位數(shù)以上的密碼，由專人統(tǒng)一管理 . 記載； 辦公室自動 化設備均為涉密辦公室處理涉密項 U 專用，不得外借使 用； 涉密計算機及辦公室自動化設備山保密工作領導小組確定專人使用， 機器 明確標明使用人姓名并登記入冊；使用人發(fā)生變化時，報保密工作領 導小組審 核，審核通過后進行變更：涉密

7、計算機及辦公室自動化設備打印機、刻錄機維修、應由保密領導小組批準后進行；涉密計算機維修應到保密局指定的地點維修，維修前應卸下硬盤等敬感部件，維修后應進行平安檢測前方可使用；更換涉密計算機應事先提交涉密設備變更中請表，寫明更換原因，經(jīng)保密 工作領 導小組批準后進行。在更換涉密計算機前應卸下硬盤，卸下的硬盤 不得在非涉密 訃算機上使用，硬盤交山涉密辦公室保密管理員登記備案； 硬盤留存于保密辦公 室，不得使用、外借； 涉密計算機報廢不得當作廢品岀售，在中請報廢后先到保密辦公室保 密管 理員處登記，卸下硬盤并山專人上交保密局工作部門進行集中銷毀處 理，報廢涉 密計算機應報保密局備案并履行相應的銷毀制度

8、。4、涉密場所風險評估 可能存在的風險點 涉密辦公場所內(nèi)是否存在網(wǎng)絡端口 : 非涉密人員進出涉密辦公室是否有記錄； 涉密辦公場所是否按照國家保密局要求配備了門禁系統(tǒng)、防盜報警系統(tǒng)、視頻監(jiān)控系統(tǒng)；涉密人員進岀涉密辦公室時是否攜帶相機， ，錄音筆等其它可存儲介質(zhì)。4? 2 風險防控措施由平安保密管理員定期檢查涉密辦公室的門禁、防盜報警、視頻監(jiān)控等設備的完好狀態(tài)，確保保密材料平安。非授權人員進出涉密場所，須經(jīng)公司保密領導小組審批并山授權人員進行全程陪同方可進入，同時建立涉密場所非授權人員進入登記冊，對臨 時進出的人 員登記；標明進出時間及事由。建立視頻監(jiān)控的檢查管理機制，公司的平安保衛(wèi)部門應當定期對

9、視頻 監(jiān)控 信息進行回看檢查，保密辦公室應當對執(zhí)行情況進行監(jiān)督。視頻監(jiān)控 信息保存時 間不少于 3 個月。未經(jīng)批準，不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶 入涉 密辦公室。5、分包方案使用風險評估 可能存在的風險點在現(xiàn)場使用時，信息是否產(chǎn)生泄露； 涉密人員是否將圖紙存放與他人手里或放在施工現(xiàn)場，導致項口設計 方案 泄露。風險控制措施加強涉密人員保密意識；涉密項 U 前期設計需山專人在涉密計算機上進行編寫，并用光盤進行 信息 存儲，并山委托方指定人員進行交接。不得將光盤存于他人手中或施 工現(xiàn)場。嚴禁使用外網(wǎng)計算機查詢?nèi)魏紊婷茼椏谛畔?，涉密項方案的制定?應在涉 密辦公室內(nèi)的涉密計算機

10、上進行編寫。6、設備采購風險評估 可能存在的風險點 工程建設周期導致從投標到采購的周期過長，存在供給商庫存風險和技術偏離風險：市場信息不夠完全、充分、透明，供給商在一定范圍內(nèi)能影響價格：設備采購過程中，供給商泄露項風險控制措施H 信息。工程建設周期導致從投標到采購的周期過長，存在供給商庫存風險和 技術 偏離風險，可從三方面進行躲避：一方面可建立供給商預警機制，對 價格、庫 存、技術等風險出現(xiàn)前進行供方預警；一方面，對于項 H 前期設 備的選型，應 考慮項 U 建設周期因索，應防止選擇市場壽命短的產(chǎn)品；另一方面，應在簽訂項 H 合同時，對于設備的更新?lián)Q代條款，應進行明示。加大市場信息獲取力度，使

11、市場信息準確而全面，從而保證市場分 析、成 本分析等數(shù)據(jù)的可靠性：依據(jù)適用原那么選擇供給商并改善與供給商 的關系，防止 成為強勢供給商價格聯(lián)盟的受害者。涉密項 U 的設備采購應單獨采購，山涉密業(yè)務管理小組下的設備采購小組組長設立專人，不與其它項 U 的設備一起采購，與供給商簽署保密承 諾書，并 承諾不泄露工程信息、設備價格。7、現(xiàn)場實施風險評估可能存在的風險點合同及各項審核工作時間太長，導致工程信息泄露； 在施工過程中有涉密人員離職或調(diào)崗，導致涉密信息泄露； 施工現(xiàn)場環(huán)境是否滿足涉密工程環(huán)境要求； 現(xiàn)場施工時，是否有除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場： 設備 安裝調(diào)試時，是否通過非涉密計

12、算機進行操作。風險防控措施涉密項 U 簽訂的涉密合同必須山專職涉密人員進行登記、歸檔，存放于涉密辦公室內(nèi)的密碼文件柜內(nèi)。調(diào)崗或離職的涉密人員必須進行脫密期處理，并簽署涉密人員離崗保 密承諾 書。不得在脫密期間出國或在外資企業(yè)工作。施工現(xiàn)場周圍不允許有大使館、 外資企業(yè)等； 如有請做好保密防護措 施，如： 安裝視頻監(jiān)控系統(tǒng)、防盜報警系統(tǒng)等。加強施工現(xiàn)場保密環(huán)境。現(xiàn)場施工時，不允許除委托方及現(xiàn)場施工人員以外的人員進出現(xiàn)場。 除保密 工作領導小組指定人員外，其他人員不得進入施工現(xiàn)場。調(diào)試設備時，必須用涉密計算機進行調(diào)試，不得用非涉密計算機進 行。防止 通過非涉密計算機傳遞涉密信息，導致涉密項 LI

13、信息泄露。8、審查驗收風險評估 可能存在的風險點 審查驗收人員是否為涉密人員，是否是保密工作領導小組指定； 審查驗收 記錄是否是 III 專人負責保管，是否產(chǎn)生記錄喪失、泄露； 對用戶進行設備使用 培訓，但用戶保密意識不強，無意間泄露保密信 息。風險防控措施審查驗收人員必須為涉密人員，必須由保密工作領導小組下的運行維 護小組 組長指派專人驗收。審查驗收記錄山專人攜帶，帶回公司后交于涉密辦公室管理員處登記 備案， 存放于密碼柜中。在審查驗收時，應對用戶進行相關保密知識培訓。9、工程材料移交風險評估可能存在的風險點項口材料移交時是否是在保密環(huán)境下進行，記錄是否齊全； 接收材料人員是否是涉密人員，是否山保密工作領導小組指定；接收材料人員是否攜帶材料岀入公共場所，導致信息泄露。 風險防控措施移交材料時，需在保密環(huán)境下進行，檢查驗收記錄是否齊全，不能有 記錄 不完整，不能在公共場所下進行。山專人進行材料交接，并將材料封 存于檔案袋 中。接收材料的人員必須是山保密工作領導小組指定的人。 接收材料后，必須馬上攜帶資料返回公司，不得在公共場所逗留，避 免發(fā) 生資料喪失，產(chǎn)生資料泄密。10、運行維護風險評估 可能存在的風險點后期運行維護的人員是否是涉密人員，是否明確涉密人員的職責，是 否有 保密意識；在對設備維護時，是否使用非涉密計算機進行操作： 運行維護人員是否在交談中泄露涉密