第一篇:部隊保密風險評估
部隊保密風險評估
摘要
“保守秘密是御敵之盾,失密泄密是刺已之劍。”“信息是生成戰斗力的數據庫,保密是保護戰斗力的防火墻。”在信息化條件下,做好保密工作是部隊的中心工作之一,軍隊保密風險評估是軍隊保密工作的重要組成部分。軍隊保密風險評估要堅持以科學發展觀為指導,深入調查研究,全面掌握軍隊保密風險因素及其影響,進而準確掌握軍隊保密工作面臨的形勢、存在的問題和努力方向。有效控制知悉范圍、降低保密負荷、增強保密能力、防范竊密活動、消除泄密隱患、確保秘密安全,這是做好保密工作的基本要求。要實現這一目標,就要對軍事秘密存在的風險進行識別、分析,確定評估的指標體系,建立軍隊保密風險綜合評估的數學模型。通過對軍隊保密風險的科學評估,準確把握涉密單位和涉密人員所掌管的秘密面臨的風險,為進一步控制保密風險提供科學依據,實現軍隊保密工作的前饋管理。
關鍵詞:保密 軍隊 風險評估
“保密是軍隊永恒的戰斗力,泄密是軍隊失敗的導火索。”在信息化條件下,做好保密工作是部隊的中心工作之一,軍隊保密風險評估是軍隊保密工作的重要組成部分。軍隊保密風險評估要堅持以科學發展觀為指導,深入調查研究,全面掌握軍隊保密風險因素及其影響,進而準確掌握軍隊保密工作面臨的形勢、存在的問題和努力方向。有效控制知悉范圍、降低保密負荷、增強保密能力、防范竊密活動、消除泄密隱患、確保秘密安全,這是做好保密工作的基本要求。要實現這一目標,就要對軍事秘密存在的風險進行識別、分析和評估,并對客觀存在的風險和潛在的風險進行有效的控制與防范。通過對軍隊保密風險的科學評估,準確把握涉密單位和涉密人員所掌管的秘密面臨的風險,為進一步控制保密風險提供科學依據,實現軍隊保密工作的前饋管理。
下面我們將結合軍隊保密管理工作的實際情況,研究解決以系為基本單位的保密工作問題。
我們可以將保密風險評估分成這幾個方面: 1.評估密級 2.評估威脅 3.評估損失
模型的建立
一. 明確保密對象密級
1.網絡設備:3G手機、無線路由器、網卡、網線 3級
2.存儲介質:軟盤、移動硬盤、U盤、光盤等 2級
3.硬件設備:個人筆記本電腦,軍網電腦,手機,可上網的MP4等 1級
(上述為自主設定密級,且等級越高,密級越高)
第二篇:保密風險評估報告
保密風險評估報告
一、做好保密風險評估的重要性
XXX是專門從事信息工程咨詢和監理業務的企業,主要面向政府機關、行政事業單位及大型企業提供信息化建設咨詢工作,并提供項目實施全過程監理。目前,信息化的應用越來越廣泛,政府機關、行政企事業單位大量運用信息化技術和手段,改變原有工作方式及業務流程,極大的提高工作效率,更好的服務于社會。這些眾多業務應用系統中或多或少會涉及到不同級別的秘密,因此,信息化下的保密工作非常重要。對于我公司來說,如何在項目咨詢過程,為用戶提供的解決方案能夠達到保密的要求;在項目監理工作中,避免項目實施過程及系統運行產生漏洞,降低保密風險;公司的工作人員如何遵守保密制度和職業操守,避免因用戶保密信息泄露,這是我公司在保密制度建設及相應保密措施執行上,需要重點考慮解決的問題,是我公司保密工作的重中之重。
二、涉密項目監理工作保密重點
涉密信息系統工程建設過程中監理的作用主要體現在:發揮工程監理的咨詢服務功能;發揮工程監理對工程項目的管理作用。對于前者,工程監理可以向建設方提供關于涉密信息系統工程建設準備和過程中相關的國家標準及規范提供咨詢,也可以協助建設方完善安全保密管理體系及相關制度的建設,為工程的測評、審批和運維打下堅實基礎,同時也可為承建方在方案設計、涉密改造、系統檢測測試、試運行、驗收等各階段提供咨詢,確保項目能夠按時按質量完成。對于后者而言,由于涉密信息工程涉及的業務內容繁多,過程較長,一些不按要求進行工作從而引起一些不可預見的影響工程進度的情況出現,大大的增加了工程建設的復雜性。此時,工程監理的重要性就體現出來了,工程監理按照管理規范對涉密信息系統進行監督、控制和管理,嚴格按照施工流程控制,并規范過程文檔,協調各組織的關系,及時發現、妥善處理施工過程中出現的問題就顯的非常重要。
工程監理在涉密信息系統建設過程中,通過運用自身對國家相關涉密信息系統建設的管理規范和要求,能夠保證工程的實施過程符合國家涉密信息系統分級保護設計方案及工程建設相關要求,能夠快速發現和解決施工過程中承建單位不安管理規范進行的影響工程進度、質量的一系列行為。同時工程監理作為獨立的第三方,有利于涉密工程項目依據國家保密標準、信息系統工程相關標準以及工程建設合同等有關問題進行協調處理,避免與監理項目的承建單位存在隸屬關系和利益關系,或作為其投資者或合伙經營者造成的不按照法律、科學、標準、經驗、技術要求來辦事的弊端。
工程監理在涉密信息系統工程建設中是不可或缺的一個重要角色,監理在工程建設中的作用,就好比化學反應中的催化劑,不僅可以很好的促進工程向更好的方向發展,同時也可以抑制其向不利于工程項目進展的方向發展。缺乏監理的情況下,就會不可避免的出現各種可能會影響工程進度、質量及安全的事件,在有監理的情況下,對于那些可預見的事件可以進行很好的預防。總之,工程監理在涉密信息系統建設的項目非常重要。
我公司對信息工程監理工作的主要業務流程如下:
1、編制《監理規劃》,《監理規劃》是具體指導項目監理服務實施的文件。在收到施工圖紙、工程施工合同等與監理工作有關的資料后,總監理工程師組織項目部全體人員研究有關資料,并主持依據《監理規劃》;
2、監理工作實施過程中,如實際情況或條件發生重大變化需要調整《監理規劃》時,應由總監理工程師組織專業監理工程師研究修改,按報審程序經過批準后報業主單位。
3、總監理工程師應組織監理人員熟悉設計文件,并對設計文件中存在的問題向業主單位、承建單位提出書面意見和建議。項目監理人員應參加由業主單位組織的設計技術交底會,總監理工程師對設計技術交底會議紀進行簽認。
4、總監理工程師組織專業監理工程師審查承建單位報送的《施工組織設計(方案)報審表》,提出審查意見,經總監理工程師審核、簽認后回復承建單位并報業主單位。
5、總監理工程師應審查承建單位現場項目管理機構的質量管理體系、技術管理體系和安全保證體系。在上述體系可以保證工程項目施工質量、安全時予以確認。
6、專業監理工程師應審查承建單位報送的《工程開工/復工報審表》,確認具備開工條件,由總監理工程師簽署意見后回復承建單位并報業主單位。
7、監理人員參加由業主單位主持召開的第一次工地會議。總監理工程師對施工準備情況提出意見和要求,介紹監理規劃主要內容,對監理工作進行交底,以求得工作上的配合。會議紀要由項目部起草,并經與會各方代表會簽。
8、專業監理工程師將當日工程進展情況和監理所做的工作及時,準確地記在個人監理日記上。項目部的監理日記由總監理工程師或其授權的專人負責編寫,編寫過程中要充分收集專業監理工程師的意見和記錄,該日記由總監理工程師或經其授權的人員在間隔不超過一周內檢查并簽字。
9、承建單位在施工過程中出現違反相關規范和法規的行為,未按施工組織設計或施工方案開展施工工作,專業監理工程師簽發《監理工程師通知單》并督促施工單位進行整改。整改完畢后應由承建單位填報《監理工程師通知回復單》并由專業監理工程師進行復檢并簽認。
10、在施工過程中,當承建單位對已批準的施工組織設計進行調整、補充或變動時,應經專業監理工程師審查,并應由總監理工程師簽認。對于重點部位、關鍵工序,專業監理工程師應要求承建單位報送施工方案,審核同意后予以簽認。發現施工單位擅自更改施工組織設計或施工方案,并由可能對工程質量造成不良影響時,監理工程師應及時簽發《監理工程師通知單》,必要時簽發《工程暫停令》。
11、專業監理工程師應對承建單位報送的《工程材料/構配件/設備報審表》及其質量證明資料進行審核,并對進場的實物進行檢查和驗收,對于進口設備,專業監理工程師應配合商檢局開箱驗收。并應按照委托監理合同約定或有關工程質量管理文件規定的比例采用平行檢驗或見證取樣方式進行抽檢。對未經監理人員驗收或驗收不合格的工程材料、構配件、設備,監理人員應拒絕簽認,并應簽發《監理工程師通知單》,書面通知承建單位限期將不合格的工程材料、構配件、設備撤出現場。對承建單位提出緊急放行的要求,在該批材料可以追回的情況下,專業監理工程師應請示總監理工程師后作出相應決定,項目部對該類放行應做特別記錄。
12、總監理工程師安排監理人員對施工過程進行巡視和檢查,檢查情況記錄于個人監理日記或針對工程特點特別設計的實測檢查表上。對隱蔽工程的隱蔽過程、下道工序施工完成后難以檢查的重點部位,專業監理工程師應根據監理細則中的旁站監理計劃安排監理員進行旁站。并根據承建單位報送的隱蔽工程報驗申請和自檢結果進行現場檢查,符合要求予以簽認。對未經監理人員驗收或驗收不合格的工序,監理人員拒絕簽認,并要求承建單位嚴禁下一道工序的施工。
13、專業監理工程師應對承建單位報送的分項工程質量驗評資料進行審核,符合要求后予以簽認;總監理工程師應組織監理人員對承建單位報送的分部工程和單位工程質量驗評資料進行審核和現場檢查,符合要求后予以簽認。對施工過程中出現的質量問題,專業監理工程師應及時下達《監理工程師通知單》,要求承建單位整改,并檢查整改結果。
14、專業監理工程師在進行現場計量的基礎上,按施工合同約定的工程量計算規則和支付條款審核工程量清單和《工程款支付申請表》。審查意見報總監理工程師審定,由總監理工程師簽署工程款支付證書,并報業主單位。未經監理人員質量驗收合格的工程量,或不符合施工合同規定的工程量,監理人員拒絕計量和該部分的工程款支付申請。
15、專業監理工程師檢查進度計劃的實施,并記錄實際進度及其相關情況。檢查情況記錄于項目部的監理日記或針對工程特點特別設計的進度檢查表上。當實際進度符合計劃進度時,應要求承建單位編制下一期進度計劃;當發現實際進度滯后于計劃進度時,應簽發監理工程師通知單指令承建單位采取調整措施。當實際進度嚴重滯后于計劃進度時應及時報總監理工程師,由總監理工程師與業主單位、承建單位共同分析原因并研究對策,采取進一步的技術措施、組織措施、經濟措施和其他配套措施。
16、總監理工程師組織專業監理工程師審查業主單位或承建單位提出的工程變更,審查同意后,由業主單位轉交原設計單位編制設計變更文件。當工程變更涉及安全、環保等內容時,應按規定經有關部門審定。專業監理工程師應了解實際情況和收集與工程變更有關的資料,確定工程變更項目與原工程項目之間的類似程度以及工程變更的難易程度、工程量、單價或總價。總監理工程師必須對工程變更的費用和工期作出評估,尚應就工程變更費用及工期的評估情況與承建單位和業主單位進行協調。
17、在施工過程中,總監理工程師應定期主持召開工地例會。會議紀要應由項目部負責起草,并經與會各方代表會簽。
18、專業監理工程師應檢查承建單位是否執行安全技術措施計劃或施工組織設計所規定的安全施工要求,并督促總承建單位管好分包單位,并按合同規定,提供安全施工設施。
19、總監理工程師應組織專業監理工程師對承建單位的竣工資料進行審查,對工程質量進行預驗收。專業監理工程師應督促承建單位對預驗收提出的質量問題進行整改,對整改進行驗證并作好記錄,對需要跟蹤驗證的項目應與承建單位另訂計劃。20、總監理工程師負責組織專業監理工程師按《信息化工程監理規范》、監理委托合同要求以及監理服務過程中積累的資料整理編制《監理總結報告》。《監理總結報告》應經由總工程師審核。《監理總結報告》及其附件批準后,由總監理工程師代表公司簽發、提交業主單位。
21、在編制《監理規劃》時,我們考慮到本項目是安防建設項目,因為項目涉及到安全,會與一些涉密系統對接,本身系統也會依托公安專網,智能安防系統實際上也是博樂智慧城市的組成部分,在開展監理工作時,對于涉密方面必須要給予重點考慮;
在監理過程中,我們嚴格按照《監理規劃》的要求及建設合同的約定展開監理工作,同時在項目實施過程中提出合理化建議,針對保密工作方面:
1、對于涉密項目監理工作,明確保密領導小組組長負責保密管理工作,并嚴格控制知悉范圍。公司首先由涉密工作領導小組召開動員會,根據公司保密制度制定項目工作計劃,就是嚴格選擇項目經理及工作人員;
2、由保密辦公室具體審查項目組成員,確保成員必須符合要求;
3、項目經理制定本項目保密方案,保密領導小組審批;
4、保密辦公室負責依據審核后的保密方案,與項目組所有成員簽訂項目《保密協議》,人員應當按照有關規定進行安全保密審查,與單位簽訂安全保密責任書,明確安全保密責任和義務。離開涉密工作崗位,應當清退涉密載體,實行脫密期管理。
5、保密辦公室負責監督、檢查項目組的工作,發現不符合要求的,立即責成項目經理整改;
6、涉密載體應當按照有關規定標明密級和保密期限,建立臺賬,集中統一管理;制作、收發、傳遞、使用、復制、保存、維修和銷毀涉密載體(含紙介質、磁介質等),應當嚴格按照國家保密管理規定,履行簽收、登記、審批等手續;對接觸或知悉絕密級國家秘密的人員應當作出文字記載。
7、涉密計算機管理
? 涉密計算機及其移動存儲介質集中管理,并建立臺賬;
? 涉密計算機和信息系統與國際互聯網和其它公共信息網物理隔離;涉密計算機不安裝任何無線通信設備;? 涉密信息系統投入使用前必須經過國家保密部門系統測評和審批; ? 非涉密計算機和信息系統不存儲和處理涉密信息;
? 涉密信息遠程傳輸應當按照國家保密部門要求采取密碼保護措施; ? 涉密計算機和信息系統內使用的移動存儲介質采取綁定或有效的技術控制措施,信息導入和導出應當符合國家有關保密要求; ? 存儲、處理國家秘密的計算機和信息系統按照有關法律法規及標準進行技術防護。
8、涉密通信和辦公自動化設備管理
? 涉密辦公自動化設備不得連接互聯網或其它公共信息網; ? 不得使用具有無線互聯功能的辦公自動化設備處理涉密信息; ? 不得使用普通通信設備傳遞涉密信息; ? 不得使用普通電話(手機)談論涉密事項; ? 不得在涉密場所使用無繩電話。
對于項目組,要求項目經理在項目實施過程中,必須將保密工作放在重中之重,不論是從本公司項目組的成員管理、資料管理,還是對承建方,也要從其管理上進行監督,并對保密風險問題要求承建方整改,同時在項目實施過程中,也要對信息系統中的保密風險提出建議,對甲方負責,通常信息系統應當注意的保密風險:
1、我們建議系統一定要有系統訪問控制方面,主要采用兩種方式實現:一種是限制訪問系統的人員;另一種是限制進入系統的用戶所能做的操作。前一種主要通過用戶標識與驗證來實現,而后一種則依靠存取控制來實現;
2、涉密系統必須建立一套安全監控系統,全面監控系統的活動,并隨時檢查系統的使用情況,一旦有非法入侵者進入系統,能及時發現并采取相應措施,確定和堵塞安全及保密的漏洞。利用日志和審計功能對系統進行安全監控,涉密系統應建立完善的審計系統和日志管理系統;
? 對于辦公自動化系統和管理信息系統軟件的安全保密: ? 對數據設置級別和使用權限; ? 對用戶進行分類;
? 規定各類用戶對應用系統功能的使用范圍; ? 對不同級別數據,規定可以訪問的用戶;
? 根據實際工作流程確定對數據和系統功能的使用權限。? 對涉密信息必須進行標密。
3、在計算機網絡安全保密方面,要求計算機網絡抵御來自外界侵襲等應采取的安全保密措施。必須采用國產的設備來實現網絡的安全保密。目前主要通過采用安全防火墻系統、安全代理服務器、安全加密網關等來實現。
4、對于計算機信息傳輸的保密,要求采取不易被截取的通信方法(如光纖通信),并要對傳輸數據進行數據流加密,使非法攻擊者無法讀出所截獲的傳輸數據。
5、從技術的層面考慮保密管理,還需要制定嚴格的保密制度,管理是安全保密的有效保障,通過對應用人員、系統設備、系統軟件和所處理的信息及介質的制度化管理來保證用戶的利益和安全。這主要是通過各單位機房管理制度或守則,計算機系統維護管理制度和介質管理制度等實現,各單位必須根據本單位的實際情況,制定和完善各項管理制度。
三、對保密風險的認識
保密工作存在的風險因素
(一)保密工作團隊上的問題;
1、領導保密意識尚不夠敏感;
2、保密教育不經常、保密知識缺乏;
3、保密組織的任務分工不明、對保密形勢的估計不準確;
4、專項檢查不到位、安全隱患排查不徹底;
5、保密員隊伍建設還須加強;
6、工作思路缺乏創新、工作缺乏協同合作。
(二)保密工作環境上的問題:
1、可能在設備設施上泄密;
2、可能在計算機系統上泄密;
3、可能在工作及學習訓練過程中泄密;
4、員工跳槽頻繁;
如果企業的核心資料外傳,甚至落入競爭對手手中,則企業很可能在競爭中失敗。所以,保證企業的核心資料不被泄露是保證企業在競爭激烈市場立足之本。
對于企業重要數據泄密的途徑,可以歸納為七點:(1)筆記本電腦等移動終端遺失或失竊;
(2)跨部門或跨計算機的數據轉移以及外來計算機非法侵入;(3)存儲介質隨意使用;
(4)網絡外發程序,如發送電子郵件、QQ信息、微信等;(5)打印、復印以及光盤刻錄;(6)數據非法二次轉播;
(7)OA等移動辦公終端對于辦公系統的接入。
四、對保密工作自我評價及改進
對保密工作要有的放矢地開展,堵塞泄密途徑。我公司成立專門了保密管理領導小組,負責整體公司的保密工作,制定了保密管理制度,由保密領導小組監督制度執行情況,同時,公司針對涉密的項目,還制定了如下措施:
1、公司專設設置了涉密項目管理區域,凡是用戶項目涉及秘密,都經由公司專門安排的涉密工程師進行處理,其他人員不得接觸此類項目;
2、涉密項目管理區具備專門的資料存檔柜,鑰匙交由保密領導小組管理,涉密資料查閱必須經過批準,涉密項目資料不得外借、復制;
3、涉密項目使用固定的涉密計算機及打印機,涉密計算機不能上網(有線、無線均不可),涉密計算機不得帶離涉密工作區域;
4、涉密崗位上的人員是工作的需要,在一定時間一定范圍內知悉的保密事項,只能用于項目,不能向外泄露,不得對外從事技術服務。必須妥善保管各種保密資料,不得丟失泄密,不在報刊雜志上報道保密事項,不得把秘密資料傳送到QQ空間、微信朋友圈或微博等。
5、涉密員工離職,應將自己保管的保密資料上交,不得帶走或留存。
6、為進一步貫徹落實涉密崗位責任制度,公司與涉密員工磋商簽訂《保密協議》。
7、涉密辦公區域是要害部門。計算機系統由專人管理,配備好防范設施,涉密文件的打印需用專用磁盤由專人負責。
8、建立健全涉密載體管理制度,對涉密資料做好真實詳細的記錄,存檔保管。
近幾年來,隨著信息技術的飛速發展,現代辦公設備逐漸走進了企業的日常工作,保密工作面臨著一種全新環境;保密工作面臨的形勢日益嚴峻。
保密風險評估,作為企業開展保密工作的前提,能為單位領導準確把握本單位保密工作所面臨的風險,進行重點防控提供科學依據。根據對本公司保密狀況的分析,認為本公司應當主要從加強保密條件建設方面進一步采取積極有效的措施:
1、進一步加強保密“軟件建設”。保密條件建設分為“軟件建設”和“硬件建設”兩大類,其中“軟件建設”是靈魂,“硬件建設”是基礎。加強保密“軟件建設”,就是要從根本上進一步強化人員的保密意識,建議有關部門領導要加強教育,統一思想,通過認真學習《保密法》和《保密法實施條例》,切實開展好保密工作的教育與宣傳。及時傳達貫徹上級保密工作會議精神及保密局文件精神,按照工作要求落實措施,對重點涉密人員進行經常性的保密教育。通過宣傳教育,使所屬人員的保密意識明顯提高,政治責任感進一步增強。同時,要結合本公司保密工作面臨的實際情況,進一步完善本公司《保密制度》,嚴肅保密工作紀律,發生失密、泄密,視情節輕重、危害大小,依據國家有關保密規定給予批評教育或處分。將保密工作列入重要議事日程,確立“保密工作無小事”的思想理念,從思想教育入手,將保密工作擺在突出位置。
2、進一步加強信息設備的安全建設。隨著信息技術的發展,各種高技術信息設備不斷涌現,它們在為員工日常工作、學習、訓練提供便利的同時,也給保密工作帶來了更多挑戰。為此,要進一步加強信息設備的安全建設,對一些存在較大安全隱患的設備堅決不能引進使用,使用時要制定嚴格的使用規則。對本公司的所有辦公計算機、移動存儲介質、打印機、復印機、傳真機、掃描儀等設備進行了一次全面、徹底的保密清查,將所有設備登記入冊,進一步明確使用范圍和責任人,同時對這些信息設備要進行不定時檢查,將有隱患的設備及時處理。同時,要制定必要的防范措施,對網站要進行全天候監控,嚴防病毒攻擊與木馬植入,涉密計算機軟件要安裝先進軟件,安裝防輻射、即時殺毒、備份軟件,涉密信息設備要有防電磁輻射、防內置、防失控、防失竊功能。
3、進一步完善保密工作機制。俗話說:“無規矩不成方圓。”同樣,企業保密工作也需要完善的保密機制來保障。近年來,隨著保密形勢的日益嚴峻,對保密機制提出了更高的要求。所以,建議公司保密部門領導要加強制度建設,始終把落實規章制度作為抓好保密工作的關鍵環節,認真貫徹落實《保密法》及有關保密工作的規定,從文件的登記、收發、傳遞、歸檔、銷毀等各個環節都嚴格按照規范流程,落實管理規定,做到了按制度管人管事。
4、在勞動合同中約定員工保密義務和競業限制。根據《勞動合同法》第23條、第24條的規定,用人公司與勞動者可以在勞動合同中約定保守用人公司的商業秘密和與知識產權相關的保密事項。競業限制的人員限于用人公司的高級管理人員、高級技術人員和其他負有保密義務的人員。競業限制的范圍、地域、期限由用人公司與勞動者約定,競業限制的約定不得違反法律、法規的規定。
面對日益嚴峻的保密形勢,保密風險的控制更為困難。公司領導要帶頭做好保密工作,齊抓共管、綜合治理,要適應新要求、采取新措施,充分認識到新形勢下做好保密工作的重要性和緊迫性,進一步做好各項保密工作,努力促進本公司的保密工作再上一個新臺階。
第三篇:淺談部隊信息安全保密風險管理
淺談部隊信息安全保密風險管理
柳立強 劉 清 武瑞凱
信息化條件下,軍事秘密面臨的風險不斷加大,無意識泄密、間接泄密、計算機網絡泄密等現象時有發生,給部隊信息安全保密工作帶來了嚴重挑戰。信息安全保密風險管理從風險識別出發,對軍事秘密面臨的風險進行客觀地全面分析和評估,并對風險實施有效控制,變事后補救為事先防范,這是形勢發展的需要,是確保軍事秘密安全的需要,也是做好信息化條件下部隊保密工作的必然要求。
一、系統識別,找出部隊信息安全保密重要風險
信息安全保密風險識別是指運用有關知識、方法、系統、全面和連續地發現部隊軍事秘密面臨的風險。風險識別是風險管理的首要步驟。部隊保密工作面臨的風險是錯綜復雜的,需要進行認識和辨別。只有全面、準確地發現和辨識風險,才能進行風險評估和選擇風險控制的措施。風險識別的方法有很多,比如保密清單損失法、專家調差分析法、經典案例分析法、等級全息建模法等等,不管用哪種方法,都要系統的識別以下幾個方面。
1.對保密資產的識別。保密資產就是要保護的秘密資產。主要包括涉密的電子文檔、涉密的實體信息以及涉密的裝備設施等。一個單位保密資產越多,秘密的級別越高,保密的風險就越大,需要采取的措施就要更嚴密。
2.對資產脆弱性的識別。要清楚這些保密資產它們的弱電在哪里,也就是說,這些保密資產哪些方面容易被敵對勢力利用。一般情況下,可以將脆弱性分為技術脆弱性和管理脆弱性兩類。技術脆弱性主要是保護資產所涉及到的所有設備,包括移動載體、計算機網絡、通信設備等本身所存在的一些技術隱患,比如一些后門程序等。管理的脆弱性主要是規章制度、責任區分等問題,要識別出在這些方面部隊有哪些弱點。
3.對威脅的識別。威脅是指可能對保密資產或組織造成損害的一種潛在的侵害。比如信息泄露、信息破壞等。這些侵害有些是非人為,可能是無意識的行為,有些是故意的,是敵方情報機關或者我方人員有意識的行為。以上關于保密資產、脆弱性以及威脅的識別,不僅要清楚它們單個因素的種類,同是還要結合部隊已有的安全措施,找出威脅利用脆弱性的可能性,以及發生以后對保密資產可能造成的損失,這就是保密風險。這些風險因素有很多,要通過進一步的識別,找出一些發生可能性大并且發生以后對保密資產影響較大的風險,也就是重要風險,將其進行評估。
二、量化評估,確定部隊信息安全保密風險等級
在對信息安全保密風險進行充分的認識和分析之后,就應該對風險進行量化評估,確定保密的風險等級。保密風險評估綜合分析資產、威脅、脆弱性、安全措施,判斷系統風險,為部隊識別安全重點、選擇合理使用是安全對策提供依據,是保密風險管理的基礎。
1.建立合理的評估指標體系。指標體系的建立對于風險的定量化評級至關重要。建立的指標不合理、不科學,即使評估的方法再科學,也會偏離評估的方向。風險識別階段已經將保密重要風險因素進行了篩選,可依據篩選的這些風險因素進行歸類。對哪些風險應該屬于什么類別,要做到心中有數,這樣便于評估,同事也便于制定合理的措施。風險從組織領導、保密環境、涉密崗位人員、技術條件、制度建設等方面進行歸納,形成保密風險的一級指標,再將一級指標進行系統歸類,細分出更多的指標。
2.選擇合適的評估方法。目前在風險評估領域評估方法已經十分廣泛。部隊在保密風險評估工作中起步較晚,但是這些方法可以借鑒。模糊綜合評判法可以很好的解決保密風險評估量化問題。將建立的底層保密風險評估指標讓專家打分,根據打分的情況利用模糊數學的一些方法進行處理,再通過底層指標的風險計算一級指標值,最終得出部隊的保密風險綜合值。
3.對評估的結果進行認真分析。風險評估一般將單位的風險狀況區分為很低、低、中、高、很高五個等級。要根據評估的結果分析是什么原因導致的,對這些原因進行分析,進而找出影響評估結果的關鍵因素,為實施風險控制提供思路。
三、綜合控制,規避和降低部隊信息安全保密風險
在部隊信息安全保密風險進行定量化評估以后,就應該根據風險評估的結果,對重要風險進行規避或降低,將保密風險控制在可接受范圍內。風險控制是一個系統工程,不僅要找出風險和控制措施間的有效對應關系,還要從單位的保密文化環境、防范體系、防范策略等多方面進行綜合控制,這樣才能做到有的放矢,提高保密控制的效果。
1.營造信息安全保密的文化環境。忽略了官兵的信息安全保密意識和安全保密技能的提高,安全措施就不可能有效的發揮作用。通過對部隊發生的失泄密事故調查和分析,大部分原因都是由人的因素引起的,這其中包括保密意識的淡薄和保密技能的缺失。因此,要制定周密的計劃,通過安全教育和技能培訓,提高官兵的信息安全保密意識和應對保密風險控制的技能,使遵守各種保密制度成為官兵的一種習慣,從而形成良好的保密文化環境。
2.構建全維實時的信息安全保密風險防范體系。要從組織領導、技術條件、管理制度、保密法規等各個方面,綜合運用各種手段,實時監督各類安全措施的執行,落實安全獎懲措施,不斷削除信息安全保密風險管理中的弱點。
3.注意防范策略的靈活運用。防范策略主要包括規避風險、降低風險和接受風險。信息安全保密工作中有些風險屬于高風險,對于這類風險情況,可采取規避的方法,減少部隊的損失;有些風險情景是部隊在訓練、演習、學習等工作中必須面對的,這時主要采取相應的安全措施來降低風險,使其控制在部隊能接受的范圍;有些風險是無法消除的,這時部隊要勇敢面對,但是要實時監控,使其不影響保密工作的總體成效。
信息安全保密風險管理不是一蹴而就的,而是一個周期的螺旋式發展過程。由于部隊任務轉換、環境變化、人員流動等各種因素,再加上風險情景的不斷變化,使得部隊必須不斷研究風險管理的新情況、新問題,不斷完善風險管理的過程,健全風險管理的防范體系,提高信息化條件下保密管理水平。
第四篇:印刷廠保密風險評估報告 10.20
印刷廠保密風險評估報告
隨著社會經濟的高速發展,各類票據在市場經濟與社會生活中所占的地位越來越重要。由于票據一般都具有一定的商業價值,在一定程度上要求商業票據在設計和性能要求不易被偽造、不易涂改、不易變更等特點。近年來,科技的不斷進步,使得各類票據印刷中的防偽技術得到了很大的發展,而做好保密工作已經成為防偽票據印刷工作中的重中之重。我公司保密風險評估堅持以“積極防范、嚴謹務實、重點突出、管理細致”為原則,嚴格按照國家關于秘密載體印制資質管理的相關要求,未雨綢繆,防微杜漸,深入調查研究,全面分析企業所面臨的保密風險因素及其影響,解決保密工作中存在的問題。
現將我公司保密風險評估結果報告如下:
一、保密意識風險
1、我公司為中國檢驗檢疫科學研究院院屬企業,屬國有控股公司。公司骨干及中層以上領導干部均為中國共產黨黨員,黨性堅定,且多為大專及以上學歷,具有中高級技術職稱,個人文化素質較高,多次接受上級主管部門的保密方面的教育培訓。
2、我公司已制定詳細的保密教育培訓計劃,公司設立專門的保密辦公室,負責保密培訓的組織及相關工作有委員會確定,新入職員工經保密培訓后方可上崗,對要害部位的關鍵人員堅持從嚴考核的原則。
公司現有員工均經過保密培訓,從講政治的高度充分認識保密工作的重要性,進一步增強保密觀念,切實加強對保密管理文件、規定的學習教育,強化保密意識,切實做好秘密載體印制過程的保密工作。
二、領導組織結構風險
1、我公司保密工作結構層次清晰,相關人員權責明確。我公司保密工作的領導機構為XX,由法定代表人XX總負責,主管全廠保密工作,包括制定符合公司安全保密制度方案,負責系統運維隊伍的組織與管理。
2、按照“誰使用、誰負責”的原則,各科室、各部門負責人為本科室、本部門保密工作第一責任人,設備使用者為直接責任人,負責本單位各領域保密工作的具體事務。
三、保密形勢分析風險
當前,隨著互聯網信息技術的迅猛發展,信息防偽領域竊密和反竊密斗爭極為尖銳,防不勝防。而各種票據大量的發行和使用,需要更多、防偽功能更強的新型商業票據,對防偽技術提出了更高層次的要求,從整體情況來看,保密形勢日益嚴峻。
四、工作方式風險
我司建立嚴格的安全機制,杜絕發生泄密事件。每月召開一次安全保密工作會議,從環境、設施、網絡、系統軟件、印刷運行、維護,人員、機構,職責、制度等各個層次和方面,制定相應的安全保密策略,確定相應的安全保護等級,確保公司業務與防偽信息系統自身不被破壞,不被入侵,不被非法進入,能保持正常運行;公司的涉密信息不被竊取、破壞或篡改。
五、保密環境風險
1、我公司切實加強對涉密材料以及技術使用全過程的監督和管理。對用于處理涉密資料等設備進行阻斷網絡的物理隔離方式,對計算機等涉密信息儲藏設備安裝防火墻和病毒查殺軟件,按規定設置BIOS、系統登錄和屏幕保護三級密碼。
2、我公司已按保密規定,在重要涉密工作場合配備密碼文件柜、防盜裝置、視頻監控裝置、計算機視頻干擾器等保密設備。
六、管理制度措施風險
1、管理制度風險 為進一步加強公司保密管理工作,確保涉密信息的安全,公司根據《中華人民共和國保守國家秘密法》、《國家秘密載體保密管理規定》及相關法律法規的規定,結合公司當前工作實際,制定了相關保密規定,對不符合保密規定,缺乏安全保障的問題及時進行整改。進一步建立和完善公司業務涉密環節的保密管理制度,堅持按制度辦事,杜絕各類泄密事件的發生。
2、獎懲機制風險
對違反本規定和其他保密法規,造成信息泄密的,追究責任人和各科室、部門領導的責任。
七、涉密資源管理風險
1、涉密載體管理風險
(1)公司使用的涉密印刷文件、涉密計算機、移動存儲介質(移動硬盤、光盤、U盤、錄像帶、錄音帶以及MP3、MP4)等具備數據儲存功能的介質進行統一登記,建立詳細準確的辦公臺帳并報公司保密辦公室備案,日常保管由使用單位保密第一負責人或保密員保管。涉密印刷文件及信息載體實行使用登記制度,不得帶離公司辦公區域。建立登記薄,登記借用人、借用時間、歸還時間等。
(2)在制印過程中,對原稿、校樣、成品、半成品、印版、軟片等,各工序履行交接手續,印制完成后進行清點,并在保密人員的監督下,到指定地點銷毀。
(3)涉密移動硬盤用于涉密資料處理完畢后,由借用人負責刪除涉密資料,并對移動硬盤進行格式化后歸還。涉密移動硬盤維修時,公司保密人員必須在場。送修前必須對硬盤進行格式化處理。涉密載體不得擅自報廢遺棄,必須交由公司專門機構進行管理。
2、網絡管理風險
(1)未經批準,公司涉密計算機等信息載體一律不許連接網絡,不得通過網絡下載文件。如有特殊需求,必須事先提出申請,并報本部門主管領導審核,經領導審批后采用加密措施后方可實施。上網涉密計算機安裝物理隔離卡。
(2)入網必須經過公司保密部門嚴格審核,公司入網計算機使用的域名和IP地址,須報公司備案并定期接受保密部門的安全檢查。
(3)涉密人員在其它場所上互聯網時,要提高保密意識,不得在聊天室、電子公告系統、網絡新聞上發布、談論和傳播有關企業涉密票據印刷秘密的信息。
綜上所述,目前我公司保密制度完備,保密環境良好,工作人員素質高、保密意識與責任心強,且有性能可靠、質量過硬的保密軟硬件設備,能夠確保達到國家關于秘密載體印制資質管理的相關要求。
第五篇:保密風險評估與管理辦法
一、總則
為及時識別、監控公司保密潛在風險及其發生概率,確定公司保密風險承受能力及限度,認定該等風險所可能帶來的損失,根據《上海市涉密信息系統集成資質單位保密風險評估工作細則》和《涉密信息系統集成資質保密標準》結合公司實際,特制定本管理辦法。
二、職責分工
1、公司保密風險評估與管理主管部門為風險管理部。
2、各部門、各經營單元協助風險管理部實施本管理辦法。
3、公司各涉密經營單元是保密風險管理的第一道防線,負責本經營單元和公司內縱向歸口管理事項的保密風險管理工作。
4、公司保密風險評估工作小組(以下簡稱工作小組)是保密風險管理的第二道防線,接受保密管理辦公室的監督(以下簡稱保密辦),負責指導和檢查保密風險評估工作的開展。
5、公司保密工作領導小組(以下簡稱領導小組)是保密風險管理的第三道防線。作為保密風險管理的決策機構,負責監督保密風險評估工作的開展,負責組織建立完善保密管理的持續改進機制。
三、工作內容及流程。
1、領導小組授權風險管理部組織成立工作小組。工作小組組長由分管保密工作的公司領導擔任,成員由保密辦、風險管理部等部門負責人組成。領導小組應組織對評估過程中出現的問題和結果做分析和研究,查找出在保密管理的制度、流程和執行等方面的問題,組織對制度和流程進行修訂和完善。
2、工作小組至少每半年開展一次保密風險評估,使用“上海市涉密信息系統集成資質保密風險評估及自查自評系統”開展保密風險評估工作,按照業務流程對保密風險進行識別、分析和評估,評估的范圍包括項目、人員、資產、場所等主要管理活動在保密方面所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。
3、工作小組至少每年對《保密管理風險點識別及防控措施》評估一次,從人員風險、涉密載體風險、涉密計算機、涉密場所、投標、項目實施等,對每個風險點進行低、中、高等級識別,制定相應的防范措施。
4、工作小組在評估過程中如發現問題,及時向領導小組匯報,《保密風險評估報告》形成后,應向領導小組報告評估情況。向相關涉密經營單元和人員通報評估情況,監督防控措施的落實。
5、工作小組不定期組織開展評估業務培訓,使相關人員了解掌握保密風險形式、評估方法、評估工具、防控措施等知識。保密風險管理納入保密教育培訓,以增強涉密人員防控保密風險的意識。
6、《公司保密風險評估報告》以及《公司保密管理風險點識別及防控措施》由風險管理部保存,作為審查申請的附件材料報市國家保密局資質管理委員會辦公室。
四、獎懲機制
將評估工作履職情況納入部門和員工的績效考核評價體系。由領導小組對工作小組成員的保密工作進行考核評價;
由工作小組負責對相關部門和人員的保密工作進行考核評價。對發現并上報重大保密風險的部門和人員給予獎勵。對瞞報或未發現明顯保密風險而導致發生泄密事件及嚴重違規行為的部門、人員給予重罰。
五、附則
1、本管理辦法由公司風險管理部負責解釋和修訂。
2、本辦法自發布之日起實行,原《公司保密制度匯編》即行廢止。
點擊咨詢 