第一篇:部队保密风险评估
部队保密风险评估
摘要
“保守秘密是御敌之盾,失密泄密是刺已之剑。”“信息是生成战斗力的数据库,保密是保护战斗力的防火墙。”在信息化条件下,做好保密工作是部队的中心工作之一,军队保密风险评估是军队保密工作的重要组成部分。军队保密风险评估要坚持以科学发展观为指导,深入调查研究,全面掌握军队保密风险因素及其影响,进而准确掌握军队保密工作面临的形势、存在的问题和努力方向。有效控制知悉范围、降低保密负荷、增强保密能力、防范窃密活动、消除泄密隐患、确保秘密安全,这是做好保密工作的基本要求。要实现这一目标,就要对军事秘密存在的风险进行识别、分析,确定评估的指标体系,建立军队保密风险综合评估的数学模型。通过对军队保密风险的科学评估,准确把握涉密单位和涉密人员所掌管的秘密面临的风险,为进一步控制保密风险提供科学依据,实现军队保密工作的前馈管理。
关键词:保密 军队 风险评估
“保密是军队永恒的战斗力,泄密是军队失败的导火索。”在信息化条件下,做好保密工作是部队的中心工作之一,军队保密风险评估是军队保密工作的重要组成部分。军队保密风险评估要坚持以科学发展观为指导,深入调查研究,全面掌握军队保密风险因素及其影响,进而准确掌握军队保密工作面临的形势、存在的问题和努力方向。有效控制知悉范围、降低保密负荷、增强保密能力、防范窃密活动、消除泄密隐患、确保秘密安全,这是做好保密工作的基本要求。要实现这一目标,就要对军事秘密存在的风险进行识别、分析和评估,并对客观存在的风险和潜在的风险进行有效的控制与防范。通过对军队保密风险的科学评估,准确把握涉密单位和涉密人员所掌管的秘密面临的风险,为进一步控制保密风险提供科学依据,实现军队保密工作的前馈管理。
下面我们将结合军队保密管理工作的实际情况,研究解决以系为基本单位的保密工作问题。
我们可以将保密风险评估分成这几个方面: 1.评估密级 2.评估威胁 3.评估损失
模型的建立
一. 明确保密对象密级
1.网络设备:3G手机、无线路由器、网卡、网线 3级
2.存储介质:软盘、移动硬盘、U盘、光盘等 2级
3.硬件设备:个人笔记本电脑,军网电脑,手机,可上网的MP4等 1级
(上述为自主设定密级,且等级越高,密级越高)
第二篇:保密风险评估报告
保密风险评估报告
一、做好保密风险评估的重要性
XXX是专门从事信息工程咨询和监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术和手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度和职业操守,避免因用户保密信息泄露,这是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,是我公司保密工作的重中之重。
二、涉密项目监理工作保密重点
涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批和运维打下坚实基础,同时也可为承建方在方案设计、涉密改造、系统检测测试、试运行、验收等各阶段提供咨询,确保项目能够按时按质量完成。对于后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制和管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。
工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范和要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。
工程监理在涉密信息系统工程建设中是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见的事件可以进行很好的预防。总之,工程监理在涉密信息系统建设的项目非常重要。
我公司对信息工程监理工作的主要业务流程如下:
1、编制《监理规划》,《监理规划》是具体指导项目监理服务实施的文件。在收到施工图纸、工程施工合同等与监理工作有关的资料后,总监理工程师组织项目部全体人员研究有关资料,并主持依据《监理规划》;
2、监理工作实施过程中,如实际情况或条件发生重大变化需要调整《监理规划》时,应由总监理工程师组织专业监理工程师研究修改,按报审程序经过批准后报业主单位。
3、总监理工程师应组织监理人员熟悉设计文件,并对设计文件中存在的问题向业主单位、承建单位提出书面意见和建议。项目监理人员应参加由业主单位组织的设计技术交底会,总监理工程师对设计技术交底会议纪进行签认。
4、总监理工程师组织专业监理工程师审查承建单位报送的《施工组织设计(方案)报审表》,提出审查意见,经总监理工程师审核、签认后回复承建单位并报业主单位。
5、总监理工程师应审查承建单位现场项目管理机构的质量管理体系、技术管理体系和安全保证体系。在上述体系可以保证工程项目施工质量、安全时予以确认。
6、专业监理工程师应审查承建单位报送的《工程开工/复工报审表》,确认具备开工条件,由总监理工程师签署意见后回复承建单位并报业主单位。
7、监理人员参加由业主单位主持召开的第一次工地会议。总监理工程师对施工准备情况提出意见和要求,介绍监理规划主要内容,对监理工作进行交底,以求得工作上的配合。会议纪要由项目部起草,并经与会各方代表会签。
8、专业监理工程师将当日工程进展情况和监理所做的工作及时,准确地记在个人监理日记上。项目部的监理日记由总监理工程师或其授权的专人负责编写,编写过程中要充分收集专业监理工程师的意见和记录,该日记由总监理工程师或经其授权的人员在间隔不超过一周内检查并签字。
9、承建单位在施工过程中出现违反相关规范和法规的行为,未按施工组织设计或施工方案开展施工工作,专业监理工程师签发《监理工程师通知单》并督促施工单位进行整改。整改完毕后应由承建单位填报《监理工程师通知回复单》并由专业监理工程师进行复检并签认。
10、在施工过程中,当承建单位对已批准的施工组织设计进行调整、补充或变动时,应经专业监理工程师审查,并应由总监理工程师签认。对于重点部位、关键工序,专业监理工程师应要求承建单位报送施工方案,审核同意后予以签认。发现施工单位擅自更改施工组织设计或施工方案,并由可能对工程质量造成不良影响时,监理工程师应及时签发《监理工程师通知单》,必要时签发《工程暂停令》。
11、专业监理工程师应对承建单位报送的《工程材料/构配件/设备报审表》及其质量证明资料进行审核,并对进场的实物进行检查和验收,对于进口设备,专业监理工程师应配合商检局开箱验收。并应按照委托监理合同约定或有关工程质量管理文件规定的比例采用平行检验或见证取样方式进行抽检。对未经监理人员验收或验收不合格的工程材料、构配件、设备,监理人员应拒绝签认,并应签发《监理工程师通知单》,书面通知承建单位限期将不合格的工程材料、构配件、设备撤出现场。对承建单位提出紧急放行的要求,在该批材料可以追回的情况下,专业监理工程师应请示总监理工程师后作出相应决定,项目部对该类放行应做特别记录。
12、总监理工程师安排监理人员对施工过程进行巡视和检查,检查情况记录于个人监理日记或针对工程特点特别设计的实测检查表上。对隐蔽工程的隐蔽过程、下道工序施工完成后难以检查的重点部位,专业监理工程师应根据监理细则中的旁站监理计划安排监理员进行旁站。并根据承建单位报送的隐蔽工程报验申请和自检结果进行现场检查,符合要求予以签认。对未经监理人员验收或验收不合格的工序,监理人员拒绝签认,并要求承建单位严禁下一道工序的施工。
13、专业监理工程师应对承建单位报送的分项工程质量验评资料进行审核,符合要求后予以签认;总监理工程师应组织监理人员对承建单位报送的分部工程和单位工程质量验评资料进行审核和现场检查,符合要求后予以签认。对施工过程中出现的质量问题,专业监理工程师应及时下达《监理工程师通知单》,要求承建单位整改,并检查整改结果。
14、专业监理工程师在进行现场计量的基础上,按施工合同约定的工程量计算规则和支付条款审核工程量清单和《工程款支付申请表》。审查意见报总监理工程师审定,由总监理工程师签署工程款支付证书,并报业主单位。未经监理人员质量验收合格的工程量,或不符合施工合同规定的工程量,监理人员拒绝计量和该部分的工程款支付申请。
15、专业监理工程师检查进度计划的实施,并记录实际进度及其相关情况。检查情况记录于项目部的监理日记或针对工程特点特别设计的进度检查表上。当实际进度符合计划进度时,应要求承建单位编制下一期进度计划;当发现实际进度滞后于计划进度时,应签发监理工程师通知单指令承建单位采取调整措施。当实际进度严重滞后于计划进度时应及时报总监理工程师,由总监理工程师与业主单位、承建单位共同分析原因并研究对策,采取进一步的技术措施、组织措施、经济措施和其他配套措施。
16、总监理工程师组织专业监理工程师审查业主单位或承建单位提出的工程变更,审查同意后,由业主单位转交原设计单位编制设计变更文件。当工程变更涉及安全、环保等内容时,应按规定经有关部门审定。专业监理工程师应了解实际情况和收集与工程变更有关的资料,确定工程变更项目与原工程项目之间的类似程度以及工程变更的难易程度、工程量、单价或总价。总监理工程师必须对工程变更的费用和工期作出评估,尚应就工程变更费用及工期的评估情况与承建单位和业主单位进行协调。
17、在施工过程中,总监理工程师应定期主持召开工地例会。会议纪要应由项目部负责起草,并经与会各方代表会签。
18、专业监理工程师应检查承建单位是否执行安全技术措施计划或施工组织设计所规定的安全施工要求,并督促总承建单位管好分包单位,并按合同规定,提供安全施工设施。
19、总监理工程师应组织专业监理工程师对承建单位的竣工资料进行审查,对工程质量进行预验收。专业监理工程师应督促承建单位对预验收提出的质量问题进行整改,对整改进行验证并作好记录,对需要跟踪验证的项目应与承建单位另订计划。20、总监理工程师负责组织专业监理工程师按《信息化工程监理规范》、监理委托合同要求以及监理服务过程中积累的资料整理编制《监理总结报告》。《监理总结报告》应经由总工程师审核。《监理总结报告》及其附件批准后,由总监理工程师代表公司签发、提交业主单位。
21、在编制《监理规划》时,我们考虑到本项目是安防建设项目,因为项目涉及到安全,会与一些涉密系统对接,本身系统也会依托公安专网,智能安防系统实际上也是博乐智慧城市的组成部分,在开展监理工作时,对于涉密方面必须要给予重点考虑;
在监理过程中,我们严格按照《监理规划》的要求及建设合同的约定展开监理工作,同时在项目实施过程中提出合理化建议,针对保密工作方面:
1、对于涉密项目监理工作,明确保密领导小组组长负责保密管理工作,并严格控制知悉范围。公司首先由涉密工作领导小组召开动员会,根据公司保密制度制定项目工作计划,就是严格选择项目经理及工作人员;
2、由保密办公室具体审查项目组成员,确保成员必须符合要求;
3、项目经理制定本项目保密方案,保密领导小组审批;
4、保密办公室负责依据审核后的保密方案,与项目组所有成员签订项目《保密协议》,人员应当按照有关规定进行安全保密审查,与单位签订安全保密责任书,明确安全保密责任和义务。离开涉密工作岗位,应当清退涉密载体,实行脱密期管理。
5、保密办公室负责监督、检查项目组的工作,发现不符合要求的,立即责成项目经理整改;
6、涉密载体应当按照有关规定标明密级和保密期限,建立台账,集中统一管理;制作、收发、传递、使用、复制、保存、维修和销毁涉密载体(含纸介质、磁介质等),应当严格按照国家保密管理规定,履行签收、登记、审批等手续;对接触或知悉绝密级国家秘密的人员应当作出文字记载。
7、涉密计算机管理
涉密计算机及其移动存储介质集中管理,并建立台账;
涉密计算机和信息系统与国际互联网和其它公共信息网物理隔离;涉密计算机不安装任何无线通信设备; 涉密信息系统投入使用前必须经过国家保密部门系统测评和审批; 非涉密计算机和信息系统不存储和处理涉密信息;
涉密信息远程传输应当按照国家保密部门要求采取密码保护措施; 涉密计算机和信息系统内使用的移动存储介质采取绑定或有效的技术控制措施,信息导入和导出应当符合国家有关保密要求; 存储、处理国家秘密的计算机和信息系统按照有关法律法规及标准进行技术防护。
8、涉密通信和办公自动化设备管理
涉密办公自动化设备不得连接互联网或其它公共信息网; 不得使用具有无线互联功能的办公自动化设备处理涉密信息; 不得使用普通通信设备传递涉密信息; 不得使用普通电话(手机)谈论涉密事项; 不得在涉密场所使用无绳电话。
对于项目组,要求项目经理在项目实施过程中,必须将保密工作放在重中之重,不论是从本公司项目组的成员管理、资料管理,还是对承建方,也要从其管理上进行监督,并对保密风险问题要求承建方整改,同时在项目实施过程中,也要对信息系统中的保密风险提出建议,对甲方负责,通常信息系统应当注意的保密风险:
1、我们建议系统一定要有系统访问控制方面,主要采用两种方式实现:一种是限制访问系统的人员;另一种是限制进入系统的用户所能做的操作。前一种主要通过用户标识与验证来实现,而后一种则依靠存取控制来实现;
2、涉密系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应措施,确定和堵塞安全及保密的漏洞。利用日志和审计功能对系统进行安全监控,涉密系统应建立完善的审计系统和日志管理系统;
对于办公自动化系统和管理信息系统软件的安全保密: 对数据设置级别和使用权限; 对用户进行分类;
规定各类用户对应用系统功能的使用范围; 对不同级别数据,规定可以访问的用户;
根据实际工作流程确定对数据和系统功能的使用权限。 对涉密信息必须进行标密。
3、在计算机网络安全保密方面,要求计算机网络抵御来自外界侵袭等应采取的安全保密措施。必须采用国产的设备来实现网络的安全保密。目前主要通过采用安全防火墙系统、安全代理服务器、安全加密网关等来实现。
4、对于计算机信息传输的保密,要求采取不易被截取的通信方法(如光纤通信),并要对传输数据进行数据流加密,使非法攻击者无法读出所截获的传输数据。
5、从技术的层面考虑保密管理,还需要制定严格的保密制度,管理是安全保密的有效保障,通过对应用人员、系统设备、系统软件和所处理的信息及介质的制度化管理来保证用户的利益和安全。这主要是通过各单位机房管理制度或守则,计算机系统维护管理制度和介质管理制度等实现,各单位必须根据本单位的实际情况,制定和完善各项管理制度。
三、对保密风险的认识
保密工作存在的风险因素
(一)保密工作团队上的问题;
1、领导保密意识尚不够敏感;
2、保密教育不经常、保密知识缺乏;
3、保密组织的任务分工不明、对保密形势的估计不准确;
4、专项检查不到位、安全隐患排查不彻底;
5、保密员队伍建设还须加强;
6、工作思路缺乏创新、工作缺乏协同合作。
(二)保密工作环境上的问题:
1、可能在设备设施上泄密;
2、可能在计算机系统上泄密;
3、可能在工作及学习训练过程中泄密;
4、员工跳槽频繁;
如果企业的核心资料外传,甚至落入竞争对手手中,则企业很可能在竞争中失败。所以,保证企业的核心资料不被泄露是保证企业在竞争激烈市场立足之本。
对于企业重要数据泄密的途径,可以归纳为七点:(1)笔记本电脑等移动终端遗失或失窃;
(2)跨部门或跨计算机的数据转移以及外来计算机非法侵入;(3)存储介质随意使用;
(4)网络外发程序,如发送电子邮件、QQ信息、微信等;(5)打印、复印以及光盘刻录;(6)数据非法二次转播;
(7)OA等移动办公终端对于办公系统的接入。
四、对保密工作自我评价及改进
对保密工作要有的放矢地开展,堵塞泄密途径。我公司成立专门了保密管理领导小组,负责整体公司的保密工作,制定了保密管理制度,由保密领导小组监督制度执行情况,同时,公司针对涉密的项目,还制定了如下措施:
1、公司专设设置了涉密项目管理区域,凡是用户项目涉及秘密,都经由公司专门安排的涉密工程师进行处理,其他人员不得接触此类项目;
2、涉密项目管理区具备专门的资料存档柜,钥匙交由保密领导小组管理,涉密资料查阅必须经过批准,涉密项目资料不得外借、复制;
3、涉密项目使用固定的涉密计算机及打印机,涉密计算机不能上网(有线、无线均不可),涉密计算机不得带离涉密工作区域;
4、涉密岗位上的人员是工作的需要,在一定时间一定范围内知悉的保密事项,只能用于项目,不能向外泄露,不得对外从事技术服务。必须妥善保管各种保密资料,不得丢失泄密,不在报刊杂志上报道保密事项,不得把秘密资料传送到QQ空间、微信朋友圈或微博等。
5、涉密员工离职,应将自己保管的保密资料上交,不得带走或留存。
6、为进一步贯彻落实涉密岗位责任制度,公司与涉密员工磋商签订《保密协议》。
7、涉密办公区域是要害部门。计算机系统由专人管理,配备好防范设施,涉密文件的打印需用专用磁盘由专人负责。
8、建立健全涉密载体管理制度,对涉密资料做好真实详细的记录,存档保管。
近几年来,随着信息技术的飞速发展,现代办公设备逐渐走进了企业的日常工作,保密工作面临着一种全新环境;保密工作面临的形势日益严峻。
保密风险评估,作为企业开展保密工作的前提,能为单位领导准确把握本单位保密工作所面临的风险,进行重点防控提供科学依据。根据对本公司保密状况的分析,认为本公司应当主要从加强保密条件建设方面进一步采取积极有效的措施:
1、进一步加强保密“软件建设”。保密条件建设分为“软件建设”和“硬件建设”两大类,其中“软件建设”是灵魂,“硬件建设”是基础。加强保密“软件建设”,就是要从根本上进一步强化人员的保密意识,建议有关部门领导要加强教育,统一思想,通过认真学习《保密法》和《保密法实施条例》,切实开展好保密工作的教育与宣传。及时传达贯彻上级保密工作会议精神及保密局文件精神,按照工作要求落实措施,对重点涉密人员进行经常性的保密教育。通过宣传教育,使所属人员的保密意识明显提高,政治责任感进一步增强。同时,要结合本公司保密工作面临的实际情况,进一步完善本公司《保密制度》,严肃保密工作纪律,发生失密、泄密,视情节轻重、危害大小,依据国家有关保密规定给予批评教育或处分。将保密工作列入重要议事日程,确立“保密工作无小事”的思想理念,从思想教育入手,将保密工作摆在突出位置。
2、进一步加强信息设备的安全建设。随着信息技术的发展,各种高技术信息设备不断涌现,它们在为员工日常工作、学习、训练提供便利的同时,也给保密工作带来了更多挑战。为此,要进一步加强信息设备的安全建设,对一些存在较大安全隐患的设备坚决不能引进使用,使用时要制定严格的使用规则。对本公司的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、彻底的保密清查,将所有设备登记入册,进一步明确使用范围和责任人,同时对这些信息设备要进行不定时检查,将有隐患的设备及时处理。同时,要制定必要的防范措施,对网站要进行全天候监控,严防病毒攻击与木马植入,涉密计算机软件要安装先进软件,安装防辐射、即时杀毒、备份软件,涉密信息设备要有防电磁辐射、防内置、防失控、防失窃功能。
3、进一步完善保密工作机制。俗话说:“无规矩不成方圆。”同样,企业保密工作也需要完善的保密机制来保障。近年来,随着保密形势的日益严峻,对保密机制提出了更高的要求。所以,建议公司保密部门领导要加强制度建设,始终把落实规章制度作为抓好保密工作的关键环节,认真贯彻落实《保密法》及有关保密工作的规定,从文件的登记、收发、传递、归档、销毁等各个环节都严格按照规范流程,落实管理规定,做到了按制度管人管事。
4、在劳动合同中约定员工保密义务和竞业限制。根据《劳动合同法》第23条、第24条的规定,用人公司与劳动者可以在劳动合同中约定保守用人公司的商业秘密和与知识产权相关的保密事项。竞业限制的人员限于用人公司的高级管理人员、高级技术人员和其他负有保密义务的人员。竞业限制的范围、地域、期限由用人公司与劳动者约定,竞业限制的约定不得违反法律、法规的规定。
面对日益严峻的保密形势,保密风险的控制更为困难。公司领导要带头做好保密工作,齐抓共管、综合治理,要适应新要求、采取新措施,充分认识到新形势下做好保密工作的重要性和紧迫性,进一步做好各项保密工作,努力促进本公司的保密工作再上一个新台阶。
第三篇:浅谈部队信息安全保密风险管理
浅谈部队信息安全保密风险管理
柳立强 刘 清 武瑞凯
信息化条件下,军事秘密面临的风险不断加大,无意识泄密、间接泄密、计算机网络泄密等现象时有发生,给部队信息安全保密工作带来了严重挑战。信息安全保密风险管理从风险识别出发,对军事秘密面临的风险进行客观地全面分析和评估,并对风险实施有效控制,变事后补救为事先防范,这是形势发展的需要,是确保军事秘密安全的需要,也是做好信息化条件下部队保密工作的必然要求。
一、系统识别,找出部队信息安全保密重要风险
信息安全保密风险识别是指运用有关知识、方法、系统、全面和连续地发现部队军事秘密面临的风险。风险识别是风险管理的首要步骤。部队保密工作面临的风险是错综复杂的,需要进行认识和辨别。只有全面、准确地发现和辨识风险,才能进行风险评估和选择风险控制的措施。风险识别的方法有很多,比如保密清单损失法、专家调差分析法、经典案例分析法、等级全息建模法等等,不管用哪种方法,都要系统的识别以下几个方面。
1.对保密资产的识别。保密资产就是要保护的秘密资产。主要包括涉密的电子文档、涉密的实体信息以及涉密的装备设施等。一个单位保密资产越多,秘密的级别越高,保密的风险就越大,需要采取的措施就要更严密。
2.对资产脆弱性的识别。要清楚这些保密资产它们的弱电在哪里,也就是说,这些保密资产哪些方面容易被敌对势力利用。一般情况下,可以将脆弱性分为技术脆弱性和管理脆弱性两类。技术脆弱性主要是保护资产所涉及到的所有设备,包括移动载体、计算机网络、通信设备等本身所存在的一些技术隐患,比如一些后门程序等。管理的脆弱性主要是规章制度、责任区分等问题,要识别出在这些方面部队有哪些弱点。
3.对威胁的识别。威胁是指可能对保密资产或组织造成损害的一种潜在的侵害。比如信息泄露、信息破坏等。这些侵害有些是非人为,可能是无意识的行为,有些是故意的,是敌方情报机关或者我方人员有意识的行为。以上关于保密资产、脆弱性以及威胁的识别,不仅要清楚它们单个因素的种类,同是还要结合部队已有的安全措施,找出威胁利用脆弱性的可能性,以及发生以后对保密资产可能造成的损失,这就是保密风险。这些风险因素有很多,要通过进一步的识别,找出一些发生可能性大并且发生以后对保密资产影响较大的风险,也就是重要风险,将其进行评估。
二、量化评估,确定部队信息安全保密风险等级
在对信息安全保密风险进行充分的认识和分析之后,就应该对风险进行量化评估,确定保密的风险等级。保密风险评估综合分析资产、威胁、脆弱性、安全措施,判断系统风险,为部队识别安全重点、选择合理使用是安全对策提供依据,是保密风险管理的基础。
1.建立合理的评估指标体系。指标体系的建立对于风险的定量化评级至关重要。建立的指标不合理、不科学,即使评估的方法再科学,也会偏离评估的方向。风险识别阶段已经将保密重要风险因素进行了筛选,可依据筛选的这些风险因素进行归类。对哪些风险应该属于什么类别,要做到心中有数,这样便于评估,同事也便于制定合理的措施。风险从组织领导、保密环境、涉密岗位人员、技术条件、制度建设等方面进行归纳,形成保密风险的一级指标,再将一级指标进行系统归类,细分出更多的指标。
2.选择合适的评估方法。目前在风险评估领域评估方法已经十分广泛。部队在保密风险评估工作中起步较晚,但是这些方法可以借鉴。模糊综合评判法可以很好的解决保密风险评估量化问题。将建立的底层保密风险评估指标让专家打分,根据打分的情况利用模糊数学的一些方法进行处理,再通过底层指标的风险计算一级指标值,最终得出部队的保密风险综合值。
3.对评估的结果进行认真分析。风险评估一般将单位的风险状况区分为很低、低、中、高、很高五个等级。要根据评估的结果分析是什么原因导致的,对这些原因进行分析,进而找出影响评估结果的关键因素,为实施风险控制提供思路。
三、综合控制,规避和降低部队信息安全保密风险
在部队信息安全保密风险进行定量化评估以后,就应该根据风险评估的结果,对重要风险进行规避或降低,将保密风险控制在可接受范围内。风险控制是一个系统工程,不仅要找出风险和控制措施间的有效对应关系,还要从单位的保密文化环境、防范体系、防范策略等多方面进行综合控制,这样才能做到有的放矢,提高保密控制的效果。
1.营造信息安全保密的文化环境。忽略了官兵的信息安全保密意识和安全保密技能的提高,安全措施就不可能有效的发挥作用。通过对部队发生的失泄密事故调查和分析,大部分原因都是由人的因素引起的,这其中包括保密意识的淡薄和保密技能的缺失。因此,要制定周密的计划,通过安全教育和技能培训,提高官兵的信息安全保密意识和应对保密风险控制的技能,使遵守各种保密制度成为官兵的一种习惯,从而形成良好的保密文化环境。
2.构建全维实时的信息安全保密风险防范体系。要从组织领导、技术条件、管理制度、保密法规等各个方面,综合运用各种手段,实时监督各类安全措施的执行,落实安全奖惩措施,不断削除信息安全保密风险管理中的弱点。
3.注意防范策略的灵活运用。防范策略主要包括规避风险、降低风险和接受风险。信息安全保密工作中有些风险属于高风险,对于这类风险情况,可采取规避的方法,减少部队的损失;有些风险情景是部队在训练、演习、学习等工作中必须面对的,这时主要采取相应的安全措施来降低风险,使其控制在部队能接受的范围;有些风险是无法消除的,这时部队要勇敢面对,但是要实时监控,使其不影响保密工作的总体成效。
信息安全保密风险管理不是一蹴而就的,而是一个周期的螺旋式发展过程。由于部队任务转换、环境变化、人员流动等各种因素,再加上风险情景的不断变化,使得部队必须不断研究风险管理的新情况、新问题,不断完善风险管理的过程,健全风险管理的防范体系,提高信息化条件下保密管理水平。
第四篇:印刷厂保密风险评估报告 10.20
印刷厂保密风险评估报告
随着社会经济的高速发展,各类票据在市场经济与社会生活中所占的地位越来越重要。由于票据一般都具有一定的商业价值,在一定程度上要求商业票据在设计和性能要求不易被伪造、不易涂改、不易变更等特点。近年来,科技的不断进步,使得各类票据印刷中的防伪技术得到了很大的发展,而做好保密工作已经成为防伪票据印刷工作中的重中之重。我公司保密风险评估坚持以“积极防范、严谨务实、重点突出、管理细致”为原则,严格按照国家关于秘密载体印制资质管理的相关要求,未雨绸缪,防微杜渐,深入调查研究,全面分析企业所面临的保密风险因素及其影响,解决保密工作中存在的问题。
现将我公司保密风险评估结果报告如下:
一、保密意识风险
1、我公司为中国检验检疫科学研究院院属企业,属国有控股公司。公司骨干及中层以上领导干部均为中国共产党党员,党性坚定,且多为大专及以上学历,具有中高级技术职称,个人文化素质较高,多次接受上级主管部门的保密方面的教育培训。
2、我公司已制定详细的保密教育培训计划,公司设立专门的保密办公室,负责保密培训的组织及相关工作有委员会确定,新入职员工经保密培训后方可上岗,对要害部位的关键人员坚持从严考核的原则。
公司现有员工均经过保密培训,从讲政治的高度充分认识保密工作的重要性,进一步增强保密观念,切实加强对保密管理文件、规定的学习教育,强化保密意识,切实做好秘密载体印制过程的保密工作。
二、领导组织结构风险
1、我公司保密工作结构层次清晰,相关人员权责明确。我公司保密工作的领导机构为XX,由法定代表人XX总负责,主管全厂保密工作,包括制定符合公司安全保密制度方案,负责系统运维队伍的组织与管理。
2、按照“谁使用、谁负责”的原则,各科室、各部门负责人为本科室、本部门保密工作第一责任人,设备使用者为直接责任人,负责本单位各领域保密工作的具体事务。
三、保密形势分析风险
当前,随着互联网信息技术的迅猛发展,信息防伪领域窃密和反窃密斗争极为尖锐,防不胜防。而各种票据大量的发行和使用,需要更多、防伪功能更强的新型商业票据,对防伪技术提出了更高层次的要求,从整体情况来看,保密形势日益严峻。
四、工作方式风险
我司建立严格的安全机制,杜绝发生泄密事件。每月召开一次安全保密工作会议,从环境、设施、网络、系统软件、印刷运行、维护,人员、机构,职责、制度等各个层次和方面,制定相应的安全保密策略,确定相应的安全保护等级,确保公司业务与防伪信息系统自身不被破坏,不被入侵,不被非法进入,能保持正常运行;公司的涉密信息不被窃取、破坏或篡改。
五、保密环境风险
1、我公司切实加强对涉密材料以及技术使用全过程的监督和管理。对用于处理涉密资料等设备进行阻断网络的物理隔离方式,对计算机等涉密信息储藏设备安装防火墙和病毒查杀软件,按规定设置BIOS、系统登录和屏幕保护三级密码。
2、我公司已按保密规定,在重要涉密工作场合配备密码文件柜、防盗装置、视频监控装置、计算机视频干扰器等保密设备。
六、管理制度措施风险
1、管理制度风险 为进一步加强公司保密管理工作,确保涉密信息的安全,公司根据《中华人民共和国保守国家秘密法》、《国家秘密载体保密管理规定》及相关法律法规的规定,结合公司当前工作实际,制定了相关保密规定,对不符合保密规定,缺乏安全保障的问题及时进行整改。进一步建立和完善公司业务涉密环节的保密管理制度,坚持按制度办事,杜绝各类泄密事件的发生。
2、奖惩机制风险
对违反本规定和其他保密法规,造成信息泄密的,追究责任人和各科室、部门领导的责任。
七、涉密资源管理风险
1、涉密载体管理风险
(1)公司使用的涉密印刷文件、涉密计算机、移动存储介质(移动硬盘、光盘、U盘、录像带、录音带以及MP3、MP4)等具备数据储存功能的介质进行统一登记,建立详细准确的办公台帐并报公司保密办公室备案,日常保管由使用单位保密第一负责人或保密员保管。涉密印刷文件及信息载体实行使用登记制度,不得带离公司办公区域。建立登记薄,登记借用人、借用时间、归还时间等。
(2)在制印过程中,对原稿、校样、成品、半成品、印版、软片等,各工序履行交接手续,印制完成后进行清点,并在保密人员的监督下,到指定地点销毁。
(3)涉密移动硬盘用于涉密资料处理完毕后,由借用人负责删除涉密资料,并对移动硬盘进行格式化后归还。涉密移动硬盘维修时,公司保密人员必须在场。送修前必须对硬盘进行格式化处理。涉密载体不得擅自报废遗弃,必须交由公司专门机构进行管理。
2、网络管理风险
(1)未经批准,公司涉密计算机等信息载体一律不许连接网络,不得通过网络下载文件。如有特殊需求,必须事先提出申请,并报本部门主管领导审核,经领导审批后采用加密措施后方可实施。上网涉密计算机安装物理隔离卡。
(2)入网必须经过公司保密部门严格审核,公司入网计算机使用的域名和IP地址,须报公司备案并定期接受保密部门的安全检查。
(3)涉密人员在其它场所上互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播有关企业涉密票据印刷秘密的信息。
综上所述,目前我公司保密制度完备,保密环境良好,工作人员素质高、保密意识与责任心强,且有性能可靠、质量过硬的保密软硬件设备,能够确保达到国家关于秘密载体印制资质管理的相关要求。
第五篇:保密风险评估与管理办法
一、总则
为及时识别、监控公司保密潜在风险及其发生概率,确定公司保密风险承受能力及限度,认定该等风险所可能带来的损失,根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际,特制定本管理办法。
二、职责分工
1、公司保密风险评估与管理主管部门为风险管理部。
2、各部门、各经营单元协助风险管理部实施本管理办法。
3、公司各涉密经营单元是保密风险管理的第一道防线,负责本经营单元和公司内纵向归口管理事项的保密风险管理工作。
4、公司保密风险评估工作小组(以下简称工作小组)是保密风险管理的第二道防线,接受保密管理办公室的监督(以下简称保密办),负责指导和检查保密风险评估工作的开展。
5、公司保密工作领导小组(以下简称领导小组)是保密风险管理的第三道防线。作为保密风险管理的决策机构,负责监督保密风险评估工作的开展,负责组织建立完善保密管理的持续改进机制。
三、工作内容及流程。
1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担任,成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和研究,查找出在保密管理的制度、流程和执行等方面的问题,组织对制度和流程进行修订和完善。
2、工作小组至少每半年开展一次保密风险评估,使用“上海市涉密信息系统集成资质保密风险评估及自查自评系统”开展保密风险评估工作,按照业务流程对保密风险进行识别、分析和评估,评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次,从人员风险、涉密载体风险、涉密计算机、涉密场所、投标、项目实施等,对每个风险点进行低、中、高等级识别,制定相应的防范措施。
4、工作小组在评估过程中如发现问题,及时向领导小组汇报,《保密风险评估报告》形成后,应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况,监督防控措施的落实。
5、工作小组不定期组织开展评估业务培训,使相关人员了解掌握保密风险形式、评估方法、评估工具、防控措施等知识。保密风险管理纳入保密教育培训,以增强涉密人员防控保密风险的意识。
6、《公司保密风险评估报告》以及《公司保密管理风险点识别及防控措施》由风险管理部保存,作为审查申请的附件材料报市国家保密局资质管理委员会办公室。
四、奖惩机制
将评估工作履职情况纳入部门和员工的绩效考核评价体系。由领导小组对工作小组成员的保密工作进行考核评价;
由工作小组负责对相关部门和人员的保密工作进行考核评价。对发现并上报重大保密风险的部门和人员给予奖励。对瞒报或未发现明显保密风险而导致发生泄密事件及严重违规行为的部门、人员给予重罚。
五、附则
1、本管理办法由公司风险管理部负责解释和修订。
2、本办法自发布之日起实行,原《公司保密制度汇编》即行废止。