【保密风险评估报告】保密风险评估及防控措施

保密风险评估报告

一、做好保密风险评估的重要性

XXX就是专门从事信息工程咨询与监理业务的企业,主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作,并提供项目实施全过程监理。目前,信息化的应用越来越广泛,政府机关、行政企事业单位大量运用信息化技术与手段,改变原有工作方式及业务流程,极大的提高工作效率,更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密,因此,信息化下的保密工作非常重要。对于我公司来说,如何在项目咨询过程,为用户提供的解决方案能够达到保密的要求;在项目监理工作中,避免项目实施过程及系统运行产生漏洞,降低保密风险;公司的工作人员如何遵守保密制度与职业操守,避免因用户保密信息泄露,这就是我公司在保密制度建设及相应保密措施执行上,需要重点考虑解决的问题,就是我公司保密工作的重中之重。

二、涉密项目监理工作保密重点

涉密信息系统工程建设过程中监理的作用主要体现在:发挥工程监理的咨询服务功能;发挥工程监理对工程项目的管理作用。对于前者,工程监理可以向建设方提供关于涉密信息系统工程建设准备与过程中相关的国家标准及规范提供咨询,也可以协助建设方完善安全保密管理体系及相关制度的建设,为工程的测评、审批与运维打下坚实基础,同时也可为承建方在方案设计、涉密改造、系统检测测试、试运行、验收等各阶段提供咨询,确保项目能够按时按质量完成。对于

后者而言,由于涉密信息工程涉及的业务内容繁多,过程较长,一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现,大大的增加了工程建设的复杂性。此时,工程监理的重要性就体现出来了,工程监理按照管理规范对涉密信息系统进行监督、控制与管理,严格按照施工流程控制,并规范过程文档,协调各组织的关系,及时发现、妥善处理施工过程中出现的问题就显的非常重要。

工程监理在涉密信息系统建设过程中,通过运用自身对国家相关涉密信息系统建设的管理规范与要求,能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求,能够快速发现与解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方,有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系与利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。

工程监理在涉密信息系统工程建设中就是不可或缺的一个重要角色,监理在工程建设中的作用,就好比化学反应中的催化剂,不仅可以很好的促进工程向更好的方向发展,同时也可以抑制其向不利于工程项目进展的方向发展。缺乏监理的情况下,就会不可避免的出现各种可能会影响工程进度、质量及安全的事件,在有监理的情况下,对于那些可预见的事件可以进行很好的预防。总之,工程监理在涉密信息系统建设的项目非常重要。

我公司对信息工程监理工作的主要业务流程如下:

1、编制《监理规划》,《监理规划》就是具体指导项目监理服务

实施的文件。在收到施工图纸、工程施工合同等与监理工作有关的资料后,总监理工程师组织项目部全体人员研究有关资料,并主持依据《监理规划》;

2、监理工作实施过程中,如实际情况或条件发生重大变化需要调

整《监理规划》时,应由总监理工程师组织专业监理工程师研究修改,按报审程序经过批准后报业主单位。

3、总监理工程师应组织监理人员熟悉设计文件,并对设计文件中

存在的问题向业主单位、承建单位提出书面意见与建议。项目监理人员应参加由业主单位组织的设计技术交底会,总监理工程师对设计技术交底会议纪进行签认。

4、总监理工程师组织专业监理工程师审查承建单位报送的《施工

组织设计(方案)报审表》,提出审查意见,经总监理工程师审核、签认后回复承建单位并报业主单位。

5、总监理工程师应审查承建单位现场项目管理机构的质量管理

体系、技术管理体系与安全保证体系。在上述体系可以保证工程项目施工质量、安全时予以确认。

6、专业监理工程师应审查承建单位报送的《工程开工/复工报审

表》,确认具备开工条件,由总监理工程师签署意见后回复承建单位并报业主单位。

7、监理人员参加由业主单位主持召开的第一次工地会议。总监理

工程师对施工准备情况提出意见与要求,介绍监理规划主要内容,对监理工作进行交底,以求得工作上的配合。会议纪要由项目部起草,并经与会各方代表会签。

8、专业监理工程师将当日工程进展情况与监理所做的工作及时,

准确地记在个人监理日记上。项目部的监理日记由总监理工程师或其授权的专人负责编写,编写过程中要充分收集专业监理工程师的意见与记录,该日记由总监理工程师或经其授权的人员在间隔不超过一周内检查并签字。

9、承建单位在施工过程中出现违反相关规范与法规的行为,未按

施工组织设计或施工方案开展施工工作,专业监理工程师签发《监理工程师通知单》并督促施工单位进行整改。整改完毕后应由承建单位填报《监理工程师通知回复单》并由专业监理工程师进行复检并签认。

10、在施工过程中,当承建单位对已批准的施工组织设计进行

调整、补充或变动时,应经专业监理工程师审查,并应由总监理工程师签认。对于重点部位、关键工序,专业监理工程师应要求承建单位报送施工方案,审核同意后予以签认。发现施工单位擅自更改施工组织设计或施工方案,并由可能对工程质量造成不良影响时,监理工程师应及时签发《监理工程师通知单》,必要时签发《工程暂停令》。

11、专业监理工程师应对承建单位报送的《工程材料/构配件/

设备报审表》及其质量证明资料进行审核,并对进场的实物进行检查与验收,对于进口设备,专业监理工程师应配合商检局开箱验收。并应按照委托监理合同约定或有关工程质量管理文件规定的比例采用平行检验或见证取样方式进行抽检。对未经监理人员验收或验收不合格的工程材料、构配件、设备,监理人员应拒绝签认,并应签发《监理工程师通知单》,书面通知承建单位限期将不合格的工程材料、构配件、设备撤出现场。对承建单

位提出紧急放行的要求,在该批材料可以追回的情况下,专业监理工程师应请示总监理工程师后作出相应决定,项目部对该类放行应做特别记录。

12、总监理工程师安排监理人员对施工过程进行巡视与检查,

检查情况记录于个人监理日记或针对工程特点特别设计的实测检查表上。对隐蔽工程的隐蔽过程、下道工序施工完成后难以检查的重点部位,专业监理工程师应根据监理细则中的旁站监理计划安排监理员进行旁站。并根据承建单位报送的隐蔽工程报验申请与自检结果进行现场检查,符合要求予以签认。对未经监理人员验收或验收不合格的工序,监理人员拒绝签认,并要求承建单位严禁下一道工序的施工。

13、专业监理工程师应对承建单位报送的分项工程质量验评资

料进行审核,符合要求后予以签认;总监理工程师应组织监理人员对承建单位报送的分部工程与单位工程质量验评资料进行审核与现场检查,符合要求后予以签认。对施工过程中出现的质量问题,专业监理工程师应及时下达《监理工程师通知单》,要求承建单位整改,并检查整改结果。

14、专业监理工程师在进行现场计量的基础上,按施工合同约

定的工程量计算规则与支付条款审核工程量清单与《工程款支付申请表》。审查意见报总监理工程师审定,由总监理工程师签署工程款支付证书,并报业主单位。未经监理人员质量验收合格的工程量,或不符合施工合同规定的工程量,监理人员拒绝计量与该部分的工程款支付申请。

15、专业监理工程师检查进度计划的实施,并记录实际进度及

其相关情况。检查情况记录于项目部的监理日记或针对工程特

点特别设计的进度检查表上。当实际进度符合计划进度时,应要求承建单位编制下一期进度计划;当发现实际进度滞后于计划进度时,应签发监理工程师通知单指令承建单位采取调整措施。

当实际进度严重滞后于计划进度时应及时报总监理工程师,由总监理工程师与业主单位、承建单位共同分析原因并研究对策,采取进一步的技术措施、组织措施、经济措施与其她配套措施。

16、总监理工程师组织专业监理工程师审查业主单位或承建单

位提出的工程变更,审查同意后,由业主单位转交原设计单位编制设计变更文件。当工程变更涉及安全、环保等内容时,应按规定经有关部门审定。专业监理工程师应了解实际情况与收集与工程变更有关的资料,确定工程变更项目与原工程项目之间的类似程度以及工程变更的难易程度、工程量、单价或总价。总监理工程师必须对工程变更的费用与工期作出评估,尚应就工程变更费用及工期的评估情况与承建单位与业主单位进行协调。

17、在施工过程中,总监理工程师应定期主持召开工地例会。会

议纪要应由项目部负责起草,并经与会各方代表会签。

18、专业监理工程师应检查承建单位就是否执行安全技术措施

计划或施工组织设计所规定的安全施工要求,并督促总承建单位管好分包单位,并按合同规定,提供安全施工设施。

19、总监理工程师应组织专业监理工程师对承建单位的竣工资

料进行审查,对工程质量进行预验收。专业监理工程师应督促承建单位对预验收提出的质量问题进行整改,对整改进行验证并作好记录,对需要跟踪验证的项目应与承建单位另订计划。20、总监理工程师负责组织专业监理工程师按《信息化工程监

理规范》、监理委托合同要求以及监理服务过程中积累的资料整理编制《监理总结报告》。《监理总结报告》应经由总工程师审核。《监理总结报告》及其附件批准后,由总监理工程师代表公司签发、提交业主单位。

21、在编制《监理规划》时,我们考虑到本项目就是安防建设项

目,因为项目涉及到安全,会与一些涉密系统对接,本身系统也会依托公安专网,智能安防系统实际上也就是博乐智慧城市的组成部分,在开展监理工作时,对于涉密方面必须要给予重点考虑;

在监理过程中,我们严格按照《监理规划》的要求及建设合同的约定展开监理工作,同时在项目实施过程中提出合理化建议,针对保密工作方面:

1、对于涉密项目监理工作,明确保密领导小组组长负责保密管理工作,并严格控制知悉范围。公司首先由涉密工作领导小组召开动员会,根据公司保密制度制定项目工作计划,就就是严格选择项目经理及工作人员;

2、由保密办公室具体审查项目组成员,确保成员必须符合要求;

3、项目经理制定本项目保密方案,保密领导小组审批;

4、保密办公室负责依据审核后的保密方案,与项目组所有成员签订项目《保密协议》,人员应当按照有关规定进行安全保密审查,与单位签订安全保密责任书,明确安全保密责任与义务。离开涉密工作岗位,应当清退涉密载体,实行脱密期管理。

5、保密办公室负责监督、检查项目组的工作,发现不符合要求的,立即责成项目经理整改;

6、涉密载体应当按照有关规定标明密级与保密期限,建立台账,集中统一管理;制作、收发、传递、使用、复制、保存、维修与销毁涉密

载体(含纸介质、磁介质等),应当严格按照国家保密管理规定,履行签收、登记、审批等手续;对接触或知悉绝密级国家秘密的人员应当作出文字记载。

7、涉密计算机管理

●涉密计算机及其移动存储介质集中管理,并建立台账;

●涉密计算机与信息系统与国际互联网与其它公共信息网物理

隔离; 涉密计算机不安装任何无线通信设备;

●涉密信息系统投入使用前必须经过国家保密部门系统测评与

审批;

●非涉密计算机与信息系统不存储与处理涉密信息;

●涉密信息远程传输应当按照国家保密部门要求采取密码保护

措施;

●涉密计算机与信息系统内使用的移动存储介质采取绑定或有

效的技术控制措施,信息导入与导出应当符合国家有关保密要求;

●存储、处理国家秘密的计算机与信息系统按照有关法律法规及

标准进行技术防护。

8、涉密通信与办公自动化设备管理

●涉密办公自动化设备不得连接互联网或其它公共信息网;

●不得使用具有无线互联功能的办公自动化设备处理涉密信息;

●不得使用普通通信设备传递涉密信息;

●不得使用普通电话(手机)谈论涉密事项;

●不得在涉密场所使用无绳电话。

对于项目组,要求项目经理在项目实施过程中,必须将保密工作放在重中之重,不论就是从本公司项目组的成员管理、资料管理,还就是对承建方,也要从其管理上进行监督,并对保密风险问题要求承建方整

改,同时在项目实施过程中,也要对信息系统中的保密风险提出建议,对甲方负责,通常信息系统应当注意的保密风险:

1、我们建议系统一定要有系统访问控制方面,主要采用两种方式实现:一种就是限制访问系统的人员;另一种就是限制进入系统的用户所能做的操作。前一种主要通过用户标识与验证来实现,而后一种则依靠存取控制来实现;

2、涉密系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应措施,确定与堵塞安全及保密的漏洞。利用日志与审计功能对系统进行安全监控,涉密系统应建立完善的审计系统与日志管理系统;

●对于办公自动化系统与管理信息系统软件的安全保密:

●对数据设置级别与使用权限;

●对用户进行分类;

●规定各类用户对应用系统功能的使用范围;

●对不同级别数据,规定可以访问的用户;

●根据实际工作流程确定对数据与系统功能的使用权限。

●对涉密信息必须进行标密。

3、在计算机网络安全保密方面,要求计算机网络抵御来自外界侵袭等应采取的安全保密措施。必须采用国产的设备来实现网络的安全保密。目前主要通过采用安全防火墙系统、安全代理服务器、安全加密网关等来实现。

4、对于计算机信息传输的保密,要求采取不易被截取的通信方法(如光纤通信),并要对传输数据进行数据流加密,使非法攻击者无法读出所截获的传输数据。

5、从技术的层面考虑保密管理,还需要制定严格的保密制度,管理就是

安全保密的有效保障,通过对应用人员、系统设备、系统软件与所处理的信息及介质的制度化管理来保证用户的利益与安全。这主要就是通过各单位机房管理制度或守则,计算机系统维护管理制度与介质管理制度等实现,各单位必须根据本单位的实际情况,制定与完善各项管理制度。

三、对保密风险的认识

保密工作存在的风险因素

(一)保密工作团队上的问题;

1、领导保密意识尚不够敏感;

2、保密教育不经常、保密知识缺乏;

3、保密组织的任务分工不明、对保密形势的估计不准确;

4、专项检查不到位、安全隐患排查不彻底;

5、保密员队伍建设还须加强;

6、工作思路缺乏创新、工作缺乏协同合作。

(二)保密工作环境上的问题:

1、可能在设备设施上泄密;

2、可能在计算机系统上泄密;

3、可能在工作及学习训练过程中泄密;

4、员工跳槽频繁;

如果企业的核心资料外传,甚至落入竞争对手手中,则企业很可能在竞争中失败。所以,保证企业的核心资料不被泄露就是保证企业在竞争激烈市场立足之本。

对于企业重要数据泄密的途径,可以归纳为七点:

(1)笔记本电脑等移动终端遗失或失窃;

(2)跨部门或跨计算机的数据转移以及外来计算机非法侵入;

(3)存储介质随意使用;

(4)网络外发程序,如发送电子邮件、QQ信息、微信等;

(5)打印、复印以及光盘刻录;

(6)数据非法二次转播;

(7)OA等移动办公终端对于办公系统的接入。

四、对保密工作自我评价及改进

对保密工作要有的放矢地开展,堵塞泄密途径。我公司成立专门了保密管理领导小组,负责整体公司的保密工作,制定了保密管理制度,由保密领导小组监督制度执行情况,同时,公司针对涉密的项目,还制定了如下措施:

1、公司专设设置了涉密项目管理区域,凡就是用户项目涉及秘密,都经由公司专门安排的涉密工程师进行处理,其她人员不得接触此类项目;

2、涉密项目管理区具备专门的资料存档柜,钥匙交由保密领导小组管理,涉密资料查阅必须经过批准,涉密项目资料不得外借、复制;

3、涉密项目使用固定的涉密计算机及打印机,涉密计算机不能上网(有线、无线均不可),涉密计算机不得带离涉密工作区域;

4、涉密岗位上的人员就是工作的需要,在一定时间一定范围内知悉的保密事项,只能用于项目,不能向外泄露,不得对外从事技术服务。必须妥善保管各种保密资料,不得丢失泄密,不在报刊杂志上报道保密

推荐访问:监控保密风险评估报告 评估报告 保密 风险