保密风险评估与管理办法一、总则为及时识别、监控公司保密潜在风险及其发生概率,确定公司保密风险承受能力及限度,认定该等风险所可能带来的损失,根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际,特制定本管理办法。二、职责分工1、公司保密风险评估与管理主管部门为风险管理部。2、各部门、各经营单元协助风险管理部实施本管理办法。3、公司各涉密经营单元是保密风险管理的第一道防线,负责本经营单元和公司内纵向归口管理事项的保密风险管理工作。4、公司保密风险评估工作小组(以下简称工作小组)是保密风险管理的第二道防线,接受保密管理办公室的监督(以下简称保密办),负责指导和检查保密风险评估工作的开展。5、公司保密工作领导小组(以下简称领导小组)是保密风险管理的第三道防线。作为保密风险管理的决策机构,负责监督保密风险评估工作的开展,负责组织建立完善保密管理的持续改进机制。三、工作内容及流程。1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担任,成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和讨论,查找出在保密管理的制度、流程和执行等方面的问题,组织对制度和流程进行修订和完善。2、工作小组至少每半年开展一次保密风险评估,使用“上海市涉密信息系统集成资质保密风险评估及自查自评系统”开展保密风险评估工作,根据业务流程对保密风险进行识别、分析和评估,评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次,从人员风险、涉密载体风险、涉密计算机、涉密场所、投标、项目实施等,对每个风险点进行低、中、高等级识别,制定相应的防范措施。4、工作小组在评估过程中如发现问题,及时向领导小组汇报,《保密风险评估》形成后,应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况,监督防控措施的落实。5、工作小组不定期组织开展评估业务培训,使相关人员了解掌握保密风险形式、评估方法、评估工具、防控措施等知识。保密风险管理纳入保密教育培训,以增强涉密人员防控保密风险的意识。6、《公司保密风险评估报告》以及《公司保密管理风险点识别及防控措施》由风险管理部...
