1 概述针对公司主要业务流程进行风险评估,其中包含了涉密信息系统集成业务管理、人力资源管理、资产管理、涉密场所管理等
2 评估目的通过人员访谈、文档审查和实地察看相结合的方式查找公司信息系统软件开发主要业务流程的薄弱环节和安全隐患,分析可能面临的风险,为保密风险防控措施的落实提供依据
3 评估依据《涉密信息系统集成资质单位保密标准》《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实旋条例》《涉密信息系统集成资质管理办法》4 评估内容4
1 人力资源管理风险评估根据《涉密信息系统集成资质单位保密标准》及公司《安全保密管理制度》中《涉密人员管理制度》中的规定,从人员上岗、在岗、离岗管理三方面分析公司涉密人员管理现状,对公司涉密人员管理的业务流程进行风险评估,识别并评估风险点,进而制定出风险防控措施
1 风险级别定义风险严重程度级别参考书级别标识定义很高如果被利用,将对资产或业务造成完全损害高如果被利用,将对资产或业务造成重大损害中等如果被利用,将对资产或业务造成一般损害低如果被利用,将对资产或业务造成较小损害很低如果被利用,将对资产或业务造成的损害可以忽略4
2 风险点>对从事涉密业务的人员进行审查,是否符合条件,符合条件的方可将其确定为涉密人员
是否对涉密人员进行保密教育培训,并签订保密承诺书后方能上岗
>对涉密人员是否保守国家秘密,严格遵守各项保密规章制度进行审查,是否符合以下基本条件:(1)遵纪守法,具有良好的品行,无犯罪记录;(2)属于公司正式职工,并在其他公司无兼职;(3)社会关系清楚,本人及其配偶为中国境内公民
>审查公司与涉密人员签订的劳动合同或补充协议,是否已签署
>公司在岗涉密人员是否每年参加保密教育与保密知识、技能培训,培训的时间应不少于 10 个学时
>公司是否对在岗涉密人员进行定期考核评价
>公司是否向涉密人员发放保密补贴
