《涉密信息系统集成资质保密标准》3.4.1 资质单位应当定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估。各业务部门应当按照业务流程对保密风险进行识别、分析和评估,提出具体防控措施。
保密风险评估要求资质单位应按照保密标准要求,定期进行保密风险评估。保密风险评估对象包括涉密信息系统集成业务、人员、资产、场所等主要管理活动。
在开展保密风险评估过程中,要以资质单位各业务部门为保密风险评估主体,各部门应按照各自业务工作流程,对保密风险进行识别、分析和评估,并提出具体防控措施。各部门评估结果汇总整合后,形成风险评估报告。
保密风险评估报告内容应包括识别出的风险点、风险等级和防控措施等。
保密风险评估报告要求根据保密标准要求,资质单位应结合本单位实际,按照业务工作流程查找风险点,风险点的排列和分类应符合业务和工作流程。涉密人员管理风险点应按照涉密人员上岗、在岗、离岗全过程识别;涉密资产管理风险点应按照资产采购、配发、使用、携带外出、维修、报废、销毁的全过程识别;涉密场所管理风险点应按照从外到内、从人到物进行全方位识别;涉密项目风险点应对承接、研发、验收、维护等环节进行全过程识别。
识别出的风险点应全面准确,资质单位应对照业务流程各环节进行风险分析,避免遗漏。同时,应对风险进行分级,有的放矢,精准把握关键风险。
保密风险防控措施的落实风险防控措施与风险点之间应存在一一对应关系,明确负责部门和责任人,规定每个防控措施的操作细则。资质单位应将制定的保密风险防控措施融入到单位的管理制度和业务工作流程中。以制度形式将风险防控措施固化,并建立相应监督检查机制,保证风险防控工作落到实处。
258
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
