信息系统集成项目风险评估及防控措施.pdf

信息系统集成项目风险评估及防控措施 1、 参与涉密项目人员风险评估 1.1 可能存在的风险点 项目部组建时人员是否满足涉密人员要求； 上岗前是否接受过必威体育官网网址知识培训及考核； 是否与公司签订必威体育官网网址承诺书， 必威体育官网网址协议，必威体育官网网址责任书及涉密人员考核评价表； 部门是否按照公司要求开展必威体育官网网址知识培训，加强部门涉密人员的必威体育官网网址意识； 涉密人员离岗时是否签订离岗必威体育官网网址承诺书， 必威体育官网网址工作领导小组是否对其进行 脱密期管理。 1.2 风险防控措施 应聘员工应满足公司对涉密人员的聘用标准； 上岗必须学习岗位必威体育官网网址业务，且必威体育官网网址知识考核成绩合格； 与公司签署必威体育官网网址协议、必威体育官网网址承诺书、必威体育官网网址责任书； 员工所在部门领导确认涉密人员考核评级表内容，确认无误后签字。同时保 密领导小组同意签字后．评价表交必威体育官网网址工作领导小组存档，做为该员工的涉 密考核内容； 必威体育官网网址办公室应在年初做好本年度必威体育官网网址知识培训计划及考核计划， 组织涉密人 员学习各项必威体育官网网址知识。 涉密人员在离开项目后，严格遵守公司必威体育官网网址制度，与公司签署离岗必威体育官网网址承诺 书，并严格遵守公司对离岗人员的脱密期管理要求。 2、 涉密载体风险评估 2.1 可能存在的风险点 纸质文件： 涉密文件、资料是否有专人管理； 涉密文件是否有收发记录； 涉密文件复印、外借是否有登记，是否在记录中标明使用理由、复印数量及 使用人签字； 涉密文件借阅是否有登记记录，是否在记录中标明借阅理由、使用时间、归 还时间及借阅人签字； 涉密文件是否及时归档，档案目录是否及时更新。 电子文件： 是否指派专人对涉密电子文件进行管理： 制作涉密电子文件时，是否记录使用范围及制作数量： 是否在非涉密计算机中传递涉密电子文件； 在携带涉密电子文件外出时，是否有专人携带； 涉密电子文件是否及时归档； 报废的涉密电子文件如何处理。 2 .2 风险防控措施 纸质文件 : 所有必威体育官网网址文件、文档、材料由项目必威体育官网网址专员统一管理，统一登记并存入密码 柜，定期进行清查，避免发生资料泄露或丢失。严禁其他人员随意翻看必威体育官网网址 资料，如有其他必威体育官网网址人员要借阅使用，由必威体育官网网址专员进行登记，写明借阅时间 及借阅理由，并保证不拿到涉密办公室以外的地方使用。 必威体育官网网址材料严格按必威体育官网网址领导办公室批准的份数印刷，不得擅自多印多留，复印 件视同原件管理，复印过程中产生的废纸、废件应及时销毁；在复印材料之 前，需由必威体育官网网址办公室管理员登记后方可进行，标明使用理由、复印份数； 传递必威体育官网网址材料要有必威体育官网网址措施，传递应专人专送，不得办理无关事项，携带密 件不得进入不利于必威体育官网网址的场所；外出工作需携带必威体育官网网址材料的，要经必威体育官网网址工作 领导小组批准。 必威体育官网网址资料未经许可，不得擅自摘抄、翻印、复印、转借或损坏；一旦造成损 失由当事人承担责任。 电子文件： 指定专人负责项目涉密电子文件的日常管理工作。 制作涉密电子文件，应当依照有关文件，规定使用范围及制作数量，并编号 记录。 传递涉密电子文件，应当履行登记、签收等手续。禁止在任何非涉密网络上 传递涉密电子文件。严禁在非涉密机上处理或存储涉密电子文件。 阅读、使用、复制和销毁涉密电子文件，应经必威体育官网网址工作领导小组批准，同时 办理登记、签字手续。复制的电子文件视同原件管理。 定期对涉密电子文件及载体进行清查、核对，发现问题及时向必威体育官网网址管理办公 室汇报。 3、 涉密设备风险评估 3.1 可能存在的风险点 涉密计算机是否有违规操作： 涉密计算机端口是否插过其他存储介质； 涉密计算机是否配备三合一防护系统： 办公场所自动化设备是否外借使用： 涉密计算机及办公场所自动化设备维修、更换、报废如何管理。 3 .2 风险防控措施 涉密计算机安装主机监控与审计系统进行端口审计； 涉密计算机安装江民病毒防护软件，由专人进行病毒软件更新，更新周期不 超过 15 天： 每台涉密计算机都配备三合一防护系统， 严格控制了计算机内涉密信息的流 失