保密风险评估报告

一、做好保密风险评估的重要性

我公司是专门的秘密载体印制企业，所以，保密工作是重中之重。

众所周知，国家秘密一旦泄露，后果不堪设想。为切实有效地保护国家秘密．必须事先做好保密风险评估报告，让保密工作有的放矢。

随着现代科学技术的发展，信息化程度越来越高，保密工作已成为企业的中心工作之一。在信息化条件下，保密工作既是一项复杂的系统工程，同时也是关系到企业的正常工作是否能够顺利进行的重要因素。

保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

引起                      导致      

简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。

…… …… 余下全文

涉密计算机风险评估报告

（仅供参考，机密级/秘密级计算机每12个月一次）

涉密计算机安全保密管理员：李磊                 

保密办主任：孔维钊 

日期：  ××年××月××日　

1   概述

1.1　评估日期：3月20日

1.2　评估时间范围：3月24日至3月28日

1.3　参加评估人员：孔维钊、李磊。

2   涉密计算机保护措施

2.1    采用封堵端口的办法对涉密计算机的非授权USB端口进行封闭。

2.2    涉密计算机安装了通软主机监控与审计系统V6.0软件进行端口审计。

2.3    涉密计算机安装了涉密计算机及移动储存介质保密管理系统V1.0软件进行介质绑定。

2.4    中间机安装了金山防病毒软件，涉密计算机安装了瑞星防病毒软件，防病毒软件更新周期不超过15天。

2.5    涉密计算机配置了统一的windows组策略，对密码复杂度、位数、更换周期等作出了限制。

2.6    涉密计算机输入输出信息全部通过刻录一次性写入光盘的形式进行，中间机专人管理。

3     安全风险分析

3.1    打印输出风险

无技术手段对涉密计算机打印输出信息进行监控。

3.2    移动介质风险

…… …… 余下全文

保密风险评估报告

一、做好保密风险评估的重要性

XXX是专门从事信息工程咨询和监理业务的企业，主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作，并提供项目实施全过程监理。目前，信息化的应用越来越广泛，政府机关、行政企事业单位大量运用信息化技术和手段，改变原有工作方式及业务流程，极大的提高工作效率，更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密，因此，信息化下的保密工作非常重要。对于我公司来说，如何在项目咨询过程，为用户提供的解决方案能够达到保密的要求；在项目监理工作中，避免项目实施过程及系统运行产生漏洞，降低保密风险；公司的工作人员如何遵守保密制度和职业操守，避免因用户保密信息泄露，这是我公司在保密制度建设及相应保密措施执行上，需要重点考虑解决的问题，是我公司保密工作的重中之重。

二、涉密项目监理工作保密重点

涉密信息系统工程建设过程中监理的作用主要体现在：发挥工程监理的咨询服务功能；发挥工程监理对工程项目的管理作用。对于前者，工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询，也可以协助建设方完善安全保密管理体系及相关制度的建设，为工程的测评、审批和运维打下坚实基础，同时也可为承建方在方案设计、涉密改造、系统检测测试、试运行、验收等各阶段提供咨询，确保项目能够按时按质量完成。对于后者而言，由于涉密信息工程涉及的业务内容繁多，过程较长，一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现，大大的增加了工程建设的复杂性。此时，工程监理的重要性就体现出来了，工程监理按照管理规范对涉密信息系统进行监督、控制和管理，严格按照施工流程控制，并规范过程文档，协调各组织的关系，及时发现、妥善处理施工过程中出现的问题就显的非常重要。

工程监理在涉密信息系统建设过程中，通过运用自身对国家相关涉密信息系统建设的管理规范和要求，能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求，能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方，有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理，避免与监理项目的承建单位存在隶属关系和利益关系，或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。

…… …… 余下全文

保密风险评估报告:

（一）风险识别方法的科学性：严格按照业务和工作流程查找风险点；

（二）风险识别分析的全面性：针对业务工作流程的各个环节，全面查找风险点；

（三）风险识别分析的准确性：风险点查找准确、到位，反映业务实际；

（四）风险防控措施的有效性：风险防控措施针对性、可操作性强，明确责任人，规定操作细则。

…… …… 余下全文

印刷厂保密风险评估报告

随着社会经济的高速发展，各类票据在市场经济与社会生活中所占的地位越来越重要。由于票据一般都具有一定的商业价值，在一定程度上要求商业票据在设计和性能要求不易被伪造、不易涂改、不易变更等特点。近年来，科技的不断进步，使得各类票据印刷中的防伪技术得到了很大的发展，而做好保密工作已经成为防伪票据印刷工作中的重中之重。我公司保密风险评估坚持以“积极防范、严谨务实、重点突出、管理细致”为原则，严格按照国家关于秘密载体印制资质管理的相关要求，未雨绸缪，防微杜渐，深入调查研究，全面分析企业所面临的保密风险因素及其影响，解决保密工作中存在的问题。

现将我公司保密风险评估结果报告如下：

一、保密意识风险

1、我公司为中国检验检疫科学研究院院属企业，属国有控股公司。公司骨干及中层以上领导干部均为中国共 产 党党员，党性坚定，且多为大专及以上学历，具有中高级技术职称，个人文化素质较高，多次接受上级主管部门的保密方面的教育培训。

2、我公司已制定详细的保密教育培训计划，公司设立专门的保密办公室，负责保密培训的组织及相关工作有委员会确定，新入职员工经保密培训后方可上岗，对要害部位的关键人员坚持从严考核的原则。

公司现有员工均经过保密培训，从讲政治的高度充分认识保密工作的重要性，进一步增强保密观念，切实加强对保密管理文件、规定的学习教育，强化保密意识，切实做好秘密载体印制过程的保密工作。

二、领导组织结构风险

1、我公司保密工作结构层次清晰，相关人员权责明确。我公司保密工作的领导机构为XX，由法定代表人XX总负责，主管全厂保密工作，包括制定符合公司安全保密制度方案，负责系统运维队伍的组织与管理。

2、按照“谁使用、谁负责”的原则，各科室、各部门负责人为本科室、本部门保密工作第一责任人，设备使用者为直接责任人，负责本单位各领域保密工作的具体事务。

…… …… 余下全文

企业年度风险评估报告

为进一步加强企业风险管理，增加公司的风险控制水平，保护广大投资者的合法权益，根据财政部颁布的《企业内部控制规范》要求，董事会办公室与审计部共同组建企业风险评估小组，对2012年度企业面临的各种风险进行评估，并制定相应风险应对策略，实现对风险的有效控制。

一、企业基本情况

1、公司名称：XXXX有限公司

2、公司地址：XXXXX

3、企业经营范围：XXXXX。

4、公司股权架构：

5、风险管理组织架构：

2012年度，公司由各部门负责人共同组建了解风险管理小组，由董事会办公室与审计部共同负责日常工作，组长XXX经理，副组长XXX经理，在审计委员会的领导下展开工作，具体负责集团公司内外部风险识别、分析并制订应对措施，不断推动公司风险管理水平。风险管理组织架构如下图：

二、企业风险评估情况

1、组织架构

公司建立了公司治理架构与组织架构，明确了董事会、监事会、经理层和企业内部各层级机构设置，人力资源部对各机构人员编制、职责权限进行了明确规定，并对工作程序和相关要求通过业务流程与规章制度进行了规范。

公司决策流程运行良好，组织架构职能分工明确。重大事项、重大决策、重要人事任免通过股东大会与经理办公会集体决策，特别是对子公司的发展规划与人事任免全部通过经理办公会进行讨论决定，组织架构不存在重大风险。

2、发展战略

公司通过第3届董事会第21次会议决议，通过表决成立了战略委员会，并审议通过了战备委员会工作细则，主要负责对公司长期发展战略和重大投资决策进行研究。

3、人力资源

公司制订了详细的人力资源管理流程与内控制度，从人才招进、员工培训、员工离职、薪酬与考核、劳动保险等各方面，建立了详细的内部控制流程与制度，及时与关键岗位人员、重要岗位离职人员签订了商业保密协议。

…… …… 余下全文

一、风险评估项目概况

二、风险评估活动概述

2.1 风险评估工作组织管理

公司本次风险评估工作成员：

组长：

主任：

成员：

工作原则：依据综合审计日志和信息安全策略准则，在风险评估过程中把最真实的数据和结果反映出来，并及时调整信息的安全保密策略，及时补充完善技术与管理措施，使计算机保持与等级要求相一致的安全保护水平。

2.2 风险评估工作过程

此次评估阶段和具体工作内容包括

第一阶段：资产识别与分析

第二阶段：威胁识别与分析

第三阶段：脆弱性识别与分析

第四阶段：综合分析与评价

第五阶段：整改意见

2.3 依据的技术标准及相关法规文件

本次风险评估依据公司保密安全策略和综合审计报告等文件

三、评估对象

此次风险评估对象包括公司所有计算机，其担任的主要任务是信息的产生、传输、与最终流向。

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。

4.1.2资产赋值

资产赋值表

五、威胁识别与分析

5.1 威胁数据采集

5.2 威胁赋值

见《威胁赋值表》。

六、脆弱性识别与分析

按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。

6.1 常规脆弱性描述

6.1.1 管理脆弱性

在计算机的管理上采用严格的管理制度和安全策略，脆弱性赋值为低。

6.1.2系统脆弱性

计算机安装的是windows xp sp3系统，通过对其稳定性测试和漏洞扫描并及时安装漏洞补丁，脆弱性赋值为低。

6.1.3应用脆弱性

计算机的应用有严格的身份鉴别和软件的安全稳定性测试，脆弱性赋值为低。

6.1.4数据处理和存储脆弱性

计算机的数据处理和存储采用自动保存和定期备份机制，确保完整性，脆弱性赋值为低。

…… …… 余下全文