教育 培训
教育培训，必须保证培训学时不低于 10
管理
学时。公司保密工作领导小组必须对此
项工作进行监督管理。
4 涉 密 人 员 低 涉密人员离岗离职前，保密办公司人员
离岗 离职
必须对其在岗期间所负责的涉密信息系
管理
统集成的信息和资料进行审查，并确保
所有信息资料交回公司保密办；为规避
人员离职离岗后发生泄密风险，必须和
高 中等
低
如果被利用，将对资产或业务造成重大损害 如果被利用，将对资产或业务造成一般损害 如果被利用，将对资产或业务造成较小损害
很低 如果被利用，将对资产或业务造成的损害可以忽略
4.1.2 风险点条件 的方可将其确定为涉密人员。是否对涉密人员进行保密教育 培训，并签订保密承诺书后方能上岗。 对涉密人员是否保守国家秘密，严格遵守各项保密规章制度 进行审查，是否符合以下基本条件：
定专人全程监督，严禁维修人员读取或复制涉密信息。
检查涉密计算机及移动存储介质携带外出是否履行审批手 续，带出前和带回后，是否进行保密检查。 4.2.3 风险分析
检查涉密信息设备的使用是否符合相关保密规定。禁止涉密 信息设备接入互联网及其他公共信息网络；禁止涉密信息设 备接入内部非涉密信息系统；禁止使用非涉密信息设备和个 人设备存储、处理涉密信息；禁止超越计算机、移动存储介 质的涉密等级存储、处理涉密信息；禁止在涉密计算机和非 涉密计算机之间交叉使用移动存储介质；禁止在涉密计算机 与非涉密计算机之间共用打印机、扫描仪等信息设备。 检查涉密信息设备是否采取身份鉴别、访问控制、违规外联 监控、安全审计、移动存储介质管控等安全保密措施，并及 时升级病毒和恶意代码样本库，定期进行病毒和恶意代码查 杀。 检查采购的安全保密产品是否选用经过国家保密行政管理部 门授权机构检测、符合国家保密标准要求的产品，计算机病 毒防护产品应当选用公安机关批准的国产产品，密码产品应 当选用国家密码管理部门批准的产品。 检查涉密信息打印、刻录等输出是否相对集中、有效控制， 并采取相应审计措施。 检查涉密计算机及办公自动化设备是否拆除具有无线联网功 能的硬件模块， 禁止使用具有无线互联功能或配备无线键盘、 无线鼠标等无线外围装置的信息设备处理国家秘密。 检查涉密信息设备的维修，是否在本公司内部进行，是否指
和安全保密防护设备设施管理规定》 、《资质证书的使用和管理规
定》中的规定，从涉密载体管理、 信息系统及设备管理及资质证
书管理等方面分析公司涉密资产管理现状， 对公司涉密资产管理
的业务流程进行风险评估，查找风险点，并进行风险防控。
4.2.1 风险级别定义
风险严重程度级别参考表
级别标识 很高 高 中等 低 很低
保密管理制度》 中《涉密人员管理制度》 中的规定， 从人员上岗、
在岗、 离岗管理三方面分析公司涉密人员管理现状， 对公司涉密
人员管理的业务流程进行风险评估， 识别并评估风险点， 进而制
定出风险防控措施。
4.1.1 风险级别定义
风险严重程度级别参考书
级别标识
定义
很高 如果被利用，将对资产或业务造成完全损害
训考核
核不严格
3
涉密人员教育培 对涉密人员进行保密教育
低
训管理
与保密技能培训 10 学时
4
涉密人员离岗离 对离岗离职涉密人员的保
低
职管理
密审查到位
5
涉密人员发放保 对公司涉密人员发放保密
低
密补贴
补贴审查到位
4.1.4 风险防控措施
编 风险点 严重
防控措施
号
程度
1 涉 密 人 员 低 计划人员招聘阶段，确定该人员是否为
风 险 评 估 报 告
XXXXX有限公司 201xx 年 xx 月
1 概述
针对公司主要业务流程进行风险评估，
其中包含了涉密信息
系统集成业务管理、 人力资源管理、 资产管理、 涉密场所管理等。
2 评估目的
通过人员访谈、 文档审查和实地察看相结合的方式查找公司
信息系统软件开发主要业务流程的薄弱环节和安全隐患，
公司是否对在岗涉密人员进行定期考核评价。
公司是否向涉密人员发放保密补贴。
公司涉密人员在离岗离职时，是否经公司保密审查，签订保
密承诺书，并按相关保密规定实行脱密期管理。 4.1.3 风险分析
编号
风险点
描述
严重程度
1
涉密人员资格审 对涉密人员进行资格审查
低
查
2
涉密人员岗前培 涉密人员保密教育培训考
中等
定义 如果被利用，将对主要业务造成完全损害 如果被利用，将对主要业务造成重大损害 如果被利用，将对主要业务造成一般损害 如果被利用，将对主要业务造成较小损害 如果被利用，将对主要业务造成的损害可以忽略
4.2.2 风险点 审查涉密信息设备是否符合国家保密标准，有密级、编号、 责任人标识，并建立管理台帐。
（ 1）遵纪守法，具有良好的品行，无犯罪记录； （ 2）属于公司正式职工，并在其他公司无兼职； （ 3）社会关系清楚，本人及其配偶为中国境内公民。
审查公司与涉密人员签订的劳动合同或补充协议，是否已签 署。 公司在岗涉密人员是否每年参加保密教育与保密知识、技能 培训，培训的时间应不少于 10 个学时。
离岗离职的涉密人员签订保密承诺书，
并经公司领导批准方能离职离岗。对离
岗离职人员实行脱密期管理。
5 涉 密 人 员 低 公司应对涉密人员发放保密补贴。
发放 保密
补贴
4.2 资产管理风险评估
根据《涉密信息系统集成资质单位保密标准》 及公司 《安全
保密管理制度》中《涉密载体管理制度》 、《信息系统、信息设备
分析可
能面临的风险，为保密风险防控措施的落实提供依据。
3 评估依据
《涉密信息系统集成资质单位保密标准》
《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实旋条例》
《涉密信息系统集成资质管理办法》
4 评估内容
4.1 人力资源管理风险评估
根据《涉密信息系统集成资质单位保密标准》 及公司 《安全
资格审查
公司涉密人员；对涉密人员进行社会关
系的审查，确定其直系亲属是否均为中
国境内公民；若此人员为前单位离职人
员，应和前单位进行确认，确定其在其
它单位无兼职
2 涉 密 人 员 中等 涉密人员经过保密教育培训后，必须保
岗前 培训
证考试合格，并与公司签订《公司涉密
考核
人员保密责任书》后方能上岗
3 涉 密 人 员 低 必须严格按照相关规定对涉密人员进行