软件开发保密资质保密风险评估报告保密风险评估报告编写人：XXXX网络科技有限公司年XX月XX日目录概述 (3)1.1背景 (3)1.2风险评估的依据 (4)1.3风险评估的目的 (5)1.4风险评估的措施 (5)1.风险评估 (8)2.1涉密人员风险评估 (8)2.2涉密载体风险评估 (9)2.3涉密设备风险评估 (11)2.4涉密场所风险评估 (13)2.5涉密项目风险评估 (14)2.5.1招投标风险评估 (14)2.5.2设计方案风险评估 (16)2.5.3软件开发设计过程风险评估 (17)2.5.3.1分保方案使用风险评估 (17)2.5.3.2第三方软件采购风险评估 (18)2.5.3.3项目实施风险评估 (18)2.5.3.4审查验收风险评估 (19)2.5.3.5项目材料移交风险评估 (19)2.5.3.6运行维护风险评估 (20)2.5.3.7项目流程图 (21)2.持续性改进机制 (24)3.风险评估小结 (28)概述1.1背景●公司发展历史及现状海口XXX有限公司于xx年XX月注册成立。

注册资金XX万元，公司员工56人。

公司成立初期主要业务范围是以系统集成为主，最近两年，主营业务逐渐由系统集成向软件开发转变。

公司也在此期间取得了多项行业相资质： ISO9001：2000质量体系认证;信息系统集成三级资质；软件能力成熟度CMMI3认证，并具备海南省政府及海南省各市县级政府的供应商资格，还是中石化海南炼化和中海油东方石化等能源化工企业的合法供应商。

目前公司现经营地址为xxx，拥有办公场地300多平方米，客户遍及政府安监、政府应急，生产制造，能源化工等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持,以软件开发，系统集成,智能工厂，IT外包等服务为主的综合性IT企业。

●公司人员结构公司注重团队建设和人才的培养，员工80%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书，并且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。

公司拥有已有认证的计算机信息系统集成项目经理8人，高级项目经理4人，均具有本行业多年从业经验，并参与了各种大型软件开发项目的设计与实施。

公司的技术副总从业17年，独立完多项大型软件项目的设计开发及管理工作。

●公司所在周边地理环境风险评估点：a)公司周边是否有驻外大使馆b)公司周边是否存在外资企业c)公司周边是否有商业区针对风险点的防控措施：我公司位于海口市南海大道国家高新区创业孵化中心，周边不存在驻外大使馆、外资企业及商业区，进出入办公楼均有收发人员管理登记。

●公司内部物理环境海口XXX有限公司位于XXX，此楼5层有两个入口（各有电梯与应急通道）；进入创业孵化中心有安保人员看守，各电梯内装有视频监控系统。

从单独的大门入口进入公司。

存在的风险：a)外来人员随意进出较随意b)创业孵化中心聚集了多家IT企业，IT企业人员众多、混杂，对保密信息的安全性造成潜在的安全隐患。

针对存在风险点的防控措施：在公司门口处设立登记处，由专人来负责登记和接待。

1.2风险评估的依据依据国家保密局发布的《涉密信息系统集成资质保密标准》、BMB17《涉及国家秘密的信息系统分级保护技术要求》、BMB20《涉及国家秘密的信息系统分级保护管理规范》、BMB23《涉及国家秘密的信息系统分级保护管理规范》1.3风险评估的目的保密风险评估是保密工作的重要组成部分。

保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

保密风险一词包括了两方面的内涵。

其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。

从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。

因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。

1.4风险评估的措施随着信息技术的飞速发展，现代办公设备已经走进了企业的日常工作，保密工作面临着一种全新环境，同时所面临的保密形势日益严峻。

保密风险评估，作为企业开展保密工作的前提，能为单位领导准确把握本单位保密工作所面临的风险，进行重点防控提供科学依据。

根据对本公司保密状况的分析，认为本公司应当主要从加强保密条件建设方面进一步采取积极有效的措施：a)进一步加强保密“软件建设”。

保密条件建设分为“软件建设”和“硬件建设”两大类，其中“软件建设”是灵魂，“硬件建设”是基础。

加强保密“软件建设”，就是要从根本上进一步强化人员的保密意识，建议有关部门领导要加强教育，统一思想，通过认真学习《保密法》和《保密法实施条例》，切实开展好保密工作的教育与宣传。

及时传达贯彻上级保密工作会议精神及保密局文件精神，按照工作要求落实措施，对重点涉密人员进行经常性的保密教育。

通过宣传教育，使涉密人员的保密意识明显提高，政治责任感进一步增强。

同时，要结合本单位保密工作面临的实际情况，进一步完善本公司《保密制度》，严肃保密工作纪律，发生失密、泄密，视情节轻重、危害大小，依据国家有关保密规定给予批评教育或处分。

将保密工作列入重要议事日程，从思想教育入手，将保密工作摆在突出位置。

努力做到领导不唱“独角戏”,全员上阵抓保密，及时纠正“关好门、锁好柜、封住嘴、管好件”就能万事大吉的认识偏差，形成人人参与保密的氛围，努力为本单位的安全保密工作筑牢思想上的“防火墙”。

b)进一步加强信息设备的安全建设。

随着信息技术的发展，各种高技术信息设备不断涌现，它们在为员工日常工作、学习、训练提供便利的同时，也给保密工作带来了更多挑战。

为此，要进一步加强信息设备的安全建设，对一些存在较大安全隐患的设备坚决不能引进使用，使用时要制定严格的使用规则。

另外对本单位的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、彻底的保密清查，将所有设备登记入册，进一步明确使用范围和责任人，同时对这些信息设备要进行不定时检查，将有隐患的设备及时处理。

同时，要制定必要的防范措施，对网站要进行全天候监控，严防病毒攻击与木马植入，涉密计算机软件要安装先进软件，安装防辐射、即时杀毒、备份软件，涉密信息设备要有防电磁辐射、防内置、防失控、防失窃功能。

多管齐下、全方位防护，为本单位信息设备的安全使用开辟一条“绿色通道”。

c)进一步完善保密工作机制。

俗话说：“无规矩不成方圆。

”同样，企业保密工作也需要完善的保密机制来保障。

近年来，随着保密形势的日益严峻，对保密机制提出了更高的要求。

所以，建议单位保密部门领导要加强制度建设，始终把落实规章制度作为抓好保密工作的关键环节，认真贯彻落实《保密法》及有关保密工作的规定，从文件的登记、收发、传递、归档、销毁等各个环节都严格按照规范流程，落实管理规定，做到了按制度管人管事。

d)和公司员工签署保密协议、保密责任书及保密承诺书。

用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。

限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。

范围、地域、期限由用人单位与劳动者约定，不得违反法律、法规的规定。

面对日益严峻的保密形势，保密风险的控制更为困难。

所以，建议保密部门领导要建立良好的保密秩序，有效遏制泄密问题的发生；要努力做到领导不唱“独角戏”,全员上阵抓保密，保密工作人人抓，常抓不懈的良好局面；要建立长效机制，有章可循，真查实改。

公司领导要带头做好保密工作，齐抓共管、综合治理，要适应新要求、采取新措施，充分认识到新形势下做好保密工作的重要性和紧迫性，进一步做好各项保密工作，努力促进本公司的保密工作再上一个新台阶。

1.风险评估2.1涉密人员风险评估●可能存在的风险点a)招聘时人员是否满足涉密人员要求；b)审核时竞聘人员是否有过犯罪记录，是否为中国公民；c)上岗前是否接受过保密知识培训及考核；d)是否与公司签订保密承诺书，保密协议，保密责任书及涉密人员考核评价考表；e)部门是否按照公司要求开展保密知识培训，加强部门涉密人员的保密意识；f)涉密人员离岗时是否签订离岗保密承诺书，保密工作领导小组是否对其进行脱密期管理。

●风险防控措施a)应聘员工应满足公司对涉密人员的聘用标准；b)上岗必须学习岗位保密业务，且保密知识考核成绩合格；c)与公司签署保密协议、保密承诺书、保密责任书；d)员工所在部门领导确认涉密人员考核评级表内容，确认无误后签字，同时保密领导小组同意签字后，评价表交保密工作领导小组存档，作为该员工作为涉密人员的考核内容；e)保密办公室应在年初做好本年度保密知识培训计划及考核计划，组织涉密人员学习各项保密知识。

f)涉密人员在离岗后，严格遵守公司保密制度，与公司签署离岗保密承诺书，并严格遵守公司对离岗人员的脱密期管理。

2.2涉密载体风险评估可能存在的风险点纸质文件：a)涉密文件、资料是否有专人管理；b)涉密文件收发是否有记录，是否有文件丢失、泄露；c)涉密文件复印、外借是否有登记，是否在记录中标明使用理由、复印数量及使用人签字；d)涉密文件借阅是否有登记记录，是否在记录中标明借阅理由、使用时间、归还时间及借阅人签字；e)涉密文件是否及时归档，档案目录是否及时更新。

电子文件：a)是否指派专人对涉密电子文件进行管理；b)制作涉密电子文件时，是否记录使用范围及制作数量；c)是否在非涉密计算机中传递涉密电子文件；d)在携带涉密电子文件外出时，是否有专人携带；e)涉密电子文件是否及时归档；f)报废的涉密电子文件如何处理。

风险防控措施纸质文件a)所有保密文件、文档、材料由涉密办公室管理员统一管理，统一登记入密码柜，定期进行清查，避免发生资料泄露及丢失。

严禁其他人员随意翻看保密资料，如有其他保密人员要借阅使用，由涉密办公室管理员进行登记，写明借阅时间及借阅理由，并保证不拿出涉密办公室以外的地方使用。

b)保密材料严格按领导批准的份数印刷，不得擅自多印多留，复印件视同原件管理，复印过程中产生的废纸、废件应及时销毁；在复印材料之前，需由涉密办公室管理员登记后进行，标明使用理由、复印份数；c)传递保密材料要有保密措施，传递应专人专送，不得办理无关事项，密件不得携入不利于保密的场所；外出工作须携带保密材料，要经保密工作领导小组批准后进行。

d)对保密资料未经许可，不得擅自摘抄、翻印、复印、转借或损坏；一旦造成损失由当事人承担责任。