信息系统集成项目风险评估及防控措施

前，必须核对登记，标明使用理由、复印数量及使用人签字。

涉密文件借阅必须经过保密专员审批，并在记录中标明借阅理由、使用时间、归还时间及借阅人签字。借阅人必须在保密专员的监护下阅读，防止泄密。

电子文件：

指派专人对涉密电子文件进行管理，建立电子文件保密管理系统，对涉密文件进行加密存储和备份，确保电子文件的安全。

制作涉密电子文件时，必须记录使用范围及制作数量，并严格控制使用范围。

禁止在非涉密计算机中传递涉密电子文件，严格控制涉密文件的传输和共享。

携带涉密电子文件外出时，必须由专人携带，并采取必要的安全措施，防止泄密。

涉密电子文件归档后，必须进行加密存储，并定期备份，确保文件的安全。

报废的涉密电子文件必须进行彻底的删除和销毁，防止被恶意利用。

3、安全审计风险评估

3.1可能存在的风险点

安全审计人员是否具有安全审计资质；

安全审计人员是否熟悉公司的保密制度和安全审计要求；

安全审计人员是否具有足够的安全意识和责任感；

安全审计的过程中是否存在数据泄露的风险。

3.2风险防控措施

安全审计人员必须具备安全审计资质，并熟悉公司的保密制度和安全审计要求。

安全审计人员必须具备足够的安全意识和责任感，严格遵守保密制度，确保安全审计过程中不会发生数据泄露。

安全审计人员必须签署保密协议和保密承诺书，并接受保密培训，加强安全意识教育。

安全审计人员必须按照安全审计计划和要求进行操作，确保安全审计的安全性和保密性。同时，对安全审计过程中发现的问题和隐患，及时报告并采取必要的措施予以解决。

为确保保密工作的顺利进行，需要遵守以下规定：

1.保密资料的使用和传递应该经过保密办公室管理员登记，标明使用理由和复印份数。传递保密材料时应采取专人专送的措施，不得携带密件进入不利于保密的场所。外出工作需要携带保密材料时，必须经过保密工作领导小组批准。

2.未经许可，不得擅自摘抄、翻印、复印、转借或损坏保密资料。一旦造成损失，责任由当事人承担。

3.对于涉密电子文件，应指定专人负责日常管理工作。制作涉密电子文件时，必须依照有关文件规定使用范围及制作数量，并进行编号记录。传递涉密电子文件时，应履行登记、签收等手续。严禁在任何非涉密网络上传递涉密电子文件。阅读、使用、复制和销毁涉密电子文件时，必须经过保密工作领导小组批准，并办理登记、签字手续。复制的电子文件视同原件管理。定期对涉密电子文件及载体进行清查、核对，发现问题及时向保密管理办公室汇报。

4.对于涉密设备，需要进行风险评估。可能存在的风险点包括涉密计算机的违规操作、端口插入其他存储介质、缺乏三合一防护系统、办公场所自动化设备的外借使用以及涉密计算机及办公场所自动化设备的维修、更换、报废管理。为防控这些风险，需要采取相应措施，如涉密计算机安装主机监控与审计系统进行端口审计，安装江民病毒防护软件并由专人进行病毒软件更新，配备三合一防护系统，配置10位数以上的密码等。办公室自动化设备应专用于处理涉密项目，不得外借使用。涉密计算机及办公室自动化设备需要由保密工作领导小组确定专人使用，并明确标明使用人姓名并登记入册。涉密计算机及办公室自动化设备的维修应由保密领导小组批准后进行。更换涉密计算机时，需要提交涉密设备变更中请表，并经保密工作领导小组批准后进行。在更换涉密计算机前，应卸下硬盘并交由涉密办公室保密管理员登记备案。

采购合同中规定供应商应保证设备的质量和技术符合要求，如出现问题，应承担相应的赔偿责任。

加强市场调研，了解供应商的实力和信誉度，选择有资质、有信誉的供应商，避免被不良供应商所欺骗。

在设备采购过程中，加强保密管理，对供应商签订保密协议，明确保密责任和义务，防止泄露项目信息，保护企业利益。

7、外部人员进入风险评估

7.1可能存在的风险点

外部人员进入涉密场所，可能泄露保密信息；

外部人员进入涉密场所，可能带入危害信息安全的物品。

7.2风险控制措施

外部人员进入涉密场所，必须经过保密审批程序，并由授权人员进行全程陪同，同时建立外来人员进入登记册，对临时进出的人员登记，标明进出时间及事由。

外部人员进入涉密场所时，应进行安全检查，禁止携带任何可存储介质和危害信息安全的物品进入涉密场所。

对于外部人员进入涉密场所前需签署保密承诺书，并接受保密教育和培训，加强保密意识，确保不泄露保密信息。同时，对于外部人员进入涉密场所后的行为进行监督和管理，防止信息泄露和危害信息安全的行为。

在签订项目合同时，应当明确设备更新换代的条款。

为了保证市场分析和成本分析等数据的可靠性，需要加大市场信息获取的力度，并选择合适的供应商以避免成为强势供应商价格联盟的受害者。

对于涉密项目的设备采购，应该单独采购，并由设备采购小组组长设立专人进行采购，同时与供应商签署保密承诺书，并承诺不泄露项目信息和设备价格。

在现场实施风险评估时，需要注意合同审核工作时间过长可能导致项目信息泄露，施工过程中涉密人员离职或调岗可能导致涉密信息泄露，施工现场环境是否满足涉密项目环境要求，现场施工时是否有除委托方和现场施工人员以外的人员进出现场，以及设备安装调试时是否通过非涉密计算机进行操作。

为了防控风险，需要将涉密项目签订的涉密合同登记归档，存放于涉密办公室内的密码文件柜内，对调岗或离职的涉密人员进行脱密期处理并签署涉密人员离岗保密承诺书，施工现场周围不允许有大使馆、外资企业等，现场施工时不允许除委托方和现场施工人员以外的人员进出现场，调试设备时必须使用涉密计算机进行调试。

在审查验收时，需要确保审查验收人员为涉密人员并由保密工作领导小组下的运行维护小组组长指派专人验收，审查验收记录由专人携带并交于涉密办公室管理员处登记备案并存放于密码柜中，同时对用户进行相关保密知识培训。

在项目材料移交时，需要确保在保密环境下进行，记录齐全，并确保接收材料的人员为涉密人员并由保密工作领导小组指定。

息，不在交谈中透露涉密信息。

维护记录必须完整保存，不能出现记录丢失或泄露的情况。记录应该由专人保存，并在涉密办公室进行备份和存储，确保信息安全。

涉密人员需要定期接受保密培训，加强保密意识，提高保密能力。同时，要签署保密协议、保密责任书及保密承诺书，明确保密责任和义务。

11、应急预案风险评估

11.1可能存在的风险点

应急预案是否完善，能否应对各种可能发生的突发情况；

应急预案是否得到全体涉密人员的认可和执行；

应急预案是否得到有效的宣传和培训，是否有必要的演练和测试。

11.2风险防控措施

应急预案必须完善，能够应对各种可能发生的突发情况。应急预案需要经过多次的讨论和修改，确保可行性和有效性。

应急预案需要得到全体涉密人员的认可和执行。应急预案需要在公司内部进行宣传和培训，确保每个涉密人员都了解应急预案的内容和执行步骤。

应急预案需要定期进行演练和测试，确保应急预案的有效性和可行性。演练和测试需要模拟各种可能发生的突发情况，让涉密人员能够熟悉应急预案的执行过程和方法。