保密風(fēng)險(xiǎn)評(píng)估

風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告 XXXXX 有限公司 201xx 年 xx 月 1 概述 針對(duì)公司主要業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)評(píng)估 其中包含了涉密信 息系統(tǒng)集成業(yè)務(wù)管理 人力資源管理 資產(chǎn)管理 涉密場(chǎng)所管 理等 2 評(píng)估目的 通過(guò)人員訪談 文檔審查和實(shí)地察看相結(jié)合的方式查找公 司信息系統(tǒng)軟件開(kāi)發(fā)主要業(yè)務(wù)流程的薄弱環(huán)節(jié)和安全隱患 分 析可能面臨的風(fēng)險(xiǎn) 為保密風(fēng)險(xiǎn)防控措施的落實(shí)提供依據(jù) 3 評(píng)估依據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 中華人民共和國(guó)保守國(guó)家秘密法 中華人民共和國(guó)保守國(guó)家秘密法實(shí)旋條例 涉密信息系統(tǒng)集成資質(zhì)管理辦法 4 評(píng)估內(nèi)容 4 1 人力資源管理風(fēng)險(xiǎn)評(píng)估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 中 涉密人員管理制度 中的規(guī)定 從人員 上崗 在崗 離崗管理三方面分析公司涉密人員管理現(xiàn)狀 對(duì) 公司涉密人員管理的業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)評(píng)估 識(shí)別并評(píng)估風(fēng)險(xiǎn) 點(diǎn) 進(jìn)而制定出風(fēng)險(xiǎn)防控措施 4 1 1 風(fēng)險(xiǎn)級(jí)別定義 風(fēng)險(xiǎn)嚴(yán)重程度級(jí)別參考書(shū) 級(jí)別標(biāo)識(shí) 定義 很高 如果被利用 將對(duì)資產(chǎn)或業(yè)務(wù)造成完全損害 高 如果被利用 將對(duì)資產(chǎn)或業(yè)務(wù)造成重大損害 中等 如果被利用 將對(duì)資產(chǎn)或業(yè)務(wù)造成一般損害 低 如果被利用 將對(duì)資產(chǎn)或業(yè)務(wù)造成較小損害 很低 如果被利用 將對(duì)資產(chǎn)或業(yè)務(wù)造成的損害可以忽略 4 1 2 風(fēng)險(xiǎn)點(diǎn) 對(duì)從事涉密業(yè)務(wù)的人員進(jìn)行審查 是否符合條件 符合條件 的方可將其確定為涉密人員 是否對(duì)涉密人員進(jìn)行保密教育 培訓(xùn) 并簽訂保密承諾書(shū)后方能上崗 對(duì)涉密人員是否保守國(guó)家秘密 嚴(yán)格遵守各項(xiàng)保密規(guī)章制度 進(jìn)行審查 是否符合以下基本條件 1 遵紀(jì)守法 具有良好的品行 無(wú)犯罪記錄 2 屬于公司正式職工 并在其他公司無(wú)兼職 3 社會(huì)關(guān)系清楚 本人及其配偶為中國(guó)境內(nèi)公民 審查公司與涉密人員簽訂的勞動(dòng)合同或補(bǔ)充協(xié)議 是否已簽 署 公司在崗涉密人員是否每年參加保密教育與保密知識(shí) 技能 培訓(xùn) 培訓(xùn)的時(shí)間應(yīng)不少于 10 個(gè)學(xué)時(shí) 公司是否對(duì)在崗涉密人員進(jìn)行定期考核評(píng)價(jià) 公司是否向涉密人員發(fā)放保密補(bǔ)貼 公司涉密人員在離崗離職時(shí) 是否經(jīng)公司保密審查 簽訂保 密承諾書(shū) 并按相關(guān)保密規(guī)定實(shí)行脫密期管理 4 1 3 風(fēng)險(xiǎn)分析 編號(hào) 風(fēng)險(xiǎn)點(diǎn) 描述 嚴(yán)重程度 1 涉密人員資格審 查 對(duì)涉密人員進(jìn)行資格審查 低 2 涉密人員崗前培 訓(xùn)考核 涉密人員保密教育培訓(xùn)考 核不嚴(yán)格 中等 3 涉密人員教育培 對(duì)涉密人員進(jìn)行保密教育 低 訓(xùn)管理 與保密技能培訓(xùn) 10 學(xué)時(shí) 4 涉密人員離崗離 職管理 對(duì)離崗離職涉密人員的保 密審查到位 低 5 涉密人員發(fā)放保 密補(bǔ)貼 對(duì)公司涉密人員發(fā)放保密 補(bǔ)貼審查到位 低 4 1 4 風(fēng)險(xiǎn)防控措施 編 號(hào) 風(fēng)險(xiǎn)點(diǎn) 嚴(yán)重 程度 防控措施 1 涉密人員 資格審查 低 計(jì)劃人員招聘階段 確定該人員是否為 公司涉密人員 對(duì)涉密人員進(jìn)行社會(huì)關(guān) 系的審查 確定其直系親屬是否均為中 國(guó)境內(nèi)公民 若此人員為前單位離職人 員 應(yīng)和前單位進(jìn)行確認(rèn) 確定其在其 它單位無(wú)兼職 2 涉密人員 崗前培訓(xùn) 考核 中等 涉密人員經(jīng)過(guò)保密教育培訓(xùn)后 必須保 證考試合格 并與公司簽訂 公司涉密 人員保密責(zé)任書(shū) 后方能上崗 3 涉密人員 教育培訓(xùn) 管理 低 必須嚴(yán)格按照相關(guān)規(guī)定對(duì)涉密人員進(jìn)行 教育培訓(xùn) 必須保證培訓(xùn)學(xué)時(shí)不低于 10 學(xué)時(shí) 公司保密工作領(lǐng)導(dǎo)小組必須對(duì)此 項(xiàng)工作進(jìn)行監(jiān)督管理 4 涉密人員 離崗離職 管理 低 涉密人員離崗離職前 保密辦公司人員 必須對(duì)其在崗期間所負(fù)責(zé)的涉密信息系 統(tǒng)集成的信息和資料進(jìn)行審查 并確保 所有信息資料交回公司保密辦 為規(guī)避 人員離職離崗后發(fā)生泄密風(fēng)險(xiǎn) 必須和 離崗離職的涉密人員簽訂保密承諾書(shū) 并經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)方能離職離崗 對(duì)離 崗離職人員實(shí)行脫密期管理 5 涉密人員 發(fā)放保密 補(bǔ)貼 低 公司應(yīng)對(duì)涉密人員發(fā)放保密補(bǔ)貼 4 2 資產(chǎn)管理風(fēng)險(xiǎn)評(píng)估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 中 涉密載體管理制度 信息系統(tǒng) 信息 設(shè)備和安全保密防護(hù)設(shè)備設(shè)施管理規(guī)定 資質(zhì)證書(shū)的使用和 管理規(guī)定 中的規(guī)定 從涉密載體管理 信息系統(tǒng)及設(shè)備管理 及資質(zhì)證書(shū)管理等方面分析公司涉密資產(chǎn)管理現(xiàn)狀 對(duì)公司涉 密資產(chǎn)管理的業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)評(píng)估 查找風(fēng)險(xiǎn)點(diǎn) 并進(jìn)行風(fēng) 險(xiǎn)防控 4 2 1 風(fēng)險(xiǎn)級(jí)別定義 風(fēng)險(xiǎn)嚴(yán)重程度級(jí)別參考表 級(jí)別標(biāo)識(shí) 定義 很高 如果被利用 將對(duì)主要業(yè)務(wù)造成完全損害 高 如果被利用 將對(duì)主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對(duì)主要業(yè)務(wù)造成一般損害 低 如果被利用 將對(duì)主要業(yè)務(wù)造成較小損害 很低 如果被利用 將對(duì)主要業(yè)務(wù)造成的損害可以忽略 4 2 2 風(fēng)險(xiǎn)點(diǎn) 審查涉密信息設(shè)備是否符合國(guó)家保密標(biāo)準(zhǔn) 有密級(jí) 編號(hào) 責(zé)任人標(biāo)識(shí) 并建立管理臺(tái)帳 檢查涉密信息設(shè)備的使用是否符合相關(guān)保密規(guī)定 禁止涉密 信息設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò) 禁止涉密信息設(shè) 備接入內(nèi)部非涉密信息系統(tǒng) 禁止使用非涉密信息設(shè)備和個(gè) 人設(shè)備存儲(chǔ) 處理涉密信息 禁止超越計(jì)算機(jī) 移動(dòng)存儲(chǔ)介 質(zhì)的涉密等級(jí)存儲(chǔ) 處理涉密信息 禁止在涉密計(jì)算機(jī)和非 涉密計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì) 禁止在涉密計(jì)算機(jī) 與非涉密計(jì)算機(jī)之間共用打印機(jī) 掃描儀等信息設(shè)備 檢查涉密信息設(shè)備是否采取身份鑒別 訪問(wèn)控制 違規(guī)外聯(lián) 監(jiān)控 安全審計(jì) 移動(dòng)存儲(chǔ)介質(zhì)管控等安全保密措施 并及 時(shí)升級(jí)病毒和惡意代碼樣本庫(kù) 定期進(jìn)行病毒和惡意代碼查 殺 檢查采購(gòu)的安全保密產(chǎn)品是否選用經(jīng)過(guò)國(guó)家保密行政管理部 門(mén)授權(quán)機(jī)構(gòu)檢測(cè) 符合國(guó)家保密標(biāo)準(zhǔn)要求的產(chǎn)品 計(jì)算機(jī)病 毒防護(hù)產(chǎn)品應(yīng)當(dāng)選用公安機(jī)關(guān)批準(zhǔn)的國(guó)產(chǎn)產(chǎn)品 密碼產(chǎn)品應(yīng) 當(dāng)選用國(guó)家密碼管理部門(mén)批準(zhǔn)的產(chǎn)品 檢查涉密信息打印 刻錄等輸出是否相對(duì)集中 有效控制 并采取相應(yīng)審計(jì)措施 檢查涉密計(jì)算機(jī)及辦公自動(dòng)化設(shè)備是否拆除具有無(wú)線聯(lián)網(wǎng)功 能的硬件模塊 禁止使用具有無(wú)線互聯(lián)功能或配備無(wú)線鍵盤(pán) 無(wú)線鼠標(biāo)等無(wú)線外圍裝置的信息設(shè)備處理國(guó)家秘密 檢查涉密信息設(shè)備的維修 是否在本公司內(nèi)部進(jìn)行 是否指 定專(zhuān)人全程監(jiān)督 嚴(yán)禁維修人員讀取或復(fù)制涉密信息 檢查涉密計(jì)算機(jī)及移動(dòng)存儲(chǔ)介質(zhì)攜帶外出是否履行審批手續(xù) 帶出前和帶回后 是否進(jìn)行保密檢查 4 2 3 風(fēng)險(xiǎn)分析 編號(hào) 風(fēng)險(xiǎn)點(diǎn) 描述 嚴(yán)重 程度 1 涉密載體臺(tái) 賬管理 建立涉密載體臺(tái)賬 但臺(tái)賬信 息不夠完整 中等 2 涉密載體使 用管理 需要接收 交付 傳遞 保存 銷(xiāo)毀涉密載體時(shí) 履行了登記 手續(xù) 但需要維修時(shí) 記錄不 完整 也沒(méi)有指定的維修廠家 中等 3 涉密信息設(shè) 備臺(tái)賬管理 建立信息設(shè)備臺(tái)賬 但臺(tái)賬信 息不夠完整 中等 4 涉密信息設(shè) 備維修 報(bào) 廢管理 對(duì)于涉密設(shè)備的維修 報(bào)廢的 審批流程不夠清晰 中等 5 涉密信息設(shè) 備攜帶管理 涉密計(jì)算機(jī)攜帶外出 只履行 登記手續(xù) 審批流程不完整 中等 6 涉密信息設(shè) 備管理 涉密計(jì)算機(jī)與非涉密計(jì)算機(jī)之 間共用打印機(jī) 掃描儀 高 4 2 4 風(fēng)險(xiǎn)防控措施 編 號(hào) 風(fēng)險(xiǎn)點(diǎn) 嚴(yán)重 問(wèn)題 防控措施 1 涉密載體臺(tái) 賬管理 中等 必須按照要求建立涉密載體臺(tái)賬 明確 涉密載體的名稱(chēng) 編號(hào) 密級(jí) 保密期 限等信息 并對(duì)涉密載體進(jìn)行動(dòng)態(tài)管理 及時(shí)做好涉密載體的新增 減少等記錄 2 涉密載體使 用管理 中等 建立涉密載體的維修商家名錄 并對(duì)維 修商家的資格進(jìn)行核查 當(dāng)涉密載體需 要維修時(shí) 只能送到指定的維修商家進(jìn) 行維修 3 涉密信息設(shè) 備臺(tái)賬管理 中等 必須按照要求建立涉密信息設(shè)備挑戰(zhàn) 明確涉密載體的名稱(chēng) 編號(hào) 密級(jí) 責(zé) 任人標(biāo)識(shí)等信息 并對(duì)涉密信息設(shè)備進(jìn) 行動(dòng)態(tài)管理 及時(shí)做好涉密信息設(shè)備的 新增 減少等記錄 4 涉密信息設(shè) 備維修 報(bào) 廢管理 中等 建立涉密信息設(shè)備的售后商家名錄 并 對(duì)售后商家的資格進(jìn)行核查 當(dāng)涉密信 息設(shè)備需要維修時(shí) 只能送到指定的維 修商家進(jìn)行維修 如必須有外來(lái)人員進(jìn) 行修理時(shí) 應(yīng)有保密辦人員全程陪同 必須指定專(zhuān)人負(fù)責(zé) 對(duì)維修人員 維修 對(duì)象 維修內(nèi)容 維修前后狀況進(jìn)行監(jiān) 督并詳細(xì)記錄 涉密信息設(shè)備需要報(bào)廢 時(shí) 應(yīng)填寫(xiě) 設(shè)備與介質(zhì)銷(xiāo)毀保密審批 表 送交保密行政管理部門(mén)設(shè)立的銷(xiāo) 毀工作機(jī)構(gòu)或者保密行政管理部門(mén)指定 的公司銷(xiāo)毀徹 徹底清除其中的涉密信 息后 對(duì)涉密信息存儲(chǔ)部件和介質(zhì)進(jìn)行 清點(diǎn) 登記 銷(xiāo)毀 5 涉密信息設(shè) 備攜帶管理 中等 攜帶涉密信息設(shè)備和介質(zhì)外出 不能只 做登記處理 必須報(bào)公司保密工作領(lǐng)導(dǎo) 小組批準(zhǔn) 未獲批攜帶涉密信息設(shè)備外 出 公司將對(duì)攜帶人員和保密辦公室人 員實(shí)行懲罰機(jī)制 外出時(shí) 攜帶人應(yīng)嚴(yán) 格采取保護(hù)措施 介質(zhì)始終處于有效控 制之下 防止出現(xiàn)丟失 被盜 被毀以 及泄密等情況 6 涉密信息設(shè) 備管理 高 涉密計(jì)算機(jī)必須單獨(dú)使用打印機(jī) 掃描 儀 不能與非涉密計(jì)算機(jī)之間共用 確 保涉密信息打印 刻錄等輸出相對(duì)集中 有效控制 并采取相應(yīng)審計(jì)措施 4 3 涉密場(chǎng)所管理風(fēng)險(xiǎn)評(píng)估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 中 涉密信息系統(tǒng)集成場(chǎng)所保密管理規(guī)定 中的規(guī)定 從場(chǎng)所出入 門(mén)禁系統(tǒng) 監(jiān)控系統(tǒng) 防盜報(bào)警系統(tǒng) 等方面查看并分析公司涉密場(chǎng)所管理現(xiàn)狀 對(duì)公司涉密場(chǎng)所管 理的業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)評(píng)估 查找風(fēng)險(xiǎn)點(diǎn) 并進(jìn)行風(fēng)險(xiǎn)防控 4 3 1 風(fēng)險(xiǎn)級(jí)別定義 風(fēng)險(xiǎn)嚴(yán)重程度級(jí)別參考表 級(jí)別標(biāo)識(shí) 定義 很高 如果被利用 將對(duì)主要業(yè)務(wù)造成完全損害 高 如果被利用 將對(duì)主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對(duì)主要業(yè)務(wù)造成一般損害 低 如果被利用 將對(duì)主要業(yè)務(wù)造成較小損害 很低 如果被利用 將對(duì)主要業(yè)務(wù)造成的損害可以忽略 4 3 2 風(fēng)險(xiǎn)點(diǎn) 公司的涉密辦公場(chǎng)所是否固定在相對(duì)獨(dú)立的樓層或區(qū)域 檢查公司涉密辦公場(chǎng)所是否安裝門(mén)禁 視頻監(jiān)控 防盜報(bào)警 等安防系統(tǒng) 是否實(shí)行封閉式管理 監(jiān)控機(jī)房是否安排人員 值守 是否建立視頻監(jiān)控的管理檢查機(jī)制 公司安全保衛(wèi)部門(mén)是否 定期對(duì)視頻監(jiān)控信息進(jìn)行回看檢查 保密管理辦公室是否對(duì) 執(zhí)行情況進(jìn)行監(jiān)督 視頻監(jiān)控信息保存時(shí)間不少于 3 個(gè)月 檢查門(mén)禁系統(tǒng) 視頻監(jiān)控系統(tǒng)和防盜報(bào)警系統(tǒng)等是否定期檢 查維護(hù) 確保系統(tǒng)處于有效工作狀態(tài) 檢查公司涉密辦公場(chǎng)所是否明確允許進(jìn)入的人員范圍 其他 人員進(jìn)入 是否履行審批 登記手續(xù) 是否由接待人員全程 陪同 檢查公司是否未經(jīng)批準(zhǔn) 不得將具有錄音 錄像 拍照 存 儲(chǔ) 通信功能的設(shè)備帶入涉密辦公場(chǎng)所 4 3 3 風(fēng)險(xiǎn)分析 編號(hào) 風(fēng)險(xiǎn)點(diǎn) 描述 嚴(yán)重程度 1 視頻監(jiān)控管 管理部門(mén)對(duì)視頻監(jiān)控信息的回 中等 理檢查機(jī)制 看檢查不及時(shí) 2 視頻監(jiān)控 門(mén)禁 防盜 報(bào)警系統(tǒng)管 理 對(duì)各個(gè)安防系統(tǒng)的檢查維護(hù)不 及時(shí) 安防系統(tǒng)出現(xiàn)故障才給 予維修 造成系統(tǒng)無(wú)法有效工 作 中等 3 涉密場(chǎng)所出 入管理 對(duì)非涉密人員進(jìn)入涉密場(chǎng)所履 行了登記 審批手續(xù) 但對(duì)進(jìn) 入人員是否隨身攜帶具有錄音 錄像 拍照 存儲(chǔ) 通信功能 的設(shè)備檢查不仔細(xì) 增加了涉 密資料泄密風(fēng)險(xiǎn) 高 4 3 4 風(fēng)險(xiǎn)防控措施 編號(hào) 風(fēng)險(xiǎn)點(diǎn) 嚴(yán)重 程度 防控措施 1 視頻監(jiān)控管 理檢查機(jī)制 中等 嚴(yán)格按照公司 涉密信息系統(tǒng)集成 場(chǎng)所保密管理規(guī)定 的規(guī)定 安排 專(zhuān)人對(duì)視頻監(jiān)控機(jī)房施行 24 小時(shí)值 班 值班人員要每天調(diào)看視頻監(jiān)控 錄像 并詳細(xì)做好 值班登記表 發(fā)現(xiàn)可疑情況 立即向公司分管領(lǐng) 導(dǎo)報(bào)告 并對(duì)查看結(jié)果作書(shū)面記錄 并保證視頻監(jiān)控信息保存時(shí)間不得 少于 3 個(gè)月 2 視頻監(jiān)控 門(mén)禁 防盜 報(bào)警系統(tǒng)管 理 中等 公司保密辦每季度應(yīng)對(duì)集成場(chǎng)所的 保密管理工作和安全防護(hù)設(shè)施進(jìn)行 檢查 對(duì)安防設(shè)施進(jìn)行維護(hù)和檢修 發(fā)現(xiàn)問(wèn)題及時(shí)整改 并建立檢查整 改記錄 確保制度落實(shí) 防護(hù)設(shè)施 運(yùn)行正常 3 涉密場(chǎng)所出 入管理 中等 將涉密場(chǎng)所相關(guān)管理規(guī)定張貼在明 顯處 并對(duì)公司人員進(jìn)行宣貫 進(jìn) 入涉密場(chǎng)所的人員必須由保密辦工 作人員全程陪同 嚴(yán)禁進(jìn)入人員以 任何方式私自錄音 錄像和攝影 4 4 業(yè)務(wù)流程管理風(fēng)險(xiǎn)評(píng)估 根據(jù) 涉密信息系統(tǒng)集成資質(zhì)單位保密標(biāo)準(zhǔn) 及公司 安 全保密管理制度 軟件開(kāi)發(fā)管理制度 中的相關(guān)規(guī)定 從軟 件開(kāi)發(fā)各個(gè)里程碑分析公司軟件開(kāi)發(fā)香米管理現(xiàn)狀 對(duì)公司軟 件開(kāi)發(fā)項(xiàng)目管理的業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)評(píng)估 查找風(fēng)險(xiǎn)點(diǎn) 并進(jìn) 行風(fēng)險(xiǎn)防控 由于公司處于資質(zhì)申請(qǐng)階段 沒(méi)有承接涉密相關(guān)業(yè)務(wù)的資 格 既不能建設(shè)涉密信息系統(tǒng) 故僅能對(duì)公司目前的軟件開(kāi)發(fā) 項(xiàng)目的主要業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)評(píng)估 查找現(xiàn)有的項(xiàng)目管理業(yè)務(wù) 流程是否與保密管理相融合 4 4 1 風(fēng)險(xiǎn)級(jí)別定義 風(fēng)險(xiǎn)嚴(yán)重程度級(jí)別參考表 級(jí)別標(biāo)識(shí) 定義 很高 如果被利用 將對(duì)主要業(yè)務(wù)造成完全損害 高 如果被利用 將對(duì)主要業(yè)務(wù)造成重大損害 中等 如果被利用 將對(duì)主要業(yè)務(wù)造成一般損害 低 如果被利用 將對(duì)主要業(yè)務(wù)造成較小損害 4 4 2 風(fēng)險(xiǎn)點(diǎn) 檢查公司進(jìn)入委托方現(xiàn)場(chǎng)進(jìn)行系統(tǒng)集成項(xiàng)目開(kāi)發(fā) 工程施工 運(yùn)行維護(hù)等是否嚴(yán)格執(zhí)行現(xiàn)場(chǎng)工作制度和流程 現(xiàn)場(chǎng)項(xiàng)目開(kāi)發(fā) 工程施工 運(yùn)行維護(hù)是否在委托方的監(jiān)督下 進(jìn)行 未經(jīng)委托方檢查和書(shū)面批準(zhǔn) 不得將任何電子設(shè)備帶 入項(xiàng)目現(xiàn)場(chǎng) 公司是否對(duì)現(xiàn)場(chǎng)項(xiàng)目開(kāi)發(fā) 工程施工 運(yùn)行維護(hù)的工作情況 進(jìn)行詳細(xì)記錄并存檔備查 4 4 3 風(fēng)險(xiǎn)分析 編 號(hào) 風(fēng)險(xiǎn)點(diǎn) 描述 嚴(yán)重 程度 1 制度執(zhí)行 能力 制定了 軟件開(kāi)發(fā)管理制度 及開(kāi)發(fā) 工作流程 但執(zhí)行力度不足 高 2 需求開(kāi)發(fā)制度 會(huì)發(fā)現(xiàn)對(duì)用戶(hù)及產(chǎn)品 的需求分析不到位的情況 導(dǎo)致設(shè)計(jì) 成果和用戶(hù)期望存在一定的差距 3 項(xiàng)目進(jìn)程 管理 系統(tǒng)設(shè)計(jì)階段 按照開(kāi)發(fā)流程進(jìn)行了 設(shè)計(jì)準(zhǔn)備 確定影響系統(tǒng)設(shè)計(jì)的約束 因素 確定設(shè)計(jì)策略 系統(tǒng)分解與設(shè) 計(jì) 但撰寫(xiě)體系結(jié)構(gòu)設(shè)計(jì)文檔時(shí)不夠 嚴(yán)謹(jǐn) 無(wú)法將軟件系統(tǒng)概述 影響設(shè) 計(jì)的約束因素 實(shí)際策略 系統(tǒng)總體 結(jié)構(gòu) 子系統(tǒng)的結(jié)構(gòu)與模塊功能 系 統(tǒng)集成策略及開(kāi)發(fā) 測(cè)試 運(yùn)行所需 的軟硬件環(huán)境等內(nèi)容完整表述 中等 4 4 4 風(fēng)險(xiǎn)防控措施 編號(hào) 風(fēng)險(xiǎn)點(diǎn) 嚴(yán)重 程度 防控措施 1 制度執(zhí)行能 力 嚴(yán)重 定期組織部門(mén)人員學(xué)習(xí) 軟件開(kāi) 發(fā)管理制度 及工作流程 形成 培訓(xùn)記錄 部門(mén)負(fù)責(zé)人應(yīng)將制度 中的各里程碑的要求落實(shí)到位 主管領(lǐng)導(dǎo)和公司內(nèi)審機(jī)構(gòu)每月對(duì) 落實(shí)情況進(jìn)行審查 審查不合格 需由部門(mén)負(fù)責(zé)人作出書(shū)面說(shuō)明 并出具整改方案 整改后仍不合 格的 公司應(yīng)實(shí)行相應(yīng)的處罰機(jī) 制 2 項(xiàng)目進(jìn)程管 理 中等 需求開(kāi)發(fā)階段 在首次獲得了用 戶(hù)及產(chǎn)品需求后 用戶(hù)的需求有 時(shí)只是口頭表述 不會(huì)形成文檔 應(yīng)主動(dòng)和用戶(hù)進(jìn)行溝通確認(rèn) 并將初步的需求溝通以文檔形式 反饋給用戶(hù) 得到用戶(hù)初步肯定 后 再詳細(xì)撰寫(xiě) 用戶(hù)產(chǎn)品需求 說(shuō)明書(shū) 3 中等 系統(tǒng)設(shè)計(jì)階段 設(shè)計(jì)人員應(yīng)將各 里程碑 設(shè)計(jì)準(zhǔn)備 確定影響系 統(tǒng)設(shè)計(jì)的約束因素 確定設(shè)計(jì)策 略 系統(tǒng)分解和設(shè)計(jì) 的開(kāi)展情 況及成果 包括每一次的設(shè)計(jì)變 更 進(jìn)行記錄 以確保此階段的 輸出物 系統(tǒng)設(shè)計(jì)報(bào)告 的完整 性 可靠性 5 整改要求 一 公司保密工作領(lǐng)導(dǎo)小組對(duì)此次保密風(fēng)險(xiǎn)評(píng)估的結(jié)果負(fù)有 監(jiān)督整改的責(zé)任 二 風(fēng)險(xiǎn)級(jí)別為 高 的風(fēng)險(xiǎn)點(diǎn) 整改優(yōu)先級(jí)最高 三 相應(yīng)責(zé)任部門(mén)應(yīng)結(jié)合風(fēng)險(xiǎn)評(píng)估中的 風(fēng)險(xiǎn)防控措施 在三個(gè)工作日內(nèi)出具詳細(xì)的整改計(jì)劃 整改計(jì)劃獲批后 責(zé)任 部門(mén)應(yīng)在三個(gè)月內(nèi)做出整改情況總結(jié) 并上報(bào)公司保密工作領(lǐng) 導(dǎo)小組 有領(lǐng)導(dǎo)小組組織公司內(nèi)審機(jī)構(gòu)對(duì)整改情況進(jìn)行審計(jì) 四 公司內(nèi)審機(jī)構(gòu)需對(duì)本次整改情況進(jìn)行嚴(yán)格把控 重點(diǎn)審 計(jì)高風(fēng)險(xiǎn)點(diǎn)的整改情況 對(duì)所有風(fēng)險(xiǎn)點(diǎn)的整改情況審計(jì)細(xì)致到 位 整改不合格 公司將實(shí)行懲罰機(jī)制 五 公司內(nèi)審機(jī)構(gòu)將嚴(yán)格按照 PDCA 模式每季度對(duì)以上防控 措施及整條業(yè)務(wù)流程的執(zhí)行情況進(jìn)行審計(jì) 詳細(xì)記錄審計(jì)結(jié)果 對(duì)不合格項(xiàng)提出合理化建議 并督促整改 核實(shí)整改效果后進(jìn) 入下一周期的內(nèi)部審計(jì)