保密风险评估与管理办法(2020版)
一、总则
为及时识别、监控公司保密潜在风险及其发生概率,确定公司保密风险承受能力及限度,认定该等风险所可能带来的损失,根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际,特制定本管理办法。
二、职责分工
1、公司保密风险评估与管理主管部门为风险管理部。
2、各部门、各经营单元协助风险管理部实施本管理办法。
3、公司各涉密经营单元是保密风险管理的第一道防线,负责本经营单元和公司内纵向归口管理事项的保密风险管理工作。
4、公司保密风险评估工作小组(以下简称工作小组)是保密风险管理的第二道防线,接受保密管理办公室的监督(以下简称保密办),负责指导和检查保密风险评估工作的开展。
5、公司保密工作领导小组(以下简称领导小组)是保密风险管理的第三道防线。作为保密风险管理的决策机构,负责监督保密风险评估工作的开展,负责组织建立完善保密管理的持续改进机制。
三、工作内容及流程。
1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担任,成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和研究,查找出在保密管理的制度、流程和执行等方面的问题,组织对制度和流程进行修订和完善。
2、工作小组至少每半年开展一次保密风险评估,使用“上海市涉密信息系统集成资质保密风险评估及自查自评系统”开展保密风险评估工作,按照业务流程对保密风险进行识别、分析和评估,评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次,从人员风险、涉密载体风险、涉密计算机、涉密场所、投标、项目实施等,对每个风险点进行低、中、高等级识别,制定相应的防范措施。
4、工作小组在评估过程中如发现问题,及时向领导小组汇报,《保密风险评估报告》形成后,应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况,监督防控措施的落实。
5、工作小组不定期组织开展评估业务培训,使相关人员了解掌握保密风险形式、评估方法、评估工具、防控措施等知识。保密风险管理纳入保密教育培训,以增强涉密人员防控保密风险的意识。
6、《公司保密风险评估报告》以及《公司保密管理风险点识别及防控措施》由风险管理部保存,作为年度审查申请的附件材料报市国家保密局资质管理委员会办公室。
四、奖惩机制
将评估工作履职情况纳入部门和员工的年度绩效考核评价体系。由领导小组对工作小组成员的保密工作进行考核评价;由工作小组负责对相关部门和人员的保密工作进行考核评价。对发现并上报重大保密风险的部门和人员给予奖励。对瞒报或未发现明显保密风险而导致发生泄密事件及严重违规行为的部门、人员给予重罚。
五、附则
1、本管理办法由公司风险管理部负责解释和修订。
2、本办法自发布之日起实行,原《公司保密制度汇编》即行废止。