保密風險評估與管理辦法（2020版）

保密風險評估與管理辦法（2020版）

一、總則

為及時識別、監控公司保密潛在風險及其發生概率，確定公司保密風險承受能力及限度，認定該等風險所可能帶來的損失，根據《上海市涉密信息系統集成資質單位保密風險評估工作細則》和《涉密信息系統集成資質保密標準》結合公司實際，特制定本管理辦法。

二、職責分工

1、公司保密風險評估與管理主管部門為風險管理部。

2、各部門、各經營單元協助風險管理部實施本管理辦法。

3、公司各涉密經營單元是保密風險管理的第一道防線，負責本經營單元和公司內縱向歸口管理事項的保密風險管理工作。

4、公司保密風險評估工作小組（以下簡稱工作小組）是保密風險管理的第二道防線，接受保密管理辦公室的監督（以下簡稱保密辦），負責指導和檢查保密風險評估工作的開展。

5、公司保密工作領導小組（以下簡稱領導小組）是保密風險管理的第三道防線。作為保密風險管理的決策機構，負責監督保密風險評估工作的開展，負責組織建立完善保密管理的持續改進機制。

三、工作內容及流程。

1、領導小組授權風險管理部組織成立工作小組。工作小組組長由分管保密工作的公司領導擔任，成員由保密辦、風險管理部等部門負責人組成。領導小組應組織對評估過程中出現的問題和結果做分析和研究，查找出在保密管理的制度、流程和執行等方面的問題，組織對制度和流程進行修訂和完善。

2、工作小組至少每半年開展一次保密風險評估，使用“上海市涉密信息系統集成資質保密風險評估及自查自評系統”開展保密風險評估工作，按照業務流程對保密風險進行識別、分析和評估，評估的範圍包括項目、人員、資產、場所等主要管理活動在保密方面所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。

3、工作小組至少每年對《保密管理風險點識別及防控措施》評估一次，從人員風險、涉密載體風險、涉密計算機、涉密場所、投標、項目實施等，對每個風險點進行低、中、高等級識別，制定相應的防範措施。

4、工作小組在評估過程中如發現問題，及時向領導小組彙報，《保密風險評估報告》形成後，應向領導小組報告評估情況。向相關涉密經營單元和人員通報評估情況，監督防控措施的落實。

5、工作小組不定期組織開展評估業務培訓，使相關人員瞭解掌握保密風險形式、評估方法、評估工具、防控措施等知識。保密風險管理納入保密教育培訓，以增強涉密人員防控保密風險的意識。

6、《公司保密風險評估報告》以及《公司保密管理風險點識別及防控措施》由風險管理部保存，作為年度審查申請的附件材料報市國家保密局資質管理委員會辦公室。

四、獎懲機制

將評估工作履職情況納入部門和員工的年度績效考核評價體系。由領導小組對工作小組成員的保密工作進行考核評價；由工作小組負責對相關部門和人員的保密工作進行考核評價。對發現並上報重大保密風險的部門和人員給予獎勵。對瞞報或未發現明顯保密風險而導致發生泄密事件及嚴重違規行為的部門、人員給予重罰。

五、附則

1、本管理辦法由公司風險管理部負責解釋和修訂。

2、本辦法自發布之日起實行，原《公司保密制度彙編》即行廢止。