为了加强对涉密人员、场所、资产和项目管理等危害因素辨识、风险评价以及风险控制,确定重大及不可容忍的风险,采取有效或适当的控制改进措施,把风险降低到最低或控制在可以承受的程度。现将有关事项明确如下:
一、中心每年12月份定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估;
二、系统集成业务风险评估主要包括严格界定开展的业务类别(是否涉密及涉密等级)、在集成业务开展过程中的保密管理约束机制、对客户的保密指导及培训;
三、人员风险评估主要包括对参与涉密系统集成人员的保密管理,按中心保密各项制度规定,进行监督、检查;
四、资产风险评估主要包括对中心保密工作开展的各类设备、载体、设施进行定期清点、核对,进行使用或工作是否正常、管理是否完善的检查;
五、场所风险评估主要包括场所是否变化、场所防护是否符合要求,人员出入管理是否完善等;
六、各业务部门按照业务流程对保密风险进行识别、分析评估,根据评估结果,提出具体防控措施;
七、将国家保密法规和标准要求、保密风险防控措施融入到管理制度和业务工作流程中,按照中心保密监督检查制度开展监督检查工作。