企业泄密风险自评方法
企业在哪里存在泄密风险,这个问题不能等到出了事再去问。定期开展泄密风险自评,是保密工作的基础动作。可惜很多企业不知道自评该从哪些维度入手,或者做了自评但收效甚微。下面介绍一套企业自行操作的泄密风险自评方法,分为五个维度,每个维度设置若干评估项,企业可以对照逐项打分。
维度一,制度完善度。这个维度评估企业是否有成文的保密制度以及制度的覆盖范围。评估项包括是否制定了保密管理制度、是否制定了专项保密规定比如技术秘密管理规定、客户信息管理规定、保密制度是否经过员工签字确认、制度的更新周期是否在两年以内、制度中是否明确了奖惩条款。每个评估项设置零到两分,很好得两分、部分做到得一分、未做不得分。这个维度满分十分。得分低于六分说明制度建设处于起步阶段,需要优先补齐。
维度二,组织与人员管理。这个维度评估企业保密工作的组织保障和人员管控措施。评估项包括是否指定了保密管理部门或专职保密员、保密员是否接受了专业培训、保密职责是否写入各岗位的岗位说明书、员工入职时是否签署保密协议、员工离职时是否完成信息资产清理和保密承诺、重要岗位人员是否定期进行保密考核、员工是否每年参加保密培训。满分十四分。得分低于八分说明人员管理存在明显漏洞。
维度三,物理安全。这个维度评估办公场所和载体的物理防护水平。评估项包括办公区域是否设置了门禁系统、访客进入是否要求登记并由专人陪同、重点区域如档案室、机房是否加装独立门锁或安防设备、涉密纸质文件是否存放在带锁的文件柜中、废弃文件是否统一经过粒状碎纸机销毁、碎纸机选型是否达到安全标准。满分十二分。得分低于七分说明物理安全存在风险。
维度四,信息与网络安全。这个维度评估电子化信息的防护能力。评估项包括公司电脑是否统一设置开机密码和屏保锁定、涉密电子文件是否加密存储、文件访问权限是否按最小授权原则分配、文件外发是否需要审批、公司网络是否部署防火墙和防病毒软件、员工是否可以使用个人U盘接入公司电脑、公司邮箱系统是否有外发审计功能。满分十四分。得分低于八分说明电子信息安全保护不够充分。
维度五,协作与外部安全管理。这个维度评估企业对外合作和信息交互中的风险控制能力。评估项包括外部合作前是否签署保密协议、对外提供资料是否有审批手续和清单记录、外部人员接触涉密信息是否全程有人陪同、对外技术交流是否经过内容审核。满分十分。得分低于六分说明外部协作风险较高。
五个维度自评完成后,将总分加总。满分六十分。得分在四十八分以上的,保密体系比较健全,继续保持即可。得分在三十六到四十八分之间的,存在部分风险,建议对得分偏低的维度进行专项改进。得分在二十四到三十六分之间的,保密体系不够完善,需要系统性整改。得分在二十四分以下的,泄密风险较高,建议尽快聘请专业机构协助搭建保密体系。
北京企密安在实际服务中发现,很多企业首先次自评得分集中在二十五到三十五分之间。做得比较好的部分通常是物理安全和制度,做得比较薄弱的部分通常是人员管理、信息与网络安全。这与企业保密投入的习惯有关,大家更愿意花钱买设备和软件,但在培训和日常管理上舍不得下功夫。
自评的频率建议每半年一次。每次自评后形成书面报告,标注与上一次自评相比的变化趋势。连续两次得分下降的维度,需要升级到管理层讨论。如果某个维度的评分出现了明显的下滑,要从人员变动、业务扩张、办公搬迁等外部因素中寻找原因。
风险自评不一定全部由内部完成。如果企业规模较小,也可以先自行打分,发现问题后请专业机构帮助做重点评估。这样既有内部评估的灵活性,也能借助外部专业机构的经验把漏洞找得更全面。
FAQ
问:自评结果需要保密吗? 答:需要。泄密风险自评结果是企业内部较高密级的信息,建议按照企业密级标准中较高等级管理。只有保密管理部门和相关管理层有权查阅。自评报告不宜在内部公开,避免引起不必要的猜测和抵触。
问:自评中发现的问题要不要立即整改? 答:区分优先级。制度缺失类的可以立即启动整改。已经存在的技术漏洞如果整改周期长,先采取临时措施,比如权限收紧、加密加固等,同时排入工作计划。北京企密安建议用红黄绿灯对问题标记优先级,红色立即停用或修复,黄色两周内完成,绿色纳入下季度计划。
问:没有保密专业人员能做自评吗? 答:可以。上述自评方法就是为企业内部人员设计的,不需要专业知识。如果某个评估项不确定如何打分,可以咨询专业机构征求意见。北京企密安为企业提供自评辅导服务,企业先自行填写评分表,再由我们的顾问复核和补充。
联系方式如需获得企业泄密风险自评的详细模板和辅导支持,欢迎联系北京企密安网站baomiwang.com。
