3月31日之前保密风险自评估报告编写参考指南

安盟电子雷老师：13772115538   资质办理，保密室安全软件销售，保密室建设

官方模板地址：https://www.gjbmj.gov.cn/409053/409102/409114/index.html

 

一、先搞清楚：这份自评估报告到底要“评”什么？从模板结构看，自评估报告主要围绕三块内容展开：

1. 基本情况：制度、信息系统与设备、场所、机构与人员、任务承接等基础信息；

2. 风险自评估结果：对照评分标准，列出问题和整改措施，是全篇“灵魂”所在；

3. 单位承诺：对自评结果的真实性、完整性负责，具备法律效力。

 

二、“一、基本情况”：不是走过场，而是为后文评估打基础

“基本情况”部分看似是“填表”，其实是后续风险评估的“客观基础”。建议按模板顺序，逐项梳理。

（一）保密制度建设情况：先盘清“有几本账”

对应模板中的表1“保密基本制度清单”，建议操作步骤：

• • 先列出“应有制度清单”：如保密责任制、涉密人员管理、定密工作、载体管理、信息系统与设备管理、要害部门部位管理、外场试验管理等；
• • 再逐条核对本单位实际是否已制定、修订，填入“制度名称、文号、编制部门、印发实施时间”；
• • 编写建议：
  • • 不要只写“有/无”，要把“制度体系是否完整、是否按新要求更新”作为后续风险评估的一个维度；
  • • 若存在制度缺失或长期未修订的情况，在“二、风险自评估结果”中要有对应问题和整改措施呼应。

（二）信息系统、信息设备资产情况：要做到“账实相符、逻辑自洽”

模板中这一部分包括：

• • 表2：涉密信息系统清单（系统名称、保护等级、网络类型、下次审查日期、终端数量、应用系统数量）；
• • 表3：信息设备清单（含涉密网络计算机、涉密单机、互联网计算机、打印机、复印机、扫描仪等）。

编写要点：

1. 1. 系统与设备要能对上号
   • • 涉密信息系统的“终端数量”应能在设备清单中找到合理对应；
   • • 若系统保护等级较高，但设备数量、涉密人员数量极少，容易引起审查部门质疑。
2. 2. 时间信息要真实可查
   • • “下次审查日期”要与等级保护测评、保密审查记录一致；
   • • 如已超期未审查，应在风险自评中如实列出，并给出整改时限。
3. 3. 设备类别要细、密级要清
   • • 建议与资产管理、网络管理部门联合核对，避免缺项、漏项，尤其是复印机、扫描仪、便携式设备等高风险设备。

（三）场所情况：不仅是地址，更是“物理防护能力”体现

模板中包括：

• • 表4：科研生产办公地址清单（地址、面积、场所归属、涉密属性、通过审查时间等）；
• • 表5：保密要害部门部位清单（责任部门、位置、确定时间、授权人员数量等）。

编写建议：

• • “涉密/非涉”属性要与实际使用情况、上级审查结论一致，不能“图省事一律写涉密或非涉密”；
• • 要害部门、要害部位的设置，应与单位承担的任务密切相关，如核心研发部门、试验数据处理中心等必须纳入；
• • “授权人员数量”建议与实际门禁权限、值班制度等有对应记录，避免“纸面上很多人授权，系统里查不到”。

（四）机构和人员情况：突出保密管理“有人抓、有人管”

对应模板表6、表7：

• • 表6：保密工作机构组成情况（姓名、职务、学历专业、岗位类别）；
• • 表7：人员数量清单（核心涉密、重要涉密、一般涉密、内部受控人员）。

编写要点：

• • 保密工作机构要体现“有专门机构、有专职（或兼职）人员”，避免“名义上有机构，实质上无人履职”；
• • 学历和专业信息可体现“专业匹配度”，例如信息安全、保密管理、安全工程等专业人员是加分项；
• • 各类涉密人员数量应与承接的涉密任务量、涉密设备数量匹配，过多或过少都需要在自评中给出合理解释。

（五）承接的涉密任务情况（重点项）：为风险评估“定权重”

模板要求填报上一自然年度承接的涉密武器装备科研生产任务数量。建议做法：

• • 除填写任务总数外，可在内部工作底稿中按密级、类别进行简单分类（如型号研制、试验验证、批量生产等）；
• • 自评报告正文中不写具体任务名称与内容，避免涉及国家秘密，只保留“量化信息”作为风险评估的重要依据；
• • 风险评估阶段，对任务多、密级高、周期长的业务环节，应适当加大关注和检查力度。

---

三、“二、风险自评估结果”：这才是审查部门真正关注的重点

模板中的表8，按“分类—自评估问题—对应扣分项—整改措施—备注”的结构展开，覆盖保密责任、机构与经费、保密制度、定密管理、载体管理、密品管理、信息系统和设备管理、涉外管理、涉密会议、要害部门部位、外场试验、协作配套、涉密人员、保密检查与风险自评估本身、考核奖惩、工作档案等多个方面。

这一部分的编写，建议把握三条原则：

1. 先对照“评分标准”，再填表格

• • 建议以《审查标准、评分标准》为蓝本，逐条对照，形成“一条标准—一个检查点—一条评估结论”的内部清单；
• • 只有在内部确实完成对某项内容的检查后，才在表8中填入“有问题/无问题”，避免“想当然式”的评估。

2. 问题描述要具体，避免“概念化、套话化”

对“自评估问题”的描述，建议遵循“5W1H”思路中的关键要素：

• • 哪一类工作出问题（如载体管理、信息系统管理等）；
• • 在哪个部门/环节发生；
• • 具体表现为什么（如未按规定登记、未审批外带、未进行年度检查等）；
• • 影响范围和后果大致如何（如涉及人员数量、系统数量、设备数量等）。

示例对比：

• • 不推荐：
    “涉密载体管理不够规范。”
• • 推荐：
    “某型号项目组在2025年度产生的涉密纸质文档，存在部分未按规定登记编号、未纳入集中保管台账的问题，涉及文件约XX份。”

3. 整改措施要“可执行、可检查、有期限”

好的整改措施应当至少包括：

• • 具体动作（做什么）
    如“制定并印发《××管理细则》”“组织全员保密培训”“对现有涉密设备进行全面清查”等；
• • 责任主体（谁来做）
    明确到部门和岗位，如“由保密办牵头，信息中心配合”；
• • 时间节点（何时完成）
    给出“截至×年×月×日前完成”的明确期限；
• • 如有条件，可附加验收标准（如何算整改完成），便于后续抽查。

---

四、“三、单位承诺”：不是“形式”，而是责任

模板最后一部分是单位承诺，由法定代表人或主要负责人签字，承诺：

严格按照管理办法及相关标准开展风险自评估工作，报告内容属实、不虚假。

编写和签署这一部分前，建议单位内部至少完成以下动作：

• • 保密工作机构对自评报告进行完整性、逻辑性复核；
• • 将主要问题和整改安排以简报或会议形式向单位领导专题汇报；
• • 做好对自评材料的归档管理，包括底稿、台账、照片等支撑材料。

只有在单位内部真正做到“自评有检查、问题有整改、责任有落实”，承诺才不是一句空话。

---

五、实务建议：如何让这份报告更“专业、可信、好用”？

结合实践，可以给出几条通用性的操作建议：

1. 1. 把“填表”前移，全年滚动更新
    不要临近3月才“突击填表”，建议平时就按模板要求同步维护制度清单、设备清单、场所清单、涉密人员清单，年度时只需校核更新即可。
2. 2. 让业务部门真正参与进来
    保密工作机构负责编制和统筹，具体内容要各业务部门、信息化部门、资产管理部门共同提供，避免“保密办一个部门闭门造表”。
3. 3. 自评要敢“揭短”，切忌“零问题”
    完全“零问题”的报告在实践中反而不可信。建议如实反映共性问题、小问题，通过“发现问题—主动整改”体现单位的管理能力与坦诚态度。
4. 4. 把自评结果变成“下一年度工作计划”的重要来源
    将本年度自评中的重点问题，固化为下一年度保密工作要点和检查计划，让报告真正发挥“指挥棒”作用。

5. 5. 注意不涉及国家秘密，只按“工作秘密”管理
    模板已明确：不得在报告中写入具体涉密项目名称、技术细节、作战用途等敏感内容；可以用“某型号”“某项目组”等方式替代，只保留风险点和管理问题的描述。

    

   结语

   一份高质量的《武器装备科研生产单位保密风险自评估报告》，应当具备三个特征：

   • 基础数据真实完整：制度、设备、场所、人员、任务“五本账”清晰；

   • 风险识别客观深入：问题找得准、讲得透；

    

   如果把自评工作仅仅当作“上交材料”的任务，很难真正提升保密工作的水平；只有把它当作“年度体检报告”和“整改施工图”，单位的保密管理能力才能在每一年中形成看得见的进步。

   • • 整改措施具体可行：职责明、时限明、标准明。