涉密信息系统工程招标及资质管理

2014-03-04吴芳茜李俊安

中国科技纵横 2014年20期

关键词：资质招标信息系统

吴芳茜李俊安

(北京赛迪工业和信息化工程监理有限公司,北京 100048)

涉密信息系统工程招标及资质管理

吴芳茜李俊安

(北京赛迪工业和信息化工程监理有限公司,北京 100048)

涉密信息系统分级保护是指各类涉及国家秘密的党政机关、企事业单位依据涉密信息系统分级保护管理规范和测评指南,对涉密信息系统分等级实施保护,根据涉密信息系统的保护等级实施监督管理,确保各行业的保密单位涉密信息系统的安全。涉密信息系统工程则相应划分为秘密级信息系统保护要求、机密级信息系统一般保护要求、机密级信息系统增强保护要求、绝密级信息系统保护要求四个级别。涉密信息系统应当选择具有涉密信息系统集成资质的企业事业单位承接涉密信息系统集成业务。

涉密信息系统工程招标采购资质管理

Grading system to protect classified information involving state secrets means all types of party and government organs, enterprises and institutions based on the protection of classified information systems management standards and assessment grading guidelines for the implementation of classified information protection grading system, based on classified information systems protection class supervision and management to ensure the safety of all sectors of the confidentiality of classified information systems unit. Classified information systems engineering, the corresponding level of information classified as secret system protection requirements, the general protection of confidential information system-level requirements, enhance the protection of confidential information system-level requirements, top-secret-level information system protection requires four levels. Classified information systems should be chosen with classified information system integration qualification of enterprises and institutions to undertake classified information systems integration business.

Classified information systems project bidding qualification management

《国家保密法》和《国家安全法》这两部关系国家安全秘密的核心法律对于涉密采购问题并没有做出明确规定，而规范采购活动的《政府采购法》和《招标投标法》都把涉及国家秘密的采购列为例外条款，不予适用。从政策法规层面上看，采购过程的参照实施条例在国内仍是空白，还无法实现对涉密采购的有效规范和管理。仅仅根据分级保护相关管理要求规定，涉密工程不得公开招标。

通常情况下，为确保招标质量，涉密工程多采取邀请招标。建设方通过一定标准筛选出相关行业资质完备、业绩突出的优秀队伍，通过考察后筛选数家单位进行邀请招标。

1 资质管理办法

当前国家保密局颁发的涉密信息系统集成资质分为甲级、乙级和单项三种，各有工作范围规定。

甲级资质单位可在全同范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。

乙级资质单位仅限在所批准的省、自治区、直辖市所辖行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得开展具它单项资质业务。

单项资质单位可在全国范围内开展业务，但仅限承接所批准的涉密系统集成单项业务。如：软件开发、综合布线、系统服务、系统咨询、屏蔽室建设、风险评估、工程监理、数据恢复等。

取得甲级或乙级资质的单位如需承接单项业务，必须申请并取得相应的单项资质。同时，取得某一单项资质的单位如需从事其它单项业务，还必须申请相应的单项资质。

2 现实困难解析

信息化工程项目涉及的业务内容繁多，一般建设过程较长，在项目进展的不可预见性较为明显，大大增加了工程建设的复杂性。在实际操作中可能存在建设方对信息化行业比较陌生，独立完成资质单位选取的难度较大，为建设方能够规范、安全保密的进行项目招标事实上制造了困难。甚至有选取的服务企业不具备涉密资质的情况发生，难免导致秘密泄露情况的发生，同时造成工程质量不满足应用的基本需求，需要耗费很大精力进行改建或重建，工程进度拖延，对国家的财力、物力、人力都造成了极大浪费，阻碍建设方的业务发展。保密技术宣传教育由于自身特性不可避免的存在滞后于应用发展的状况，目前国家下发的BMB标准已有20余份，对工程建设的技术和管理都做了较为详尽和严格的要求，但是相关规范、标准几乎都是密级文件，且部分标准密级较高，各单位部门对涉密资料的分发传递有严格的规章制度，为控制知悉范围，一般不下发传递，从而使这些标准不能及时传达到各级政府及涉密承建企业。导致部分建设方和承建方对国家相关的制度标准不够了解，无法参照执行，阻碍了涉密信息系统建设。

因此，按照信息系统工程监理规范和分级保护管理规范来实施涉密信息系统工程建设的监督、控制和管理，严格控制施工流程，规范施工过程文档，协调各方关系，及时、妥善处理或解决施工过程中出现的各类问题就显得尤为重要。

3 涉密信息工程监理的作用

监理单位的介入可以监控选择合格的承建单位，并为工程的设计实施做好准备。监理可以协助建设单位提出工程需求方案，确定工程的整体质量目标，参与标书的编制，并对工程的技术和质量、验收准则、投标单位资格等可能对工程质量有影响的因素明确提出要求，协助招标公司和建设单位制定评标的评定标准，对项目的招标文件进行审核，对招标书涉及的商务内容和技术内容进行确认;对招标过程进行监控，如招标过程是否存在不公正的现象等问题。

监理将协助建设单位审查承建单位以及人员的资质，监理单位对其单位资质以及参与项目的人员资质进行审核，从而确定其是否具有完成本项目的能力。审核承建单位以及人员资质有：资质文件是否真实、齐全;承建单位的资质等级是否与本工程的规模相适应;承建单位的主要技术领域是否与本工程需要的技术相符合;技术人员的技术经历是否与本工程的技术要求相符合;承建单位是否建立了完善的质量保证体系。

4 工程涉密资质管理工作解析

国家对如何取得涉及国家秘密的计算机信息系统集成资质，以及涉及国家秘密的计算机信息系统建设对供应商资质要求有着极其严格的规定。甲级、乙级资质注重于系统集成和工程建设方面的工作。单项资质属于从事涉密信息系统有特殊要求的工程管理和建设项目范畴，甲级和乙级资质并不能代替单项资质。

信息系统工程大多涉及多种建设内容，如安防监控、软件开发和综合布线等，而国家保密局对涉密资质一直采用总量控制的方法，使得集成商可能无法获取项目涵盖所有内容的涉密单项资质，这就需要集成商对工程建设内容中自身无资质的部分分包，或者建设方自行进行分包，对不同建设内容的分别选取承建商。

无论采取何种方式，项目都会涉及到不止一家承建商，干系人的增加为项目的管理增加了难度，为项目的协调以及项目的整体把控带来了较大的挑战。

按照项目管理规范来实施涉密信息系统工程建设的监督、控制和管理，严格控制施工流程，规范施工过程文档，协调各方关系，及时、妥善处理或解决施工过程中出现的各类问题显得尤为重要。

项目实行方案论证制度。在调研的基础上，项目实行方案形成初稿后，监理提出修改意见。最后组织专家对方案进行技术可行性和安全保密可行性论证，确保项目的成功实施。

对于工程建设工作，工程及项目管理体系的建设尤为重要。工程及项目管理类标准将用于管理整个工程，保证项目目标得以顺利实现，确保各子项目能够按计划顺利向前推进;建立高效的项目管理体系，将使得项目软硬件采购及应用系统建设特别是核心业务系统的开发工作顺利进行，保证开发的应用系统拥有功能完善、性能优良、技术先进、架构开放、可维护和扩展性强、对特定开发商的依赖程度低、系统之间集成方便等特点，同时保证敏感信息与数据的安全可靠。