李俊安(北京賽迪工業(yè)和信息化工程監(jiān)理中心有限公司,北京 100048)

?

涉密信息系統(tǒng)建設(shè)過程中的保密管理思考

李俊安
(北京賽迪工業(yè)和信息化工程監(jiān)理中心有限公司,北京 100048)

【摘 要】各類涉及國家秘密的黨政機關(guān)、企事業(yè)單位依需根據(jù)涉密信息系統(tǒng)的保護等級實施監(jiān)督管理,確保各行業(yè)的保密單位涉密信息系統(tǒng)的安全。在項目建設(shè)過程中會涉及到多家單位的頻繁的信息流轉(zhuǎn),需各家單位共同努力,做好個人、單位、項目三級保密管理工作。

【關(guān)鍵詞】涉密信息系統(tǒng) 保密管理 項目管理

涉密信息系統(tǒng)是指各類涉及國家秘密的黨政機關(guān)、企事業(yè)單位中以網(wǎng)絡(luò)為平臺的系統(tǒng),包括服務(wù)器、終端計算機、防火墻,網(wǎng)絡(luò)交換機、存儲設(shè)備和輸出設(shè)備以及在其上存儲、處理、傳輸和運行涉密信息的信息管理系統(tǒng)和應用軟件系統(tǒng),同時包含各類涉密的終端設(shè)備,以及通過網(wǎng)絡(luò)進行信息采集、處理存儲和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。

1 涉密信息系統(tǒng)工程特點

涉密信息系統(tǒng)工程大多涉及多種建設(shè)內(nèi)容,如安防監(jiān)控、軟件開發(fā)和綜合布線等,而國家保密局對涉密資質(zhì)一直采用總量控制的方法,使得集成商無法獲取項目涵蓋所有內(nèi)容的涉密單項資質(zhì),使得項目會涉及到不止一家承建商,干系人的增加為項目的管理尤其是保密管理增加了難度,各家單位的保密意識、管理要求層次不齊。如何協(xié)調(diào)個人、單位和項目三個層級的保密管理,嚴格保密管理規(guī)范來指導實施涉密信息系統(tǒng)工程建設(shè),對涉密信息系統(tǒng)建設(shè)項目顯得尤為重要。

2 密信息系統(tǒng)建設(shè)過程中保密管理難點分析

2.1 各單位無法及時掌握項目保密狀況

對于各個單位來說,作為涉密資質(zhì)單位和涉密建設(shè)單位,通常按照要求,均會形成一套自身的涉密管理和審批規(guī)范,但由于工程建設(shè)過程中形成的信息和載體等并不能及時被相應的保密管理部門所知曉,尤其是對于需要在業(yè)主方駐場開發(fā)實施的項目,保密管理部門對于這些信息的掌握、記錄的形成以及檢查都具有相當?shù)臏笮?更難以進行有效的保密管理和指導。

2.2 項目整體保密管理難度大

各單位制作的項目相關(guān)的涉密的相關(guān)信息,在制作完成后的使用、保存、銷毀和外發(fā)等情況均需在相關(guān)部門進行記錄和查詢。而在項目建設(shè)過程中,各承建單位、業(yè)主和監(jiān)理單位等均需要對項目涉密信息進行大量的外發(fā),對于單位的保密管理而言,存在著涉密信息管理失控的風險和隱患,根本無法進行全過程的涉密信息的管控。

2.3 相關(guān)信息知悉范圍的擴大

對于承建單位和監(jiān)理單位來講,在項目結(jié)束后按照規(guī)定應該將所有項目信息及資料移交給業(yè)主,不得擅自留存,在實際情況中,對這方面的把控難以進行,造成集成單位積累的涉密信息越來越多的實際情況,既給集成單位增加了管理的難度,又造成了相關(guān)知悉范圍的擴大危險,不利于信息的安全保密。

3 涉密信息系統(tǒng)建設(shè)過程中保密管理思考

3.1 落實“業(yè)務(wù)工作誰主管,保密工作誰負責”

保密管理的原則之一就是“業(yè)務(wù)工作誰主管、保密工作誰負責”,工程涉密信息的管理同樣也應遵循這一原則,要具體落實到這個原則,需要承建單位的項目經(jīng)理,監(jiān)理單位的總監(jiān)理工程師,業(yè)主方的管控人員在推進項目建設(shè)的同時對項目保密工作進行有效的管理,做好項目建設(shè)過程中的保密管理人,落實保密責任制,嚴格本單位的保密管理工作,對項目保密工作向公司保密管理部門進行及時上報。

3.2 建立動態(tài)的項目信息管理臺賬

總的項目涉密管理臺賬,是由各參與單位、匯總而成,在管理上分為個人、單位和項目三個層面,個人要為自己參與的涉密信息和載體管理負責,單位要對本單位所保存的涉密信息機載體負責,同時要在項目層面建立動態(tài)的管理臺賬,對整個項目的涉密信息流轉(zhuǎn)進行全過程的管理。

3.3 善項目檢查管理

在項目建設(shè)實施過程中需注意檢查安全隱患,監(jiān)督檢查安全策略實施情況;審查承建單位采取的保密措施是否有效,檢查保密制度落實情況,監(jiān)督管理承建單位的施工組織,環(huán)境的安全狀況與安全制度的落實情況。

保密措施有效性,檢查保密制度落實,工程資料的安全保密管理,嚴格控制接觸涉密資料的人員范圍。

3.4 注重教育與培訓

各方都必須建立定期進行安全保密教育與培訓的制度,應以多種方式針對項目建設(shè)進行相關(guān)教育與培訓。建議在項目保密協(xié)議中明確明確規(guī)定相關(guān)保密政策,制定保密制度等一系列保密管理方法,從管理上堵塞泄密漏洞。要求個項目參與方定期對所有參與本項目開發(fā)實施的員工重新進行保密工作教育,提高員工的保密意識,消除麻痹思想。同時建立一套嚴格的獎懲措施,保證所有員工都對這項工作具有足夠的意識程度。

安全保密管理不是一成不變的,而是隨著技術(shù)的發(fā)展、網(wǎng)絡(luò)結(jié)構(gòu)的變化、用戶的增減、人員安全保密認識的不斷深入等情況動態(tài)變化的。涉密信息系統(tǒng)的安全保密管理體系只有具備了隨著來自內(nèi)部或外部的變化,不斷自我適應、自我完善的能力,才能實現(xiàn)保護國家秘密這一最終目標。

國家相關(guān)標準中也指出要通過分析異常事件、定期自評估和檢查評估等手段,發(fā)現(xiàn)安全保密管理的薄弱環(huán)節(jié)并不斷改進完善。因此,在工程建設(shè)實踐中,要分析,以防止出現(xiàn)安全保密管理體系與實際的管理需求不相適應的情況。

3.5 完善資料移交管理

在項目涉密信息動態(tài)管理的基礎(chǔ)上,各單位驗收材料的移交管理就可以做到有理有據(jù),要求各單位完整如實的移交項目有關(guān)的所有信息,不私自存留。在項目實踐過程中,有些項目要求各參與單位提供硬盤保留服務(wù),即上交與本業(yè)主單位項目有關(guān)電腦的硬盤,也是一種行之有效的措施,既減少了各承建單位涉密管理的難度,又可以保證信息的知悉范圍,保證國家秘密的安全。

4 結(jié)語

解決涉密信息系統(tǒng)工程存在的保密管理問題是必需的和緊迫的,是當前形勢下做好涉密信息系統(tǒng)工程建設(shè)不可缺少的一個環(huán)節(jié)。需各單位加快調(diào)結(jié)構(gòu)、促發(fā)展的步伐,做好隊伍的培訓和管理工作,更應增強保密責任感和使命感,切實做好涉密信息系統(tǒng)工程服務(wù),服務(wù)于國家保密事業(yè)。

作者簡介:李俊安(1987—),男,山西朔州人,碩士研究生,部門經(jīng)理,工程師,研究方向涉密工程監(jiān)理。