涉密信息系統(tǒng)工程招標及資質(zhì)管理

吳芳茜 李俊安

(北京賽迪工業(yè)和信息化工程監(jiān)理有限公司,北京 100048)

涉密信息系統(tǒng)工程招標及資質(zhì)管理

吳芳茜 李俊安

(北京賽迪工業(yè)和信息化工程監(jiān)理有限公司,北京 100048)

涉密信息系統(tǒng)分級保護是指各類涉及國家秘密的黨政機關、企事業(yè)單位依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和測評指南,對涉密信息系統(tǒng)分等級實施保護,根據(jù)涉密信息系統(tǒng)的保護等級實施監(jiān)督管理,確保各行業(yè)的保密單位涉密信息系統(tǒng)的安全。涉密信息系統(tǒng)工程則相應劃分為秘密級信息系統(tǒng)保護要求、機密級信息系統(tǒng)一般保護要求、機密級信息系統(tǒng)增強保護要求、絕密級信息系統(tǒng)保護要求四個級別。涉密信息系統(tǒng)應當選擇具有涉密信息系統(tǒng)集成資質(zhì)的企業(yè)事業(yè)單位承接涉密信息系統(tǒng)集成業(yè)務。

涉密信息系統(tǒng) 工程招標采購 資質(zhì)管理

Grading system to protect classified information involving state secrets means all types of party and government organs, enterprises and institutions based on the protection of classified information systems management standards and assessment grading guidelines for the implementation of classified information protection grading system, based on classified information systems protection class supervision and management to ensure the safety of all sectors of the confidentiality of classified information systems unit. Classified information systems engineering, the corresponding level of information classified as secret system protection requirements, the general protection of confidential information system-level requirements, enhance the protection of confidential information system-level requirements, top-secret-level information system protection requires four levels. Classified information systems should be chosen with classified information system integration qualification of enterprises and institutions to undertake classified information systems integration business.

Classified information systems project bidding qualification management

《國家保密法》和《國家安全法》這兩部關系國家安全秘密的核心法律對于涉密采購問題并沒有做出明確規(guī)定，而規(guī)范采購活動的《政府采購法》和《招標投標法》都把涉及國家秘密的采購列為例外條款，不予適用。從政策法規(guī)層面上看，采購過程的參照實施條例在國內(nèi)仍是空白，還無法實現(xiàn)對涉密采購的有效規(guī)范和管理。僅僅根據(jù)分級保護相關管理要求規(guī)定，涉密工程不得公開招標。

通常情況下，為確保招標質(zhì)量，涉密工程多采取邀請招標。建設方通過一定標準篩選出相關行業(yè)資質(zhì)完備、業(yè)績突出的優(yōu)秀隊伍，通過考察后篩選數(shù)家單位進行邀請招標。

1 資質(zhì)管理辦法

當前國家保密局頒發(fā)的涉密信息系統(tǒng)集成資質(zhì)分為甲級、乙級和單項三種，各有工作范圍規(guī)定。

甲級資質(zhì)單位可在全同范圍內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設計和實施業(yè)務，并僅可承擔本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務和系統(tǒng)咨詢工作，不得從事其它單項資質(zhì)業(yè)務。

乙級資質(zhì)單位僅限在所批準的省、自治區(qū)、直轄市所轄行政區(qū)域內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設計和實施業(yè)務，并僅可承擔本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務和系統(tǒng)咨詢工作，不得開展具它單項資質(zhì)業(yè)務。

單項資質(zhì)單位可在全國范圍內(nèi)開展業(yè)務，但僅限承接所批準的涉密系統(tǒng)集成單項業(yè)務。如：軟件開發(fā)、綜合布線、系統(tǒng)服務、系統(tǒng)咨詢、屏蔽室建設、風險評估、工程監(jiān)理、數(shù)據(jù)恢復等。

取得甲級或乙級資質(zhì)的單位如需承接單項業(yè)務，必須申請并取得相應的單項資質(zhì)。同時，取得某一單項資質(zhì)的單位如需從事其它單項業(yè)務，還必須申請相應的單項資質(zhì)。

2 現(xiàn)實困難解析

信息化工程項目涉及的業(yè)務內(nèi)容繁多，一般建設過程較長，在項目進展的不可預見性較為明顯，大大增加了工程建設的復雜性。在實際操作中可能存在建設方對信息化行業(yè)比較陌生，獨立完成資質(zhì)單位選取的難度較大，為建設方能夠規(guī)范、安全保密的進行項目招標事實上制造了困難。甚至有選取的服務企業(yè)不具備涉密資質(zhì)的情況發(fā)生，難免導致秘密泄露情況的發(fā)生，同時造成工程質(zhì)量不滿足應用的基本需求，需要耗費很大精力進行改建或重建，工程進度拖延，對國家的財力、物力、人力都造成了極大浪費，阻礙建設方的業(yè)務發(fā)展。保密技術宣傳教育由于自身特性不可避免的存在滯后于應用發(fā)展的狀況，目前國家下發(fā)的BMB標準已有20余份，對工程建設的技術和管理都做了較為詳盡和嚴格的要求，但是相關規(guī)范、標準幾乎都是密級文件，且部分標準密級較高，各單位部門對涉密資料的分發(fā)傳遞有嚴格的規(guī)章制度，為控制知悉范圍，一般不下發(fā)傳遞，從而使這些標準不能及時傳達到各級政府及涉密承建企業(yè)。導致部分建設方和承建方對國家相關的制度標準不夠了解，無法參照執(zhí)行，阻礙了涉密信息系統(tǒng)建設。

因此，按照信息系統(tǒng)工程監(jiān)理規(guī)范和分級保護管理規(guī)范來實施涉密信息系統(tǒng)工程建設的監(jiān)督、控制和管理，嚴格控制施工流程，規(guī)范施工過程文檔，協(xié)調(diào)各方關系，及時、妥善處理或解決施工過程中出現(xiàn)的各類問題就顯得尤為重要。

3 涉密信息工程監(jiān)理的作用

監(jiān)理單位的介入可以監(jiān)控選擇合格的承建單位，并為工程的設計實施做好準備。監(jiān)理可以協(xié)助建設單位提出工程需求方案，確定工程的整體質(zhì)量目標，參與標書的編制，并對工程的技術和質(zhì)量、驗收準則、投標單位資格等可能對工程質(zhì)量有影響的因素明確提出要求，協(xié)助招標公司和建設單位制定評標的評定標準，對項目的招標文件進行審核，對招標書涉及的商務內(nèi)容和技術內(nèi)容進行確認;對招標過程進行監(jiān)控，如招標過程是否存在不公正的現(xiàn)象等問題。

監(jiān)理將協(xié)助建設單位審查承建單位以及人員的資質(zhì)，監(jiān)理單位對其單位資質(zhì)以及參與項目的人員資質(zhì)進行審核，從而確定其是否具有完成本項目的能力。審核承建單位以及人員資質(zhì)有：資質(zhì)文件是否真實、齊全;承建單位的資質(zhì)等級是否與本工程的規(guī)模相適應;承建單位的主要技術領域是否與本工程需要的技術相符合;技術人員的技術經(jīng)歷是否與本工程的技術要求相符合;承建單位是否建立了完善的質(zhì)量保證體系。

4 工程涉密資質(zhì)管理工作解析

國家對如何取得涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)，以及涉及國家秘密的計算機信息系統(tǒng)建設對供應商資質(zhì)要求有著極其嚴格的規(guī)定。甲級、乙級資質(zhì)注重于系統(tǒng)集成和工程建設方面的工作。單項資質(zhì)屬于從事涉密信息系統(tǒng)有特殊要求的工程管理和建設項目范疇，甲級和乙級資質(zhì)并不能代替單項資質(zhì)。

信息系統(tǒng)工程大多涉及多種建設內(nèi)容，如安防監(jiān)控、軟件開發(fā)和綜合布線等，而國家保密局對涉密資質(zhì)一直采用總量控制的方法，使得集成商可能無法獲取項目涵蓋所有內(nèi)容的涉密單項資質(zhì)，這就需要集成商對工程建設內(nèi)容中自身無資質(zhì)的部分分包，或者建設方自行進行分包，對不同建設內(nèi)容的分別選取承建商。

無論采取何種方式，項目都會涉及到不止一家承建商，干系人的增加為項目的管理增加了難度，為項目的協(xié)調(diào)以及項目的整體把控帶來了較大的挑戰(zhàn)。

按照項目管理規(guī)范來實施涉密信息系統(tǒng)工程建設的監(jiān)督、控制和管理，嚴格控制施工流程，規(guī)范施工過程文檔，協(xié)調(diào)各方關系，及時、妥善處理或解決施工過程中出現(xiàn)的各類問題顯得尤為重要。

項目實行方案論證制度。在調(diào)研的基礎上，項目實行方案形成初稿后，監(jiān)理提出修改意見。最后組織專家對方案進行技術可行性和安全保密可行性論證，確保項目的成功實施。

對于工程建設工作，工程及項目管理體系的建設尤為重要。工程及項目管理類標準將用于管理整個工程，保證項目目標得以順利實現(xiàn)，確保各子項目能夠按計劃順利向前推進;建立高效的項目管理體系，將使得項目軟硬件采購及應用系統(tǒng)建設特別是核心業(yè)務系統(tǒng)的開發(fā)工作順利進行，保證開發(fā)的應用系統(tǒng)擁有功能完善、性能優(yōu)良、技術先進、架構開放、可維護和擴展性強、對特定開發(fā)商的依賴程度低、系統(tǒng)之間集成方便等特點，同時保證敏感信息與數(shù)據(jù)的安全可靠。

5 結語

以上，為確保項目建設的順利實施，按時保質(zhì)完成項目建設任務，賽迪監(jiān)理將協(xié)助建設方建立高效的管理體系。管理體系包括建立工程建設管理辦法和制度流程，工程資金管理，工程驗收管理等相關制度的確立，確保項目建設的順利實施，按時保質(zhì)完成項目建設任務，有效、合理地使用項目建設資金和其他資源。