李俊安(北京賽迪工業(yè)和信息化工程監(jiān)理中心有限公司,北京 100048)

?

涉密信息系統(tǒng)建設(shè)過程中的保密管理思考

李俊安
(北京賽迪工業(yè)和信息化工程監(jiān)理中心有限公司,北京 100048)

【摘 要】各類涉及國家秘密的黨政機(jī)關(guān)、企事業(yè)單位依需根據(jù)涉密信息系統(tǒng)的保護(hù)等級實(shí)施監(jiān)督管理,確保各行業(yè)的保密單位涉密信息系統(tǒng)的安全。在項(xiàng)目建設(shè)過程中會涉及到多家單位的頻繁的信息流轉(zhuǎn),需各家單位共同努力,做好個人、單位、項(xiàng)目三級保密管理工作。

【關(guān)鍵詞】涉密信息系統(tǒng) 保密管理 項(xiàng)目管理

涉密信息系統(tǒng)是指各類涉及國家秘密的黨政機(jī)關(guān)、企事業(yè)單位中以網(wǎng)絡(luò)為平臺的系統(tǒng),包括服務(wù)器、終端計(jì)算機(jī)、防火墻,網(wǎng)絡(luò)交換機(jī)、存儲設(shè)備和輸出設(shè)備以及在其上存儲、處理、傳輸和運(yùn)行涉密信息的信息管理系統(tǒng)和應(yīng)用軟件系統(tǒng),同時包含各類涉密的終端設(shè)備,以及通過網(wǎng)絡(luò)進(jìn)行信息采集、處理存儲和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。

1 涉密信息系統(tǒng)工程特點(diǎn)

涉密信息系統(tǒng)工程大多涉及多種建設(shè)內(nèi)容,如安防監(jiān)控、軟件開發(fā)和綜合布線等,而國家保密局對涉密資質(zhì)一直采用總量控制的方法,使得集成商無法獲取項(xiàng)目涵蓋所有內(nèi)容的涉密單項(xiàng)資質(zhì),使得項(xiàng)目會涉及到不止一家承建商,干系人的增加為項(xiàng)目的管理尤其是保密管理增加了難度,各家單位的保密意識、管理要求層次不齊。如何協(xié)調(diào)個人、單位和項(xiàng)目三個層級的保密管理,嚴(yán)格保密管理規(guī)范來指導(dǎo)實(shí)施涉密信息系統(tǒng)工程建設(shè),對涉密信息系統(tǒng)建設(shè)項(xiàng)目顯得尤為重要。

2 密信息系統(tǒng)建設(shè)過程中保密管理難點(diǎn)分析

2.1 各單位無法及時掌握項(xiàng)目保密狀況

對于各個單位來說,作為涉密資質(zhì)單位和涉密建設(shè)單位,通常按照要求,均會形成一套自身的涉密管理和審批規(guī)范,但由于工程建設(shè)過程中形成的信息和載體等并不能及時被相應(yīng)的保密管理部門所知曉,尤其是對于需要在業(yè)主方駐場開發(fā)實(shí)施的項(xiàng)目,保密管理部門對于這些信息的掌握、記錄的形成以及檢查都具有相當(dāng)?shù)臏笮?更難以進(jìn)行有效的保密管理和指導(dǎo)。

2.2 項(xiàng)目整體保密管理難度大

各單位制作的項(xiàng)目相關(guān)的涉密的相關(guān)信息,在制作完成后的使用、保存、銷毀和外發(fā)等情況均需在相關(guān)部門進(jìn)行記錄和查詢。而在項(xiàng)目建設(shè)過程中,各承建單位、業(yè)主和監(jiān)理單位等均需要對項(xiàng)目涉密信息進(jìn)行大量的外發(fā),對于單位的保密管理而言,存在著涉密信息管理失控的風(fēng)險和隱患,根本無法進(jìn)行全過程的涉密信息的管控。

2.3 相關(guān)信息知悉范圍的擴(kuò)大

對于承建單位和監(jiān)理單位來講,在項(xiàng)目結(jié)束后按照規(guī)定應(yīng)該將所有項(xiàng)目信息及資料移交給業(yè)主,不得擅自留存,在實(shí)際情況中,對這方面的把控難以進(jìn)行,造成集成單位積累的涉密信息越來越多的實(shí)際情況,既給集成單位增加了管理的難度,又造成了相關(guān)知悉范圍的擴(kuò)大危險,不利于信息的安全保密。

3 涉密信息系統(tǒng)建設(shè)過程中保密管理思考

3.1 落實(shí)“業(yè)務(wù)工作誰主管,保密工作誰負(fù)責(zé)”

保密管理的原則之一就是“業(yè)務(wù)工作誰主管、保密工作誰負(fù)責(zé)”,工程涉密信息的管理同樣也應(yīng)遵循這一原則,要具體落實(shí)到這個原則,需要承建單位的項(xiàng)目經(jīng)理,監(jiān)理單位的總監(jiān)理工程師,業(yè)主方的管控人員在推進(jìn)項(xiàng)目建設(shè)的同時對項(xiàng)目保密工作進(jìn)行有效的管理,做好項(xiàng)目建設(shè)過程中的保密管理人,落實(shí)保密責(zé)任制,嚴(yán)格本單位的保密管理工作,對項(xiàng)目保密工作向公司保密管理部門進(jìn)行及時上報(bào)。

3.2 建立動態(tài)的項(xiàng)目信息管理臺賬

總的項(xiàng)目涉密管理臺賬,是由各參與單位、匯總而成,在管理上分為個人、單位和項(xiàng)目三個層面,個人要為自己參與的涉密信息和載體管理負(fù)責(zé),單位要對本單位所保存的涉密信息機(jī)載體負(fù)責(zé),同時要在項(xiàng)目層面建立動態(tài)的管理臺賬,對整個項(xiàng)目的涉密信息流轉(zhuǎn)進(jìn)行全過程的管理。

3.3 善項(xiàng)目檢查管理

在項(xiàng)目建設(shè)實(shí)施過程中需注意檢查安全隱患,監(jiān)督檢查安全策略實(shí)施情況;審查承建單位采取的保密措施是否有效,檢查保密制度落實(shí)情況,監(jiān)督管理承建單位的施工組織,環(huán)境的安全狀況與安全制度的落實(shí)情況。

保密措施有效性,檢查保密制度落實(shí),工程資料的安全保密管理,嚴(yán)格控制接觸涉密資料的人員范圍。

3.4 注重教育與培訓(xùn)

各方都必須建立定期進(jìn)行安全保密教育與培訓(xùn)的制度,應(yīng)以多種方式針對項(xiàng)目建設(shè)進(jìn)行相關(guān)教育與培訓(xùn)。建議在項(xiàng)目保密協(xié)議中明確明確規(guī)定相關(guān)保密政策,制定保密制度等一系列保密管理方法,從管理上堵塞泄密漏洞。要求個項(xiàng)目參與方定期對所有參與本項(xiàng)目開發(fā)實(shí)施的員工重新進(jìn)行保密工作教育,提高員工的保密意識,消除麻痹思想。同時建立一套嚴(yán)格的獎懲措施,保證所有員工都對這項(xiàng)工作具有足夠的意識程度。

安全保密管理不是一成不變的,而是隨著技術(shù)的發(fā)展、網(wǎng)絡(luò)結(jié)構(gòu)的變化、用戶的增減、人員安全保密認(rèn)識的不斷深入等情況動態(tài)變化的。涉密信息系統(tǒng)的安全保密管理體系只有具備了隨著來自內(nèi)部或外部的變化,不斷自我適應(yīng)、自我完善的能力,才能實(shí)現(xiàn)保護(hù)國家秘密這一最終目標(biāo)。

國家相關(guān)標(biāo)準(zhǔn)中也指出要通過分析異常事件、定期自評估和檢查評估等手段,發(fā)現(xiàn)安全保密管理的薄弱環(huán)節(jié)并不斷改進(jìn)完善。因此,在工程建設(shè)實(shí)踐中,要分析,以防止出現(xiàn)安全保密管理體系與實(shí)際的管理需求不相適應(yīng)的情況。

3.5 完善資料移交管理

在項(xiàng)目涉密信息動態(tài)管理的基礎(chǔ)上,各單位驗(yàn)收材料的移交管理就可以做到有理有據(jù),要求各單位完整如實(shí)的移交項(xiàng)目有關(guān)的所有信息,不私自存留。在項(xiàng)目實(shí)踐過程中,有些項(xiàng)目要求各參與單位提供硬盤保留服務(wù),即上交與本業(yè)主單位項(xiàng)目有關(guān)電腦的硬盤,也是一種行之有效的措施,既減少了各承建單位涉密管理的難度,又可以保證信息的知悉范圍,保證國家秘密的安全。

4 結(jié)語

解決涉密信息系統(tǒng)工程存在的保密管理問題是必需的和緊迫的,是當(dāng)前形勢下做好涉密信息系統(tǒng)工程建設(shè)不可缺少的一個環(huán)節(jié)。需各單位加快調(diào)結(jié)構(gòu)、促發(fā)展的步伐,做好隊(duì)伍的培訓(xùn)和管理工作,更應(yīng)增強(qiáng)保密責(zé)任感和使命感,切實(shí)做好涉密信息系統(tǒng)工程服務(wù),服務(wù)于國家保密事業(yè)。

作者簡介:李俊安(1987—),男,山西朔州人,碩士研究生,部門經(jīng)理,工程師,研究方向涉密工程監(jiān)理。