1 引言
当前,涉密信息系统的建设正逐步在国家党政机关、政府部门,军工、国防、安全等重要单位和部门得以开展,并在此过程中逐渐走向成熟、稳定。然而,涉密信息系统建设不同于普通信息系统建设,其系统内存储、处理和传输的信息涉及国家秘密,对国家安全和发展至关重要。因此,涉密信息系统的建设和管理,要严格按照党和国家的有关保密规定执行。按照国家信息化建设的相关规定,涉及国家安全、生产安全的一定规模的信息系统建设和改造应当实施工程监理制度。特别是涉密信息系统工程建设实施期间的管理工作必须按照国家保密标准BMB18-2006《涉及国家秘密的信息系统工程监理规范》的要求对工程建设过程进行监督管理,保证其建设或改造不仅符合信息化应用需求,更能依据国家相关保密标准、规定使信息安全水平得到切实的提高。
涉密信息系统工程监理作为一个新兴的行业,其概念、工作内容、工作范围及作用对很多人来说还比较陌生。即使作为涉密信息系统的建设使用单位、承建单位以及一些与工程监理单位相关工作人员、监理工程师,对涉密信息系统工程监理的认识也存在各种各样的问题。因此,我们根据长期涉密信息系统工程监理工作的积累和认识对此项工作存在的几个主要误区进行探讨,冀以理清对涉密信息系统工程监理的认识,以进一步推动涉密信息系统工程监理工作的专业化和规范化,使其健康、持续、稳定地发展,更好地为国家涉密信息系统建设和应用服务,保证国家秘密的安全。
2 对涉密信息系统工程监理与信息系统工程监理认识的误区
涉密信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。涉密信息系统工程监理是指依法设立且具备涉密信息系统工程监理资质的单位,受建设方单位委托,依据国家有关法律法规、保密标准和工程监理合同,对涉密信息系统工程项目实施监督管理。
涉密信息系统工程监理是信息系统工程监理的一个分支,但二者之间存在较大的区别,不能简单地认为涉密信息系统工程监理可以完全按照信息系统工程监理的要求和相关内容进行。实际上,涉密信息系统工程监理与信息系统工程监理存在着诸多不同,下文将主要从监理单位资质管理、监理遵循标准、监理对象和监理工作内容四个方面介绍两者之间的区别。
2.1 监理单位资质管理的区别
2.1.1 涉密信息系统工程监理单位资质管理
国家保密局颁发的涉密信息系统集成资质分为甲级、乙级和单项三种,各有工作范围和注册资金要求,甲级、乙级资质注重于系统集成和工程建设方面的工作。单项资质属于从事涉密信息系统有特殊要求的工程管理和建设项目范畴。由于有些工作会对甲级、乙级资质单位所从事的工作产生约束,因此,甲级和乙级资质不能代替单项资质。工程监理就属于这样的单项资质。根据《涉及国家秘密的计算机信息系统集成资质管理办法》(国保发([2005]5号)和国家涉密信息系统工程建设管理的相关要求,工程监理单位的资质管理主管部门为国家保密局,工程监理单位必须经过国家保密局的资质认定,取得国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书 单项(工程监理)》的资质证书后,方可承接涉密信息系统的工程监理工作。其资质证书有效期为3年,期满后须按规定重新核发。
2.1.2 信息系统工程监理单位资质管理
信息系统工程监理单位资质分为甲、乙、丙三级。监理单位资质管理主管部门为工业和信息化部(原信息产业部),监理单位需要取得工业和信息化部颁发的《信息系统工程监理资质证书》后,方可从事信息系统工程监理业务。甲、乙、丙各级监理单位资质需要根据《信息系统工程监理单位资质管理办法》(信部信[2003]142号)要求进行认证,各级监理单位只能监理相应投资规模的信息系统工程。《信息系统工程监理资质证书》有效期为4 年,届满4 年更换新证,超过有效期30 天不更换的,视为自动放弃资质,原资质证书予以注销。《信息系统工程监理资质》实行年检制度。甲级、乙级资质由工业和信息化部负责年检;丙级资质由省市工业和信息化主管部门负责年检,并将结果上报工业和信息化部备案。
这里可以看到涉密信息系统工程监理与信息化工程监理的资质要求因工程的侧重点不同对人员的要求是不同的,涉密信息系统工程监理不仅要求人员的技术水平要达到相当的高度,且对因系统的特殊性而提出了实施单位及实施人员相关素质要求,属于对信息化建设有特殊专业要求的项目管理业务,而信息化工程监理更侧重于监理单位和工程监理工程师的应用技术及项目管理水平和商业信誉及实施大型信息化工程的项目管理经验。因此,取得《信息系统工程监理资质证书》的单位如果没有取得 《涉及国家秘密的计算机信息系统集成资质证书 单项(工程监理)》,则不得承接涉密信息系统工程监理工作。
2.2 工程监理遵循标准的区别
2.2.1 涉密信息系统工程监理遵循标准
工程监理单位需要按照国家保密标准BMB18-2006《涉及国家秘密的信息系统工程监理规范》的要求,开展涉密信息系统工程监理工作。工程监理工作过程中遵循的标准体系是国家保密标准BMB体系,并且必须是强制执行,例如BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》、BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》等。这些要求包括了对网络攻击实施主动防御和被动防御的两方面的要求。同时,常规的信息化建设部分也同时要遵从与信息系统工程建设有关的国家政策、法律、法规、国家标准GB和GB/T体系中有关信息技术的标准与规范。工程监理工程师将按照当前技术发展取得的最新成果和成熟经验向建设单位提供相关咨询意见和进行工程项目管理,保障涉及国家秘密的信息系统建设达到预期的建设目标。
2.2.2 信息系统工程监理遵循标准
工程监理单位需要按照国家标准《信息化工程监理规范》(GB/T19668.1-2005至GB/T19668.6-2007)的要求,开展信息系统工程监理工作。
信息系统工程监理的主要依据包括与信息系统工程建设有关的国家政策、法律、法规、标准与规范,信息技术国家标准。工程监理工作过程中遵循的标准体系是国家标准GB和GB/T体系,包括软件工程国家标准、信息安全国家标准及其他信息技术标准和规范。由于这些信息系统不涉及国家秘密,信息安全措施的强制性要求弱于BMB提出的要求,对工程监理在这方面的项目管理要求较低,而对系统应用项目管理的要求较高。可见在工程建设中系统优化方向有较大区别,工程监理执行过程中也有所区别。
2.3 工程监理对象的区别
2.3.1 涉密信息系统工程监理对象
涉密信息系统工程监理的对象是新建、扩建、改建的涉密信息系统工程,包括:网络系统集成、安全保密系统集成、综合布线(隐蔽工程施工)、屏蔽室建设、应用系统建设以及其他与涉密信息系统建设相关的工程活动。
2.3.2 信息系统工程监理对象
信息系统工程监理的对象是信息化工程建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级及改造工程。
2.4 工程监理工作内容的区别
2.4.1 涉密信息系统工程监理工作内容
涉密信息系统工程监理的主要工作内容可以概括为“四控、两管、一协调”。“四控”即安全保密控制、工程质量控制、工程进度控制、工程成本控制;“两管”即工程合同管理和工程文档管理;“一协调”即在工程实施过程中协调有关单位及人员间的工作关系。其中最为重要的是对涉密信息系统工程的安全保密控制工作,这也是涉密信息系统工程监理与信息系统工程监理在工作内容方面存在的最大不同。工程监理在安全保密控制中的主要工作任务是:
(1)协助建设单位在信息系统工程项目建设过程中,保证涉密信息系统的安全保密,使系统的可用性、保密性、完整性与信息系统工程的可维护性等技术性环节上没有冲突;
(2)以信息系统工程实施的角度,验证和确保信息系统安全保密设计上没有漏洞;
(3)督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理,建立安全意识;
(4)监督承建单位按照国家保密标准和已评审的建设方案施工,检查承建单位是否存在实施过程中的安全隐患行为或现象等,确保整个项目建设过程中的安全建设和安全应用。
工程监理在安全保密控制中要起到的主要作用是:
(1)加强对工程监理工作机构和人员的保密管理;
(2)加强工程建设过程的安全保密;
(3)加强监理改造、扩建的涉密信息系统以防止泄密。
2.4.2 信息系统工程监理工作内容
信息系统工程监理的主要内容可以概括为:“四控、三管、一协调”。“四控”即工程质量控制、工程进度控制、工程投资控制、工程变更控制;“三管”即合同管理、信息管理、信息安全管理;“一协调”即在信息系统工程实施过程中协调有关单位及人员间的工作关系。与涉密信息系统工程监理工作内容不同的是,在“四控”工作中没有强制的安全保密控制,而是强调对涉及质量和投资及最终工程目标产生重大影响的工程设计和实施中的“变更”作为控制要点,同时在管理中、工作中加入了信息安全管理。工程监理在信息安全管理中的主要工作任务是:
(1)协助建设单位在信息系统工程项目建设过程中,其信息系统的安全在可用性、保密性、完整性与信息系统工程的可维护性等技术性环节上没有冲突;
(2)在成本控制的前提下,确保信息系统安全设计上没有漏洞;
(3)督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理,建立安全意识;
(4)监督承建单位按照技术标准和建设方案施工,检查承建单位在设计过程中是否存在安全隐患行为或现象等,以确保整个项目的安全建设和安全应用。
3 对涉密信息系统工程监理需求认识的误区
3.1 工程需要
当前涉密信息系统建设过程中存在的问题不容忽视。
一些公司在进场的过程中重视工程实施技术文件的管理,忽视现场涉密信息的安全防护和对入场工作人员的安全教育;在建立现场必需的安全保密制度时,以公司内部的安全保密管理制度替代或充数等,安全保密管理的缺失导致了失泄密风险的增大。
一些公司对具体的涉及国家秘密的信息系统工程的具体条件和要求了解不够,使用所谓类比的方式进行照猫画虎式的工程建设,导致系统存在严重安全漏洞,工程质量不满足应用的基本需求,工程进度拖延,乃至出现豆腐渣工程。此类工程一般都需要耗费很大精力进行改建或重建,并因此对国家的财力、物力、人力都造成了极大浪费,延误了涉密信息工程投入使用的时间,阻碍了系统可持续发展进度。
项目资金使用不合理或超出预算,一些公司不能按照合同约定的要求提供设备和系统,不与建设方协商就更改设计方案、供货厂家、品牌或产品规格以及供货数量,造成涉密信息工程项目资金使用不合理或大大超出工程预算合同额,导致可能的腐败因素出现,为可能出现的腐败分子提供了可乘之机。
一些公司为了赶进度,放松了对项目文档的管理,造成项目文档不全甚至严重缺失和失泄密隐患。项目文档的不完整也为涉密信息系统工程的后续开发完善带来了损失和影响。
一些公司和单位对合同法等法规了解不够,所签合同不规范和条款不严谨导致纠纷发生时难以处理等。
针对工程的具体需要,在信息化建设过程中引入了信息工程监理制度,对于投资超过一定规模的信息化建设工程必须实施工程监理制度。国家保密局作为涉密信息系统的主管部门,对涉密信息系统全过程管理提出相关要求:引入涉密信息系统工程监理机制,实行涉密信息系统集成资质管理制度,对工程实施阶段实行控制,规范系统集成资质单位行为。
3.2 有监理和无监理的区别
保障信息系统工程签约双方的利益是保证我国计算机信息产业和信息系统工程顺利发展的重要方面。在新形势下,为了确保国家信息产业更加健康、有序地发展,为了使我国信息资源得到更充分的利用,对计算机信息系统工程建设进行有组织、规范化的监理,就显得更加重要,涉密信息系统工程监理的作用主要体现在两个方面。
(1)发挥工程监理的咨询服务的功能。
依据涉密信息系统工程监理单项资质对人员技术的要求,涉密信息系统工程监理可以为建设单位提供有关涉密信息系统工程意见。
一是向建设方对涉密信息系统工程建设准备和过程中涉及的国家保密标准的正确理解和执行提供咨询;
二是协助建设方完善安全保密管理体系及相关制度建设、规范流程,为涉密信息系统的测评、审批和运维管理打下良好基础;
三是对承建方在实施方案设计、应用系统涉密改造、系统检验测试、试运行、验收各阶段在实施要点方面提供咨询,确保涉密信息系统工程建设按照预期的目标进展。
(2)发挥工程监理对工程项目管控作用。
涉密信息化工程项目有一个特点,即涉及的业务内容繁多,建设过程较长,一些软件设计时考虑不周或文档不完整留下隐患的情况时有发生,一些信息化项目承建单位不遵守项目管理规范、不清楚软件工程要求的事例也时有发生,在他们的项目的进展中,不规范行为时有体现,这样随项目的进展就会出现较多的不可预见性,大大增加了工程建设的复杂性。因此,按照项目管理规范来实施涉密信息系统工程建设的监督、控制和管理,严格控制施工流程,规范施工过程文档,协调各方关系,及时、妥善处理或解决施工过程中出现的各类问题就显得尤为重要。
3.3 专业和非专业的区别
(1)专业工程监理在工程实施过程中,以第三方的形式,运用自身对《涉及国家秘密的信息系统工程监理规范》及信息化工程项目管理要求的了解和掌握,按照规范和监理单位实施工作制度建立作现场监理工作机构,明确监理人员职责,编制监理规划和实施方案,并按专业要求制定监理实施细则为现场实现安全保密控制、工程质量控制、工程进度控制、工程成本控制建立预期目标。
(2)工程监理与工程实施同步,保证涉密信息系统实施过程符合国家涉及国家秘密的信息系统分级保护方案设计及工程建设的相关要求,解决有些承建单位出现的问题,如施工实施方案未定,系统测评表格已填写完毕;不按要求做好施工文档,造成验收时文档混乱缺失无法补齐等。通过对这种偷工减料,本末倒置的错误施工方式进行监督和管理,大大避免了因考虑不周,漏洞百出,并且导致后期不断返工、修改、拖延工期的问题,避免投资浪费。
(3)监理方作为独立的第三方,有利于依据国家保密标准、信息系统工程的相关标准以及工程建设合同等就有关问题进行协调处理,避免与监理项目的承建单位存在隶属关系和利益关系,或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。
3.4 保密标准、政策的要求
BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》中5.3.2条要求:在工程实施期间,涉密信息系统建设使用单位应按照BMB18-2006的要求进行工程监理。在进行工程监理时,应选择具有涉密工程监理单项资质的单位或组织自身力量在安全保密控制、质量控制、进度控制、成本控制、合同管理和文档管理六个方面加强监督检查。
《涉及国家秘密的息系统审批管理规定》(国保发[2007]18号) 中要求涉密信息系统建成后申报审批的材料中必须有工程监理报告,强调了工程监理在涉密信息系统建设中的必要性。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
相关文章
