1 引言

    當前，涉密信息系統的建設正逐步在國家黨政機關、政府部門，軍工、國防、安全等重要單位和部門得以開展，并在此過程中逐漸走向成熟、穩定。然而，涉密信息系統建設不同于普通信息系統建設，其系統內存儲、處理和傳輸的信息涉及國家秘密，對國家安全和發展至關重要。因此，涉密信息系統的建設和管理，要嚴格按照黨和國家的有關保密規定執行。按照國家信息化建設的相關規定，涉及國家安全、生產安全的一定規模的信息系統建設和改造應當實施工程監理制度。特別是涉密信息系統工程建設實施期間的管理工作必須按照國家保密標準BMB18-2006《涉及國家秘密的信息系統工程監理規范》的要求對工程建設過程進行監督管理，保證其建設或改造不僅符合信息化應用需求，更能依據國家相關保密標準、規定使信息安全水平得到切實的提高。

    涉密信息系統工程監理作為一個新興的行業，其概念、工作內容、工作范圍及作用對很多人來說還比較陌生。即使作為涉密信息系統的建設使用單位、承建單位以及一些與工程監理單位相關工作人員、監理工程師，對涉密信息系統工程監理的認識也存在各種各樣的問題。因此，我們根據長期涉密信息系統工程監理工作的積累和認識對此項工作存在的幾個主要誤區進行探討，冀以理清對涉密信息系統工程監理的認識，以進一步推動涉密信息系統工程監理工作的專業化和規范化，使其健康、持續、穩定地發展，更好地為國家涉密信息系統建設和應用服務，保證國家秘密的安全。

2 對涉密信息系統工程監理與信息系統工程監理認識的誤區

    涉密信息系統是指由計算機及其相關和配套設備、設施構成的，按照一定的應用目標和規則存儲、處理、傳輸國家秘密信息的系統或者網絡。涉密信息系統工程監理是指依法設立且具備涉密信息系統工程監理資質的單位，受建設方單位委托，依據國家有關法律法規、保密標準和工程監理合同，對涉密信息系統工程項目實施監督管理。

    涉密信息系統工程監理是信息系統工程監理的一個分支，但二者之間存在較大的區別，不能簡單地認為涉密信息系統工程監理可以完全按照信息系統工程監理的要求和相關內容進行。實際上，涉密信息系統工程監理與信息系統工程監理存在著諸多不同，下文將主要從監理單位資質管理、監理遵循標準、監理對象和監理工作內容四個方面介紹兩者之間的區別。

    2.1 監理單位資質管理的區別

    2.1.1 涉密信息系統工程監理單位資質管理

    國家保密局頒發的涉密信息系統集成資質分為甲級、乙級和單項三種，各有工作范圍和注冊資金要求，甲級、乙級資質注重于系統集成和工程建設方面的工作。單項資質屬于從事涉密信息系統有特殊要求的工程管理和建設項目范疇。由于有些工作會對甲級、乙級資質單位所從事的工作產生約束，因此，甲級和乙級資質不能代替單項資質。工程監理就屬于這樣的單項資質。根據《涉及國家秘密的計算機信息系統集成資質管理辦法》（國保發（[2005]5號）和國家涉密信息系統工程建設管理的相關要求，工程監理單位的資質管理主管部門為國家保密局，工程監理單位必須經過國家保密局的資質認定，取得國家保密局頒發的《涉及國家秘密的計算機信息系統集成資質證書 單項（工程監理）》的資質證書后，方可承接涉密信息系統的工程監理工作。其資質證書有效期為3年，期滿后須按規定重新核發。

    2.1.2 信息系統工程監理單位資質管理

    信息系統工程監理單位資質分為甲、乙、丙三級。監理單位資質管理主管部門為工業和信息化部（原信息產業部），監理單位需要取得工業和信息化部頒發的《信息系統工程監理資質證書》后，方可從事信息系統工程監理業務。甲、乙、丙各級監理單位資質需要根據《信息系統工程監理單位資質管理辦法》（信部信[2003]142號）要求進行認證，各級監理單位只能監理相應投資規模的信息系統工程。《信息系統工程監理資質證書》有效期為4 年，屆滿4 年更換新證，超過有效期30 天不更換的，視為自動放棄資質，原資質證書予以注銷。《信息系統工程監理資質》實行年檢制度。甲級、乙級資質由工業和信息化部負責年檢；丙級資質由省市工業和信息化主管部門負責年檢，并將結果上報工業和信息化部備案。

    這里可以看到涉密信息系統工程監理與信息化工程監理的資質要求因工程的側重點不同對人員的要求是不同的，涉密信息系統工程監理不僅要求人員的技術水平要達到相當的高度，且對因系統的特殊性而提出了實施單位及實施人員相關素質要求，屬于對信息化建設有特殊專業要求的項目管理業務，而信息化工程監理更側重于監理單位和工程監理工程師的應用技術及項目管理水平和商業信譽及實施大型信息化工程的項目管理經驗。因此，取得《信息系統工程監理資質證書》的單位如果沒有取得 《涉及國家秘密的計算機信息系統集成資質證書 單項（工程監理）》，則不得承接涉密信息系統工程監理工作。

    2.2 工程監理遵循標準的區別

    2.2.1 涉密信息系統工程監理遵循標準

    工程監理單位需要按照國家保密標準BMB18-2006《涉及國家秘密的信息系統工程監理規范》的要求，開展涉密信息系統工程監理工作。工程監理工作過程中遵循的標準體系是國家保密標準BMB體系，并且必須是強制執行，例如BMB5-2000《涉密信息設備使用現場的電磁泄漏發射防護要求》、BMB17-2006《涉及國家秘密的信息系統分級保護技術要求》、BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》等。這些要求包括了對網絡攻擊實施主動防御和被動防御的兩方面的要求。同時，常規的信息化建設部分也同時要遵從與信息系統工程建設有關的國家政策、法律、法規、國家標準GB和GB/T體系中有關信息技術的標準與規范。工程監理工程師將按照當前技術發展取得的最新成果和成熟經驗向建設單位提供相關咨詢意見和進行工程項目管理，保障涉及國家秘密的信息系統建設達到預期的建設目標。

    2.2.2 信息系統工程監理遵循標準

    工程監理單位需要按照國家標準《信息化工程監理規范》（GB/T19668.1-2005至GB/T19668.6-2007）的要求，開展信息系統工程監理工作。

    信息系統工程監理的主要依據包括與信息系統工程建設有關的國家政策、法律、法規、標準與規范，信息技術國家標準。工程監理工作過程中遵循的標準體系是國家標準GB和GB/T體系，包括軟件工程國家標準、信息安全國家標準及其他信息技術標準和規范。由于這些信息系統不涉及國家秘密，信息安全措施的強制性要求弱于BMB提出的要求，對工程監理在這方面的項目管理要求較低，而對系統應用項目管理的要求較高�？梢娫诠こ探ㄔO中系統優化方向有較大區別，工程監理執行過程中也有所區別。

    2.3 工程監理對象的區別

    2.3.1 涉密信息系統工程監理對象

    涉密信息系統工程監理的對象是新建、擴建、改建的涉密信息系統工程，包括：網絡系統集成、安全保密系統集成、綜合布線（隱蔽工程施工）、屏蔽室建設、應用系統建設以及其他與涉密信息系統建設相關的工程活動。

    2.3.2 信息系統工程監理對象

    信息系統工程監理的對象是信息化工程建設中的信息網絡系統、信息資源系統、信息應用系統的新建、升級及改造工程。

    2.4 工程監理工作內容的區別

    2.4.1 涉密信息系統工程監理工作內容

    涉密信息系統工程監理的主要工作內容可以概括為“四控、兩管、一協調”。“四控”即安全保密控制、工程質量控制、工程進度控制、工程成本控制；“兩管”即工程合同管理和工程文檔管理；“一協調”即在工程實施過程中協調有關單位及人員間的工作關系。其中最為重要的是對涉密信息系統工程的安全保密控制工作，這也是涉密信息系統工程監理與信息系統工程監理在工作內容方面存在的最大不同。工程監理在安全保密控制中的主要工作任務是：

    （1）協助建設單位在信息系統工程項目建設過程中，保證涉密信息系統的安全保密，使系統的可用性、保密性、完整性與信息系統工程的可維護性等技術性環節上沒有沖突；

    （2）以信息系統工程實施的角度，驗證和確保信息系統安全保密設計上沒有漏洞；

    （3）督促建設單位的信息系統工程應用人員在安全管理制度和安全規范下嚴格執行安全操作和管理，建立安全意識；

    （4）監督承建單位按照國家保密標準和已評審的建設方案施工，檢查承建單位是否存在實施過程中的安全隱患行為或現象等，確保整個項目建設過程中的安全建設和安全應用。

    工程監理在安全保密控制中要起到的主要作用是：

    （1）加強對工程監理工作機構和人員的保密管理；

    （2）加強工程建設過程的安全保密；

    （3）加強監理改造、擴建的涉密信息系統以防止泄密。

    2.4.2 信息系統工程監理工作內容

    信息系統工程監理的主要內容可以概括為：“四控、三管、一協調”。“四控”即工程質量控制、工程進度控制、工程投資控制、工程變更控制；“三管”即合同管理、信息管理、信息安全管理；“一協調”即在信息系統工程實施過程中協調有關單位及人員間的工作關系。與涉密信息系統工程監理工作內容不同的是，在“四控”工作中沒有強制的安全保密控制，而是強調對涉及質量和投資及最終工程目標產生重大影響的工程設計和實施中的“變更”作為控制要點，同時在管理中、工作中加入了信息安全管理。工程監理在信息安全管理中的主要工作任務是：

    （1）協助建設單位在信息系統工程項目建設過程中，其信息系統的安全在可用性、保密性、完整性與信息系統工程的可維護性等技術性環節上沒有沖突；

    （2）在成本控制的前提下，確保信息系統安全設計上沒有漏洞；

    （3）督促建設單位的信息系統工程應用人員在安全管理制度和安全規范下嚴格執行安全操作和管理，建立安全意識；

    （4）監督承建單位按照技術標準和建設方案施工，檢查承建單位在設計過程中是否存在安全隱患行為或現象等，以確保整個項目的安全建設和安全應用。

3 對涉密信息系統工程監理需求認識的誤區

    3.1 工程需要

    當前涉密信息系統建設過程中存在的問題不容忽視。

    一些公司在進場的過程中重視工程實施技術文件的管理，忽視現場涉密信息的安全防護和對入場工作人員的安全教育；在建立現場必需的安全保密制度時，以公司內部的安全保密管理制度替代或充數等，安全保密管理的缺失導致了失泄密風險的增大。

    一些公司對具體的涉及國家秘密的信息系統工程的具體條件和要求了解不夠，使用所謂類比的方式進行照貓畫虎式的工程建設，導致系統存在嚴重安全漏洞，工程質量不滿足應用的基本需求，工程進度拖延，乃至出現豆腐渣工程。此類工程一般都需要耗費很大精力進行改建或重建，并因此對國家的財力、物力、人力都造成了極大浪費，延誤了涉密信息工程投入使用的時間，阻礙了系統可持續發展進度。

    項目資金使用不合理或超出預算，一些公司不能按照合同約定的要求提供設備和系統，不與建設方協商就更改設計方案、供貨廠家、品牌或產品規格以及供貨數量，造成涉密信息工程項目資金使用不合理或大大超出工程預算合同額，導致可能的腐敗因素出現，為可能出現的腐敗分子提供了可乘之機。

    一些公司為了趕進度，放松了對項目文檔的管理，造成項目文檔不全甚至嚴重缺失和失泄密隱患。項目文檔的不完整也為涉密信息系統工程的后續開發完善帶來了損失和影響。

    一些公司和單位對合同法等法規了解不夠，所簽合同不規范和條款不嚴謹導致糾紛發生時難以處理等。

    針對工程的具體需要，在信息化建設過程中引入了信息工程監理制度，對于投資超過一定規模的信息化建設工程必須實施工程監理制度。國家保密局作為涉密信息系統的主管部門，對涉密信息系統全過程管理提出相關要求：引入涉密信息系統工程監理機制，實行涉密信息系統集成資質管理制度，對工程實施階段實行控制，規范系統集成資質單位行為。

    3.2 有監理和無監理的區別

    保障信息系統工程簽約雙方的利益是保證我國計算機信息產業和信息系統工程順利發展的重要方面。在新形勢下，為了確保國家信息產業更加健康、有序地發展，為了使我國信息資源得到更充分的利用，對計算機信息系統工程建設進行有組織、規范化的監理，就顯得更加重要，涉密信息系統工程監理的作用主要體現在兩個方面。

    （1）發揮工程監理的咨詢服務的功能。

    依據涉密信息系統工程監理單項資質對人員技術的要求，涉密信息系統工程監理可以為建設單位提供有關涉密信息系統工程意見。

    一是向建設方對涉密信息系統工程建設準備和過程中涉及的國家保密標準的正確理解和執行提供咨詢；

    二是協助建設方完善安全保密管理體系及相關制度建設、規范流程，為涉密信息系統的測評、審批和運維管理打下良好基礎；

    三是對承建方在實施方案設計、應用系統涉密改造、系統檢驗測試、試運行、驗收各階段在實施要點方面提供咨詢，確保涉密信息系統工程建設按照預期的目標進展。

    （2）發揮工程監理對工程項目管控作用。

    涉密信息化工程項目有一個特點，即涉及的業務內容繁多，建設過程較長，一些軟件設計時考慮不周或文檔不完整留下隱患的情況時有發生，一些信息化項目承建單位不遵守項目管理規范、不清楚軟件工程要求的事例也時有發生，在他們的項目的進展中，不規范行為時有體現，這樣隨項目的進展就會出現較多的不可預見性，大大增加了工程建設的復雜性。因此，按照項目管理規范來實施涉密信息系統工程建設的監督、控制和管理，嚴格控制施工流程，規范施工過程文檔，協調各方關系，及時、妥善處理或解決施工過程中出現的各類問題就顯得尤為重要。

    3.3 專業和非專業的區別

    （1）專業工程監理在工程實施過程中，以第三方的形式，運用自身對《涉及國家秘密的信息系統工程監理規范》及信息化工程項目管理要求的了解和掌握，按照規范和監理單位實施工作制度建立作現場監理工作機構，明確監理人員職責，編制監理規劃和實施方案，并按專業要求制定監理實施細則為現場實現安全保密控制、工程質量控制、工程進度控制、工程成本控制建立預期目標。

    （2）工程監理與工程實施同步，保證涉密信息系統實施過程符合國家涉及國家秘密的信息系統分級保護方案設計及工程建設的相關要求，解決有些承建單位出現的問題，如施工實施方案未定，系統測評表格已填寫完畢；不按要求做好施工文檔，造成驗收時文檔混亂缺失無法補齊等。通過對這種偷工減料，本末倒置的錯誤施工方式進行監督和管理，大大避免了因考慮不周，漏洞百出，并且導致后期不斷返工、修改、拖延工期的問題，避免投資浪費。

    （3）監理方作為獨立的第三方，有利于依據國家保密標準、信息系統工程的相關標準以及工程建設合同等就有關問題進行協調處理，避免與監理項目的承建單位存在隸屬關系和利益關系，或作為其投資者或合伙經營者造成的不按照法律、科學、標準、經驗、技術要求來辦事的弊端。

    3.4 保密標準、政策的要求

    BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》中5.3.2條要求：在工程實施期間，涉密信息系統建設使用單位應按照BMB18-2006的要求進行工程監理。在進行工程監理時，應選擇具有涉密工程監理單項資質的單位或組織自身力量在安全保密控制、質量控制、進度控制、成本控制、合同管理和文檔管理六個方面加強監督檢查。

    《涉及國家秘密的息系統審批管理規定》（國保發[2007]18號） 中要求涉密信息系統建成后申報審批的材料中必須有工程監理報告，強調了工程監理在涉密信息系統建設中的必要性。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：關于涉密信息系統工程監理工作的幾個誤區(一)

本文網址：http://www.guhuozai8.cn/html/support/1112184645.html