1 引言

    當前，涉密信息系統(tǒng)的建設正逐步在國家黨政機關、政府部門，軍工、國防、安全等重要單位和部門得以開展，并在此過程中逐漸走向成熟、穩(wěn)定。然而，涉密信息系統(tǒng)建設不同于普通信息系統(tǒng)建設，其系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⑸婕皣�家秘密，對國家安全和發(fā)展至關重要。因此，涉密信息系統(tǒng)的建設和管理，要嚴格按照黨和國家的有關保密規(guī)定執(zhí)行。按照國家信息化建設的相關規(guī)定，涉及國家安全、生產(chǎn)安全的一定規(guī)模的信息系統(tǒng)建設和改造應當實施工程監(jiān)理制度。特別是涉密信息系統(tǒng)工程建設實施期間的管理工作必須按照國家保密標準BMB18-2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》的要求對工程建設過程進行監(jiān)督管理，保證其建設或改造不僅符合信息化應用需求，更能依據(jù)國家相關保密標準、規(guī)定使信息安全水平得到切實的提高。

    涉密信息系統(tǒng)工程監(jiān)理作為一個新興的行業(yè)，其概念、工作內(nèi)容、工作范圍及作用對很多人來說還比較陌生。即使作為涉密信息系統(tǒng)的建設使用單位、承建單位以及一些與工程監(jiān)理單位相關工作人員、監(jiān)理工程師，對涉密信息系統(tǒng)工程監(jiān)理的認識也存在各種各樣的問題。因此，我們根據(jù)長期涉密信息系統(tǒng)工程監(jiān)理工作的積累和認識對此項工作存在的幾個主要誤區(qū)進行探討，冀以理清對涉密信息系統(tǒng)工程監(jiān)理的認識，以進一步推動涉密信息系統(tǒng)工程監(jiān)理工作的專業(yè)化和規(guī)范化，使其健康、持續(xù)、穩(wěn)定地發(fā)展，更好地為國家涉密信息系統(tǒng)建設和應用服務，保證國家秘密的安全。

2 對涉密信息系統(tǒng)工程監(jiān)理與信息系統(tǒng)工程監(jiān)理認識的誤區(qū)

    涉密信息系統(tǒng)是指由計算機及其相關和配套設備、設施構(gòu)成的，按照一定的應用目標和規(guī)則存儲、處理、傳輸國家秘密信息的系統(tǒng)或者網(wǎng)絡。涉密信息系統(tǒng)工程監(jiān)理是指依法設立且具備涉密信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，受建設方單位委托，依據(jù)國家有關法律法規(guī)、保密標準和工程監(jiān)理合同，對涉密信息系統(tǒng)工程項目實施監(jiān)督管理。

    涉密信息系統(tǒng)工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的一個分支，但二者之間存在較大的區(qū)別，不能簡單地認為涉密信息系統(tǒng)工程監(jiān)理可以完全按照信息系統(tǒng)工程監(jiān)理的要求和相關內(nèi)容進行。實際上，涉密信息系統(tǒng)工程監(jiān)理與信息系統(tǒng)工程監(jiān)理存在著諸多不同，下文將主要從監(jiān)理單位資質(zhì)管理、監(jiān)理遵循標準、監(jiān)理對象和監(jiān)理工作內(nèi)容四個方面介紹兩者之間的區(qū)別。

    2.1 監(jiān)理單位資質(zhì)管理的區(qū)別

    2.1.1 涉密信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理

    國家保密局頒發(fā)的涉密信息系統(tǒng)集成資質(zhì)分為甲級、乙級和單項三種，各有工作范圍和注冊資金要求，甲級、乙級資質(zhì)注重于系統(tǒng)集成和工程建設方面的工作。單項資質(zhì)屬于從事涉密信息系統(tǒng)有特殊要求的工程管理和建設項目范疇。由于有些工作會對甲級、乙級資質(zhì)單位所從事的工作產(chǎn)生約束，因此，甲級和乙級資質(zhì)不能代替單項資質(zhì)。工程監(jiān)理就屬于這樣的單項資質(zhì)。根據(jù)《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)管理辦法》（國保發(fā)（[2005]5號）和國家涉密信息系統(tǒng)工程建設管理的相關要求，工程監(jiān)理單位的資質(zhì)管理主管部門為國家保密局，工程監(jiān)理單位必須經(jīng)過國家保密局的資質(zhì)認定，取得國家保密局頒發(fā)的《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書 單項（工程監(jiān)理）》的資質(zhì)證書后，方可承接涉密信息系統(tǒng)的工程監(jiān)理工作。其資質(zhì)證書有效期為3年，期滿后須按規(guī)定重新核發(fā)。

    2.1.2 信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理

    信息系統(tǒng)工程監(jiān)理單位資質(zhì)分為甲、乙、丙三級。監(jiān)理單位資質(zhì)管理主管部門為工業(yè)和信息化部（原信息產(chǎn)業(yè)部），監(jiān)理單位需要取得工業(yè)和信息化部頒發(fā)的《信息系統(tǒng)工程監(jiān)理資質(zhì)證書》后，方可從事信息系統(tǒng)工程監(jiān)理業(yè)務。甲、乙、丙各級監(jiān)理單位資質(zhì)需要根據(jù)《信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理辦法》（信部信[2003]142號）要求進行認證，各級監(jiān)理單位只能監(jiān)理相應投資規(guī)模的信息系統(tǒng)工程�！缎畔⑾到y(tǒng)工程監(jiān)理資質(zhì)證書》有效期為4 年，屆滿4 年更換新證，超過有效期30 天不更換的，視為自動放棄資質(zhì)，原資質(zhì)證書予以注銷�！缎畔⑾到y(tǒng)工程監(jiān)理資質(zhì)》實行年檢制度。甲級、乙級資質(zhì)由工業(yè)和信息化部負責年檢；丙級資質(zhì)由省市工業(yè)和信息化主管部門負責年檢，并將結(jié)果上報工業(yè)和信息化部備案。

    這里可以看到涉密信息系統(tǒng)工程監(jiān)理與信息化工程監(jiān)理的資質(zhì)要求因工程的側(cè)重點不同對人員的要求是不同的，涉密信息系統(tǒng)工程監(jiān)理不僅要求人員的技術水平要達到相當?shù)母叨龋�且對因系統(tǒng)的特殊性而提出了實施單位及實施人員相關素質(zhì)要求，屬于對信息化建設有特殊專業(yè)要求的項目管理業(yè)務，而信息化工程監(jiān)理更側(cè)重于監(jiān)理單位和工程監(jiān)理工程師的應用技術及項目管理水平和商業(yè)信譽及實施大型信息化工程的項目管理經(jīng)驗。因此，取得《信息系統(tǒng)工程監(jiān)理資質(zhì)證書》的單位如果沒有取得 《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書 單項（工程監(jiān)理）》，則不得承接涉密信息系統(tǒng)工程監(jiān)理工作。

    2.2 工程監(jiān)理遵循標準的區(qū)別

    2.2.1 涉密信息系統(tǒng)工程監(jiān)理遵循標準

    工程監(jiān)理單位需要按照國家保密標準BMB18-2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》的要求，開展涉密信息系統(tǒng)工程監(jiān)理工作。工程監(jiān)理工作過程中遵循的標準體系是國家保密標準BMB體系，并且必須是強制執(zhí)行，例如BMB5-2000《涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防護要求》、BMB17-2006《涉及國家秘密的信息系統(tǒng)分級保護技術要求》、BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》等。這些要求包括了對網(wǎng)絡攻擊實施主動防御和被動防御的兩方面的要求。同時，常規(guī)的信息化建設部分也同時要遵從與信息系統(tǒng)工程建設有關的國家政策、法律、法規(guī)、國家標準GB和GB/T體系中有關信息技術的標準與規(guī)范。工程監(jiān)理工程師將按照當前技術發(fā)展取得的最新成果和成熟經(jīng)驗向建設單位提供相關咨詢意見和進行工程項目管理，保障涉及國家秘密的信息系統(tǒng)建設達到預期的建設目標。

    2.2.2 信息系統(tǒng)工程監(jiān)理遵循標準

    工程監(jiān)理單位需要按照國家標準《信息化工程監(jiān)理規(guī)范》（GB/T19668.1-2005至GB/T19668.6-2007）的要求，開展信息系統(tǒng)工程監(jiān)理工作。

    信息系統(tǒng)工程監(jiān)理的主要依據(jù)包括與信息系統(tǒng)工程建設有關的國家政策、法律、法規(guī)、標準與規(guī)范，信息技術國家標準。工程監(jiān)理工作過程中遵循的標準體系是國家標準GB和GB/T體系，包括軟件工程國家標準、信息安全國家標準及其他信息技術標準和規(guī)范。由于這些信息系統(tǒng)不涉及國家秘密，信息安全措施的強制性要求弱于BMB提出的要求，對工程監(jiān)理在這方面的項目管理要求較低，而對系統(tǒng)應用項目管理的要求較高�？梢娫诠こ探ㄔO中系統(tǒng)優(yōu)化方向有較大區(qū)別，工程監(jiān)理執(zhí)行過程中也有所區(qū)別。

    2.3 工程監(jiān)理對象的區(qū)別

    2.3.1 涉密信息系統(tǒng)工程監(jiān)理對象

    涉密信息系統(tǒng)工程監(jiān)理的對象是新建、擴建、改建的涉密信息系統(tǒng)工程，包括：網(wǎng)絡系統(tǒng)集成、安全保密系統(tǒng)集成、綜合布線（隱蔽工程施工）、屏蔽室建設、應用系統(tǒng)建設以及其他與涉密信息系統(tǒng)建設相關的工程活動。

    2.3.2 信息系統(tǒng)工程監(jiān)理對象

    信息系統(tǒng)工程監(jiān)理的對象是信息化工程建設中的信息網(wǎng)絡系統(tǒng)、信息資源系統(tǒng)、信息應用系統(tǒng)的新建、升級及改造工程。

    2.4 工程監(jiān)理工作內(nèi)容的區(qū)別

    2.4.1 涉密信息系統(tǒng)工程監(jiān)理工作內(nèi)容

    涉密信息系統(tǒng)工程監(jiān)理的主要工作內(nèi)容可以概括為“四控、兩管、一協(xié)調(diào)”�！八目亍奔窗踩�保密控制、工程質(zhì)量控制、工程進度控制、工程成本控制；“兩管”即工程合同管理和工程文檔管理；“一協(xié)調(diào)”即在工程實施過程中協(xié)調(diào)有關單位及人員間的工作關系。其中最為重要的是對涉密信息系統(tǒng)工程的安全保密控制工作，這也是涉密信息系統(tǒng)工程監(jiān)理與信息系統(tǒng)工程監(jiān)理在工作內(nèi)容方面存在的最大不同。工程監(jiān)理在安全保密控制中的主要工作任務是：

    （1）協(xié)助建設單位在信息系統(tǒng)工程項目建設過程中，保證涉密信息系統(tǒng)的安全保密，使系統(tǒng)的可用性、保密性、完整性與信息系統(tǒng)工程的可維護性等技術性環(huán)節(jié)上沒有沖突；

    （2）以信息系統(tǒng)工程實施的角度，驗證和確保信息系統(tǒng)安全保密設計上沒有漏洞；

    （3）督促建設單位的信息系統(tǒng)工程應用人員在安全管理制度和安全規(guī)范下嚴格執(zhí)行安全操作和管理，建立安全意識；

    （4）監(jiān)督承建單位按照國家保密標準和已評審的建設方案施工，檢查承建單位是否存在實施過程中的安全隱患行為或現(xiàn)象等，確保整個項目建設過程中的安全建設和安全應用。

    工程監(jiān)理在安全保密控制中要起到的主要作用是：

    （1）加強對工程監(jiān)理工作機構(gòu)和人員的保密管理；

    （2）加強工程建設過程的安全保密；

    （3）加強監(jiān)理改造、擴建的涉密信息系統(tǒng)以防止泄密。

    2.4.2 信息系統(tǒng)工程監(jiān)理工作內(nèi)容

    信息系統(tǒng)工程監(jiān)理的主要內(nèi)容可以概括為：“四控、三管、一協(xié)調(diào)”�！八目亍奔垂こ藤|(zhì)量控制、工程進度控制、工程投資控制、工程變更控制；“三管”即合同管理、信息管理、信息安全管理；“一協(xié)調(diào)”即在信息系統(tǒng)工程實施過程中協(xié)調(diào)有關單位及人員間的工作關系。與涉密信息系統(tǒng)工程監(jiān)理工作內(nèi)容不同的是，在“四控”工作中沒有強制的安全保密控制，而是強調(diào)對涉及質(zhì)量和投資及最終工程目標產(chǎn)生重大影響的工程設計和實施中的“變更”作為控制要點，同時在管理中、工作中加入了信息安全管理。工程監(jiān)理在信息安全管理中的主要工作任務是：

    （1）協(xié)助建設單位在信息系統(tǒng)工程項目建設過程中，其信息系統(tǒng)的安全在可用性、保密性、完整性與信息系統(tǒng)工程的可維護性等技術性環(huán)節(jié)上沒有沖突；

    （2）在成本控制的前提下，確保信息系統(tǒng)安全設計上沒有漏洞；

    （3）督促建設單位的信息系統(tǒng)工程應用人員在安全管理制度和安全規(guī)范下嚴格執(zhí)行安全操作和管理，建立安全意識；

    （4）監(jiān)督承建單位按照技術標準和建設方案施工，檢查承建單位在設計過程中是否存在安全隱患行為或現(xiàn)象等，以確保整個項目的安全建設和安全應用。

3 對涉密信息系統(tǒng)工程監(jiān)理需求認識的誤區(qū)

    3.1 工程需要

    當前涉密信息系統(tǒng)建設過程中存在的問題不容忽視。

    一些公司在進場的過程中重視工程實施技術文件的管理，忽視現(xiàn)場涉密信息的安全防護和對入場工作人員的安全教育；在建立現(xiàn)場必需的安全保密制度時，以公司內(nèi)部的安全保密管理制度替代或充數(shù)等，安全保密管理的缺失導致了失泄密風險的增大。

    一些公司對具體的涉及國家秘密的信息系統(tǒng)工程的具體條件和要求了解不夠，使用所謂類比的方式進行照貓畫虎式的工程建設，導致系統(tǒng)存在嚴重安全漏洞，工程質(zhì)量不滿足應用的基本需求，工程進度拖延，乃至出現(xiàn)豆腐渣工程。此類工程一般都需要耗費很大精力進行改建或重建，并因此對國家的財力、物力、人力都造成了極大浪費，延誤了涉密信息工程投入使用的時間，阻礙了系統(tǒng)可持續(xù)發(fā)展進度。

    項目資金使用不合理或超出預算，一些公司不能按照合同約定的要求提供設備和系統(tǒng)，不與建設方協(xié)商就更改設計方案、供貨廠家、品牌或產(chǎn)品規(guī)格以及供貨數(shù)量，造成涉密信息工程項目資金使用不合理或大大超出工程預算合同額，導致可能的腐敗因素出現(xiàn)，為可能出現(xiàn)的腐敗分子提供了可乘之機。

    一些公司為了趕進度，放松了對項目文檔的管理，造成項目文檔不全甚至嚴重缺失和失泄密隱患。項目文檔的不完整也為涉密信息系統(tǒng)工程的后續(xù)開發(fā)完善帶來了損失和影響。

    一些公司和單位對合同法等法規(guī)了解不夠，所簽合同不規(guī)范和條款不嚴謹導致糾紛發(fā)生時難以處理等。

    針對工程的具體需要，在信息化建設過程中引入了信息工程監(jiān)理制度，對于投資超過一定規(guī)模的信息化建設工程必須實施工程監(jiān)理制度。國家保密局作為涉密信息系統(tǒng)的主管部門，對涉密信息系統(tǒng)全過程管理提出相關要求：引入涉密信息系統(tǒng)工程監(jiān)理機制，實行涉密信息系統(tǒng)集成資質(zhì)管理制度，對工程實施階段實行控制，規(guī)范系統(tǒng)集成資質(zhì)單位行為。

    3.2 有監(jiān)理和無監(jiān)理的區(qū)別

    保障信息系統(tǒng)工程簽約雙方的利益是保證我國計算機信息產(chǎn)業(yè)和信息系統(tǒng)工程順利發(fā)展的重要方面。在新形勢下，為了確保國家信息產(chǎn)業(yè)更加健康、有序地發(fā)展，為了使我國信息資源得到更充分的利用，對計算機信息系統(tǒng)工程建設進行有組織、規(guī)范化的監(jiān)理，就顯得更加重要，涉密信息系統(tǒng)工程監(jiān)理的作用主要體現(xiàn)在兩個方面。

    （1）發(fā)揮工程監(jiān)理的咨詢服務的功能。

    依據(jù)涉密信息系統(tǒng)工程監(jiān)理單項資質(zhì)對人員技術的要求，涉密信息系統(tǒng)工程監(jiān)理可以為建設單位提供有關涉密信息系統(tǒng)工程意見。

    一是向建設方對涉密信息系統(tǒng)工程建設準備和過程中涉及的國家保密標準的正確理解和執(zhí)行提供咨詢；

    二是協(xié)助建設方完善安全保密管理體系及相關制度建設、規(guī)范流程，為涉密信息系統(tǒng)的測評、審批和運維管理打下良好基礎；

    三是對承建方在實施方案設計、應用系統(tǒng)涉密改造、系統(tǒng)檢驗測試、試運行、驗收各階段在實施要點方面提供咨詢，確保涉密信息系統(tǒng)工程建設按照預期的目標進展。

    （2）發(fā)揮工程監(jiān)理對工程項目管控作用。

    涉密信息化工程項目有一個特點，即涉及的業(yè)務內(nèi)容繁多，建設過程較長，一些軟件設計時考慮不周或文檔不完整留下隱患的情況時有發(fā)生，一些信息化項目承建單位不遵守項目管理規(guī)范、不清楚軟件工程要求的事例也時有發(fā)生，在他們的項目的進展中，不規(guī)范行為時有體現(xiàn)，這樣隨項目的進展就會出現(xiàn)較多的不可預見性，大大增加了工程建設的復雜性。因此，按照項目管理規(guī)范來實施涉密信息系統(tǒng)工程建設的監(jiān)督、控制和管理，嚴格控制施工流程，規(guī)范施工過程文檔，協(xié)調(diào)各方關系，及時、妥善處理或解決施工過程中出現(xiàn)的各類問題就顯得尤為重要。

    3.3 專業(yè)和非專業(yè)的區(qū)別

    （1）專業(yè)工程監(jiān)理在工程實施過程中，以第三方的形式，運用自身對《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》及信息化工程項目管理要求的了解和掌握，按照規(guī)范和監(jiān)理單位實施工作制度建立作現(xiàn)場監(jiān)理工作機構(gòu)，明確監(jiān)理人員職責，編制監(jiān)理規(guī)劃和實施方案，并按專業(yè)要求制定監(jiān)理實施細則為現(xiàn)場實現(xiàn)安全保密控制、工程質(zhì)量控制、工程進度控制、工程成本控制建立預期目標。

    （2）工程監(jiān)理與工程實施同步，保證涉密信息系統(tǒng)實施過程符合國家涉及國家秘密的信息系統(tǒng)分級保護方案設計及工程建設的相關要求，解決有些承建單位出現(xiàn)的問題，如施工實施方案未定，系統(tǒng)測評表格已填寫完畢；不按要求做好施工文檔，造成驗收時文檔混亂缺失無法補齊等。通過對這種偷工減料，本末倒置的錯誤施工方式進行監(jiān)督和管理，大大避免了因考慮不周，漏洞百出，并且導致后期不斷返工、修改、拖延工期的問題，避免投資浪費。

    （3）監(jiān)理方作為獨立的第三方，有利于依據(jù)國家保密標準、信息系統(tǒng)工程的相關標準以及工程建設合同等就有關問題進行協(xié)調(diào)處理，避免與監(jiān)理項目的承建單位存在隸屬關系和利益關系，或作為其投資者或合伙經(jīng)營者造成的不按照法律、科學、標準、經(jīng)驗、技術要求來辦事的弊端。

    3.4 保密標準、政策的要求

    BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》中5.3.2條要求：在工程實施期間，涉密信息系統(tǒng)建設使用單位應按照BMB18-2006的要求進行工程監(jiān)理。在進行工程監(jiān)理時，應選擇具有涉密工程監(jiān)理單項資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進度控制、成本控制、合同管理和文檔管理六個方面加強監(jiān)督檢查。

    《涉及國家秘密的息系統(tǒng)審批管理規(guī)定》（國保發(fā)[2007]18號） 中要求涉密信息系統(tǒng)建成后申報審批的材料中必須有工程監(jiān)理報告，強調(diào)了工程監(jiān)理在涉密信息系統(tǒng)建設中的必要性。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標題：關于涉密信息系統(tǒng)工程監(jiān)理工作的幾個誤區(qū)(一)

本文網(wǎng)址：http://m.guhuozai8.cn/html/support/1112184645.html