近日，为贯彻落实国务院关于深入推进行政审批制度改革的有关要求，改进和加强涉密信息系统集成资质管理，在征求有关部门、单位意见基础上，国家保密局对《涉及国家秘密的计算机信息系统集成资质管理办法》进行了修订，并对外公开征求意见。业内专家指出，今后，涉密系统集成项目将再加上一把"安全锁"。

    安全保密存隐患

    随着电子政务的普及与提高，我国电子政务信息化建设正处在一个新的高潮期，尤其是跨行业、跨部门、跨地域的大型信息系统的建设，有力地促进了政务公开和信息共享。各级党政机关用于处理涉密信息的单机和用于内部办公或涉密信息交换的计算机信息系统建设也呈不断上升趋势。

    据了解，政府采购对于涉密系统集成项目的直接管理参与力度并不是很大，《政府采购法》第八十五条规定："涉及国家安全和秘密的采购，不适用本法。"也就是说涉密信息化项目采购是不受《政府采购法》约束的。不过，业内专家认为，在政府采购涉密计算机信息系统项目过程中的安全保密问题，犹如涉密计算机信息系统项目建设本身一样重要。

    目前我国政府采购针对涉密系统集成项目需要改进的地方有哪些？南京市政府采购中心主任助理王九洲认为，首先，国家对涉密信息化项目涉密范围、涉密等级、涉密事项的界定还需要进一步清晰；其次，涉密信息化项目建设缺乏"同步规划，同步预算，同步设计，同步实施"的统筹；再次，政采领域对供应商资格条件要求不高，把关不严，具有随意性，而参与涉密信息化项目建设的工程技术人员没有严格执行认证制度；最后，涉密信息化项目采购和建设单位，很少与参与采购活动的供应商、中标成交供应商以及参与采购活动和项目建设的相关人员签订保密协议。

    王九洲同时指出，在实际操作中，有的采购单位往往降低门槛，提出具有"涉密临时资质"即可。由于在一些地方保密工作部门审查不严，造成了供应商在保密资格上参差不齐，给涉密信息系统建设留下了安全隐患。

    分级规范采购

    如何做好涉密系统集成项目的采购工作，业内专家认为，一味强调密不透风的保密采购以及毫无限度地执行开放式招标都不可取。

    业内专家建议，针对此类项目，国家或相关部门应通过立法形式对信息化项目涉密范围、涉密等级、涉密事项予以界定，对不同涉密等级的计算机信息化项目政府采购程序、方法、要求做出明确规定。规范采购行为，让涉密计算机信息系统项目采购的各方当事人有法可依、执法必严，坚决制止和纠正涉密计算机信息系统项目采购中的随意性和各种不规范行为。另外，对于涉密信息化项目建设所采用的软硬件，尤其是关系系统安全的交换机、路由器、防火墙、入侵检测、存储和服务器等硬件设备，以及操作系统、数据库和中间件等软件必须实行强制的安全保密认证制度，没有通过安全保密认证的产品采购单位不得采用，也决不接受供应商的投标，更不允许中标。

    在《涉及国家秘密的计算机信息系统集成资质管理办法》中，将涉密信息系统集成资质分为甲级和乙级两个等级。其中，甲级资质单位可以在全国范围内从事绝密级、机密级和秘密级信息系统集成业务；乙级资质单位可以在注册地省、自治区、直辖市行政区域内从事机密级、秘密级信息系统集成业务。

    在监督管理一章中强调机关、单位委托资质单位从事涉密信息系统集成业务，应当查验其《资质证书》，与其签订保密协议，提出保密要求，采取保密措施。资质单位与其他单位合作开展涉密信息系统集成业务的，合作单位应当具有相应资质，且应当取得委托方书面同意。资质单位不得将涉密信息系统集成业务分包或者转包给无相应资质的单位。

    在做好保密工作的同时，有采购中心工作人员主张实行公平竞争，他们认为在招标前确定一个合理、合法的合格投标人条件是招标成功的重要环节。相对信息系统集成资质来说，具有涉密资质的供应商相对较少，招标人可根据项目性质，选择合适的资质种类和等级，对一般集成项目不宜也不应采用此资质来限制投标人。

    涉密政采创新多

    近年来，中央国家机关将涉密产品单独分包，并公布部分预算，这项创新的做法激起了不小的反响。国采中心涉密产品包括低泄射计算机、可信安全计算机、安全认证网关、电子屏蔽设备、加密存储移动硬盘等，几乎所有项目都有多家供应商入围。

    中直采购中心相关负责人介绍，中直所负责的单位对保密要求都比较高，采购人的保密意识也相对更强，一般的涉密项目都采取谈判和询价采购的方式。根据项目不同需求，在国家保密局认可的具有相关资质的单位中来选取供应商参与竞争。

    业内专家认为："现在市场上已经销售了数十万台带有可信计算芯片的电脑，这些电脑已经广泛应用于包括政府、金融、公共事业、教育、邮电、制造以及广大中小企业在内的各行各业中。而且，不少政府部门已经认可产品并将带有可信计算芯片的产品采购写入标书。政府采购就是一个导向，可信计算的产品肯定要纳入政府采购中去，这是保障国家信息安全的必由之路。"

    相关链接

    第二章 资质等级与条件

    第六条 涉密信息系统集成资质分为甲级和乙级两个等级。

    甲级资质单位可以在全国范围内从事绝密级、机密级和秘密级信息系统集成业务。乙级资质单位可以在注册地省、自治区、直辖市行政区域内从事机密级、秘密级信息系统集成业务。

    第七条 涉密信息系统集成业务种类包括：系统集成、系统咨询、软件开发、综合布线、安防监控、屏蔽室建设、运行维护、数据恢复、工程监理，以及国家保密行政管理部门审查批准的其他业务。

    资质单位应当在保密行政管理部门审查批准的业务范围内承接涉密信息系统集成业务。承接涉密信息系统集成工程监理业务的，不得承接所监理工程的其他涉密信息系统集成业务。

    第八条 涉密信息系统集成资质申请单位（以下简称"申请单位"）应当具备以下基本条件：

    （一）在中华人民共和国境内注册的法人；（二）依法成立3年以上，有良好的诚信记录；（三）从事涉密信息系统集成业务人员具有中华人民共和国国籍；　　（四）无境外（含香港、澳门、台湾）投资，国家另有规定的从其规定；　　（五）取得行业主管部门颁发的有关资质，具有承担涉密信息系统集成业务的专业能力。

    第九条 申请单位应当具备以下保密条件：

    （一）保密制度完善；　（二）保密组织健全，有专门机构或者人员负责保密工作；　（三）用于涉密信息系统集成业务的场所、设施、设备符合国家保密规定和标准；　（四）从事涉密信息系统集成业务人员的审查、考核手续完备；　（五）国家保密行政管理部门规定的其他条件。

    第十条 涉密信息系统集成资质不同等级和业务种类的具体申请条件和评定标准由国家保密行政管理部门另行规定。

    第十一条 甲级资质由国家保密行政管理部门审批。乙级资质由省、自治区、直辖市保密行政管理部门审批，报国家保密行政管理部门备案。

    第四章 监督管理

    第二十六条 参与涉密信息系统集成业务的人员，应当参加保密行政管理部门组织的保密知识和技能考试，合格后方可从事涉密信息系统集成业务。

    参与涉密信息系统集成业务的人员应当保守工作中知悉的国家秘密。

    第二十七条 机关、单位委托资质单位从事涉密信息系统集成业务，应当查验其《资质证书》，与其签订保密协议，提出保密要求，采取保密措施。

    第二十八条 资质单位与其他单位合作开展涉密信息系统集成业务的，合作单位应当具有相应资质，且应当取得委托方书面同意。

    资质单位不得将涉密信息系统集成业务分包或者转包给无相应资质的单位。

    第二十九条 资质单位承接涉密信息系统集成业务的，应当在签订合同后，向业务项目所在地省、自治区、直辖市保密行政管理部门备案，接受保密监督管理。

    涉密信息系统集成项目完成后，资质单位应当向业务项目所在地省、自治区、直辖市保密行政管理部门报告项目建设情况。

    第三十条 涉密信息系统集成资质实行年度审查制度。年度审查由省、自治区、直辖市保密行政管理部门负责。年度审查情况应当报国家保密行政管理部门备案。