随着电子政务的普及与提高，我国电子政务信息化建设正处在一个新的高潮期，尤其是跨行业、跨部门、跨地域的大型信息系统的建设，有力促进了政务公开和信息共享。与此同时，各级党政机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的计算机信息系统建设也呈不断上升趋势。《政府采购法》第八十五条规定，“涉及国家安全和秘密的采购，不适用本法”，也就是说涉密信息化项目采购是不受政府采购法约束的。虽然省级以下单位涉密信息化项目不是很多，但是从涉密信息化项目采购情况来看，绝大多数采购单位还是非常希望有更多符合资格条件的供应商参与，力争采购过程公平，结果公正。在政府采购涉密计算机信息系统项目过程中的安全保密问题，犹如涉密计算机信息系统项目建设本身一样重要。下面，就涉密计算机信息系统项目采购的安全保密问题发表浅显意见。
　　
　　一、涉密信息化项目采购存在的共性问题：
　　
　　问题之一：国家对涉密信息化项目采购尚未立法，对信息化项目涉密范围、涉密等级、涉密事项的界定不是很清晰。
　　
　　《中华人民共和国保密法》规定：国家秘密是指关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。《信息安全等级保护管理办法》（公通字[2007]43号）（以下简称办法）规定，?涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。但是什么样的计算机信息属于“绝密”、“机密”，还是“秘密”，以及如何采购，也没有相关法律规定。由此带来两个方面的问题。一方面，有的采购单位把本不属于涉密的计算机信息系统项目采购，委托政府采购中心要求不公开采购，规避公开招标和政府采购监管；另一方面，已经涉密的项目进行公开招投标，公开在报刊和网站等媒体发布采购公告，有的竟然将采购文件上传网站，信息化项目建设背景、功能、技术要求和标准等公然暴露，并不加任何限制供人任意浏览和下载。
　　
　　问题之二：涉密信息化项目建设缺乏“同步规划，同步预算，同步设计，同步实施”。有的涉密项目涉及国家部委、省、市、区（县）四级，有的具有地域性和区域性。无论是上下贯通，还是左右兼容，都应该遵循涉密计算机信息系统“同步建设，严格审批，注重防范，规范管理”基本原则，尤其是同步建设原则，它是涉密计算机信息系统防范和管理的基础和前提。同步建设就是涉密计算机信息系统与保密设施同步建设，包括同步规划，同步预算，同步设计，同步实施。同步建设有利于整体考虑，统筹协调，简化环节，符合标准。涉密信息系统采购情况看，往往是各自为政，自行其事，上一级项目建成了，再要求下级按照上级的标准采购。通过政府采购程序，如果不是上一级项目承建的供应商中标成交，而是其他供应商中标成交，项目建设困难很大；如果是上一级项目承建的供应商中标成交，实施则比较顺利，但由此带来的问题是价格“不商量”，由供应商一人说了算，没有任何讨价还价的余地。后一种情况居多。
　　
　　问题之三：对供应商资格条件要求不高，把关不严，具有随意性。
　　
　　《办法》第二十七条明确规定，涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。2001年11月，国家保密局开始了涉及国家秘密的计算机信息系统集成资质的专门认证工作，规定从事涉及国家秘密的计算机信息系统集成业务的单位，必须经过保密工作部门审批，并取得《涉及国家秘密的计算机信息系统集成资质证书》，以严格规范和注册管理涉密信息系统的基层单位。“涉密系统集成资质认证”对推进中国整个安全系统集成业务的发展具有重要的战略意义。为进-步加强对涉及国家秘密的计算机信息系统的规范化管理，确保国家秘密信息的安全，2005年国家保密局重新修订了《涉及国家秘密的计算机信息系统集成资质管理办法》，并据此制定了更加规范、严格的资质评审流程，通过第三方评估公司对上报企业的详尽资料进行初审、复审筛选后提交国家保密局终审，原颁发的该项资质证书同时失效，而新资质证书从2005年10月1日起启用。新的管理办法规定甲级资质单位可承建全国性项目，单项资质单位可承建全国性的单项项目，乙级资质单位可承建省级项目。新的管理办法规定把涉密系统集成资质分为甲级、乙级和单项三种，并引入了评估机制。
　　
　　甲级资质单位可在全同范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。
　　
　　乙级资质单位仅限在所批准的省、自治区、直辖市所辖行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事具它单项资质业务。
　　
　　单项资质单位可在全国范围内开展业务，但仅限承接所批准的涉密系统集成单项业务。如：软件开发、综合布线、系统服务、系统咨询、屏蔽室建设、风险评估、工程监理、数据恢复等。
　　
　　取得甲级或乙级资质的单位如需承接单项业务，必须申请并取得相应的单项资质。同时，取得某一单项资质的单位如需从事其它单项业务，还必须申请相应的单项资质。
　　
　　由此，我们不难看出，国家对如何取得涉及国家秘密的计算机信息系统集成资质，以及涉及国家秘密的计算机信息系统建设对供应商资质要求有着极其严格的规定。有的采购单位却往往忽视了这个规定和要求，有的为了照顾有一定背景和关系而又不具备涉密资质的集成商，往往降低门槛，提出具有“涉密临时资质”也可。由于在一些地方保密工作部门审查不严，只要有关系临时资质很容易取得，造成了供应商保密资格上参差不齐，给涉密信息系统建设留下了安全隐患。
　　
　　问题之四：参与涉密信息化项目建设的工程技术人员没有实行认证制度。集成商实行了涉及国家秘密的计算机信息系统集成认证，而对个人却没有实行这个制度。当前，企业人员流动相当频繁，往往在建的项目尚未完成就跳槽到另外一家企业了，国家对涉密信息化项目建设的工程技术人员没有实行认证制度，企业往往重视经济利益，很少关注人员流动对建设涉密项目的安全保密要求，这样很容易会形成泄密。
　　
　　问题之五：涉密信息化项目采购和建设单位，很少与参与采购活动的供应商、中标成交供应商，以及参与采购活动和项目建设的相关人员签订保密协议。
　　
　　问题之六：国家相关部门对涉密信息化项目建设所采用的软件、中间件和网络设备等没有安全等级要求，也没有实行强制安全认证制度。
　　
　　涉密计算机信息系统与纸介质涉密文件不同，管理难度要大得多。涉密信息容易通过电磁波辐射使秘密散发出去，被其他势力接收；涉密网络容易与其它的信息设备或载体相连接，使秘密信息通过其它传输渠道扩散出去；涉密信息网络不可能像纸介质涉密文件那样用保密柜封闭起来，暴露的部位多，接触的人员广，很容易受到攻击或通过技术手段窃取其载有的秘密，且一旦泄密，扩散的速度快、范围宽。目前，我国信息网络所使用的设备和应用软件大都是进口的，很难设想在保密技术防范上不存在泄密隐患，微软的黑屏事件已经给我们敲响了警钟，何妨是事关国家安全保密的项目。（南京市政府采购中心）