及涉密企業(yè)的研發(fā)數(shù)據(jù)安全管理方案

一、及涉密企業(yè)

       行業(yè)是指涉及裝備的科研、生產(chǎn)、配套等裝備相關(guān)行業(yè)，企業(yè)是指承擔(dān)國防科研生產(chǎn)任務(wù)，從事為國家武裝力量提供各種裝備研制和生產(chǎn)經(jīng)營活動的企業(yè)。

       從狹義上來看，企業(yè)專指國防科技工業(yè)內(nèi)部從事裝備及其相關(guān)產(chǎn)品生產(chǎn)的企業(yè)，包括大家熟知的我工集團(tuán)（中航、中船、中核等）和各番號廠（沈飛、成飛等）。

       另一方面，隨著近年來我民融合的不斷深化，越來越多的制造企業(yè)取得了的相關(guān)資質(zhì)，成為行業(yè)持續(xù)發(fā)展的一大助力，這些企業(yè)承擔(dān)了企業(yè)的一部分科研、生產(chǎn)任務(wù)，所以廣義上來看，行業(yè)包括了企業(yè)及其下游產(chǎn)業(yè)鏈的企業(yè)，一般稱為涉密單位/企業(yè)。

二、企業(yè)相關(guān)資質(zhì)及認(rèn)證

       企業(yè)進(jìn)入就必須要具備四個(gè)資質(zhì)——“四證”，是由不同部門負(fù)責(zé)審查、認(rèn)證。“四證”是指：

       ?? 裝備質(zhì)量管理體系證——標(biāo)認(rèn)證

       ?? 裝備科研生產(chǎn)單位保密資格證——保密認(rèn)定

       ?? 裝備科研生產(chǎn)許可證——許可證認(rèn)證

       ?? 裝備承制單位資格名錄認(rèn)證——名錄認(rèn)證

       軍委裝備發(fā)展部在2017年10月1日正式實(shí)施了關(guān)于“裝備承制單位資格審查”與“裝備質(zhì)量管理體系認(rèn)證”兩證合一的工作，從此“四證”變“三證”。

三、涉密信息系統(tǒng)集成資質(zhì)

       作為企業(yè)和涉密單位提供服務(wù)（包括涉密系統(tǒng)工程的規(guī)劃、設(shè)計(jì)、開發(fā)、實(shí)施、服務(wù)及保障等工作）的企業(yè)，需要具有涉密系統(tǒng)集成資質(zhì)。從2021年3月1日起，涉密信息系統(tǒng)集成資質(zhì)開始實(shí)?新規(guī)，涉密集成資質(zhì)包括總體集成、系統(tǒng)咨詢、軟件開發(fā)、安防監(jiān)控、屏蔽室建設(shè)、運(yùn)?維護(hù)、數(shù)據(jù)恢復(fù)、?程監(jiān)理8個(gè)單項(xiàng)資質(zhì)。

       資質(zhì)分為兩級：

       ? 資質(zhì)單位，可以從事級、機(jī)密級和秘密級涉密集成業(yè)務(wù)。

       ? 乙級資質(zhì)單位，可以從事機(jī)密級、秘密級涉密集成業(yè)務(wù)。乙級資質(zhì)單位可以在注冊地的省級?政區(qū)域以外承接涉密集成業(yè)務(wù)，但是應(yīng)當(dāng)及時(shí)向業(yè)務(wù)所在地的省級保密?政管理部門備案，接受當(dāng)?shù)乇Ｃ懿块T的監(jiān)督管理。

       比如，某企業(yè)需要為或涉密企業(yè)進(jìn)行信息化軟件建設(shè)、網(wǎng)絡(luò)布線、監(jiān)控設(shè)備的安裝和施工，那么此企業(yè)就需要具備對應(yīng)的或乙級涉密資質(zhì)。
 

四、研發(fā)管理中主要共性特點(diǎn)

       及涉密企業(yè)涉及到的領(lǐng)域很多，從“天上飛的、地上跑的、水里游的”到“吃的、穿的、用的”，大到“大型裝備”小到“螺釘螺母”，因此本文不對具體產(chǎn)品的行業(yè)特點(diǎn)進(jìn)行分析，而是分析一些共性的東西：

       數(shù)據(jù)安全管理

       及涉密企業(yè)的管理要素就是數(shù)據(jù)安全，特別當(dāng)前國際形式復(fù)雜多變，歐美國家對我國進(jìn)行的各類技術(shù)及間諜滲透活動不斷，數(shù)據(jù)安全更成為企業(yè)管理的重中之重。

       數(shù)據(jù)分散、信息孤島

       由于安全保密的要求，企業(yè)設(shè)計(jì)部門的資料很多分散在各個(gè)技術(shù)人員的電腦上，數(shù)據(jù)沒辦法實(shí)現(xiàn)很好的共享，各信息化系統(tǒng)之間沒有集成，獨(dú)立存在，企業(yè)的數(shù)據(jù)信息不能很好的流轉(zhuǎn)。

       設(shè)計(jì)共用低、研發(fā)效率不高

       數(shù)據(jù)的共享和流轉(zhuǎn)不暢，自然容易造成研發(fā)工作中重復(fù)設(shè)計(jì)，沒辦法縮短研發(fā)周期，效率不能提高。

       變更過程要求高

       在變更管理上，及涉密企業(yè)的要求比其他行業(yè)更高，每一次的變更都需要有詳細(xì)的分析及驗(yàn)證過程，很多時(shí)候變更并不是企業(yè)內(nèi)部就可以完成的，中間有些步驟還可能涉及客戶方審批簽字，最終提交上級單位進(jìn)行報(bào)批和變更后資料的存檔。

       項(xiàng)目管理過程嚴(yán)謹(jǐn)，周期長

       對于產(chǎn)品的研發(fā)而言，對產(chǎn)品的質(zhì)量和要求較高，因此項(xiàng)目周期一般會較長，因此研發(fā)項(xiàng)目管理就顯得尤為重要。

五、數(shù)據(jù)安全之“三員”及“密級”介紹

       需求主要包括“三員管理”及“密級管理”兩部分：

      1 三員管理

 ‍      按照行業(yè)的行業(yè)標(biāo)準(zhǔn)及國家等單位對涉密信息系統(tǒng)的管理要求，不能使用傳統(tǒng)系統(tǒng)中單一的“系統(tǒng)管理員”的模式，而需要實(shí)行“三員分立”（系統(tǒng)管理員、安全保密管理員、安全審計(jì)員），“三員”應(yīng)相互獨(dú)立、相互制約，打破自留地；將業(yè)務(wù)過程分成不同的段，每段有對應(yīng)人員負(fù)責(zé)，不讓任何人掌控全局，有效地加強(qiáng)涉密信息系統(tǒng)保密管理，確保數(shù)據(jù)及系統(tǒng)維護(hù)的安全，減少風(fēng)險(xiǎn)。

       系統(tǒng)管理員

       主要負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)工作。包括網(wǎng)絡(luò)設(shè)備、安全保密產(chǎn)品、服務(wù)器和用戶終端、操作系統(tǒng)數(shù)據(jù)庫、涉密業(yè)務(wù)系統(tǒng)的安裝、配置、升級、維護(hù)、運(yùn)行管理；網(wǎng)絡(luò)和系統(tǒng)的用戶增加或刪除；網(wǎng)絡(luò)和系統(tǒng)的數(shù)據(jù)備份、運(yùn)行日志審查和運(yùn)行情況監(jiān)控；應(yīng)急條件下的安全恢復(fù)。

       安全保密管理員

       主要負(fù)責(zé)系統(tǒng)的日常安全保密管理工作。包括網(wǎng)絡(luò)和系統(tǒng)用戶權(quán)限的授予與撤銷；用戶操作行為的安全設(shè)計(jì)；安全保密設(shè)備管理；系統(tǒng)安全事件的審計(jì)、分析和處理；應(yīng)急條件下的安全恢復(fù)。

       安全審計(jì)員

       主要負(fù)責(zé)對系統(tǒng)管理員和安全保密員的操作行為進(jìn)行審計(jì)跟蹤、分析和監(jiān)督檢查，及時(shí)發(fā)現(xiàn)違規(guī)行為，并定期向系統(tǒng)安全保密管理機(jī)構(gòu)匯報(bào)情況。

      2 數(shù)據(jù)密級管理

       按照行業(yè)標(biāo)準(zhǔn)的要求，要求防止文件高密低傳，降低失風(fēng)險(xiǎn)，即防止密級較高的文件傳輸?shù)搅说兔芗壢藛T處，錯誤擴(kuò)大了文件知悉范圍，管理要點(diǎn)包括：

       定密

       所有信息要定密，包含人、文檔、單據(jù)等，只要是信息就定密；密級從高到低一般分為三個(gè)級別：級、機(jī)密級、和秘密級。

       越權(quán)

      用戶只能訪問到自己被和密級范圍內(nèi)的信息，不能越權(quán)訪問。

       信息流轉(zhuǎn)

       信息流轉(zhuǎn)要嚴(yán)格控制高密低傳，選擇流轉(zhuǎn)人員時(shí)要嚴(yán)格控制人員對象。

       操作日志

       非常強(qiáng)化操作日志，按照安全的要求，能多詳細(xì)就多詳細(xì)，信息是寧濫勿缺。