【文章內(nèi)容簡介】 定技術(shù)手段的前提下，管理則成為決定因素。因此，各涉密單位應(yīng)當(dāng)根據(jù)涉密信息系統(tǒng)自身的特點(diǎn)，制定出具有針對性和可操作性的管理措施，并嚴(yán)格執(zhí)行。三、涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題隨著我國綜合國力不斷增強(qiáng)和國際戰(zhàn)略地位顯著提高，我國已成為各種情報竊密的重點(diǎn)目標(biāo)，境內(nèi)外敵對勢力和國外情報機(jī)構(gòu)加緊對我實(shí)施全方位的信息監(jiān)測和情報戰(zhàn)略，竊密活動十分猖獗，各級黨政軍機(jī)關(guān)、國防軍工科研生產(chǎn)單位作為國家秘密的主要生成區(qū)、密集區(qū)，更是成為敵對勢力竊密的重點(diǎn)對象。但目前我國涉密信息系統(tǒng)建設(shè)使用單位保密管理水平比較低，與形勢的發(fā)展很不適應(yīng)，急需進(jìn)一步加強(qiáng)。就拿航宇公司為例，該公司先后建立的涉密應(yīng)用系統(tǒng)有：OA系統(tǒng)，CAPP系統(tǒng)，ERP系統(tǒng)，檔案管理系統(tǒng)，PDM系統(tǒng)等，這些系統(tǒng)在建設(shè)、規(guī)劃和保密管理中存在的問題主要表現(xiàn)在以下幾個方面：(一)涉密信息系統(tǒng)定密的隨意性、不準(zhǔn)確問題目前該公司很多涉密信息系統(tǒng)定密比較隨意，不準(zhǔn)確，界定不清楚，甚至很多涉密人員都不清楚自己管理的應(yīng)用系統(tǒng)的密級別。究其原因主要是沒有嚴(yán)格確定定密責(zé)任，缺乏專業(yè)定密人員，定密依據(jù)不夠明確和細(xì)化，定密程序不規(guī)范等。(二)涉密信息系統(tǒng)安全保密工作 “重技術(shù)、輕管理”的現(xiàn)象比較突出目前公司很多涉密信息系統(tǒng)的安全保密方案只注重安全保密技術(shù)建設(shè)，過于依賴技術(shù)來實(shí)現(xiàn)保密要求，而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進(jìn)行有機(jī)整合，所有的安全保密措施只是產(chǎn)品的簡單堆砌，使得整個安全保密方案先天性不足。眾所周知，如果沒有強(qiáng)有力的管理來支持，再好的技術(shù)防范措施都會大打折扣，再好的技術(shù)防范產(chǎn)品也將成為擺設(shè)，因此涉密信息系統(tǒng)安全保密工作的重點(diǎn)還是在于管理。（三）涉密信息系統(tǒng)建設(shè)生命周期“重建設(shè)、輕監(jiān)管”通常情況下，我們將信息系統(tǒng)建設(shè)生命周期（SDLC）劃分為五個階段：規(guī)劃需求階段、設(shè)計開發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段、廢棄階段。也就是說，系統(tǒng)是不斷變化的，安全保密工作也應(yīng)隨之發(fā)生變化，各個階段安全保密要求不同，每個階段都應(yīng)制定相應(yīng)的保密制度，并落實(shí)執(zhí)行、監(jiān)管。由于公司很多應(yīng)用項(xiàng)目都是和第三方公司合作，而這些公司可能存在著對系統(tǒng)建設(shè)生命周期各階段的保密標(biāo)準(zhǔn)的具體要求把握不準(zhǔn)的情況，使得工程實(shí)施各階段沒有嚴(yán)格執(zhí)行保密要求或者與安全保密建設(shè)不同步情況時有發(fā)生，而這一塊我們又缺乏最起碼的監(jiān)管手段，從而給系統(tǒng)增加了安全隱患。舉個例子，在涉密信息系統(tǒng)經(jīng)過保密審批投入運(yùn)行后，由于一般都是由系統(tǒng)建設(shè)使用單位的信息化部門在負(fù)責(zé)日常的運(yùn)行維護(hù)。但信息化部門并不清楚保密方面的要求，而保密部門又屬于行政部門，不熟悉系統(tǒng)業(yè)務(wù)應(yīng)用情況，只能制定一些原則性管理規(guī)章制度，無法對系統(tǒng)進(jìn)行有效的保密監(jiān)管，不能及時發(fā)現(xiàn)系統(tǒng)的違規(guī)行為和泄密隱患。（四)涉密信息系統(tǒng)安全保密工作 “重制度、輕執(zhí)行”的現(xiàn)象比較突出航宇公司在涉密信息系統(tǒng)安全保密工作上制定了大量的制度、規(guī)范，并且有專門的保密網(wǎng)站進(jìn)行宣貫，但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響，而我們某些員工認(rèn)為保密工作對其日常工作造成居多不便，從而產(chǎn)生抵觸情緒，進(jìn)而對保密制度進(jìn)行抵制，或者“打折處理，表面執(zhí)行”，造成安全保密制度真正落實(shí)執(zhí)行的少，讓很多制度流于形式，流于紙面。另外，我們制定保密制度還存在一個錯誤觀念，就是：制定保密制度是為了應(yīng)付保密檢查，至于落實(shí)不落實(shí)，執(zhí)行不執(zhí)行沒有多大關(guān)系。所以，要堅(jiān)決克服為了制定制度而制定制度的錯誤觀念。制定制度不是目的，通過制定安全保密制度，并堅(jiān)決落實(shí)執(zhí)行來加強(qiáng)軍工單位保密管理，保證國家秘密安全才是制定制度的根本目的。四、涉密信息系統(tǒng)安全保密管理原則（一）基于安全需求、適度安全的原則：由于信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應(yīng)的安全。沒有絕對安全的信息系統(tǒng)(網(wǎng)絡(luò))，任何安全措施都是有限度的。關(guān)鍵在于“實(shí)事求是”、“因地制宜”地去確定安全措施的“度”，即根據(jù)信息系統(tǒng)因缺乏安全性造成損害后果的嚴(yán)重程度和實(shí)際需求來決定采取什么樣的安全措施。組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；（二）最小化授權(quán)以及分權(quán)和授權(quán)相結(jié)合原則：涉密信息系統(tǒng)的建設(shè)規(guī)模要最小化，非工作所必需的單位和崗位，不得建設(shè)可登陸涉密信息系統(tǒng)的終端；其次，涉密信息系統(tǒng)中涉密信息的訪問權(quán)限要最小化，非工作必需知悉的人員，不得具有關(guān)涉密信息的訪問權(quán)限。分權(quán)和授權(quán)原則是指對特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計等實(shí)行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會。任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限；（三）同步建設(shè)、嚴(yán)格把關(guān)的原則：涉密信息系統(tǒng)的建設(shè)必須要與安全保密設(shè)施的建設(shè)同步規(guī)劃、同步實(shí)施、同步發(fā)展。要對涉密信息系統(tǒng)建設(shè)的全過程(各個環(huán)節(jié))進(jìn)行保密審查、審批、把關(guān)。要防止并糾正“先建設(shè)，后防護(hù)，重使用，輕安全”的傾向，建立健全涉密信息系統(tǒng)使用審批制度。不經(jīng)過保密部門的審批和論證，信息系統(tǒng)不得處理國家秘密信息。（四）注重管理的原則：涉密信息系統(tǒng)的安全保密三分靠技術(shù)，七分靠管理。加強(qiáng)管理可以彌補(bǔ)技術(shù)上的不足；而放棄管理則再好的技術(shù)也不安全。采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的影響；（五）主要領(lǐng)導(dǎo)負(fù)責(zé)、全員參與原則：主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識，組織有效安全保障隊(duì)伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實(shí)、有效；信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；（六）系統(tǒng)方法、持續(xù)改進(jìn)原則：按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性和效率；安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高