【文章內(nèi)容簡介】 定技術手段的前提下，管理則成為決定因素。因此，各涉密單位應當根據(jù)涉密信息系統(tǒng)自身的特點，制定出具有針對性和可操作性的管理措施，并嚴格執(zhí)行。三、涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題隨著我國綜合國力不斷增強和國際戰(zhàn)略地位顯著提高，我國已成為各種情報竊密的重點目標，境內(nèi)外敵對勢力和國外情報機構加緊對我實施全方位的信息監(jiān)測和情報戰(zhàn)略，竊密活動十分猖獗，各級黨政軍機關、國防軍工科研生產(chǎn)單位作為國家秘密的主要生成區(qū)、密集區(qū)，更是成為敵對勢力竊密的重點對象。但目前我國涉密信息系統(tǒng)建設使用單位保密管理水平比較低，與形勢的發(fā)展很不適應，急需進一步加強。就拿航宇公司為例，該公司先后建立的涉密應用系統(tǒng)有：OA系統(tǒng)，CAPP系統(tǒng)，ERP系統(tǒng)，檔案管理系統(tǒng)，PDM系統(tǒng)等，這些系統(tǒng)在建設、規(guī)劃和保密管理中存在的問題主要表現(xiàn)在以下幾個方面：(一)涉密信息系統(tǒng)定密的隨意性、不準確問題目前該公司很多涉密信息系統(tǒng)定密比較隨意，不準確，界定不清楚，甚至很多涉密人員都不清楚自己管理的應用系統(tǒng)的密級別。究其原因主要是沒有嚴格確定定密責任，缺乏專業(yè)定密人員，定密依據(jù)不夠明確和細化，定密程序不規(guī)范等。(二)涉密信息系統(tǒng)安全保密工作 “重技術、輕管理”的現(xiàn)象比較突出目前公司很多涉密信息系統(tǒng)的安全保密方案只注重安全保密技術建設，過于依賴技術來實現(xiàn)保密要求，而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進行有機整合，所有的安全保密措施只是產(chǎn)品的簡單堆砌，使得整個安全保密方案先天性不足。眾所周知，如果沒有強有力的管理來支持，再好的技術防范措施都會大打折扣，再好的技術防范產(chǎn)品也將成為擺設，因此涉密信息系統(tǒng)安全保密工作的重點還是在于管理。（三）涉密信息系統(tǒng)建設生命周期“重建設、輕監(jiān)管”通常情況下，我們將信息系統(tǒng)建設生命周期（SDLC）劃分為五個階段：規(guī)劃需求階段、設計開發(fā)階段、實施階段、運行維護階段、廢棄階段。也就是說，系統(tǒng)是不斷變化的，安全保密工作也應隨之發(fā)生變化，各個階段安全保密要求不同，每個階段都應制定相應的保密制度，并落實執(zhí)行、監(jiān)管。由于公司很多應用項目都是和第三方公司合作，而這些公司可能存在著對系統(tǒng)建設生命周期各階段的保密標準的具體要求把握不準的情況，使得工程實施各階段沒有嚴格執(zhí)行保密要求或者與安全保密建設不同步情況時有發(fā)生，而這一塊我們又缺乏最起碼的監(jiān)管手段，從而給系統(tǒng)增加了安全隱患。舉個例子，在涉密信息系統(tǒng)經(jīng)過保密審批投入運行后，由于一般都是由系統(tǒng)建設使用單位的信息化部門在負責日常的運行維護。但信息化部門并不清楚保密方面的要求，而保密部門又屬于行政部門，不熟悉系統(tǒng)業(yè)務應用情況，只能制定一些原則性管理規(guī)章制度，無法對系統(tǒng)進行有效的保密監(jiān)管，不能及時發(fā)現(xiàn)系統(tǒng)的違規(guī)行為和泄密隱患。（四)涉密信息系統(tǒng)安全保密工作 “重制度、輕執(zhí)行”的現(xiàn)象比較突出航宇公司在涉密信息系統(tǒng)安全保密工作上制定了大量的制度、規(guī)范，并且有專門的保密網(wǎng)站進行宣貫，但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響，而我們某些員工認為保密工作對其日常工作造成居多不便，從而產(chǎn)生抵觸情緒，進而對保密制度進行抵制，或者“打折處理，表面執(zhí)行”，造成安全保密制度真正落實執(zhí)行的少，讓很多制度流于形式，流于紙面。另外，我們制定保密制度還存在一個錯誤觀念，就是：制定保密制度是為了應付保密檢查，至于落實不落實，執(zhí)行不執(zhí)行沒有多大關系。所以，要堅決克服為了制定制度而制定制度的錯誤觀念。制定制度不是目的，通過制定安全保密制度，并堅決落實執(zhí)行來加強軍工單位保密管理，保證國家秘密安全才是制定制度的根本目的。四、涉密信息系統(tǒng)安全保密管理原則（一）基于安全需求、適度安全的原則：由于信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應的安全。沒有絕對安全的信息系統(tǒng)(網(wǎng)絡)，任何安全措施都是有限度的。關鍵在于“實事求是”、“因地制宜”地去確定安全措施的“度”，即根據(jù)信息系統(tǒng)因缺乏安全性造成損害后果的嚴重程度和實際需求來決定采取什么樣的安全措施。組織機構應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果；（二）最小化授權以及分權和授權相結合原則：涉密信息系統(tǒng)的建設規(guī)模要最小化，非工作所必需的單位和崗位，不得建設可登陸涉密信息系統(tǒng)的終端；其次，涉密信息系統(tǒng)中涉密信息的訪問權限要最小化，非工作必需知悉的人員，不得具有關涉密信息的訪問權限。分權和授權原則是指對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必須的權限，不應享有任何多余權限；（三）同步建設、嚴格把關的原則：涉密信息系統(tǒng)的建設必須要與安全保密設施的建設同步規(guī)劃、同步實施、同步發(fā)展。要對涉密信息系統(tǒng)建設的全過程(各個環(huán)節(jié))進行保密審查、審批、把關。要防止并糾正“先建設，后防護，重使用，輕安全”的傾向，建立健全涉密信息系統(tǒng)使用審批制度。不經(jīng)過保密部門的審批和論證，信息系統(tǒng)不得處理國家秘密信息。（四）注重管理的原則：涉密信息系統(tǒng)的安全保密三分靠技術，七分靠管理。加強管理可以彌補技術上的不足；而放棄管理則再好的技術也不安全。采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統(tǒng)的安全性達到所要求的目標。信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的影響；（五）主要領導負責、全員參與原則：主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關系，并確保其落實、有效；信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；（六）系統(tǒng)方法、持續(xù)改進原則：按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術結合的方法，提高實現(xiàn)安全保障的目標的有效性和效率；安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高