政府采購信息安全可以分為兩大類。一是涉及國家安全的采購信息保全,而不單指國家安全系統的技術、設備及服務等采購;二是信息技術的安全采購。美國采購信息安全政策和措施非常完善,信息安全規范貫穿《聯邦采購條例》始末。
完備的法規支撐體系。第一層次是計劃目標,包括《國家產業安全計劃》(NISP)與《國家產業安全計劃實施指南》;第二層次是立法規范,包括《美國法典》第10部分和第41部分、美國《公法》第40部分、《聯邦法規法典》(CFR)第36部分、《1996年卡琳爾-科恩法案》、《隱私權法》以及《聯邦信息安全管理法案》;第三層級是具體規范,包括《產業安全條例》、《合同安全保密等級規范》、HSPD-12、預算管理辦公室第A-130通知、預算管理辦公室(OMB)指南M-05-24及國家安全部(DHS)與美國公民和移民服務機構的合格雇傭查證計劃(E-Verify)等。對于沒有納入國家產業安全計劃(NISP)的采購機構應按照相關規定來制定本機構的安全規范。
詳實具體的執行標準。政府采購信息安全執行第201期《聯邦信息處理標準》(FIPS PUB)、聯邦總務局第70《聯邦供給目錄》、第132-62期《特別項目》(SIN)、國家標準以及技術協會的商業部門指南和標準,便于機構購買已認證的安全貨物和服務。
國家安全至上原則。政府采購社會政策要讓位于信息安全政策,同時允許合同公告例外、公開競爭及密封投標的例外。
明確的采購機構和官員職責。不僅明確規范了采購機構負責人和合同官保護祖國信息安全的職責,而且設立機構首席安全信息管理官和信息技術采購計劃員職位,并明確他們具體責任。
忠誠等級審查認證制。對供應商、其從業人員以及臨時雇員進行國家忠誠程度的審查,并依據其安全等級的不同分別允許他們使用不同保密等級的公共設施或信息資料。
強化信息安全風險管理。在承認風險客觀存在的同時,要求最大限度地控制和減少風險,加強信息安全的風險管理。
因此,我國在實現政府采購信息安全政策中,不僅要借鑒美國政府采購信息安全的規范性程序設計,而且要借鑒其對人的安全性管理和規范。
京公網安備 11010502049343號