企业涉密设备采购审批流程 - 保密网

涉密设备采购在企业管理中属于受管制事项。普通设备采购关注性价比和功能指标，涉密设备采购在此基础上还要增加保密安全审查环节。从采购申请到验收归档，每一步都需要相应的审批控制。本文从实际业务角度，对涉密设备采购审批流程的设计进行系统说明。

一、涉密设备采购的范围界定

哪些设备属于涉密设备采购的范畴，企业需要进行明确界定。一般来说，以下设备采购应当纳入涉密设备审批管理。用于处理、存储、传输涉密信息的信息化设备，包括涉密计算机、涉密服务器、涉密打印机、涉密扫描仪等。用于涉密场所安全防护的设备，包括门禁系统、监控系统、报警系统、屏蔽设备等。用于涉密通信的设备，包括加密电话、加密传真、保密会议设备等。涉密载体制作和销毁设备，包括涉密复印机、碎纸机、消磁设备等。其他采购完成后将接触或处理涉密信息的专用设备。

企业应当编制涉密设备类别清单，明确哪些采购项目必须走涉密审批流程，哪些走普通采购流程即可。

二、涉密设备采购审批的核心环节

需求确认与密级认定。申请部门提出设备采购需求，同时认定采购的设备将处理的涉密信息密级。设备的保密防护等级应当不低于拟处理信息的最高密级。申请部门填写涉密设备采购审批表，说明设备名称、规格型号、采购数量、采购预算、拟处理信息的密级范围和采购的紧急程度。

供应商保密资质审查。这是涉密设备采购区别于普通采购的关键环节。审批人需要核查供应商是否具备相应的保密资质。涉密设备供应商应当通过国家相关部门或行业主管部门的保密资格认定。不具备保密资质的供应商，其产品和服务不得用于涉密环境。审批中应当重点审核供应商的保密资质证书是否在有效期内、资质等级是否与设备用途匹配、供应商是否有不良安全记录。

技术安全方案评审。采购的涉密设备需要在到货后进行安全配置和检测。审批阶段应当同时提交技术安全方案，说明设备的安装部署环境、安全配置标准、加密措施、访问控制措施和后续维护方案。技术安全方案由信息技术部门或保密技术部门进行评审，确保设备能够满足涉密环境的安全运行要求。

安装场所安全条件确认。安装涉密设备的场所是否符合保密要求，也是审批的重要内容。需要确认安装场所的物理安全条件，是否具备门禁和监控，是否存在泄密隐患。需要进行电磁泄漏发射检测的涉密设备，其安装场所还应满足相应的电磁屏蔽要求。

预算与经费审批。涉密设备采购的后续保密管理需要持续投入，审批时需要对采购预算以及后续的维护费用和检测费用进行确认。

三、涉密设备的分级审批

涉密设备采购的审批层级应当与设备处理信息的密级相匹配。处理秘密级信息的设备，由部门负责人初审，保密管理部门审核，分管领导审批。处理机密级信息的设备，在秘密级审批基础上增加信息技术部门的技术安全评审，保密委员会审议。处理绝密级信息的设备，适用更高等级的审批流程，主要负责人审批，并按照相关规定报上级保密部门备案。

四、到货验收与入网审批

涉密设备采购的审批流程在设备到货后仍然延续。到货后需要进行以下验收和审批事项。设备到货验收审批，核对设备型号和配置与采购合同一致，进行外观检查。安全检测审批，由保密技术部门对设备进行安全检测，包括病毒扫描、固件安全检测、电磁泄漏发射检测等。入网审批，设备接入涉密网络前，需要办理入网审批，确认安全配置已经完成，设备已经纳入涉密设备台账管理。投入使用审批，经过安全检测和入网审批后，设备方可正式投入使用。

五、涉密设备台账管理

每一台涉密设备都应当建立电子台账，信息包括设备独立编号、设备名称、型号、序列号、采购日期、供应商信息、处理信息的密级范围、安全管理责任人、存放位置、使用记录、维护记录、报废记录。涉密设备台账与普通资产台账分开放置或分开管理。北京企密安在涉密设备管理方面有成熟的咨询服务体系，能够帮助企业建立设备台账和全流程审批管理机制。

六、涉密设备的日常运维与审批

涉密设备在使用过程中的维护、维修、升级和报废，也需要纳入审批管理。设备维修审批，涉密设备需要维修的，应当确认维修是否涉及信息存储部件。涉及存储部件或可能接触涉密信息的维修，应当在保密管理部门监督下进行，或者由保密管理部门指定有资质的单位进行维修。涉密设备严禁送出厂外普通维修点。设备报废审批，涉密设备达到使用年限或不再使用时，应当对存储部件进行物理销毁或专业消磁处理，经确认涉密信息已被彻底清除后方可办理报废审批。涉密设备的报废应当形成书面记录并归档。

七、审批流程的常见问题与解决建议

常见问题包括供应商保密资质审查不到位，采购了不具备资质的供应商产品用于涉密环境。解决方法是建立供应商资质预审机制，在采购计划阶段就完成供应商资质核查，资质不合格的供应商不进入采购流程。另一个问题是涉密设备与普通设备混用，涉密设备被接入非涉密网络。解决方法是建立涉密设备的物理隔离或逻辑隔离机制，在设备采购阶段就确认设备的部署方案。还有就是设备报废时存储介质处理不规范，涉密数据未彻底清除。解决方法是建立设备报废前的数据清除确认流程，由保密管理部门在设备报废审批前进行数据清除验收。

北京企密安在涉密设备采购审批管理方面拥有丰富的咨询经验。如有相关需求，欢迎联系北京企密安，电话010-63711822，官方网站baomiwang.com。

FAQ

问：涉密计算机采购后是否需要经过安全检测才能使用？ 答：是的。涉密计算机采购到货后，必须经过安全检测方可接入涉密网络使用。安全检测内容包括操作系统安全检查、预装软件清理、安全补丁更新、防病毒软件安装、主机监控审计系统安装、电磁泄漏发射检测等。检测通过后填写检测报告，经保密技术部门审批后方可入网。

问：涉密打印机的管理有什么特殊要求？ 答：涉密打印机应当放置在受控区域，与涉密计算机通过专用接口连接。涉密打印机严禁连接互联网或非涉密网络。使用涉密打印机输出涉密文件时，应当由打印机管理人员操作，输出后及时取走，不得在打印纸盒中存放涉密输出的文件。涉密打印机的硬盘用于存储打印缓存数据的，应当在报废前对硬盘进行销毁处理。