涉密信息系统集成资质:给涉密单位做IT,先拿到这张证
现在几乎没有哪个单位能离开信息系统。政府部门用OA系统办公,军队用指挥系统调度,科研机构用信息系统管理项目。这些系统里跑的数据是什么?很多都是国家秘密。那么问题来了——谁有资格去建设、维护这些系统?
答案很明确:必须是有涉密信息系统集成资质的单位。
什么是涉密信息系统集成资质?它是经保密行政管理部门依法审查确认的,企业事业单位从事涉密信息系统集成业务的法定资格。说得更直白些,就是你想给国家机关和涉密单位做信息系统的设计、建设、监理或者运行维护,你得先拿到这个资质,否则连投标的资格都没有。
这里有一个非常重要的规定值得格外注意:国家机关和涉密单位的涉密信息系统集成业务,应当在国家保密行政管理部门公布的范围内选择具有相应涉密集成资质等级的单位来承担。换句话说,涉密单位不能随便找个IT公司来做——他们只能从有资质的单位名单里选。而且,如果你有甲级资质,你只能接甲级资质允许范围内的业务;你有乙级资质,那就只能在乙级范围内接活。
为什么需要这样的管理?因为信息系统集成是一个深度介入客户内部的工作。设计人员要了解客户的业务流程、系统架构、数据流向,实施人员可能要在客户机房里工作几个月,运维人员可能有系统的后门权限。任何一个环节出了问题,都可能造成大面积的泄密。所以对集成单位的资质审查,必须严格。
涉密信息系统集成资质的管理方式,我们会在后续的文章中继续介绍,包括资质等级如何划分、证书怎么管理、审批权限怎么设置等等。
北京企密安信息安全技术有限公司接触过很多IT企业,他们技术实力很强,但对于保密管理往往认识不足。有些老板觉得"我们是做技术的,保密跟我们关系不大"。这个想法很危险。技术越强,权限可能越大,对客户数据的接触可能越深,保密的责任也就越重。涉密信息系统集成不只需要技术能力,更需要保密意识和保密管理体系。
FAQ区
问:没有资质但帮涉密单位做普通办公网络维护可以吗?
答:要看这个办公网络是否属于涉密信息系统。如果该系统处理涉密信息,那就属于涉密信息系统集成业务,必须由有资质的单位承接。如果不处理涉密信息,则不受此限制。
问:系统集成资质和软件开发资质是一回事吗?
答:不是。系统集成资质针对的是信息系统的设计、建设、监理和运行维护等集成业务,涉及整个系统的规划和管理。单纯的软件开发如果不需要接触涉密系统环境,管理要求可能不同。
