《企業(yè)網D1Net》3月24日訊
隨著信息安全受到的關注越來越廣泛,政府采購信息安全的也吸引業(yè)界廣泛聚焦,政府采購信息安全可以分為兩大類。一是涉及國家安全的采購信息保全,而不單指國家安全系統(tǒng)的技術、設備及服務等采購;二是信息技術的安全采購。美國采購信息安全政策和措施非常完善,信息安全規(guī)范貫穿《聯(lián)邦采購條例》始末。
完備的法規(guī)支撐體系。第一層次是計劃目標,包括《國家產業(yè)安全計劃》(NISP)與《國家產業(yè)安全計劃實施指南》;第二層次是立法規(guī)范,包括《美國法典》第10部分和第41部分、美國《公法》第40部分、《聯(lián)邦法規(guī)法典》(CFR)第36部分、《1996年卡琳爾-科恩法案》、《隱私權法》以及《聯(lián)邦信息安全管理法案》;第三層級是具體規(guī)范,包括《產業(yè)安全條例》、《合同安全保密等級規(guī)范》、HSPD-12、預算管理辦公室第A-130通知、預算管理辦公室(OMB)指南M-05-24及國家安全部(DHS)與美國公民和移民服務機構的合格雇傭查證計劃(E-Verify)等。對于沒有納入國家產業(yè)安全計劃(NISP)的采購機構應按照相關規(guī)定來制定本機構的安全規(guī)范。
詳實具體的執(zhí)行標準。政府采購信息安全執(zhí)行第201期《聯(lián)邦信息處理標準》(FIPS PUB)、聯(lián)邦總務局第70《聯(lián)邦供給目錄》、第132-62期《特別項目》(SIN)、國家標準以及技術協(xié)會的商業(yè)部門指南和標準,便于機構購買已認證的安全貨物和服務。
國家安全至上原則。政府采購社會政策要讓位于信息安全政策,同時允許合同公告例外、公開競爭及密封投標的例外。
明確的采購機構和官員職責。不僅明確規(guī)范了采購機構負責人和合同官保護祖國信息安全的職責,而且設立機構首席安全信息管理官和信息技術采購計劃員職位,并明確他們具體責任。
忠誠等級審查認證制。對供應商、其從業(yè)人員以及臨時雇員進行國家忠誠程度的審查,并依據(jù)其安全等級的不同分別允許他們使用不同保密等級的公共設施或信息資料。
強化信息安全風險管理。在承認風險客觀存在的同時,要求最大限度地控制和減少風險,加強信息安全的風險管理。
D1Net評論:
采購信息安全管理是一個不斷完善的過程,我國采購信息安全管理存在一些不足之處,需要借鑒先進的管理規(guī)范,這就要求我國在實現(xiàn)政府采購信息安全政策中,不僅要借鑒美國政府采購信息安全的規(guī)范性程序設計,而且要借鑒其對人的安全性管理和規(guī)范。