采購管理需落實信息安全經費預算

【聚焦信息安全】

采購管理需落實信息安全經費預算

-----正在制定的《政府部門信息安全管理指南》將在操作層面為今后各級政府部門的信息安全保障工作提供詳盡的指導規(guī)范

本報訊記者梁爽報道為了指導各級政府部門的信息安全管理工作，由全國信息安全標準化技術委員會提出基本要求標準并歸口管理的《政府部門信息安全管理指南》（以下簡稱《管理指南》）正在緊鑼密鼓地籌備過程中。記者日前在中國信息安全認證中心了解到，在《管理指南》中，對信息安全產品采購環(huán)節(jié)的管理已被列為維護政府部門整體信息安全的重要組成部分，需嚴格落實信息安全經費預算，保證信息安全工作的經費投入。

在采購管理方面，《管理指南》鼓勵各級政府部門采購國產信息技術產品和國內企業(yè)提供的信息技術服務。如需采購國外產品和服務，應進行必要性和安全性評估。對于辦公用計算機、服務器等設備的更新換代，鼓勵采購配備國產CPU的產品。公文處理軟件、信息安全產品等應采購國產產品，信息安全產品應經過國家統(tǒng)一認證。

此外，各級政府部門接受捐贈的信息技術產品，使用前應進行安全測評，并與捐贈方簽訂信息安全與保密協(xié)議，不得采購社會第三方認證機構提供的信息安全管理體系認證服務。信息系統(tǒng)數據中心、災備中心不得設立在境外。

《管理指南》規(guī)定，各級政府部門開展信息化建設時，應按照同步規(guī)劃、建設和運行的原則，同步規(guī)劃、設計、建設、運行、管理信息安全設施，建立健全信息安全防護體系。

據了解，結合各級政府部門的工作實踐，《管理指南》在信息安全組織管理、日常信息安全管理（具體包括人員管理、資產管理、采購管理、外包管理、經費保障）、信息安全防護管理（具體包括網絡邊界防護管理、信息系統(tǒng)防護管理、門戶網站防護管理、電子郵件防護管理、終端計算機防護管理、存儲介質防護管理）、信息安全應急管理、信息安全教育培訓以及信息安全檢查等6大方面對信息安全管理工作進行了詳盡的規(guī)定。

《管理指南》涉及政府采購的內容還包括資產管理、經費保障等方面。其中，對涉及信息安全資產管理的具體要求是建立并嚴格執(zhí)行資產管理制度，指定專人負責資產管理，同時建立資產臺賬（清單），統(tǒng)一編號、標識和發(fā)放，及時記錄資產狀態(tài)和使用情況，保證賬物相符，建立并嚴格執(zhí)行設備維修維護和報廢管理制度。對經費保障的具體要求是各級政府部門應將信息安全設施運行維護、日常信息安全管理、信息安全教育培訓、信息安全檢查、信息安全風險評估、信息系統(tǒng)等級測評、信息安全應急處置等費用納入部門年度預算，并嚴格落實信息安全經費預算，保證信息安全工作的經費投入。