基于5W2H視角的高校涉密采購管理研究

李 歡, 趙睿英, 張曉丹, 蘭 山

(北京理工大學 實驗室與設備管理處, 北京 100081)

近年來,高等學校承接越來越多的國家科研任務,涉密采購項目數量日益增加。在采購過程中保障國家秘密安全,建立一套預警機制和保密機制十分重要。令人遺憾的是由于我國關于涉密采購的立法仍處于不健全狀態,相關法律制度遲遲沒有出臺。而高等學校中,也未針對涉密項目采購制定管理規范,造成涉密采購執行過程普遍存在一些涉密問題。因此,針對高等學校具體情況,開展涉密采購管理的研究與探索迫在眉睫。

1 5W2H分析法概述

“5W2H分析法”又稱為“七何分析法”,其具體內容包括:

(1) Why:為什么要這樣做？問題所在？

(2) What:內容是什么？具體是什么工作？

(3) Who:完成誰的任務？由誰來負責、承擔？

(4) When:什么時間做？什么時機最適宜？何時完成？

(5) Where:在哪里做？從哪里入手？

(6) How:如何完成？用什么方法？

(7) How much:做到什么程度？數量、質量如何？成本效益如何等7個方面[1]。

該方法簡單、方便,易于理解、使用且富有啟發意義,對于分析解決當事人面臨的新問題很有幫助,也有助于彌補考慮問題的疏漏。

2 高校涉密采購工作的5W2H分析

2.1 Why:涉密采購管理的原因

2.1.1 制度缺失

《保守國家秘密法》及《保守國家秘密法實施條例》明確提出,政府采購監督管理部門、保密行政管理部門應當依法加強對涉及國家秘密的工程、貨物和服務采購的監督管理[2]。《政府采購法》《招投標法》《保守國家秘密法》《中央預算單位變更政府采購方式審批管理辦法》等法律法規中都為涉密采購留出了制定特定法律規范的空間,但是仍然沒有出臺直接管理涉密采購的特定法律法規,涉密采購相關法律法規尚不健全。

2.1.2 涉密采購項目認定不明確

高校涉密采購項目的認定存在不規范,對于采購項目是否屬于涉密項目,往往由采購執行單位自行判斷確定,而采購執行單位并不具備保密管理、項目定密職能,采購執行單位對采購項目涉密性認定并不妥當。

2.1.3 采購程序不規范

涉密采購項目在采購執行過程中存在不嚴謹,對于涉密采購項目自行采購過程中,沒有采購涉密規范。對于不同的涉密采購項目,不能按照規范流程確定采購方式,采購專家小組的確定也不規范。

深圳市政府采購中心出臺了《涉密項目網下采購操作辦法》,對涉密采購項目中的涉密注意事項有較為詳細的規定,強調了涉密采購執行中的涉密信息保護。廣東省國家保密局發布了《關于規范我省政府涉密采購工作的通知》,從涉密采購項目的審查、認定核準、管理、監督檢查方面做出相對應的規定,確保采購執行過程中的涉密信息安全[3]。但上述規定中對于涉密采購項目的審批、供應商資格審查、涉密采購方式的執行規范均沒有詳細明確的規定,無法對涉密采購項目系統化管理。

國內各高等學校關于涉密采購管理的研究較少,中山大學開展了涉密采購的風險管理研究,但重點側重于涉密采購中機構組織、項目計劃、項目執行、供應商4類風險的科學評估,并未研究涉密采購管理實施過程[4]。

2.1.4 部分信息安全產品缺乏統一技術標準

部分涉密信息安全產品缺乏技術標準,例如屏蔽機柜領域存在6種技術標準,對于用戶在針對涉密信息安全產品進行需求調研時,無法確定依據哪一類技術標準更能夠保障信息安全,易形成信息安全隱患[5]。

2.2 What and where:涉密采購管理內容與關鍵區

涉密采購是涉及國家秘密的政府采購,其涉密性質并不體現在政府采購的貨物、工程和服務本身涉及國家秘密,而是按照法律法規在進行政府采購過程中要公開或者披露相關信息,這些信息中包含國家秘密,因此涉密采購管理中需針對涉密信息開展管理。采購過程中采購人和供應商通過采購文件、采購澄清文件、現場踏勘等方式交換的信息可能含有保密信息。

特別是采購對象直接使用于涉密信息系統中,或項目現場屬于涉密場所等情況,更應注意隱患檢測及現場保護。對于貨物或工程采購,采購對象可能存在信息安全隱患,如果直接應用于信息系統搭建,極其容易造成信息泄露；對于服務采購,在項目現場,供應商有與涉密人員直接接觸的機會,可能產生信息安全問題。涉密采購的關鍵區,應從技術角度進行重點防范。

2.3 Who:涉密采購的責任主體

涉密采購管理中,劃定各方責任、確定責任主體是涉密采購工作亟需解決的問題。目前,高校沒有專門機構對涉密采購工作負責,也沒有統一的部門組織制定涉密采購標準和執行規范。

2.3.1 加強采購部門執行責任

采購部門應全面把握涉密采購項目,全生命周期把控涉密項目執行進度。重點放在對涉密采購項目中涉密風險的預防,堅持落實誰采購誰負責、先審查審批后執行采購、先技術安全檢測后使用交付的標準,明確各環節主體責任人。

2.3.2 建立評審專家庫

對于涉密采購項目,雖然可以通過涉密信息的屏蔽削弱失泄密風險,但是在采購項目評審中,仍存在極大的失泄密概率。針對涉密采購項目的特殊性,建立專用于涉密采購項目的評審專家庫,嚴格管控評審專家,把控涉密信息知悉范圍,對于實現涉密采購項目的監管與完善涉密采購流程具有重要意義[6-7]。

涉密項目評審專家在負責采購項目評審監督的同時,還應確保涉密采購工作中國家秘密的安全。評審專家的抽取還應對應涉密項目的等級,并對參與評審的專家從政治素質、法律知識、業務領域、技術能力及實踐經驗等方面做出嚴格篩選。

2.4 When:涉密采購管理實施條件

原則上,只有完成了涉密項目的認定、涉密信息范圍的明確,才可以啟動涉密采購。對于高等學校中的涉密采購項目,在校級部門認定的同時,原則上還應得到同級別的保密工作組織的認證。規范并明確涉密采購項目的認定流程,對涉密項目的涉密范圍、涉密等級、涉密事項進行全面細化認定。在涉密項目情況認定明確后,應依據項目情況確定采購方式,制定采購執行流程。

2.5 How:涉密采購管理的步驟

2.5.1 規范涉密采購項目認定

涉密采購項目的涉密范圍認定旨在明確涉密信息范圍,對于同一涉密項目,如果可以實現涉密信息的隔離,可將涉密項目對應的分包按照涉密采購項目執行,而非涉密采購分包應嚴格按照非涉密采購執行。涉密采購項目的涉密等級認定也至關重要,應嚴格按照采購項目的涉密等級認定情況,對采購執行過程中的參與人員、供方資質等提出明確要求,杜絕出現涉密信息超出知悉范圍傳遞的現象。

依據涉密采購項目認定情況制定相應采購方式時,原則上應采用非公開招標方式,采用歸口單位自行采購的方式采購,主要包括邀請招標、詢價采購、競爭性談判、競爭性磋商,單一來源談判等方式。對于公開招標限額標準以上的涉密采購項目應報財政部批準。單位自行采購時,應將涉密采購項目認定材料、同級別保密工作組織認證材料備案。對于涉密采購項目采購方式的確定與執行,應制定嚴格的內部控制制度,明確采購執行的具體流程。

2.5.2 加強涉密采購供方資質審查

嚴格審查涉密采購項目的供應商資質,供應商應具備以下條件:在中華人民共和國境內注冊；由中華人民共和國公民、法人投資,國家投資或者控股,并在中華人民共和國境內有獨立的法人資格；服務人員、技術人員為中華人民共和國公民；具備完備的保密管理和人員管理制度；法律、行政法規規定的其他條件。

涉密采購項目中,原則上應采購國產產品,特別是直接應用于涉密信息系統的相關設備。如特殊情況下,國內無可替代產品,國外供應商需通過國內滿足涉密采購項目供應商條件的第三方代理參與采購,且服務也必須通過國內第三方進行。

2.5.3 嚴格控制涉密信息

涉密采購項目中的涉密信息,可以采取隱蔽相關信息或采用替換信息的方式進行掩護。針對采購對象本身涉密、采購用途涉密、采購目的涉密、采購渠道涉密等不同情況,制定相對應的涉密信息保護措施。涉密采購信息傳遞中的有關載體,應嚴格按照保密相關規定做到全生命周期管控。著重關注采購信息傳遞與公示等環節,并重點審核提供給供應方的信息。采購單位應與參與涉密采購項目的供應商及相關人員簽訂保密協議,明確在采購執行中的涉密事項,規范涉密信息的安全保密措施,明確各方的保密職責,確保采購執行過程中各個環節的信息安全可控。在采購合同執行過程中,加強涉密信息的管控與防范,在合同驗收過程嚴格監督檢測,核準合同執行中供應商的保密資質與安全供應能力,監督供方服務人員的涉密資質[8-12]。

2.6 How much:涉密采購管理的效益

高等學校中,涉密采購管理的涉密采購項目的認定多依靠本單位內部相關部門,對于涉密采購項目的涉密等級認定、項目中涉密范圍認定模糊不規范。不排除存在個別采購人存在傾向性需求或出于其他目的,將本不屬于涉密采購范圍的項目認定為涉密項目,躲避公開公平競爭的采購流程。也存在保密意識不強,將涉密采購項目按照普通采購項目執行的情況[13]。涉密采購的規范化管理,使得采購的認定、執行步驟等有明確依據,有助于在保證涉密信息安全的前提下提升采購競爭性。

3 結語

高校涉密采購管理是互聯網時代采購部門面臨的新課題,涉及保密管理與采購管理人員、信息安全技術、涉密認定、采購執行等多方面,只由采購執行部門很難完成,需要相關各個部門緊密合作。基于高校涉密采購管理工作實際,需要從高校各部門間統籌管理角度出發,制定一套切實可行的組織領導機制,出臺詳細明確的涉密采購管理制度,建立規范的涉密采購管理體系。從5W2H角度系統梳理分析涉密采購管理,對涉密采購管理工作的機制構建和業務實踐具有重要指導意義。

參考文獻(References)

[1] 吳莉. 5W2H視角下的高校圖書館學科化服務[J]. 圖書館研究, 2014, 44(2):98-101.

[2] 趙勇. 關注涉密項目政府采購中的信息安全[J]. 中國信息安全, 2013(6):44-47.

[3] 彭志. 美國涉密政府采購及其保密管理初探[J]. 保密科學技術, 2016(12).45-46.

[4] 駱嘉玲. 涉密采購的風險管理研究[D].廣州:中山大學,2016.

[5] 技術標準缺失 涉密IT企業無奈[EB/OL].(2009-04-22). http://it.caigou2003.com/chanye/714226.html.

[6] 安爾華. 涉密單位物資采購安全保密初探[J]. 保密科學技術, 2013(2):55-58.

[7] 內蒙古自治區保密局. 內蒙古自治區建立涉密采購專家評審制度[J]. 保密科學技術, 2014(6):75-75.

[8] 《中國招標》編輯部. 涉密項目采購亟需“加密”[J]. 中國招標, 2010(29):4-7.

[9] 楊斯楠. 談美國涉密采購制度[J]. 中國政府采購, 2016(10):74-76.

[10] 安徽省財政廳關于印發《安徽省省級政府采購涉密項目管理暫行辦法》的通知[EB/OL].(2013-12-30).http://www.ahcz.gov.cn/portal/zwgk/zbcg/zbzc/1399308562759924.htm.

[11] 國務院要求加強涉密采購管理[EB/OL].(2014-02-21). http://caigou.prcfe.com/articles/19287.

[12] 山東省威海市政府采購管理辦公室. 威海市出臺政府采購項目方案專家論證辦法[J]. 中國政府采購, 2009(12):14-14.

[13] 劉楊. 涉密采購保密管理制度研究[M]. 北京:中國政法大學出版社, 2014.