关于《武器装备科研生产单位保密资格标准》中第7.6.4条,单位应当明确信息化管理部门,负责信息系统、信息设备和存储设备的安全保密管理;指定或者委托内部机构(单位)负责信息系统、信息设备和存储设备的运行维护。针对此条标准,北京联合澳华将为大家详细解读信息化管理部门与运维部门的管理边界。
1、信息化管理部门与运维部门可否为一个部门?
答:信息化管理部门与运维部门不应为一个部门,两者应相互独立、分工明确,运维机构应在信息化管理部门的监督管理下开展工作。
2、信息化管理部门和运维部门可以是一个部门两块牌子吗?答:不可以。信息化管理部门应当对运行维护工作进行监管,定期会同保密工作机构和相关业务部门,组织安全保密检查,监督管理运行维护机构的工作。
3、运维机构是本单位下属机构,是否还需要专门签订运行维护合同?是否必须由信息化管理部门负责合同签订?答:运维机构属于独立法人的,都应当签订合同和保密协议,具体由哪个部门签由单位根据实际情况决定。
4、系统内运维机构无运维资质(同一法人和同一上级法人),是否可以承担运维委托?答:可以。同一法人和同一上级法人的直接下属单位的内设机构,受信息化部门委托开展运行维护工作,并接受监督指导。
5、运行维护机构为下属公司(不同法人),但无运行维护资质,是否合规?答:委托非军工系统内部单位,应有保密行政管理部门广颁发的涉密信息系统集成运行维护类资质。鉴于下属公司的结构比较复杂,应当不算为体系内单位。(参照《指导手册》评分标准130条)
6、运行维护部门可否交给两个内设部门,比如一个管理信息系统,另一个管理单机?答:可以。两个内设部门满足运行维护机构条件,接受信息化管理部门监督。同时,两个内设部门的运维人员都要符合“三员”的要求。
7、信息化管理部门出台的操作规程和运维机构出台的操作规程的区别是什么?编制时如何把握? 操作规程是信息化主管部门印发,还是运维机构印发?答:信息化管理部门出台的体系文件中的操作规程,和运维机构出台的操作规程不是一个文件。信息化管理部门的操作规程明确实施安全策略的资源、设备、工具和人员,确定流程、明确规定程序和具体步骤。运行维护部门的操作规程符合国家法律法规和标准要求,结合运行维护工作实际制定,条款清晰、分工明确、责权利并举,具有可操作性。信息化管理部门的操作规程是全体涉密信息系统使用人员都要遵照操作的,而运维机构的操作规程是“三员”在运维工作,特别是安全策略、安全保护、安全控制设置或者配置操作中要遵照执行的。而且“三员”运行维护工作在运维中的一些安全策略操作也不应当扩大知悉范围。运维机构负责制定运行维护工作制度和操作规程,但在正式印发前,应经单位信息化管理部门同意。
随着物联网的快速发展,人、机、物三元世界高度融合,大数据时代对保密工作的挑战与日俱增,申请军工保密资格前,需要设置清晰的组织机构,厘清企业职责,加强不同部门间的监管。无论是人员、组织、计算机亦或是项目我们可以提供专业指导,在满足保密标准的基础上为您提高取证时效和一次性通过率。欢迎您继续关注北京联合澳华企业管理咨询有限公司,致电咨询。