基于5W2H视角的高校涉密采购管理研究

李 欢, 赵睿英, 张晓丹, 兰 山

(北京理工大学 实验室与设备管理处, 北京 100081)

近年来,高等学校承接越来越多的国家科研任务,涉密采购项目数量日益增加。在采购过程中保障国家秘密安全,建立一套预警机制和保密机制十分重要。令人遗憾的是由于我国关于涉密采购的立法仍处于不健全状态,相关法律制度迟迟没有出台。而高等学校中,也未针对涉密项目采购制定管理规范,造成涉密采购执行过程普遍存在一些涉密问题。因此,针对高等学校具体情况,开展涉密采购管理的研究与探索迫在眉睫。

1 5W2H分析法概述

“5W2H分析法”又称为“七何分析法”,其具体内容包括:

(1) Why:为什么要这样做？问题所在？

(2) What:内容是什么？具体是什么工作？

(3) Who:完成谁的任务？由谁来负责、承担？

(4) When:什么时间做？什么时机最适宜？何时完成？

(5) Where:在哪里做？从哪里入手？

(6) How:如何完成？用什么方法？

(7) How much:做到什么程度？数量、质量如何？成本效益如何等7个方面[1]。

该方法简单、方便,易于理解、使用且富有启发意义,对于分析解决当事人面临的新问题很有帮助,也有助于弥补考虑问题的疏漏。

2 高校涉密采购工作的5W2H分析

2.1 Why:涉密采购管理的原因

2.1.1 制度缺失

《保守国家秘密法》及《保守国家秘密法实施条例》明确提出,政府采购监督管理部门、保密行政管理部门应当依法加强对涉及国家秘密的工程、货物和服务采购的监督管理[2]。《政府采购法》《招投标法》《保守国家秘密法》《中央预算单位变更政府采购方式审批管理办法》等法律法规中都为涉密采购留出了制定特定法律规范的空间,但是仍然没有出台直接管理涉密采购的特定法律法规,涉密采购相关法律法规尚不健全。

2.1.2 涉密采购项目认定不明确

高校涉密采购项目的认定存在不规范,对于采购项目是否属于涉密项目,往往由采购执行单位自行判断确定,而采购执行单位并不具备保密管理、项目定密职能,采购执行单位对采购项目涉密性认定并不妥当。

2.1.3 采购程序不规范

涉密采购项目在采购执行过程中存在不严谨,对于涉密采购项目自行采购过程中,没有采购涉密规范。对于不同的涉密采购项目,不能按照规范流程确定采购方式,采购专家小组的确定也不规范。

深圳市政府采购中心出台了《涉密项目网下采购操作办法》,对涉密采购项目中的涉密注意事项有较为详细的规定,强调了涉密采购执行中的涉密信息保护。广东省国家保密局发布了《关于规范我省政府涉密采购工作的通知》,从涉密采购项目的审查、认定核准、管理、监督检查方面做出相对应的规定,确保采购执行过程中的涉密信息安全[3]。但上述规定中对于涉密采购项目的审批、供应商资格审查、涉密采购方式的执行规范均没有详细明确的规定,无法对涉密采购项目系统化管理。

国内各高等学校关于涉密采购管理的研究较少,中山大学开展了涉密采购的风险管理研究,但重点侧重于涉密采购中机构组织、项目计划、项目执行、供应商4类风险的科学评估,并未研究涉密采购管理实施过程[4]。

2.1.4 部分信息安全产品缺乏统一技术标准

部分涉密信息安全产品缺乏技术标准,例如屏蔽机柜领域存在6种技术标准,对于用户在针对涉密信息安全产品进行需求调研时,无法确定依据哪一类技术标准更能够保障信息安全,易形成信息安全隐患[5]。

2.2 What and where:涉密采购管理内容与关键区

涉密采购是涉及国家秘密的政府采购,其涉密性质并不体现在政府采购的货物、工程和服务本身涉及国家秘密,而是按照法律法规在进行政府采购过程中要公开或者披露相关信息,这些信息中包含国家秘密,因此涉密采购管理中需针对涉密信息开展管理。采购过程中采购人和供应商通过采购文件、采购澄清文件、现场踏勘等方式交换的信息可能含有保密信息。

特别是采购对象直接使用于涉密信息系统中,或项目现场属于涉密场所等情况,更应注意隐患检测及现场保护。对于货物或工程采购,采购对象可能存在信息安全隐患,如果直接应用于信息系统搭建,极其容易造成信息泄露；对于服务采购,在项目现场,供应商有与涉密人员直接接触的机会,可能产生信息安全问题。涉密采购的关键区,应从技术角度进行重点防范。

2.3 Who:涉密采购的责任主体

涉密采购管理中,划定各方责任、确定责任主体是涉密采购工作亟需解决的问题。目前,高校没有专门机构对涉密采购工作负责,也没有统一的部门组织制定涉密采购标准和执行规范。

2.3.1 加强采购部门执行责任

采购部门应全面把握涉密采购项目,全生命周期把控涉密项目执行进度。重点放在对涉密采购项目中涉密风险的预防,坚持落实谁采购谁负责、先审查审批后执行采购、先技术安全检测后使用交付的标准,明确各环节主体责任人。

2.3.2 建立评审专家库

对于涉密采购项目,虽然可以通过涉密信息的屏蔽削弱失泄密风险,但是在采购项目评审中,仍存在极大的失泄密概率。针对涉密采购项目的特殊性,建立专用于涉密采购项目的评审专家库,严格管控评审专家,把控涉密信息知悉范围,对于实现涉密采购项目的监管与完善涉密采购流程具有重要意义[6-7]。

涉密项目评审专家在负责采购项目评审监督的同时,还应确保涉密采购工作中国家秘密的安全。评审专家的抽取还应对应涉密项目的等级,并对参与评审的专家从政治素质、法律知识、业务领域、技术能力及实践经验等方面做出严格筛选。

2.4 When:涉密采购管理实施条件

原则上,只有完成了涉密项目的认定、涉密信息范围的明确,才可以启动涉密采购。对于高等学校中的涉密采购项目,在校级部门认定的同时,原则上还应得到同级别的保密工作组织的认证。规范并明确涉密采购项目的认定流程,对涉密项目的涉密范围、涉密等级、涉密事项进行全面细化认定。在涉密项目情况认定明确后,应依据项目情况确定采购方式,制定采购执行流程。

2.5 How:涉密采购管理的步骤

2.5.1 规范涉密采购项目认定

涉密采购项目的涉密范围认定旨在明确涉密信息范围,对于同一涉密项目,如果可以实现涉密信息的隔离,可将涉密项目对应的分包按照涉密采购项目执行,而非涉密采购分包应严格按照非涉密采购执行。涉密采购项目的涉密等级认定也至关重要,应严格按照采购项目的涉密等级认定情况,对采购执行过程中的参与人员、供方资质等提出明确要求,杜绝出现涉密信息超出知悉范围传递的现象。

依据涉密采购项目认定情况制定相应采购方式时,原则上应采用非公开招标方式,采用归口单位自行采购的方式采购,主要包括邀请招标、询价采购、竞争性谈判、竞争性磋商,单一来源谈判等方式。对于公开招标限额标准以上的涉密采购项目应报财政部批准。单位自行采购时,应将涉密采购项目认定材料、同级别保密工作组织认证材料备案。对于涉密采购项目采购方式的确定与执行,应制定严格的内部控制制度,明确采购执行的具体流程。

2.5.2 加强涉密采购供方资质审查

严格审查涉密采购项目的供应商资质,供应商应具备以下条件:在中华人民共和国境内注册；由中华人民共和国公民、法人投资,国家投资或者控股,并在中华人民共和国境内有独立的法人资格；服务人员、技术人员为中华人民共和国公民；具备完备的保密管理和人员管理制度；法律、行政法规规定的其他条件。

涉密采购项目中,原则上应采购国产产品,特别是直接应用于涉密信息系统的相关设备。如特殊情况下,国内无可替代产品,国外供应商需通过国内满足涉密采购项目供应商条件的第三方代理参与采购,且服务也必须通过国内第三方进行。

2.5.3 严格控制涉密信息

涉密采购项目中的涉密信息,可以采取隐蔽相关信息或采用替换信息的方式进行掩护。针对采购对象本身涉密、采购用途涉密、采购目的涉密、采购渠道涉密等不同情况,制定相对应的涉密信息保护措施。涉密采购信息传递中的有关载体,应严格按照保密相关规定做到全生命周期管控。着重关注采购信息传递与公示等环节,并重点审核提供给供应方的信息。采购单位应与参与涉密采购项目的供应商及相关人员签订保密协议,明确在采购执行中的涉密事项,规范涉密信息的安全保密措施,明确各方的保密职责,确保采购执行过程中各个环节的信息安全可控。在采购合同执行过程中,加强涉密信息的管控与防范,在合同验收过程严格监督检测,核准合同执行中供应商的保密资质与安全供应能力,监督供方服务人员的涉密资质[8-12]。

2.6 How much:涉密采购管理的效益

高等学校中,涉密采购管理的涉密采购项目的认定多依靠本单位内部相关部门,对于涉密采购项目的涉密等级认定、项目中涉密范围认定模糊不规范。不排除存在个别采购人存在倾向性需求或出于其他目的,将本不属于涉密采购范围的项目认定为涉密项目,躲避公开公平竞争的采购流程。也存在保密意识不强,将涉密采购项目按照普通采购项目执行的情况[13]。涉密采购的规范化管理,使得采购的认定、执行步骤等有明确依据,有助于在保证涉密信息安全的前提下提升采购竞争性。

3 结语

高校涉密采购管理是互联网时代采购部门面临的新课题,涉及保密管理与采购管理人员、信息安全技术、涉密认定、采购执行等多方面,只由采购执行部门很难完成,需要相关各个部门紧密合作。基于高校涉密采购管理工作实际,需要从高校各部门间统筹管理角度出发,制定一套切实可行的组织领导机制,出台详细明确的涉密采购管理制度,建立规范的涉密采购管理体系。从5W2H角度系统梳理分析涉密采购管理,对涉密采购管理工作的机制构建和业务实践具有重要指导意义。

参考文献(References)

[1] 吴莉. 5W2H视角下的高校图书馆学科化服务[J]. 图书馆研究, 2014, 44(2):98-101.

[2] 赵勇. 关注涉密项目政府采购中的信息安全[J]. 中国信息安全, 2013(6):44-47.

[3] 彭志. 美国涉密政府采购及其保密管理初探[J]. 保密科学技术, 2016(12).45-46.

[4] 骆嘉玲. 涉密采购的风险管理研究[D].广州:中山大学,2016.

[5] 技术标准缺失 涉密IT企业无奈[EB/OL].(2009-04-22). http://it.caigou2003.com/chanye/714226.html.

[6] 安尔华. 涉密单位物资采购安全保密初探[J]. 保密科学技术, 2013(2):55-58.

[7] 内蒙古自治区保密局. 内蒙古自治区建立涉密采购专家评审制度[J]. 保密科学技术, 2014(6):75-75.

[8] 《中国招标》编辑部. 涉密项目采购亟需“加密”[J]. 中国招标, 2010(29):4-7.

[9] 杨斯楠. 谈美国涉密采购制度[J]. 中国政府采购, 2016(10):74-76.

[10] 安徽省财政厅关于印发《安徽省省级政府采购涉密项目管理暂行办法》的通知[EB/OL].(2013-12-30).http://www.ahcz.gov.cn/portal/zwgk/zbcg/zbzc/1399308562759924.htm.

[11] 国务院要求加强涉密采购管理[EB/OL].(2014-02-21). http://caigou.prcfe.com/articles/19287.

[12] 山东省威海市政府采购管理办公室. 威海市出台政府采购项目方案专家论证办法[J]. 中国政府采购, 2009(12):14-14.

[13] 刘杨. 涉密采购保密管理制度研究[M]. 北京:中国政法大学出版社, 2014.