美国政采如何保障信息安全 上 下 【转贴】

gzztitc

美国政采如何保障信息安全（上）

中国招标投标协会 转发 2014-03-25 作者 ：白志远

政府采购信息安全对于任何国家来说都是至关重要的，因为它关系国家政治、经济与社会的现在及未来的全方位利益。基于此，世界各国都很看重政府采购信息安全管理，美国更是把信息安全放在政府采购活动的首要地位。美国在理念上，要求把对政府采购信息安全追求与热爱美国人的祖国等同；在范围上，政府采购信息安全远远大于政府采购信息技术安全；在制度上，不同层次的法规体系和执行标准、政府采购官员安全职责以及供应商和其从业者忠诚等级规范等构建了美国完善的政府采购信息安全管理体系。美国的政府采购信息安全管理模式和制度体系对于建设我国政府采购制度有着重要的借鉴意义。

——引言

信息安全是指保护信息和信息系统免于非法介入取得、使用、披露、破坏、修改或毁灭，其目的：一是信息完整，即保护信息免于不正当的修改或破坏，以及确保信息的确定性和真实性；二是机密性，即信息的使用和披露的授权限制，包括保护个人隐私和专有资料；三是可用性，即确保信息及时可靠地获得和使用。美国是信息发达国家，同时又是高度重视国家信息安全的国家；它把国家信息安全称为祖国信息安全。美国对国家信息安全极度爱护的理念也充分体现在政府采购信息安全管理之中，并通过政府采购制度实现美国政府的信息安全政策目标。

国家产业安全计划

美国1993年1月6日标题为“国家产业安全计划”(NISP)的第12829行政令（1993年1月8日58联邦法规第3479条）规定了对被授予政府合同的供应商、政府信息使用许可证持有人以及有资格者（政府信息使用）公开联邦政府机密信息的保护。这个行政令修改了1960年2月20日标题为“产业机密信息安全防护”的第10865行政令（1960年2月25日25联邦法规第1583条），其内容曾在1961年1月17日第10909行政令（1961年1月20日26联邦法规第508条）中被修改过。

《国家产业安全计划实施指南》体现了这些行政指令的要求。通过与所有相关的机构磋商并得到能源部长、原子能条例委员会主席和情报中心主任的同意，国防部长负责发布和执行这个指南。此外，《产业安全条例》中也作了相应的安全规范。

合同官员的职责

合同官必须确保达到了所有法律、行政命令和法规要求以及满足所有其他适用程序（包括排除不适当和批准等程序），才能签订合同。合同官负责确保有效合同实现的所有行为实施，确保遵守合同的有关条款和保护合同相关关系中美国的利益。为了执行这些职责，合同官应该被赋予进行商业判断的广泛自由裁量权。根据实际需要，合同官应该要求和考虑审计、法律、工程、信息安全、交通以及其他方面专家的建议。

在采购需求发布前阶段，合同官将复审所有采购需求计划，确定在合同执行阶段是否可能要求报价人或者供应商涉及机密信息。如果要求涉及另一个机构的机密信息，这个合同官将要确定这个机构是否属于NISP所包括的范围，而且遵循所要求的产业安全检查规定程序。如果被要求涉及的机密信息是来自本机构，合同官员将遵循本机构的安全检查程序。

在征求供应商阶段，合同官应依据具体情况，确保按照NISP要求或者机构保密程序进行机密采购，而且在采购要求中要设立一项相应的安全要求条款。依据实际情况，在采购需求和合同中涉及机密信息要求时，除了设定的安全条款内容之外，要增加安全防护的要求条款。

在合同授予阶段，合同官应告知供应商和分包商关于机密合同的各种文件、材料、任务、分包合同，以及合同组成等相应的安全保密等级和要求，包括NISP中所覆盖的机构使用《合同安全保密等级规范》和国防部第254表。合同官或者授权代表是此表的批准官员，而且他们要确保此表依照《产业安全条例》准备和发放。如果合同签订人员所在的机构不在NISP之内，可依据本机构的安全保密程序进行合同授予。

确保信息安全的采购计划

机构负责人要确保本机构信息技术采购计划员遵守《联邦信息安全管理法案》（美国公法第44部分第3544款）、预算管理办公室第A-130通知中包括附录3的联邦预算办公室执行政策以及国家标准和技术协会的商业部门指南和标准。

如果采购涉及安全事项，本机构信息技术采购计划员应论证将怎样建立、维护和监控适当的安全；如果是信息技术采购，应论证机构如何达到信息安全；如果采购要求供应商在执行合同时具体使用联邦控制的公共设施或信息系统，应论证如何实现机构要求的合同承包商个人身份查证。

此外，依据《公法》108-136第1428部分，一般情况下机构不能禁止供应商允许其员工在执行政府合同中利用电脑终端远距离办公。但是合同官起初就确定如果允许远距离办公将无法达到包括安全要求在内的机构要求，他将以书面文件说明该决定的依据并在采购需求中规定禁止远距离办公。

执行社会政策的安全例外

（一）小企业预留份额政策

小企业管理机构可以安排一个或更多采购中心代表到任何合同签订办公室或合同管理办公室来参与小企业政策和项目的实施。被指派的小企业管理中心代表要遵守合同签订机构的关于管理缔约人员行为和信息披露的指南。小企业管理机构要依据合同签订办公室的要求，对它的采购中心代表进行安全调查并提供证明材料。合同官应依据本机构的要求及相应的采购安全法规，使小企业管理中心代表有权使用所有适当的、与他们公务直接相关的可获得的有关合同信息。

（二）执行劳动法的就业政策

1.平等就业机会。“平等权利计划”是指遵守劳动部关于确保少数民族和妇女平等就业机会法规的供应商计划（即对少数民族和妇女供应商不能歧视）。如果机构负责人确定合同关系国家安全，并为了维护国家安全，在合同授予时可以不遵守劳动法关于就业机会部分的一个或多个要求。如果做出这样的决定，该机构在30日内书面告知国防部副部长助理。

2.特殊残疾退伍军人、越南战争时期退伍军人以及其他合法的退伍军人。当机构负责人断定合同对于国家安全十分重要，而且合同授予遵守劳动法关于特殊残疾退伍军人、越南战争时期退伍军人，以及其他合法的退伍军人的规定不利于国家安全时，他可以不遵守这些要求。基于以上决定，该机构在30日内书面告知国防部副部长助理。

3.残疾工人就业。当机构负责人断定合同对于国家安全十分重要，而且合同授予遵守劳动法关于残疾工人就业规定不利于国家安全时，民用部门的负责人与国防部副部长助理或与国防部部长达成共识，可以不遵守这些要求。基于以上决定，该民用部门负责人在30日内书面告知国防部副部长助理。

充分竞争采购方式的例外

（一）非公开充分竞争

依据《美国法典》第10部分第2304(c)(6)条或者《美国法典》第41部分第253(c)(6)条赋予的权力，为了国家安全，政府机构需求信息将不予披露时，不必使用公开充分竞争的采购方式。当政府采购需求信息披露让步于国家安全（例如，披露将违反安全要求）时，任何采购都可以采用非公开充分竞争。但只是因为采购是机密的，或者只因为采购计划或执行合同必须使用机密资料，非公开充分竞争权力将不被使用。

（二）密封投标采购

如果不违反机构安全性要求，密封投标可以被用于机密采购。一般的公众不能参与机密采购的开标。如果投标人或者其代表已经过适当安全审查，他可以参加开标和记录开标结果。合同官也可以在稍后时间向已经过适当安全审查的投标人代表公开这些开标内容，但是不公开对于机密邀标响应的投标价格组成情况的记录。

安全合同公告例外

对于《联邦采购条例》要求公告的采购信息，合同官必须向政府网上门户提交披露。需求计划或者合同活动包含机密信息，或者执行合同必须使用机密资源的信息，可以例外而不进行公告。但是合同授予机构的负责人将要确保遵循机构安全条例通过已有的安全信息渠道，来公告机密信息。

依据2009年《美国复苏和再投资法案》的信息公开要求，如果授予合同（包括所有修改条款和采购商品订单或交货订单合同）不是以固定价格也不是以竞争价格授予的，需公告采取这种授予方式的合理性解释。公众将在政府采购网站获取这些公告和合理性说明信息，当然这些内容不包括任何专有信息或因国家安全保护不能披露的信息。（作者:白志远   单位：中南财经政法大学中国政府采购研究所，

来源：中国政府采购网

保存时间:2014/4/2
原标题:中国招标投标协会
http://www.ctba.org.cn/list_show.jsp?record_id=217865

gzztitc

美国政采如何保障信息安全（下）

中国招标投标协会转发 2014-03-25

供应商及其从业人员的安全等级审查

（一）中央政府合同供应商注册

在合同授予或协议达成之前的潜在供应商将被注册入合同承包商注册中心数据库，但是机密合同例外。

（二）个人身份的查证

个人身份查证的政策和程序要依据第201期《联邦信息处理标准》(FIPS PUB)“联邦雇员和合同承包人的个人身份查证”，以及2005年8月5日预算管理办公室(OMB)指南M-05-24“执行第12号国家安全总统令(HSPD-12)-关于联邦雇员和合同承包人身份识别的共同标准政策”。

依照第201期FIPS PUB的规定，机构只能购买已经过个人身份查证的供应商产品和服务。

（三）合格雇用查证

要求供应商使用国家安全部(DHS)、美国公民和移民服务机构的合格雇用查证计划(E-Verify)作为查证某些雇员就业合格的方法。

供应商可以选择对所有1986年11月6日以后已在美国受雇用的从业人员进行雇用合格调查，而不是仅针对被指派的合同实施从业人员。对于已持有信任、机密或高级机密的有效安全调查证明的从业人员，或者依据HSPD-12已经通过背景调查并获得信任证明的从业人员，不要求调查其雇用合格性。

合同安全条款要求

在采购需求和合同条款中存在要求信息保密的可能性时，合同官将依据《联邦采购条例》的安全要求加入信息安全条款。

专利条款。比如，一旦收到依据《联邦采购条例》第52部分第227-10条(a) 和 (b)段关于机密主题专利申请书报呈条款提交的专利申请书，合同官将确定专利申请书的安全保密等级。如果申请包含了机密主题，合同官将告诉供应商如何在法律顾问帮助下依据相应的程序，将申请转移到美国专利办公室。

电子资金转账支付。政府将通过电子资金转账(EFT)支付所有合同款项，但是为了保护机密信息或国家安全的安全防护，可以不使用EFT。

产品研究与开发。如果合同官把其合同有关事项确认为国家机密、需要保护的数据以及适用新技术推广政策，将要遵守机构安全法规，并应把报告呈送给国家技术信息服务机构(NTIS)。

此外，在政府合同档案中应有安全性要求文件。

信息技术安全采购

（一）采购政策

依据公法第105-277条，1999年财政年度《拨款和授权综合法案》A部分第101(h)章节第六标题第622条要求，机构没有遵守《联邦采购条例》第39部分第106款内容就不能使用拨款资金采购信息技术，除非机构首席信息（管理）官认为不遵守该款内容，对于该机构的功能和运转十分必要或者采购合同是在1998年10月21日前生效的。首席信息（管理）官员必须向预算管理办公室提交一份免于遵守该款规定的所有证明文件副本，并由预算管理办公室转交国会。

在信息技术采购中，机构将依据预算管理办公室第A-130通知，包括资源安全、秘密保护、国家安全和突发事件、残疾人群居住条件以及能源效率，以及个人计算机产品的环境评估标准，来确定他们的要求。

在制订采购计划时，合同官应当通过市场调查考虑信息技术的迅速变化本质属性以及技术升级方法的应用。该机构合同官应该与需求方的官员协商以确保（采购信息中）包含相应的安全标准。

（二）风险管理

在签订信息技术采购合同之前，采购机构应该分析风险、收益和成本。在选择投资计划和实施项目期间合同和项目办公室的官员共同负责评估、监督和控制风险。

（三）标准化合同

依据《1996年卡琳尔-科恩法案》（公法第104-106条）第5202部分关于增加信息技术采购规定，签订标准合同的目的是为了在满足联邦政府能及时使用迅速发展的技术的同时，减轻项目风险和激励供应商执行合同。

当使用标准合同时信息系统的采购可以被分为几个较小的采购标的。

采购的特殊性可随采购信息技术的类型和系统本质的发展而变化。需要考虑：(1)为了促进兼容性，在可行和适当时每个通过标准合同获得的独立部分的信息技术应该遵守共同的或商业上可接受的信息技术标准，以及符合该机构的主要信息技术体系结构要求。(2)每个独立采购部分的性能要求应该与总体系统性要求保持一致，以及应该满足后续采购的接口要求。

为了避免过时，在可行的最大程度上信息技术采购的标准合同应该在发标后180日内授标。如果不能在180日授标，采购机构应考虑取消招标。在可行的最大程度上依据合同要求应该在发标后18个月内交货。

（四）隐私权

采购机构应按照《隐私权法》（《美国法典》第5部分第552a条）和《联邦采购条例》第24部分规定，确保合同中对信息技术秘密性表述的保护。此外，对于使用商业信息技术服务或信息技术辅助服务设计、发展记录系统或操作该系统的合同，每个机构应该确保供应商和其雇员都遵守采购机构的管理规定。为确保在执行合同期间继续有效实施安全防护，同时发现和抵御新威胁和危险因素，每个机构需要有一个政府安全检查程序。

（五）电子和信息技术

在授权采购或交付订单时，需求和订货活动必须确保货物或服务满足《联邦法规法典》（CFR）第36部分第1194条规定的相应信息安全标准，除非适用例外。

为了满足及时交货要求，机构采购商品时必须按照信息安全标准在市场上采购已有的货物或服务。



来源：中国政府采购网     作者：白志远    单位：中南财经政法大学中国政府采购研究所



保存时间:2014/4/2
原标题:中国招标投标协会
http://www.ctba.org.cn/list_show.jsp?record_id=217866