编者按:全国两会闭幕,但余音绕梁。在中科红旗倒闭背景下,两会代表委员关于信息安全和国产化的呼声更为引人注目。那么,将国家信息安全称为祖国信息安全的美国,是如何架构政府采购信息安全管理模式和制度体系的?本报特刊载有关文章,本期刊出上篇。
政府采购信息安全对于任何国家来说都是至关重要的,因为它关系国家政治、经济与社会的现在及未来的全方位利益。基于此,世界各国都很看重政府采购信息安全管理,美国更是把信息安全放在政府采购活动的首要地位。美国在理念上,要求把对政府采购信息安全追求与热爱美国人的祖国等同;在范围上,政府采购信息安全远远大于政府采购信息技术安全;在制度上,不同层次的法规体系和执行标准、政府采购官员安全职责以及供应商和其从业者忠诚等级规范等构建了美国完善的政府采购信息安全管理体系。美国的政府采购信息安全管理模式和制度体系对于建设我国政府采购制度有着重要的借鉴意义。
——引言
信息安全是指保护信息和信息系统免于非法介入取得、使用、披露、破坏、修改或毁灭,其目的:一是信息完整,即保护信息免于不正当的修改或破坏,以及确保信息的确定性和真实性;二是机密性,即信息的使用和披露的授权限制,包括保护个人隐私和专有资料;三是可用性,即确保信息及时可靠地获得和使用。美国是信息发达国家,同时又是高度重视国家信息安全的国家;它把国家信息安全称为祖国信息安全。美国对国家信息安全极度爱护的理念也充分体现在政府采购信息安全管理之中,并通过政府采购制度实现美国政府的信息安全政策目标。
国家产业安全计划
美国1993年1月6日标题为“国家产业安全计划”(NISP)的第12829行政令(1993年1月8日58联邦法规第3479条)规定了对被授予政府合同的供应商、政府信息使用许可证持有人以及有资格者(政府信息使用)公开联邦政府机密信息的保护。这个行政令修改了1960年2月20日标题为“产业机密信息安全防护”的第10865行政令(1960年2月25日25联邦法规第1583条),其内容曾在1961年1月17日第10909行政令(1961年1月20日26联邦法规第508条)中被修改过。
《国家产业安全计划实施指南》体现了这些行政指令的要求。通过与所有相关的机构磋商并得到能源部长、原子能条例委员会主席和情报中心主任的同意,国防部长负责发布和执行这个指南。此外,《产业安全条例》中也作了相应的安全规范。
合同官员的职责
合同官必须确保达到了所有法律、行政命令和法规要求以及满足所有其他适用程序(包括排除不适当和批准等程序),才能签订合同。合同官负责确保有效合同实现的所有行为实施,确保遵守合同的有关条款和保护合同相关关系中美国的利益。为了执行这些职责,合同官应该被赋予进行商业判断的广泛自由裁量权。根据实际需要,合同官应该要求和考虑审计、法律、工程、信息安全、交通以及其他方面专家的建议。
在采购需求发布前阶段,合同官将复审所有采购需求计划,确定在合同执行阶段是否可能要求报价人或者供应商涉及机密信息。如果要求涉及另一个机构的机密信息,这个合同官将要确定这个机构是否属于NISP所包括的范围,而且遵循所要求的产业安全检查规定程序。如果被要求涉及的机密信息是来自本机构,合同官员将遵循本机构的安全检查程序。
在征求供应商阶段,合同官应依据具体情况,确保按照NISP要求或者机构保密程序进行机密采购,而且在采购要求中要设立一项相应的安全要求条款。依据实际情况,在采购需求和合同中涉及机密信息要求时,除了设定的安全条款内容之外,要增加安全防护的要求条款。
在合同授予阶段,合同官应告知供应商和分包商关于机密合同的各种文件、材料、任务、分包合同,以及合同组成等相应的安全保密等级和要求,包括NISP中所覆盖的机构使用《合同安全保密等级规范》和国防部第254表。合同官或者授权代表是此表的批准官员,而且他们要确保此表依照《产业安全条例》准备和发放。如果合同签订人员所在的机构不在NISP之内,可依据本机构的安全保密程序进行合同授予。
确保信息安全的采购计划
机构负责人要确保本机构信息技术采购计划员遵守《联邦信息安全管理法案》(美国公法第44部分第3544款)、预算管理办公室第A-130通知中包括附录3的联邦预算办公室执行政策以及国家标准和技术协会的商业部门指南和标准。
如果采购涉及安全事项,本机构信息技术采购计划员应论证将怎样建立、维护和监控适当的安全;如果是信息技术采购,应论证机构如何达到信息安全;如果采购要求供应商在执行合同时具体使用联邦控制的公共设施或信息系统,应论证如何实现机构要求的合同承包商个人身份查证。
此外,依据《公法》108-136第1428部分,一般情况下机构不能禁止供应商允许其员工在执行政府合同中利用电脑终端远距离办公。但是合同官起初就确定如果允许远距离办公将无法达到包括安全要求在内的机构要求,他将以书面文件说明该决定的依据并在采购需求中规定禁止远距离办公。
执行社会政策的安全例外
(一)小企业预留份额政策
小企业管理机构可以安排一个或更多采购中心代表到任何合同签订办公室或合同管理办公室来参与小企业政策和项目的实施。被指派的小企业管理中心代表要遵守合同签订机构的关于管理缔约人员行为和信息披露的指南。小企业管理机构要依据合同签订办公室的要求,对它的采购中心代表进行安全调查并提供证明材料。合同官应依据本机构的要求及相应的采购安全法规,使小企业管理中心代表有权使用所有适当的、与他们公务直接相关的可获得的有关合同信息。
(二)执行劳动法的就业政策
1.平等就业机会。“平等权利计划”是指遵守劳动部关于确保少数民族和妇女平等就业机会法规的供应商计划(即对少数民族和妇女供应商不能歧视)。如果机构负责人确定合同关系国家安全,并为了维护国家安全,在合同授予时可以不遵守劳动法关于就业机会部分的一个或多个要求。如果做出这样的决定,该机构在30日内书面告知国防部副部长助理。
2.特殊残疾退伍军人、越南战争时期退伍军人以及其他合法的退伍军人。当机构负责人断定合同对于国家安全十分重要,而且合同授予遵守劳动法关于特殊残疾退伍军人、越南战争时期退伍军人,以及其他合法的退伍军人的规定不利于国家安全时,他可以不遵守这些要求。基于以上决定,该机构在30日内书面告知国防部副部长助理。
3.残疾工人就业。当机构负责人断定合同对于国家安全十分重要,而且合同授予遵守劳动法关于残疾工人就业规定不利于国家安全时,民用部门的负责人与国防部副部长助理或与国防部部长达成共识,可以不遵守这些要求。基于以上决定,该民用部门负责人在30日内书面告知国防部副部长助理。
充分竞争采购方式的例外
(一)非公开充分竞争
依据《美国法典》第10部分第2304(c)(6)条或者《美国法典》第41部分第253(c)(6)条赋予的权力,为了国家安全,政府机构需求信息将不予披露时,不必使用公开充分竞争的采购方式。当政府采购需求信息披露让步于国家安全(例如,披露将违反安全要求)时,任何采购都可以采用非公开充分竞争。但只是因为采购是机密的,或者只因为采购计划或执行合同必须使用机密资料,非公开充分竞争权力将不被使用。
(二)密封投标采购
如果不违反机构安全性要求,密封投标可以被用于机密采购。一般的公众不能参与机密采购的开标。如果投标人或者其代表已经过适当安全审查,他可以参加开标和记录开标结果。合同官也可以在稍后时间向已经过适当安全审查的投标人代表公开这些开标内容,但是不公开对于机密邀标响应的投标价格组成情况的记录。
安全合同公告例外
对于《联邦采购条例》要求公告的采购信息,合同官必须向政府网上门户提交披露。需求计划或者合同活动包含机密信息,或者执行合同必须使用机密资源的信息,可以例外而不进行公告。但是合同授予机构的负责人将要确保遵循机构安全条例通过已有的安全信息渠道,来公告机密信息。
依据2009年《美国复苏和再投资法案》的信息公开要求,如果授予合同(包括所有修改条款和采购商品订单或交货订单合同)不是以固定价格也不是以竞争价格授予的,需公告采取这种授予方式的合理性解释。公众将在政府采购网站获取这些公告和合理性说明信息,当然这些内容不包括任何专有信息或因国家安全保护不能披露的信息。
编者按:全国两会闭幕,但余音绕梁。在中科红旗倒闭背景下,两会代表委员关于信息安全和国产化的呼声更为引人注目。那么,将国家信息安全称为祖国信息安全的美国,是如何架构政府采购信息安全管理模式和制度体系的?本报特刊载有关文章,本期刊出上篇。
美国政采如何保障信息安全(上)
■ 白志远
政府采购信息安全对于任何国家来说都是至关重要的,因为它关系国家政治、经济与社会的现在及未来的全方位利益。基于此,世界各国都很看重政府采购信息安全管理,美国更是把信息安全放在政府采购活动的首要地位。美国在理念上,要求把对政府采购信息安全追求与热爱美国人的祖国等同;在范围上,政府采购信息安全远远大于政府采购信息技术安全;在制度上,不同层次的法规体系和执行标准、政府采购官员安全职责以及供应商和其从业者忠诚等级规范等构建了美国完善的政府采购信息安全管理体系。美国的政府采购信息安全管理模式和制度体系对于建设我国政府采购制度有着重要的借鉴意义。
——引言
信息安全是指保护信息和信息系统免于非法介入取得、使用、披露、破坏、修改或毁灭,其目的:一是信息完整,即保护信息免于不正当的修改或破坏,以及确保信息的确定性和真实性;二是机密性,即信息的使用和披露的授权限制,包括保护个人隐私和专有资料;三是可用性,即确保信息及时可靠地获得和使用。美国是信息发达国家,同时又是高度重视国家信息安全的国家;它把国家信息安全称为祖国信息安全。美国对国家信息安全极度爱护的理念也充分体现在政府采购信息安全管理之中,并通过政府采购制度实现美国政府的信息安全政策目标。
国家产业安全计划
美国1993年1月6日标题为“国家产业安全计划”(NISP)的第12829行政令(1993年1月8日58联邦法规第3479条)规定了对被授予政府合同的供应商、政府信息使用许可证持有人以及有资格者(政府信息使用)公开联邦政府机密信息的保护。这个行政令修改了1960年2月20日标题为“产业机密信息安全防护”的第10865行政令(1960年2月25日25联邦法规第1583条),其内容曾在1961年1月17日第10909行政令(1961年1月20日26联邦法规第508条)中被修改过。
《国家产业安全计划实施指南》体现了这些行政指令的要求。通过与所有相关的机构磋商并得到能源部长、原子能条例委员会主席和情报中心主任的同意,国防部长负责发布和执行这个指南。此外,《产业安全条例》中也作了相应的安全规范。
合同官员的职责
合同官必须确保达到了所有法律、行政命令和法规要求以及满足所有其他适用程序(包括排除不适当和批准等程序),才能签订合同。合同官负责确保有效合同实现的所有行为实施,确保遵守合同的有关条款和保护合同相关关系中美国的利益。为了执行这些职责,合同官应该被赋予进行商业判断的广泛自由裁量权。根据实际需要,合同官应该要求和考虑审计、法律、工程、信息安全、交通以及其他方面专家的建议。
在采购需求发布前阶段,合同官将复审所有采购需求计划,确定在合同执行阶段是否可能要求报价人或者供应商涉及机密信息。如果要求涉及另一个机构的机密信息,这个合同官将要确定这个机构是否属于NISP所包括的范围,而且遵循所要求的产业安全检查规定程序。如果被要求涉及的机密信息是来自本机构,合同官员将遵循本机构的安全检查程序。
在征求供应商阶段,合同官应依据具体情况,确保按照NISP要求或者机构保密程序进行机密采购,而且在采购要求中要设立一项相应的安全要求条款。依据实际情况,在采购需求和合同中涉及机密信息要求时,除了设定的安全条款内容之外,要增加安全防护的要求条款。
在合同授予阶段,合同官应告知供应商和分包商关于机密合同的各种文件、材料、任务、分包合同,以及合同组成等相应的安全保密等级和要求,包括NISP中所覆盖的机构使用《合同安全保密等级规范》和国防部第254表。合同官或者授权代表是此表的批准官员,而且他们要确保此表依照《产业安全条例》准备和发放。如果合同签订人员所在的机构不在NISP之内,可依据本机构的安全保密程序进行合同授予。
确保信息安全的采购计划
机构负责人要确保本机构信息技术采购计划员遵守《联邦信息安全管理法案》(美国公法第44部分第3544款)、预算管理办公室第A-130通知中包括附录3的联邦预算办公室执行政策以及国家标准和技术协会的商业部门指南和标准。
如果采购涉及安全事项,本机构信息技术采购计划员应论证将怎样建立、维护和监控适当的安全;如果是信息技术采购,应论证机构如何达到信息安全;如果采购要求供应商在执行合同时具体使用联邦控制的公共设施或信息系统,应论证如何实现机构要求的合同承包商个人身份查证。
此外,依据《公法》108-136第1428部分,一般情况下机构不能禁止供应商允许其员工在执行政府合同中利用电脑终端远距离办公。但是合同官起初就确定如果允许远距离办公将无法达到包括安全要求在内的机构要求,他将以书面文件说明该决定的依据并在采购需求中规定禁止远距离办公。
执行社会政策的安全例外
(一)小企业预留份额政策
小企业管理机构可以安排一个或更多采购中心代表到任何合同签订办公室或合同管理办公室来参与小企业政策和项目的实施。被指派的小企业管理中心代表要遵守合同签订机构的关于管理缔约人员行为和信息披露的指南。小企业管理机构要依据合同签订办公室的要求,对它的采购中心代表进行安全调查并提供证明材料。合同官应依据本机构的要求及相应的采购安全法规,使小企业管理中心代表有权使用所有适当的、与他们公务直接相关的可获得的有关合同信息。
(二)执行劳动法的就业政策
1.平等就业机会。“平等权利计划”是指遵守劳动部关于确保少数民族和妇女平等就业机会法规的供应商计划(即对少数民族和妇女供应商不能歧视)。如果机构负责人确定合同关系国家安全,并为了维护国家安全,在合同授予时可以不遵守劳动法关于就业机会部分的一个或多个要求。如果做出这样的决定,该机构在30日内书面告知国防部副部长助理。
2.特殊残疾退伍军人、越南战争时期退伍军人以及其他合法的退伍军人。当机构负责人断定合同对于国家安全十分重要,而且合同授予遵守劳动法关于特殊残疾退伍军人、越南战争时期退伍军人,以及其他合法的退伍军人的规定不利于国家安全时,他可以不遵守这些要求。基于以上决定,该机构在30日内书面告知国防部副部长助理。
3.残疾工人就业。当机构负责人断定合同对于国家安全十分重要,而且合同授予遵守劳动法关于残疾工人就业规定不利于国家安全时,民用部门的负责人与国防部副部长助理或与国防部部长达成共识,可以不遵守这些要求。基于以上决定,该民用部门负责人在30日内书面告知国防部副部长助理。
充分竞争采购方式的例外
(一)非公开充分竞争
依据《美国法典》第10部分第2304(c)(6)条或者《美国法典》第41部分第253(c)(6)条赋予的权力,为了国家安全,政府机构需求信息将不予披露时,不必使用公开充分竞争的采购方式。当政府采购需求信息披露让步于国家安全(例如,披露将违反安全要求)时,任何采购都可以采用非公开充分竞争。但只是因为采购是机密的,或者只因为采购计划或执行合同必须使用机密资料,非公开充分竞争权力将不被使用。
(二)密封投标采购
如果不违反机构安全性要求,密封投标可以被用于机密采购。一般的公众不能参与机密采购的开标。如果投标人或者其代表已经过适当安全审查,他可以参加开标和记录开标结果。合同官也可以在稍后时间向已经过适当安全审查的投标人代表公开这些开标内容,但是不公开对于机密邀标响应的投标价格组成情况的记录。
安全合同公告例外
对于《联邦采购条例》要求公告的采购信息,合同官必须向政府网上门户提交披露。需求计划或者合同活动包含机密信息,或者执行合同必须使用机密资源的信息,可以例外而不进行公告。但是合同授予机构的负责人将要确保遵循机构安全条例通过已有的安全信息渠道,来公告机密信息。
依据2009年《美国复苏和再投资法案》的信息公开要求,如果授予合同(包括所有修改条款和采购商品订单或交货订单合同)不是以固定价格也不是以竞争价格授予的,需公告采取这种授予方式的合理性解释。公众将在政府采购网站获取这些公告和合理性说明信息,当然这些内容不包括任何专有信息或因国家安全保护不能披露的信息。
(作者单位:中南财经政法大学中国政府采购研究所)