jungong及涉密企業的研發數據安全管理 貫標集團

1、jungong及涉密企業

jungong行業是指涉及武器裝備的科研、生產、配套等武器裝備相關行業，jungong企業是指承擔國防科研生產任務，從事為國家武裝力量提供各種武器裝備研制和生產經營活動的企業。

從狹義上來看，jungong企業專指國防科技工業內部從事武器裝備及其相關產品生產的企業，包括大家熟知的我國shidajungong集團（中航、中船、中核等）和各番號廠（沈飛、成飛等）。

另一方面，隨著近年來我國軍民融合的不斷深化，越來越多的制造企業取得了jungong的相關資質，成為jungong行業持續發展的一大助力，這些企業承擔了jungong企業的一部分junpin科研、生產任務，廣義上來看，jungong行業包括了jungong企業及其下游產業鏈的企業（一般稱為涉密單位/企業）。

2、jungong企業相關資質及認證

企業進入jungong就必須要具備四個資質——“jungong四證”，是由不同部門負責審查、認證。“jungong四證”是指：

 武器裝備質量管理體系證——國軍標認證

 武器裝備科研生產單位保密資格證——保密認定

 武器裝備科研生產許可證——許可證認證

 裝備承制單位資格名錄認證——名錄認證

軍委裝備發展部在2017年10月1日正式實施了關于“裝備承制單位資格審查”與“武器裝備質量管理體系認證”兩證合一的工作，從此“四證”變“三證”。

3、涉密信息系統集成資質

作為jungong企業和涉密單位提供服務（包括涉密系統工程的規劃、設計、開發、實施、服務及保障等工作）的企業，需要具有涉密系統集成資質。從2021年3月1日起，涉密信息系統集成資質開始實?新規，涉密集成資質包括總體集成、系統咨詢、軟件開發、安防監控、屏蔽室建設、運?維護、數據恢復、?程監理8個單項資質。

資質分為兩級：

? 甲級資質單位，可以從事絕密級、機密級和秘密級涉密集成業務。

? 乙級資質單位，可以從事機密級、秘密級涉密集成業務。乙級資質單位可以在注冊地的省級?政區域以外承接涉密集成業務，應當及時向業務所在地的省級保密?政管理部門備案，接受當地保密部門的監督管理。

比如，某企業需要為jungong或涉密企業進行信息化軟件建設、網絡布線、監控設備的安裝和施工，那么此企業就需要具備對應的甲級或乙級涉密資質。

4、研發管理中主要共性特點

jungong及涉密企業涉及到的領域很多，從“天上飛的、地上跑的、水里游的”到“吃的、穿的、用的”，大到“大型裝備”小到“螺釘螺母”，本文不對具體產品的行業特點進行分析，而是分析一些共性的東西：

數據安全管理

jungong及涉密企業的第一管理要素就是數據安全，特別當前國際形式復雜多變，歐美國家對我國進行的各類技術封鎖及間諜滲透活動不斷，數據安全更成為企業管理的重中之重。

數據分散、信息孤島

由于安全保密的要求，企業設計部門的資料很多分散在各個技術人員的電腦上，數據沒辦法實現很好的共享，各信息化系統之間沒有集成，獨立存在，企業的數據信息不能很好的流轉。

設計共用低、研發效率不高

數據的共享和流轉不暢，自然容易造成研發工作中重復設計，沒辦法縮短研發周期，效率不能提高。

變更過程要求高

在變更管理上，jungong及涉密企業的要求比其他行業更高，每一次的變更都需要有詳細的分析及驗證過程，很多時候變更并不是企業內部就可以完成的，中間有些步驟還可能涉及客戶方審批簽字，最終提交上級單位進行報批和變更后資料的存檔。

項目管理過程嚴謹，周期長

對于jungong產品的研發而言，對產品的質量和要求較高，項目周期一般會較長，研發項目管理就顯得尤為重要。

5、數據安全之“三員”及“密級”介紹

關于金蝶云·星空一體化、星空PLM項目管理、變更管理等，往期其他文章都較為深入地闡述了星空平臺、星空PLM相關方案和系統應用如何解決上面提到的種種研發問題。本文在此就只針對上述行業特點中的數據安全這一方面進行展開介紹企業需求。

jungong及涉密企業的數據安全保密需求主要包括“三員管理”及“密級管理”兩部分：

1、三員管理

?按照jungong行業的行業標準及國家保密局等單位對涉密信息系統的管理要求，不能使用傳統系統中單一的“系統管理員”的模式，而需要實行“三員分立”（系統管理員、安全保密管理員、安全審計員），“三員”應相互獨立、相互制約，打破自留地；將業務過程分成不同的段，每段有對應人員負責，不讓任何人掌控全局，有效地加強涉密信息系統保密管理，確保數據及系統維護的安全，減少泄密風險。

系統管理員

主要負責系統的日常運行維護工作。包括網絡設備、安全保密產品、服務器和用戶終端、操作系統數據庫、涉密業務系統的安裝、配置、升級、維護、運行管理；網絡和系統的用戶增加或刪除；網絡和系統的數據備份、運行日志審查和運行情況監控；應急條件下的安全恢復。

安全保密管理員

主要負責系統的日常安全保密管理工作。包括網絡和系統用戶權限的授予與撤銷；用戶操作行為的安全設計；安全保密設備管理；系統安全事件的審計、分析和處理；應急條件下的安全恢復。

安全審計員

主要負責對系統管理員和安全保密員的操作行為進行審計跟蹤、分析和監督檢查，及時發現違規行為，并定期向系統安全保密管理機構匯報情況。

2、數據密級管理

按照jungong行業標準的要求，要求防止文件高密低傳，降低失泄密風險，即防止密級較高的文件傳輸到了低密級人員處，錯誤擴大了文件知悉范圍，管理要點包括：

定密

所有信息要定密，包含人，文檔，單據等，只要是信息就定密；密級從高到低一般分為三個級別：絕密級、機密級、和秘密級。

越權

用戶只能訪問到自己被授權和密級范圍內的信息，不能越權訪問。

信息流轉

信息流轉要嚴格控制高密低傳，選擇流轉人員時要嚴格控制人員對象。

操作日志

非常強化操作日志，按照安全的要求，能多詳細就多詳細，信息是寧濫勿缺。