美国政采如何保障信息安全(下)
https://scbid.com
发布日期:2014年03月21日
■ 白志远
供应商及其从业人员的安全等级审查
(一)中央政府合同供应商注册
在合同授予或协议达成之前的潜在供应商将被注册入合同承包商注册中心数据库,但是机密合同例外。
(二)个人身份的查证
个人身份查证的政策和程序要依据第201期《联邦信息处理标准》(FIPS PUB)“联邦雇员和合同承包人的个人身份查证”,以及2005年8月5日预算管理办公室(OMB)指南M-05-24“执行第12号国家安全总统令(HSPD-12)-关于联邦雇员和合同承包人身份识别的共同标准政策”。
依照第201期FIPS PUB的规定,机构只能购买已经过个人身份查证的供应商产品和服务。
(三)合格雇用查证
要求供应商使用国家安全部(DHS)、美国公民和移民服务机构的合格雇用查证计划(E-Verify)作为查证某些雇员就业合格的方法。
供应商可以选择对所有1986年11月6日以后已在美国受雇用的从业人员进行雇用合格调查,而不是仅针对被指派的合同实施从业人员。对于已持有信任、机密或高级机密的有效安全调查证明的从业人员,或者依据HSPD-12已经通过背景调查并获得信任证明的从业人员,不要求调查其雇用合格性。
合同安全条款要求
在采购需求和合同条款中存在要求信息保密的可能性时,合同官将依据《联邦采购条例》的安全要求加入信息安全条款。
专利条款。比如,一旦收到依据《联邦采购条例》第52部分第227-10条(a) 和 (b)段关于机密主题专利申请书报呈条款提交的专利申请书,合同官将确定专利申请书的安全保密等级。如果申请包含了机密主题,合同官将告诉供应商如何在法律顾问帮助下依据相应的程序,将申请转移到美国专利办公室。
电子资金转账支付。政府将通过电子资金转账(EFT)支付所有合同款项,但是为了保护机密信息或国家安全的安全防护,可以不使用EFT。
产品研究与开发。如果合同官把其合同有关事项确认为国家机密、需要保护的数据以及适用新技术推广政策,将要遵守机构安全法规,并应把报告呈送给国家技术信息服务机构(NTIS)。
此外,在政府合同档案中应有安全性要求文件。
信息技术安全采购
(一)采购政策
依据公法第105-277条,1999年财政年度《拨款和授权综合法案》A部分第101(h)章节第六标题第622条要求,机构没有遵守《联邦采购条例》第39部分第106款内容就不能使用拨款资金采购信息技术,除非机构首席信息(管理)官认为不遵守该款内容,对于该机构的功能和运转十分必要或者采购合同是在1998年10月21日前生效的。首席信息(管理)官员必须向预算管理办公室提交一份免于遵守该款规定的所有证明文件副本,并由预算管理办公室转交国会。
在信息技术采购中,机构将依据预算管理办公室第A-130通知,包括资源安全、秘密保护、国家安全和突发事件、残疾人群居住条件以及能源效率,以及个人计算机产品的环境评估标准,来确定他们的要求。
在制订采购计划时,合同官应当通过市场调查考虑信息技术的迅速变化本质属性以及技术升级方法的应用。该机构合同官应该与需求方的官员协商以确保(采购信息中)包含相应的安全标准。
(二)风险管理
在签订信息技术采购合同之前,采购机构应该分析风险、收益和成本。在选择投资计划和实施项目期间合同和项目办公室的官员共同负责评估、监督和控制风险。
(三)标准化合同
依据《1996年卡琳尔-科恩法案》(公法第104-106条)第5202部分关于增加信息技术采购规定,签订标准合同的目的是为了在满足联邦政府能及时使用迅速发展的技术的同时,减轻项目风险和激励供应商执行合同。
当使用标准合同时信息系统的采购可以被分为几个较小的采购标的。
采购的特殊性可随采购信息技术的类型和系统本质的发展而变化。需要考虑:(1)为了促进兼容性,在可行和适当时每个通过标准合同获得的独立部分的信息技术应该遵守共同的或商业上可接受的信息技术标准,以及符合该机构的主要信息技术体系结构要求。(2)每个独立采购部分的性能要求应该与总体系统性要求保持一致,以及应该满足后续采购的接口要求。
为了避免过时,在可行的最大程度上信息技术采购的标准合同应该在发标后180日内授标。如果不能在180日授标,采购机构应考虑取消招标。在可行的最大程度上依据合同要求应该在发标后18个月内交货。
(四)隐私权
采购机构应按照《隐私权法》(《美国法典》第5部分第552a条)和《联邦采购条例》第24部分规定,确保合同中对信息技术秘密性表述的保护。此外,对于使用商业信息技术服务或信息技术辅助服务设计、发展记录系统或操作该系统的合同,每个机构应该确保供应商和其雇员都遵守采购机构的管理规定。为确保在执行合同期间继续有效实施安全防护,同时发现和抵御新威胁和危险因素,每个机构需要有一个政府安全检查程序。
(五)电子和信息技术
在授权采购或交付订单时,需求和订货活动必须确保货物或服务满足《联邦法规法典》(CFR)第36部分第1194条规定的相应信息安全标准,除非适用例外。
为了满足及时交货要求,机构采购商品时必须按照信息安全标准在市场上采购已有的货物或服务。
来源:中国政府采购报
供应商及其从业人员的安全等级审查
(一)中央政府合同供应商注册
在合同授予或协议达成之前的潜在供应商将被注册入合同承包商注册中心数据库,但是机密合同例外。
(二)个人身份的查证
个人身份查证的政策和程序要依据第201期《联邦信息处理标准》(FIPS PUB)“联邦雇员和合同承包人的个人身份查证”,以及2005年8月5日预算管理办公室(OMB)指南M-05-24“执行第12号国家安全总统令(HSPD-12)-关于联邦雇员和合同承包人身份识别的共同标准政策”。
依照第201期FIPS PUB的规定,机构只能购买已经过个人身份查证的供应商产品和服务。
(三)合格雇用查证
要求供应商使用国家安全部(DHS)、美国公民和移民服务机构的合格雇用查证计划(E-Verify)作为查证某些雇员就业合格的方法。
供应商可以选择对所有1986年11月6日以后已在美国受雇用的从业人员进行雇用合格调查,而不是仅针对被指派的合同实施从业人员。对于已持有信任、机密或高级机密的有效安全调查证明的从业人员,或者依据HSPD-12已经通过背景调查并获得信任证明的从业人员,不要求调查其雇用合格性。
合同安全条款要求
在采购需求和合同条款中存在要求信息保密的可能性时,合同官将依据《联邦采购条例》的安全要求加入信息安全条款。
专利条款。比如,一旦收到依据《联邦采购条例》第52部分第227-10条(a) 和 (b)段关于机密主题专利申请书报呈条款提交的专利申请书,合同官将确定专利申请书的安全保密等级。如果申请包含了机密主题,合同官将告诉供应商如何在法律顾问帮助下依据相应的程序,将申请转移到美国专利办公室。
电子资金转账支付。政府将通过电子资金转账(EFT)支付所有合同款项,但是为了保护机密信息或国家安全的安全防护,可以不使用EFT。
产品研究与开发。如果合同官把其合同有关事项确认为国家机密、需要保护的数据以及适用新技术推广政策,将要遵守机构安全法规,并应把报告呈送给国家技术信息服务机构(NTIS)。
此外,在政府合同档案中应有安全性要求文件。
信息技术安全采购
(一)采购政策
依据公法第105-277条,1999年财政年度《拨款和授权综合法案》A部分第101(h)章节第六标题第622条要求,机构没有遵守《联邦采购条例》第39部分第106款内容就不能使用拨款资金采购信息技术,除非机构首席信息(管理)官认为不遵守该款内容,对于该机构的功能和运转十分必要或者采购合同是在1998年10月21日前生效的。首席信息(管理)官员必须向预算管理办公室提交一份免于遵守该款规定的所有证明文件副本,并由预算管理办公室转交国会。
在信息技术采购中,机构将依据预算管理办公室第A-130通知,包括资源安全、秘密保护、国家安全和突发事件、残疾人群居住条件以及能源效率,以及个人计算机产品的环境评估标准,来确定他们的要求。
在制订采购计划时,合同官应当通过市场调查考虑信息技术的迅速变化本质属性以及技术升级方法的应用。该机构合同官应该与需求方的官员协商以确保(采购信息中)包含相应的安全标准。
(二)风险管理
在签订信息技术采购合同之前,采购机构应该分析风险、收益和成本。在选择投资计划和实施项目期间合同和项目办公室的官员共同负责评估、监督和控制风险。
(三)标准化合同
依据《1996年卡琳尔-科恩法案》(公法第104-106条)第5202部分关于增加信息技术采购规定,签订标准合同的目的是为了在满足联邦政府能及时使用迅速发展的技术的同时,减轻项目风险和激励供应商执行合同。
当使用标准合同时信息系统的采购可以被分为几个较小的采购标的。
采购的特殊性可随采购信息技术的类型和系统本质的发展而变化。需要考虑:(1)为了促进兼容性,在可行和适当时每个通过标准合同获得的独立部分的信息技术应该遵守共同的或商业上可接受的信息技术标准,以及符合该机构的主要信息技术体系结构要求。(2)每个独立采购部分的性能要求应该与总体系统性要求保持一致,以及应该满足后续采购的接口要求。
为了避免过时,在可行的最大程度上信息技术采购的标准合同应该在发标后180日内授标。如果不能在180日授标,采购机构应考虑取消招标。在可行的最大程度上依据合同要求应该在发标后18个月内交货。
(四)隐私权
采购机构应按照《隐私权法》(《美国法典》第5部分第552a条)和《联邦采购条例》第24部分规定,确保合同中对信息技术秘密性表述的保护。此外,对于使用商业信息技术服务或信息技术辅助服务设计、发展记录系统或操作该系统的合同,每个机构应该确保供应商和其雇员都遵守采购机构的管理规定。为确保在执行合同期间继续有效实施安全防护,同时发现和抵御新威胁和危险因素,每个机构需要有一个政府安全检查程序。
(五)电子和信息技术
在授权采购或交付订单时,需求和订货活动必须确保货物或服务满足《联邦法规法典》(CFR)第36部分第1194条规定的相应信息安全标准,除非适用例外。
为了满足及时交货要求,机构采购商品时必须按照信息安全标准在市场上采购已有的货物或服务。
来源:中国政府采购报
