一、及涉密企业

       行业是指涉及装备的科研、生产、配套等装备相关行业，企业是指承担国防科研生产任务，从事为国家武装力量提供各种装备研制和生产经营活动的企业。

       从狭义上来看，企业专指国防科技工业内部从事装备及其相关产品生产的企业，包括大家熟知的我工集团（中航、中船、中核等）和各番号厂（沈飞、成飞等）。

       另一方面，随着近年来我民融合的不断深化，越来越多的制造企业取得了的相关资质，成为行业持续发展的一大助力，这些企业承担了企业的一部分科研、生产任务，所以广义上来看，行业包括了企业及其下游产业链的企业，一般称为涉密单位/企业。

二、企业相关资质及认证

       企业进入就必须要具备四个资质——“四证”，是由不同部门负责审查、认证。“四证”是指：

       🔹 装备质量管理体系证——标认证

       🔹 装备科研生产单位保密资格证——保密认定

       🔹 装备科研生产许可证——许可证认证

       🔹 装备承制单位资格名录认证——名录认证

       军委装备发展部在2017年10月1日正式实施了关于“装备承制单位资格审查”与“装备质量管理体系认证”两证合一的工作，从此“四证”变“三证”。

三、涉密信息系统集成资质

       作为企业和涉密单位提供服务（包括涉密系统工程的规划、设计、开发、实施、服务及保障等工作）的企业，需要具有涉密系统集成资质。从2021年3月1日起，涉密信息系统集成资质开始实⾏新规，涉密集成资质包括总体集成、系统咨询、软件开发、安防监控、屏蔽室建设、运⾏维护、数据恢复、⼯程监理8个单项资质。

       资质分为两级：

       ► 资质单位，可以从事级、机密级和秘密级涉密集成业务。

       ► 乙级资质单位，可以从事机密级、秘密级涉密集成业务。乙级资质单位可以在注册地的省级⾏政区域以外承接涉密集成业务，但是应当及时向业务所在地的省级保密⾏政管理部门备案，接受当地保密部门的监督管理。

       比如，某企业需要为或涉密企业进行信息化软件建设、网络布线、监控设备的安装和施工，那么此企业就需要具备对应的或乙级涉密资质。
 

四、研发管理中主要共性特点

       及涉密企业涉及到的领域很多，从“天上飞的、地上跑的、水里游的”到“吃的、穿的、用的”，大到“大型装备”小到“螺钉螺母”，因此本文不对具体产品的行业特点进行分析，而是分析一些共性的东西：

       数据安全管理

       及涉密企业的管理要素就是数据安全，特别当前国际形式复杂多变，欧美国家对我国进行的各类技术及间谍渗透活动不断，数据安全更成为企业管理的重中之重。

       数据分散、信息孤岛

       由于安全保密的要求，企业设计部门的资料很多分散在各个技术人员的电脑上，数据没办法实现很好的共享，各信息化系统之间没有集成，独立存在，企业的数据信息不能很好的流转。

       设计共用低、研发效率不高

       数据的共享和流转不畅，自然容易造成研发工作中重复设计，没办法缩短研发周期，效率不能提高。

       变更过程要求高

       在变更管理上，及涉密企业的要求比其他行业更高，每一次的变更都需要有详细的分析及验证过程，很多时候变更并不是企业内部就可以完成的，中间有些步骤还可能涉及客户方审批签字，最终提交上级单位进行报批和变更后资料的存档。

       项目管理过程严谨，周期长

       对于产品的研发而言，对产品的质量和要求较高，因此项目周期一般会较长，因此研发项目管理就显得尤为重要。

五、数据安全之“三员”及“密级”介绍

       需求主要包括“三员管理”及“密级管理”两部分：

      1 三员管理

 ‍      按照行业的行业标准及国家等单位对涉密信息系统的管理要求，不能使用传统系统中单一的“系统管理员”的模式，而需要实行“三员分立”（系统管理员、安全保密管理员、安全审计员），“三员”应相互独立、相互制约，打破自留地；将业务过程分成不同的段，每段有对应人员负责，不让任何人掌控全局，有效地加强涉密信息系统保密管理，确保数据及系统维护的安全，减少风险。

       系统管理员

       主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。

       安全保密管理员

       主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销；用户操作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。

       安全审计员

       主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。

      2 数据密级管理

       按照行业标准的要求，要求防止文件高密低传，降低失风险，即防止密级较高的文件传输到了低密级人员处，错误扩大了文件知悉范围，管理要点包括：

       定密

       所有信息要定密，包含人、文档、单据等，只要是信息就定密；密级从高到低一般分为三个级别：级、机密级、和秘密级。

       越权

      用户只能访问到自己被和密级范围内的信息，不能越权访问。

       信息流转

       信息流转要严格控制高密低传，选择流转人员时要严格控制人员对象。

       操作日志

       非常强化操作日志，按照安全的要求，能多详细就多详细，信息是宁滥勿缺。