摘 要：論文針對(duì)推行政務(wù)信息系統(tǒng)服務(wù)外包過(guò)程中，電子政務(wù)安全管理方面所暴露出的問(wèn)題進(jìn)行了分析探討，并結(jié)合實(shí)踐工作經(jīng)驗(yàn)，從信息系統(tǒng)運(yùn)行安全和信息保密的角度，對(duì)電子政務(wù)服務(wù)外包模式下的安全管理提出了參考性建議。

　關(guān)鍵詞：電子政務(wù);服務(wù)外包;安全管理

　　1 引言

　　隨著我國(guó)政務(wù)信息化建設(shè)的深入，政務(wù)信息系統(tǒng)的規(guī)模不斷擴(kuò)大、復(fù)雜程度日益提高，政府業(yè)務(wù)更加依賴于政務(wù)信息系統(tǒng)。然而，由于人力、財(cái)力等因素的制約，信息系統(tǒng)發(fā)生故障的情況很難避免，所造成的損失也越來(lái)越大，對(duì)信息技術(shù)管理部門(mén)形成嚴(yán)峻挑戰(zhàn)。提高技術(shù)保障能力，盡可能滿足政務(wù)業(yè)務(wù)工作的需要，已成為信息技術(shù)管理部門(mén)首要考慮的問(wèn)題。

　　當(dāng)前，解決這一問(wèn)題的優(yōu)先選擇方案是服務(wù)外包，即：在政務(wù)信息系統(tǒng)建設(shè)前期的規(guī)劃、咨詢、項(xiàng)目實(shí)施以及建設(shè)完成后的運(yùn)營(yíng)和維護(hù)的過(guò)程中，把專業(yè)性較高且非保密的日常事務(wù)性工作委托給專業(yè)服務(wù)商去完成。實(shí)踐表明，服務(wù)外包是提高保障能力和服務(wù)質(zhì)量，降低服務(wù)成本的有效途徑。根據(jù)有關(guān)部門(mén)統(tǒng)計(jì)，服務(wù)外包可平均節(jié)省9%以上的成本，服務(wù)能力與質(zhì)量則提升15%以上。但由于政務(wù)信息系統(tǒng)的重要性和政務(wù)數(shù)據(jù)的敏感性、保密性，在普遍推行服務(wù)外包模式的大背景下，電子政務(wù)安全管理問(wèn)題表現(xiàn)得十分突出。為此，本文立足筆者的工作實(shí)踐，以所在單位系統(tǒng)運(yùn)維外包情況為例，從信息系統(tǒng)運(yùn)行安全和信息保密的視角，對(duì)外包模式下的安全管理做些探討。

　　2 項(xiàng)目背景

　　2006年5月中旬，湖南省高級(jí)人民法院按照最高法院的相關(guān)要求提前3年完成了作為全國(guó)法院涉密專網(wǎng)組成部分的湖南法院系統(tǒng)省、市、縣三級(jí)信息專網(wǎng)的建設(shè)，實(shí)現(xiàn)了全省140個(gè)人民法院的互聯(lián)互通。

　　隨后根據(jù)湖南法院系統(tǒng)的實(shí)際情況，通過(guò)半年時(shí)間為所有法院統(tǒng)一安裝配置了內(nèi)網(wǎng)門(mén)戶網(wǎng)站、內(nèi)部電子郵件系統(tǒng)、審判流程管理系統(tǒng)、法律支持系統(tǒng)、殺毒軟件等業(yè)務(wù)支持系統(tǒng)，有力推動(dòng)了全省法院信息化發(fā)展。但由于省法院信息中心總共才4名專職工作人員，且職能工作繁多，后期大量的培訓(xùn)、管理、維護(hù)、考核等工作很難全部完成。在這種情況下，服務(wù)外包模式是我們解決該問(wèn)題的最佳選擇方案。

　　3 外包模式下的主要安全與風(fēng)險(xiǎn)問(wèn)題

　　服務(wù)外包，是通過(guò)發(fā)揮服務(wù)商的專業(yè)優(yōu)勢(shì)和規(guī)模優(yōu)勢(shì)，以提高保障能力，提升服務(wù)質(zhì)量，降低服務(wù)成本。但服務(wù)商的引入，從當(dāng)前實(shí)踐來(lái)看，也使電子政務(wù)安全管理變得復(fù)雜，安全風(fēng)險(xiǎn)有可能加大，主要體現(xiàn)在以下6個(gè)方面：一是外包工作范圍的正確選擇與否，直接決定了外包工作的成敗。正確的范圍選擇可以促進(jìn)各項(xiàng)信息化工作的順利開(kāi)展，而錯(cuò)誤的選擇則極可能增加維護(hù)管理成本，對(duì)重要數(shù)據(jù)和保密信息造成相當(dāng)?shù)陌踩�隱患。二是部分單位認(rèn)為“外包等于什么都不用管”，結(jié)果導(dǎo)致信息技術(shù)管理部門(mén)職能弱化，造成項(xiàng)目管理混亂，信息安全得不到保障。三是服務(wù)商的引入使接觸、了解、掌握政府機(jī)關(guān)網(wǎng)絡(luò)結(jié)構(gòu)、參數(shù)設(shè)置、軟件結(jié)構(gòu)、敏感數(shù)據(jù)或信息的人員增加，可能增加信息系統(tǒng)被攻擊的風(fēng)險(xiǎn)和數(shù)據(jù)或信息丟失泄漏的風(fēng)險(xiǎn)。四是服務(wù)商的經(jīng)營(yíng)風(fēng)險(xiǎn)可能導(dǎo)致電子政務(wù)的安全風(fēng)險(xiǎn)。如公司發(fā)生經(jīng)營(yíng)困難或技術(shù)團(tuán)隊(duì)的人才波動(dòng)時(shí)，可能導(dǎo)致保障能力和服務(wù)質(zhì)量的下降，甚至中斷，進(jìn)而對(duì)信息系統(tǒng)構(gòu)成運(yùn)行風(fēng)險(xiǎn)和泄密風(fēng)險(xiǎn)。五是服務(wù)商技術(shù)團(tuán)隊(duì)人員的職業(yè)素質(zhì)可能影響服務(wù)的保障能力和質(zhì)量，并有可能構(gòu)成安全威脅。服務(wù)商技術(shù)人員一般是通過(guò)市場(chǎng)化手段招聘而來(lái)，如果招聘時(shí)把關(guān)不嚴(yán)，將職業(yè)素質(zhì)較低的人員招聘進(jìn)隊(duì)伍，后期培訓(xùn)和管理又沒(méi)有跟上的話，可能因責(zé)任心不強(qiáng)、工作不到位或操作不當(dāng)，產(chǎn)生人為的運(yùn)行故障、數(shù)據(jù)丟失或系統(tǒng)服務(wù)中斷，也可能增加被攻擊的風(fēng)險(xiǎn)或泄密威脅。六是作為管理者的信息技術(shù)管理部門(mén)和作為執(zhí)行者的服務(wù)商所處位置不同，追求的工作目標(biāo)不同，增加了管理工作難度和溝通協(xié)調(diào)成本，影響服務(wù)及時(shí)性和雙方的合作，進(jìn)而造成管理困難和安全風(fēng)險(xiǎn)。信息技術(shù)管理部門(mén)作為政府機(jī)關(guān)組成部門(mén)，追求的目標(biāo)是以較小的成本和風(fēng)險(xiǎn)，取得最好的對(duì)內(nèi)對(duì)外服務(wù)效果;而服務(wù)商作為企業(yè)，追求的目標(biāo)是在確保服務(wù)合同履行的情況下，追求利潤(rùn)的最大化，必然會(huì)想方設(shè)法提高服務(wù)合同金額，降低執(zhí)行成本。也就是說(shuō)，信息技術(shù)管理部門(mén)追求的目標(biāo)是不斷提升服務(wù)質(zhì)量，而服務(wù)商追求的目標(biāo)是不斷增加利潤(rùn)率，這必然是一對(duì)矛盾。

　　4 外包模式下的安全管理措施

　　對(duì)于外包模式下的安全和風(fēng)險(xiǎn)管理問(wèn)題，我們必須保持清醒的認(rèn)識(shí)，并因地制宜地采取合適的防范措施。經(jīng)過(guò)一段時(shí)期的實(shí)踐與摸索，我們認(rèn)為加強(qiáng)以下幾個(gè)方面的工作能夠有效增強(qiáng)服務(wù)外包的安全性。

　　4.1 準(zhǔn)確篩選服務(wù)外包所涉及范圍

　　外包服務(wù)工作范圍是基于政府機(jī)關(guān)信息化發(fā)展戰(zhàn)略需要，通過(guò)對(duì)自身的實(shí)現(xiàn)目標(biāo)、實(shí)施策略、資源及人力資源狀況和安全要求的綜合分析，所制定的IT戰(zhàn)略要明確哪些工作可以交由服務(wù)商處理解決，哪些工作必須由自己的工作人員完成，對(duì)權(quán)限、口令、密鑰、重要數(shù)據(jù)更是要實(shí)施專人管理。根據(jù)對(duì)我省法院相關(guān)系統(tǒng)的分析整理，我們將培訓(xùn)工作，維護(hù)和監(jiān)控全省內(nèi)網(wǎng)門(mén)戶網(wǎng)站、內(nèi)部電子郵件系統(tǒng)、審判流程管理系統(tǒng)、法律支持系統(tǒng)、殺毒軟件等業(yè)務(wù)支持系統(tǒng)，排除系統(tǒng)運(yùn)行中發(fā)生的故障，修復(fù)存在的BUG，解決操作人員使用中遇到的問(wèn)題等20項(xiàng)無(wú)保密要求、專業(yè)性高且具體繁瑣的日常事務(wù)性工作進(jìn)行了整體打包并外包。而對(duì)敏感程度較高的設(shè)備及重要數(shù)據(jù)維護(hù)始終堅(jiān)持由法院內(nèi)部工作人員進(jìn)行，比如：數(shù)據(jù)庫(kù)的操作和備份。