向“第一把關人”轉身

殷曉暉

強化對信息安全的重視對促進電子政務和電子商務是必需的，對實現信息基礎設施在經濟效益的貢獻也是必需的。

日前有媒體報道，不法分子將深圳４萬余名孕、產婦的信息制成光碟出售，部分受害人認為這些詳細而準確的信息，很可能來自市衛生部門建立的孕產婦信息庫。盡管有關部門還在對此進行調查，但不可否認的是，衛生部門作為掌握孕、產婦信息最集中的部門，毫無疑問是第一責任人。這無疑給各地政府部門正在爭相開展的“信息化”敲響了警鐘。很多政府部門在推動“信息化”的過程中，關注“共享”遠多于關注“安全”，只是一味強調擴充信息庫的信息量。另外，一些政府部門對其掌握的個人信息缺乏保密和監管機制，甚至出現了個別政府工作人員與不法分子相勾結，將政府部門掌握的群眾個人信息出售牟利的事件。

信息泄露不僅失去了政府的公信力，更會導致正常的經濟生活秩序受到嚴重干擾。要保護群眾的個人信息安全，政府必須當好第一責任人，更要使電子政務的建設向信息安全的“第一把關人”轉身。

重視管理

有關數據顯示，目前在所有計算機安全事件中，約有70%是由于管理不善造成的。業界也一直流傳著“三分技術，七分管理”的說法。當前，信息技術迅猛發展，成為促進各國經濟和社會發展、改善人民生活的重要積極因素。同時，伴隨信息技術的發展和廣泛應用，信息安全問題已成為影響一國綜合安全乃至全球安全與穩定的重要因素。信息安全問題不僅涉及信息基礎設施的脆弱性所引發的風險，還涉及濫用信息技術造成的政治、經濟、軍事、社會、文化等多方面問題。

正如中國電子信息產業發展研究院總工程師柳純錄所說：“加強信息安全，除了要具備先進的信息安全技術、產品、解決方案以外，還要高度重視信息安全的管理工作。”

重視人才

在我國電子政務建設中，信息安全管理人才非常缺乏，這需要對信息安全管理人員有更多的培訓投入。信息安全培訓完全可以依靠民間投入而不是政府投入，因為信息安全培訓有著極大的經濟效益，這些效益是培訓市場的潛在利潤。換句話說，只要創造良好的信息安全培訓市場，就可以應用市場機制為我國信息化進程培育出急需的信息安全人才。然而，對比美國紅紅火火的信息安全管理的培訓市場，我國的信息安全培訓卻頗顯寥落。

信息技術已經推動經濟發展到了相當高的水平 。在美國，IT技術促進勞動生產力以每年2%到2.75%的速率增長 。這也鼓勵了人們將信息化擴展到其它領域，尤其是電子商務和電子政務領域。然而，為了成功發展電子商務，必須解決許多信息安全問題，包括隱私保護、認證、保密和訪問控制等 。信息安全是影響電子商務發展的最重要的因素之一。信息安全的進步不僅依賴網絡安全技術的發展，更依賴于成熟的信息安全管理和非技術方面的其他因素。這反過來需要對信息安全專業人員和機構中使用信息技術的各種層次人員進行相應的信息安全培訓。這種培訓也是促進電子商務和電子政務發展及積累人力資源的過程。總之，信息安全技術培訓將有利于電子商務、電子政務、經濟，乃至整個社會的發展。

為了電子商務和電子政務的發展，信息安全培訓可以產生巨大的經濟利益。許多公司在信息安全方面投資越來越多。據專家調查，國外40%的信息安全投資將用在培訓各個層次人員的信息安全培訓。這意味著信息安全培訓市場有著巨大的潛在利潤。然而單單有潛在的利潤不足以形成一個市場。這個市場之所以存在，不僅僅是為了接受培訓的人可以得到培訓，也不僅僅是為了經濟的社會效益，更重要的是為了作為市場交易主體中每個個人自身的利益，或者是為了一個公司能夠從它用在培訓的投資中得到合理的回報。

在培訓市場的形成過程中也存在種種障礙。其中，對于一個公司來說， IT專業人員的頻繁跳槽使公司不愿意在信息安全培訓方面上有大的投資。另外，許多公司并沒意識到信息安全的重要性。對于個人來說，如果不存在一個公認的認證，沒有認識到培訓能提高他們的收入，那么他們也會對自身培訓的投資猶豫不決。

用立法機構行為來加強信息安全培訓的要求隱含著這樣一個基本考慮：如忽視信息安全，可能會對公司的信息資產造成破壞，當這個破壞影響到網絡時，也會給社會帶來破壞。無論是誰負責信息工作時，都需要相應水平的安全培訓，正如律師、護士、技術員一樣，他們履行責任的前提是能夠保護公眾的利益。從事信息技術及使用信息系統的人，需要適當的培訓來被認可或被許可去履行責任。如果沒有適當的法律制度，那么由于安全方面的疏忽或破壞，進而導致客戶對企業或公共信息基礎設施喪失信心，就會造成IT投資的損失，從而阻礙電子商務和電子政務的發展。

或許是因為信息安全事故與交通事故不同，信息系統的一個安全缺陷不會導致人身的傷害，所以造成了對信息安全某種程度上的忽略。然而，缺乏信息安全意識將會給公司、給社會造成巨大的損失，并危及像Internet這樣的公共設施。之于此，中國應該加強強制性培訓和認證的立法，因為一個缺乏安全培訓和知識的信息工作人員將使國家安全和公共基礎設施受到威脅。由于專業人員經常流動，公司缺乏在培訓上的投資動機。如果沒有標準的培訓和證書，那么個人也將缺乏在安全培訓上的投資動機。為了促進電子商務，特別是電子政務發展，中國必須進行強制性信息安全培訓立法，訪問信息系統的人必須接受不同程度的培訓課程并且擁有相應的證書。