向“第一把关人”转身

殷晓晖

强化对信息安全的重视对促进电子政务和电子商务是必需的，对实现信息基础设施在经济效益的贡献也是必需的。

日前有媒体报道，不法分子将深圳４万余名孕、产妇的信息制成光碟出售，部分受害人认为这些详细而准确的信息，很可能来自市卫生部门建立的孕产妇信息库。尽管有关部门还在对此进行调查，但不可否认的是，卫生部门作为掌握孕、产妇信息最集中的部门，毫无疑问是第一责任人。这无疑给各地政府部门正在争相开展的“信息化”敲响了警钟。很多政府部门在推动“信息化”的过程中，关注“共享”远多于关注“安全”，只是一味强调扩充信息库的信息量。另外，一些政府部门对其掌握的个人信息缺乏保密和监管机制，甚至出现了个别政府工作人员与不法分子相勾结，将政府部门掌握的群众个人信息出售牟利的事件。

信息泄露不仅失去了政府的公信力，更会导致正常的经济生活秩序受到严重干扰。要保护群众的个人信息安全，政府必须当好第一责任人，更要使电子政务的建设向信息安全的“第一把关人”转身。

重视管理

有关数据显示，目前在所有计算机安全事件中，约有70%是由于管理不善造成的。业界也一直流传着“三分技术，七分管理”的说法。当前，信息技术迅猛发展，成为促进各国经济和社会发展、改善人民生活的重要积极因素。同时，伴随信息技术的发展和广泛应用，信息安全问题已成为影响一国综合安全乃至全球安全与稳定的重要因素。信息安全问题不仅涉及信息基础设施的脆弱性所引发的风险，还涉及滥用信息技术造成的政治、经济、军事、社会、文化等多方面问题。

正如中国电子信息产业发展研究院总工程师柳纯录所说：“加强信息安全，除了要具备先进的信息安全技术、产品、解决方案以外，还要高度重视信息安全的管理工作。”

重视人才

在我国电子政务建设中，信息安全管理人才非常缺乏，这需要对信息安全管理人员有更多的培训投入。信息安全培训完全可以依靠民间投入而不是政府投入，因为信息安全培训有着极大的经济效益，这些效益是培训市场的潜在利润。换句话说，只要创造良好的信息安全培训市场，就可以应用市场机制为我国信息化进程培育出急需的信息安全人才。然而，对比美国红红火火的信息安全管理的培训市场，我国的信息安全培训却颇显寥落。

信息技术已经推动经济发展到了相当高的水平 。在美国，IT技术促进劳动生产力以每年2%到2.75%的速率增长 。这也鼓励了人们将信息化扩展到其它领域，尤其是电子商务和电子政务领域。然而，为了成功发展电子商务，必须解决许多信息安全问题，包括隐私保护、认证、保密和访问控制等 。信息安全是影响电子商务发展的最重要的因素之一。信息安全的进步不仅依赖网络安全技术的发展，更依赖于成熟的信息安全管理和非技术方面的其他因素。这反过来需要对信息安全专业人员和机构中使用信息技术的各种层次人员进行相应的信息安全培训。这种培训也是促进电子商务和电子政务发展及积累人力资源的过程。总之，信息安全技术培训将有利于电子商务、电子政务、经济，乃至整个社会的发展。

为了电子商务和电子政务的发展，信息安全培训可以产生巨大的经济利益。许多公司在信息安全方面投资越来越多。据专家调查，国外40%的信息安全投资将用在培训各个层次人员的信息安全培训。这意味着信息安全培训市场有着巨大的潜在利润。然而单单有潜在的利润不足以形成一个市场。这个市场之所以存在，不仅仅是为了接受培训的人可以得到培训，也不仅仅是为了经济的社会效益，更重要的是为了作为市场交易主体中每个个人自身的利益，或者是为了一个公司能够从它用在培训的投资中得到合理的回报。

在培训市场的形成过程中也存在种种障碍。其中，对于一个公司来说， IT专业人员的频繁跳槽使公司不愿意在信息安全培训方面上有大的投资。另外，许多公司并没意识到信息安全的重要性。对于个人来说，如果不存在一个公认的认证，没有认识到培训能提高他们的收入，那么他们也会对自身培训的投资犹豫不决。

用立法机构行为来加强信息安全培训的要求隐含着这样一个基本考虑：如忽视信息安全，可能会对公司的信息资产造成破坏，当这个破坏影响到网络时，也会给社会带来破坏。无论是谁负责信息工作时，都需要相应水平的安全培训，正如律师、护士、技术员一样，他们履行责任的前提是能够保护公众的利益。从事信息技术及使用信息系统的人，需要适当的培训来被认可或被许可去履行责任。如果没有适当的法律制度，那么由于安全方面的疏忽或破坏，进而导致客户对企业或公共信息基础设施丧失信心，就会造成IT投资的损失，从而阻碍电子商务和电子政务的发展。

或许是因为信息安全事故与交通事故不同，信息系统的一个安全缺陷不会导致人身的伤害，所以造成了对信息安全某种程度上的忽略。然而，缺乏信息安全意识将会给公司、给社会造成巨大的损失，并危及像Internet这样的公共设施。之于此，中国应该加强强制性培训和认证的立法，因为一个缺乏安全培训和知识的信息工作人员将使国家安全和公共基础设施受到威胁。由于专业人员经常流动，公司缺乏在培训上的投资动机。如果没有标准的培训和证书，那么个人也将缺乏在安全培训上的投资动机。为了促进电子商务，特别是电子政务发展，中国必须进行强制性信息安全培训立法，访问信息系统的人必须接受不同程度的培训课程并且拥有相应的证书。