摘 要：論文針對推行政務信息系統(tǒng)服務外包過程中，電子政務安全管理方面所暴露出的問題進行了分析探討，并結(jié)合實踐工作經(jīng)驗，從信息系統(tǒng)運行安全和信息保密的角度，對電子政務服務外包模式下的安全管理提出了參考性建議。

　關(guān)鍵詞：電子政務;服務外包;安全管理

　　1 引言

　　隨著我國政務信息化建設(shè)的深入，政務信息系統(tǒng)的規(guī)模不斷擴大、復雜程度日益提高，政府業(yè)務更加依賴于政務信息系統(tǒng)。然而，由于人力、財力等因素的制約，信息系統(tǒng)發(fā)生故障的情況很難避免，所造成的損失也越來越大，對信息技術(shù)管理部門形成嚴峻挑戰(zhàn)。提高技術(shù)保障能力，盡可能滿足政務業(yè)務工作的需要，已成為信息技術(shù)管理部門首要考慮的問題。

　　當前，解決這一問題的優(yōu)先選擇方案是服務外包，即：在政務信息系統(tǒng)建設(shè)前期的規(guī)劃、咨詢、項目實施以及建設(shè)完成后的運營和維護的過程中，把專業(yè)性較高且非保密的日常事務性工作委托給專業(yè)服務商去完成。實踐表明，服務外包是提高保障能力和服務質(zhì)量，降低服務成本的有效途徑。根據(jù)有關(guān)部門統(tǒng)計，服務外包可平均節(jié)省9%以上的成本，服務能力與質(zhì)量則提升15%以上。但由于政務信息系統(tǒng)的重要性和政務數(shù)據(jù)的敏感性、保密性，在普遍推行服務外包模式的大背景下，電子政務安全管理問題表現(xiàn)得十分突出。為此，本文立足筆者的工作實踐，以所在單位系統(tǒng)運維外包情況為例，從信息系統(tǒng)運行安全和信息保密的視角，對外包模式下的安全管理做些探討。

　　2 項目背景

　　2006年5月中旬，湖南省高級人民法院按照最高法院的相關(guān)要求提前3年完成了作為全國法院涉密專網(wǎng)組成部分的湖南法院系統(tǒng)省、市、縣三級信息專網(wǎng)的建設(shè)，實現(xiàn)了全省140個人民法院的互聯(lián)互通。

　　隨后根據(jù)湖南法院系統(tǒng)的實際情況，通過半年時間為所有法院統(tǒng)一安裝配置了內(nèi)網(wǎng)門戶網(wǎng)站、內(nèi)部電子郵件系統(tǒng)、審判流程管理系統(tǒng)、法律支持系統(tǒng)、殺毒軟件等業(yè)務支持系統(tǒng)，有力推動了全省法院信息化發(fā)展。但由于省法院信息中心總共才4名專職工作人員，且職能工作繁多，后期大量的培訓、管理、維護、考核等工作很難全部完成。在這種情況下，服務外包模式是我們解決該問題的最佳選擇方案。

　　3 外包模式下的主要安全與風險問題

　　服務外包，是通過發(fā)揮服務商的專業(yè)優(yōu)勢和規(guī)模優(yōu)勢，以提高保障能力，提升服務質(zhì)量，降低服務成本。但服務商的引入，從當前實踐來看，也使電子政務安全管理變得復雜，安全風險有可能加大，主要體現(xiàn)在以下6個方面：一是外包工作范圍的正確選擇與否，直接決定了外包工作的成敗。正確的范圍選擇可以促進各項信息化工作的順利開展，而錯誤的選擇則極可能增加維護管理成本，對重要數(shù)據(jù)和保密信息造成相當?shù)陌踩�隱患。二是部分單位認為“外包等于什么都不用管”，結(jié)果導致信息技術(shù)管理部門職能弱化，造成項目管理混亂，信息安全得不到保障。三是服務商的引入使接觸、了解、掌握政府機關(guān)網(wǎng)絡(luò)結(jié)構(gòu)、參數(shù)設(shè)置、軟件結(jié)構(gòu)、敏感數(shù)據(jù)或信息的人員增加，可能增加信息系統(tǒng)被攻擊的風險和數(shù)據(jù)或信息丟失泄漏的風險。四是服務商的經(jīng)營風險可能導致電子政務的安全風險。如公司發(fā)生經(jīng)營困難或技術(shù)團隊的人才波動時，可能導致保障能力和服務質(zhì)量的下降，甚至中斷，進而對信息系統(tǒng)構(gòu)成運行風險和泄密風險。五是服務商技術(shù)團隊人員的職業(yè)素質(zhì)可能影響服務的保障能力和質(zhì)量，并有可能構(gòu)成安全威脅。服務商技術(shù)人員一般是通過市場化手段招聘而來，如果招聘時把關(guān)不嚴，將職業(yè)素質(zhì)較低的人員招聘進隊伍，后期培訓和管理又沒有跟上的話，可能因責任心不強、工作不到位或操作不當，產(chǎn)生人為的運行故障、數(shù)據(jù)丟失或系統(tǒng)服務中斷，也可能增加被攻擊的風險或泄密威脅。六是作為管理者的信息技術(shù)管理部門和作為執(zhí)行者的服務商所處位置不同，追求的工作目標不同，增加了管理工作難度和溝通協(xié)調(diào)成本，影響服務及時性和雙方的合作，進而造成管理困難和安全風險。信息技術(shù)管理部門作為政府機關(guān)組成部門，追求的目標是以較小的成本和風險，取得最好的對內(nèi)對外服務效果;而服務商作為企業(yè)，追求的目標是在確保服務合同履行的情況下，追求利潤的最大化，必然會想方設(shè)法提高服務合同金額，降低執(zhí)行成本。也就是說，信息技術(shù)管理部門追求的目標是不斷提升服務質(zhì)量，而服務商追求的目標是不斷增加利潤率，這必然是一對矛盾。

　　4 外包模式下的安全管理措施

　　對于外包模式下的安全和風險管理問題，我們必須保持清醒的認識，并因地制宜地采取合適的防范措施。經(jīng)過一段時期的實踐與摸索，我們認為加強以下幾個方面的工作能夠有效增強服務外包的安全性。

　　4.1 準確篩選服務外包所涉及范圍

　　外包服務工作范圍是基于政府機關(guān)信息化發(fā)展戰(zhàn)略需要，通過對自身的實現(xiàn)目標、實施策略、資源及人力資源狀況和安全要求的綜合分析，所制定的IT戰(zhàn)略要明確哪些工作可以交由服務商處理解決，哪些工作必須由自己的工作人員完成，對權(quán)限、口令、密鑰、重要數(shù)據(jù)更是要實施專人管理。根據(jù)對我省法院相關(guān)系統(tǒng)的分析整理，我們將培訓工作，維護和監(jiān)控全省內(nèi)網(wǎng)門戶網(wǎng)站、內(nèi)部電子郵件系統(tǒng)、審判流程管理系統(tǒng)、法律支持系統(tǒng)、殺毒軟件等業(yè)務支持系統(tǒng)，排除系統(tǒng)運行中發(fā)生的故障，修復存在的BUG，解決操作人員使用中遇到的問題等20項無保密要求、專業(yè)性高且具體繁瑣的日常事務性工作進行了整體打包并外包。而對敏感程度較高的設(shè)備及重要數(shù)據(jù)維護始終堅持由法院內(nèi)部工作人員進行，比如：數(shù)據(jù)庫的操作和備份。