作者：曹卫京，夏凌宏 
 
摘 要：本文针对推行政务信息系统服务外包过程中，电子政务安全管理方面所暴露出的问题进行了分析探讨，并结合实践工作经验，从信息系统运行安全和信息保密的角度，对电子政务服务外包模式下的安全管理提出了参考性建议。
关键词：电子政务；服务外包；安全管理
1 引言
随着我国政务信息化建设的深入，政务信息系统的规模不断扩大、复杂程度日益提高，政府业务更加依赖于政务信息系统。然而，由于人力、财力等因素的制约，信息系统发生故障的情况很难避免，所造成的损失也越来越大，对信息技术管理部门形成严峻挑战。提高技术保障能力，尽可能满足政务业务工作的需要，已成为信息技术管理部门首要考虑的问题。
当前，解决这一问题的优先选择方案是服务外包，即：在政务信息系统建设前期的规划、咨询、项目实施以及建设完成后的运营和维护的过程中，把专业性较高且非保密的日常事务性工作委托给专业服务商去完成。实践表明，服务外包是提高保障能力和服务质量，降低服务成本的有效途径。根据有关部门统计，服务外包可平均节省9%以上的成本，服务能力与质量则提升15%以上。但由于政务信息系统的重要性和政务数据的敏感性、保密性，在普遍推行服务外包模式的大背景下，电子政务安全管理问题表现得十分突出。为此，本文立足笔者的工作实践，以所在单位系统运维外包情况为例，从信息系统运行安全和信息保密的视角，对外包模式下的安全管理做些探讨。
2 项目背景
2006年5月中旬，湖南省高级人民法院按照最高法院的相关要求提前3年完成了作为全国法院涉密专网组成部分的湖南法院系统省、市、县三级信息专网的建设，实现了全省140个人民法院的互联互通。
随后根据湖南法院系统的实际情况，通过半年时间为所有法院统一安装配置了内网门户网站、内部电子邮件系统、审判流程管理系统、法律支持系统、杀毒软件等业务支持系统，有力推动了全省法院信息化发展。但由于省法院信息中心总共才4名专职工作人员，且职能工作繁多，后期大量的培训、管理、维护、考核等工作很难全部完成。在这种情况下，服务外包模式是我们解决该问题的最佳选择方案。
3 外包模式下的主要安全与风险问题
服务外包，是通过发挥服务商的专业优势和规模优势，以提高保障能力，提升服务质量，降低服务成本。但服务商的引入，从当前实践来看，也使电子政务安全管理变得复杂，安全风险有可能加大，主要体现在以下6个方面：一是外包工作范围的正确选择与否，直接决定了外包工作的成败。正确的范围选择可以促进各项信息化工作的顺利开展，而错误的选择则极可能增加维护管理成本，对重要数据和保密信息造成相当的安全隐患。二是部分单位认为“外包等于什么都不用管”，结果导致信息技术管理部门职能弱化，造成项目管理混乱，信息安全得不到保障。三是服务商的引入使接触、了解、掌握政府机关网络结构、参数设置、软件结构、敏感数据或信息的人员增加，可能增加信息系统被攻击的风险和数据或信息丢失泄漏的风险。四是服务商的经营风险可能导致电子政务的安全风险。如公司发生经营困难或技术团队的人才波动时，可能导致保障能力和服务质量的下降，甚至中断，进而对信息系统构成运行风险和泄密风险。五是服务商技术团队人员的职业素质可能影响服务的保障能力和质量，并有可能构成安全威胁。服务商技术人员一般是通过市场化手段招聘而来，如果招聘时把关不严，将职业素质较低的人员招聘进队伍，后期培训和管理又没有跟上的话，可能因责任心不强、工作不到位或操作不当，产生人为的运行故障、数据丢失或系统服务中断，也可能增加被攻击的风险或泄密威胁。六是作为管理者的信息技术管理部门和作为执行者的服务商所处位置不同，追求的工作目标不同，增加了管理工作难度和沟通协调成本，影响服务及时性和双方的合作，进而造成管理困难和安全风险。信息技术管理部门作为政府机关组成部门，追求的目标是以较小的成本和风险，取得最好的对内对外服务效果；而服务商作为企业，追求的目标是在确保服务合同履行的情况下，追求利润的最大化，必然会想方设法提高服务合同金额，降低执行成本。也就是说，信息技术管理部门追求的目标是不断提升服务质量，而服务商追求的目标是不断增加利润率，这必然是一对矛盾。　
4 外包模式下的安全管理措施
对于外包模式下的安全和风险管理问题，我们必须保持清醒的认识，并因地制宜地采取合适的防范措施。经过一段时期的实践与摸索，我们认为加强以下几个方面的工作能够有效增强服务外包的安全性。
4.1 准确筛选服务外包所涉及范围
外包服务工作范围是基于政府机关信息化发展战略需要，通过对自身的实现目标、实施策略、资源及人力资源状况和安全要求的综合分析，所制定的IT战略要明确哪些工作可以交由服务商处理解决，哪些工作必须由自己的工作人员完成，对权限、口令、密钥、重要数据更是要实施专人管理。根据对我省法院相关系统的分析整理，我们将培训工作，维护和监控全省内网门户网站、内部电子邮件系统、审判流程管理系统、法律支持系统、杀毒软件等业务支持系统，排除系统运行中发生的故障，修复存在的BUG，解决操作人员使用中遇到的问题等20项无保密要求、专业性高且具体繁琐的日常事务性工作进行了整体打包并外包。而对敏感程度较高的设备及重要数据维护始终坚持由法院内部工作人员进行，比如：数据库的操作和备份。
4.2 加大监管力度，严格过程管理
服务外包后，信息技术管理部门应认真行使好管理职能，扮演好管理者的角色，充分发挥其在规划、组织、管理、协调方面的优势，明确管理目标，负责管理制度的建设和执行监督工作。每个外包项目都不允许进行零管理或松散管理，在信息化建设与应用的各个阶段都应该按照项目管理的要求安排专人实时跟踪、参与、审查、评价和进行安全保障。我们在服务外包实施过程中，始终安排了一名技术专干全程参与和管理，要求服务商将每周、每月详细记录系统运行情况、维护情况、功能改进、故障排除情况、与上月的比较情况等形成的详细的运维报告交与检查，并建立了运维档案登记制度，以便实时掌握系统运行情况，从而对全省法院信息化工作各阶段侧重点做出积极有效的调整。同时，在敏感设备或敏感数据、程序进行维护中全程安排专人共同处理，以对处理的过程与结果进行监管。
4.3 谨慎选择服务商，从源头上把好关
技术保障服务作为一项专业性强、技术要求高，特别是延续性强（一般贯穿信息系统的整个生命周期）的IT服务，信息技术管理部门从安全角度考虑，在招标时必须加强对服务商的选择。一是要考察服务商的运营能力和专业性。服务商运营能力强，发展才会稳定，企业才会有生命力；专业性是指服务商是否以外包服务作为主营业务，只有将服务作为主营业务的服务商才会在外包业务上不断加大投入，其业务能力和技术水平才会不断提高。二是要考察服务商的内部管理水平。服务商的内部管理水平是企业实力的关键体现，只有内部管理规范，制度健全、执行有力，各项工作才会有序、高效地开展。三是要考察服务商的人力资源战略、人才结构及其专业团队的职业素质和技术水平。基于IT服务的技术性、专业性，对人才的要求很高，只有服务商重视人才，有好的人力资源战略，人才结构合理，才会拥有实力强大的专业团队，团队职业素质和技术水平高服务才会有保障。
最后必须说明的是，从政府采购实践来看，服务商的选择必须采用综合评价标准，招标工作中应明确服务外包的首要目标是提高保障能力和服务质量，其次才是降低成本。同时，服务商的外包业务具有较大的经营风险，因此信息技术管理部门要防止出现唯价格论的情形，应给予服务商合理的利润空间。
4.4 注重对服务商的管理和培训
信息技术管理部门应注重对服务商的管理和培训，加强管理模式的探讨，以使日常管理更加高效、到位。在进行我省法院系统部分服务外包的过程中，我们发现在以下几个方面对于整个工作的安全管理是十分重要的：一是在承包合同中应加入应对服务商经营风险的条款。如：对技术人员的数量、技术水平、待遇水平、稳定性要求进行约定。从根本上防止服务商因过分追求利润，减少信息系统维护人员的数量、降低人员水平，或导致业务骨干流失过大；在服务商经营出现问题的紧急情况下，信息技术管理部门应能够临时性接管服务商对人员的管理，以确保保障能力和服务质量。二是应适度参与服务商的人员引进、培训工作。如：对进入本单位服务的服务商员工，信息技术管理部门可进行必要的考试和审查，剔除不合格人员；督促服务商定期或不定期地组织对员工进行业务知识、专业技能、保密及安全制度方面的培训，促进服务水平和保密意识的提高。三是应与服务商及其员工签订安全或保密协议，从制度和法律上防范安全风险。四是应规范工作流程，实行报告制度。如：要求提供信息系统运行周报、月报或重要事项、事件报告等，使信息技术管理部门能及时掌握各种情况。五是应建立考核制度和奖惩制度，特别是奖励制度，以激励服务商及其员工服务的积极性。
4.5 加大投入，调整安全策略
基于信息系统安全的动态性和外包模式的安全管理特点，还必须要从人防和技防两个方面考虑，安全策略应重点加强的地方是：一是加强安全管理制度建设，使安全管理工作职责明确、流程规范，通过制度保障，充分发挥人的主观能动性。二是加强投入，主要是加强信息安全基础设施建设，丰富技防手段，尽可能降低人员水平与安全水平的关联性，即降低人的因素对信息系统安全的影响。三是在自身系统内，建设一只具有较高技术水平又精通业务的专业技术人员队伍，关键时刻可以起到“消防队”的作用。四是建立健全风险评估体系，通过风险评估及时发现安全隐患和快速处理安全问题，尽可能降低安全风险等级，提高信息系统的安全性。五是根据单位业务特点、应急管理体系和信息安全策略，建立健全应急预案，以应对各类突发事件，控制影响、降低损失，尽快恢复政务业务的正常处理。六是根据系统方法论，通过安全策略的实施，形成一个全面的、封闭的、循环的、可自我修复的、可评价的、高强度的、可信任的安全体系。
4.6 加强配套制度建设，形成制度合力
安全管理工作单靠信息技术管理部门和安全管理制度是不够的，要让所有相关部门及人员都认识到信息安全的重要性，形成人人关心、参与和各部门齐抓共管的工作局面，因此信息技术管理部门应及时与相关部门沟通协调，根据安全管理需要调整单位的相关制度，如：考核制度、评估制度、审查制度、奖惩制度等。通过各种制度的配合使用和宣传教育，形成制度合力，促进安全管理制度全面、有效地落实，从而加强安全管理工作。
5 总结
实践证明，虽然因服务商的引入使安全管理变得复杂，但通过加强对服务商的选择和管理，信息安全是有保障的、风险是可控制和降低的。同时，服务外包能将信息技术管理部门从繁杂的日常工作中解放出来，使其能集中精力于单位信息化建设的规划、组织、管理和协调工作，以及加强各项制度的建设和执行，从而能有效提高信息化的建设和应用水平。服务外包模式虽然有着需要继续改进探讨的地方，但总的来看对政府部门信息工作是十分有益的，完全能够实现在满足充分保障信息安全的前提下，弥补信息技术管理部门技术保障能力不足的缺陷，还可以在降低运维成本、提升信息化建设的应用水平方面发挥重要作用。

作者简介：曹卫京（1968-），男，双学士，高级工程师。1990年毕业于国防科技大学电子技术系电子工程专业。研究方向为计算机网络、信息通信、网络安全。夏凌宏（1981-），男，工科学士，助理工程师。2003年毕业于湖南师范大学计算机系计算机科学与技术专业。研究方向为计算机网络、软件、网络安全。