摘 要：論文針對推行政務信息系統服務外包過程中，電子政務安全管理方面所暴露出的問題進行了分析探討，并結合實踐工作經驗，從信息系統運行安全和信息保密的角度，對電子政務服務外包模式下的安全管理提出了參考性建議。

　關鍵詞：電子政務;服務外包;安全管理

　　1 引言

　　隨著我國政務信息化建設的深入，政務信息系統的規模不斷擴大、復雜程度日益提高，政府業務更加依賴于政務信息系統。然而，由于人力、財力等因素的制約，信息系統發生故障的情況很難避免，所造成的損失也越來越大，對信息技術管理部門形成嚴峻挑戰。提高技術保障能力，盡可能滿足政務業務工作的需要，已成為信息技術管理部門首要考慮的問題。

　　當前，解決這一問題的優先選擇方案是服務外包，即：在政務信息系統建設前期的規劃、咨詢、項目實施以及建設完成后的運營和維護的過程中，把專業性較高且非保密的日常事務性工作委托給專業服務商去完成。實踐表明，服務外包是提高保障能力和服務質量，降低服務成本的有效途徑。根據有關部門統計，服務外包可平均節省9%以上的成本，服務能力與質量則提升15%以上。但由于政務信息系統的重要性和政務數據的敏感性、保密性，在普遍推行服務外包模式的大背景下，電子政務安全管理問題表現得十分突出。為此，本文立足筆者的工作實踐，以所在單位系統運維外包情況為例，從信息系統運行安全和信息保密的視角，對外包模式下的安全管理做些探討。

　　2 項目背景

　　2006年5月中旬，湖南省高級人民法院按照最高法院的相關要求提前3年完成了作為全國法院涉密專網組成部分的湖南法院系統省、市、縣三級信息專網的建設，實現了全省140個人民法院的互聯互通。

　　隨后根據湖南法院系統的實際情況，通過半年時間為所有法院統一安裝配置了內網門戶網站、內部電子郵件系統、審判流程管理系統、法律支持系統、殺毒軟件等業務支持系統，有力推動了全省法院信息化發展。但由于省法院信息中心總共才4名專職工作人員，且職能工作繁多，后期大量的培訓、管理、維護、考核等工作很難全部完成。在這種情況下，服務外包模式是我們解決該問題的最佳選擇方案。

　　3 外包模式下的主要安全與風險問題

　　服務外包，是通過發揮服務商的專業優勢和規模優勢，以提高保障能力，提升服務質量，降低服務成本。但服務商的引入，從當前實踐來看，也使電子政務安全管理變得復雜，安全風險有可能加大，主要體現在以下6個方面：一是外包工作范圍的正確選擇與否，直接決定了外包工作的成敗。正確的范圍選擇可以促進各項信息化工作的順利開展，而錯誤的選擇則極可能增加維護管理成本，對重要數據和保密信息造成相當的安全隱患。二是部分單位認為“外包等于什么都不用管”，結果導致信息技術管理部門職能弱化，造成項目管理混亂，信息安全得不到保障。三是服務商的引入使接觸、了解、掌握政府機關網絡結構、參數設置、軟件結構、敏感數據或信息的人員增加，可能增加信息系統被攻擊的風險和數據或信息丟失泄漏的風險。四是服務商的經營風險可能導致電子政務的安全風險。如公司發生經營困難或技術團隊的人才波動時，可能導致保障能力和服務質量的下降，甚至中斷，進而對信息系統構成運行風險和泄密風險。五是服務商技術團隊人員的職業素質可能影響服務的保障能力和質量，并有可能構成安全威脅。服務商技術人員一般是通過市場化手段招聘而來，如果招聘時把關不嚴，將職業素質較低的人員招聘進隊伍，后期培訓和管理又沒有跟上的話，可能因責任心不強、工作不到位或操作不當，產生人為的運行故障、數據丟失或系統服務中斷，也可能增加被攻擊的風險或泄密威脅。六是作為管理者的信息技術管理部門和作為執行者的服務商所處位置不同，追求的工作目標不同，增加了管理工作難度和溝通協調成本，影響服務及時性和雙方的合作，進而造成管理困難和安全風險。信息技術管理部門作為政府機關組成部門，追求的目標是以較小的成本和風險，取得最好的對內對外服務效果;而服務商作為企業，追求的目標是在確保服務合同履行的情況下，追求利潤的最大化，必然會想方設法提高服務合同金額，降低執行成本。也就是說，信息技術管理部門追求的目標是不斷提升服務質量，而服務商追求的目標是不斷增加利潤率，這必然是一對矛盾。

　　4 外包模式下的安全管理措施

　　對于外包模式下的安全和風險管理問題，我們必須保持清醒的認識，并因地制宜地采取合適的防范措施。經過一段時期的實踐與摸索，我們認為加強以下幾個方面的工作能夠有效增強服務外包的安全性。

　　4.1 準確篩選服務外包所涉及范圍

　　外包服務工作范圍是基于政府機關信息化發展戰略需要，通過對自身的實現目標、實施策略、資源及人力資源狀況和安全要求的綜合分析，所制定的IT戰略要明確哪些工作可以交由服務商處理解決，哪些工作必須由自己的工作人員完成，對權限、口令、密鑰、重要數據更是要實施專人管理。根據對我省法院相關系統的分析整理，我們將培訓工作，維護和監控全省內網門戶網站、內部電子郵件系統、審判流程管理系統、法律支持系統、殺毒軟件等業務支持系統，排除系統運行中發生的故障，修復存在的BUG，解決操作人員使用中遇到的問題等20項無保密要求、專業性高且具體繁瑣的日常事務性工作進行了整體打包并外包。而對敏感程度較高的設備及重要數據維護始終堅持由法院內部工作人員進行，比如：數據庫的操作和備份。