陶毅國

摘要：分析了電子政務(wù)從建到管的重點(diǎn)變化及面臨挑戰(zhàn)，提出以安全為綱是當(dāng)前提升電子政務(wù)管理水平的有效途徑。在比較分析IT服務(wù)管理體系ISO20000、信息安全管理體系ISO27000、信息安全等級(jí)保護(hù)制度、軟件能力成熟度集成模型CMMI這四個(gè)國內(nèi)外常用標(biāo)準(zhǔn)的基礎(chǔ)上，論述了四個(gè)標(biāo)準(zhǔn)融合以構(gòu)建電子政務(wù)管理體系的可行性、必要性，給出了體系構(gòu)建的融合四原則、四級(jí)五類融合方案、注意要點(diǎn)。

關(guān)鍵詞：電子政務(wù)；管理體系；標(biāo)準(zhǔn)融合；信息安全；等級(jí)保護(hù)；ISO20000 ISO27000 CMMI

一、政府信息系統(tǒng)管理面臨的挑戰(zhàn)

（一）電子政務(wù)從建到管的重心轉(zhuǎn)換

我國電子政務(wù)建設(shè)從上個(gè)世紀(jì)開始，政府信息系統(tǒng)圍繞“兩網(wǎng)、一站、四庫、十二金”的規(guī)劃建立了大量的信息管理系統(tǒng)，政府業(yè)務(wù)主要流程已經(jīng)基本實(shí)現(xiàn)了信息化、網(wǎng)絡(luò)化、自動(dòng)化[1]， 成為政府行使管理職能、為社會(huì)提供公共服務(wù)的不可或缺的基礎(chǔ)技術(shù)支撐平臺(tái)。

各級(jí)政府信息部門的工作從以建為主，逐步轉(zhuǎn)向以安全為核心目標(biāo)的日常管理為主。

（二）電子政務(wù)系統(tǒng)管理面臨的重大挑戰(zhàn)

電子政務(wù)系統(tǒng)管理面臨諸多挑戰(zhàn)，主要包括：

1）管理意識(shí)落后：“重技術(shù)、輕管理”、“重建設(shè)、輕維護(hù)”等現(xiàn)象依然存在，一些領(lǐng)導(dǎo)對(duì)新建項(xiàng)目關(guān)注較多，對(duì)日常管理重視程度不夠；[2]

2）低水平運(yùn)行：信息部門普遍采用經(jīng)驗(yàn)管理法則，“摸著石頭過河”。日常工作中常處于被動(dòng)應(yīng)付與“應(yīng)急救火”狀態(tài).。對(duì)項(xiàng)目建設(shè)、運(yùn)維外包的供應(yīng)商的管理缺乏有效量化手段，管理粗放；

3）制度系統(tǒng)性差：系統(tǒng)管理的制度制訂與實(shí)施缺乏科學(xué)方法指導(dǎo)，系統(tǒng)性較差。各制度之間重復(fù)、沖突在所難免，許多工作卻又無章可循。制度要求過高或過低，可操作性、可核查性較差；

4）信息安全重視不夠：一些單位從領(lǐng)導(dǎo)到一般人員仍存在著信息安全及系統(tǒng)可靠性全部是IT專業(yè)人員的事等錯(cuò)誤認(rèn)識(shí)，在人財(cái)物及制度監(jiān)督等方面都沒有得到重視。

以安全為核心是當(dāng)前提升電子政務(wù)管理的最佳途徑

建立以信息安全為核心的電子政務(wù)管理體系，是當(dāng)前快速全面提升電子政務(wù)管理水平的最佳路徑。

（二）信息安全與信息系統(tǒng)管理的原理目標(biāo)一致性

信息安全CIA基本屬性指保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。信息系統(tǒng)達(dá)到了CAI這三方面要求也就實(shí)現(xiàn)了系統(tǒng)管理的基本目標(biāo)。

信息安全與系統(tǒng)管理在以下方面是一致的：全生命周期包括設(shè)計(jì)、實(shí)施、運(yùn)行、廢止四個(gè)階段的管理，性能、成本、安全之間的平衡，終極使命均是為了保障信息系統(tǒng)實(shí)現(xiàn)組織的使命。

（三）加強(qiáng)信息安全是電子政務(wù)的迫切需求

當(dāng)前我國信息安全形勢(shì)嚴(yán)峻，主要體現(xiàn)在：

黑客從謀利角度會(huì)特別關(guān)注象政府信息系統(tǒng)這樣有大量個(gè)人寶貴隱私信息的數(shù)據(jù)庫；

斯諾頓事件揭露出，國外情報(bào)機(jī)構(gòu)利用其掌握的技術(shù)優(yōu)勢(shì)，對(duì)國內(nèi)政府機(jī)構(gòu)的信息系統(tǒng)進(jìn)行大量入侵，形勢(shì)嚴(yán)峻；

國內(nèi)電子政務(wù)采用的核心軟硬件設(shè)備基本都是美國的，一段時(shí)間內(nèi)想要完成去IOE暫時(shí)還做不到；

一些政府機(jī)構(gòu)的安全意識(shí)淡薄、內(nèi)部管理不嚴(yán)、操作不規(guī)范等情況加重了電子政務(wù)系統(tǒng)所面臨的風(fēng)險(xiǎn)。

（四）信息安全是國家對(duì)電子政務(wù)系統(tǒng)的基本要求

2014年成立“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”，中共中央總書記、國家主席、中央軍委主席習(xí)近平親自擔(dān)任組長(zhǎng)。國家將信息安全重要性提升到一個(gè)前所未有的高度。

政府為電子政務(wù)信息安全頒布了一系列法規(guī)與條例：1994年國務(wù)院令第147號(hào)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》首次正式提出安全等級(jí)保護(hù)要求；公安局公通字[2004]66號(hào)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》對(duì)涉及社會(huì)秩序、公共利益的信息系統(tǒng)安全等級(jí)保護(hù)作出了法定要求；國信辦[2005]25《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南（試行）》明確了電子政務(wù)等級(jí)保護(hù)的具體要求。

電子政務(wù)作為涉及社會(huì)秩序、公共利益的重要信息系統(tǒng)，保障其信息安全是政府部門的法定基本義務(wù)，是對(duì)系統(tǒng)管理的基本要求。

二、國內(nèi)外信息系統(tǒng)管理標(biāo)準(zhǔn)簡(jiǎn)介及融合分析

（一）主要標(biāo)準(zhǔn)介紹

信息系統(tǒng)管理相關(guān)標(biāo)準(zhǔn)較多，現(xiàn)將國內(nèi)外應(yīng)用比較廣泛的四個(gè)標(biāo)準(zhǔn)作簡(jiǎn)單介紹。

IT服務(wù)管理體系ISO20000：從英國ITIL脫胎而來，現(xiàn)已為ISO標(biāo)準(zhǔn)，我國等同采用標(biāo)準(zhǔn)號(hào)為GB/T 24405，是信息系統(tǒng)在運(yùn)行維護(hù)階段的專門標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了一系列比較抽象的流程目標(biāo)，以達(dá)到運(yùn)維管理的質(zhì)量，包括5大過程13個(gè)管理方面，信息安全是其中一個(gè)管理方面。

信息安全管理體系ISO27000：從英國BS7799發(fā)展面來、現(xiàn)為ISO標(biāo)準(zhǔn)，我國等同采用標(biāo)準(zhǔn)號(hào)為GB/T 22080。該標(biāo)準(zhǔn)強(qiáng)調(diào)以風(fēng)險(xiǎn)控制點(diǎn)來達(dá)到信息安全管理目的。標(biāo)準(zhǔn)要求從11個(gè)方面共計(jì)133項(xiàng)控制措施建立起一個(gè)組織的信息安全管理體系。

信息安全等級(jí)保護(hù)制度：我國公安部等機(jī)構(gòu)制訂，包括《信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239》等一系列國家標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)要求從5個(gè)技術(shù)、5個(gè)管理共計(jì)10大方面，對(duì)5類不同等級(jí)的信息系統(tǒng)提供不同的安全防護(hù)。

軟件能力成熟度集成模型CMMI：由美國卡內(nèi)基-梅隆大學(xué)軟件工程研究中心（SEI）建立，用于建設(shè)或評(píng)估一個(gè)組織的軟件過程能力成熟度。模型將軟件能力分為5級(jí)。成熟度達(dá)到3級(jí)時(shí)，組織必須在18個(gè)過程域，每個(gè)過程域涉及的12個(gè)通用實(shí)踐及相關(guān)特殊實(shí)踐方面達(dá)到模型規(guī)定要求。

（二）標(biāo)準(zhǔn)關(guān)聯(lián)性及融合可行性

各標(biāo)準(zhǔn)所屬領(lǐng)域、生命周期各階段的對(duì)應(yīng)情況列表分析如表1下。

對(duì)標(biāo)準(zhǔn)綜合分析后可以得出以下結(jié)論：1）等級(jí)保護(hù)與ISO27000雖然在強(qiáng)制性要求、實(shí)施對(duì)象范圍、具體做法上存在不少差異，但二者同屬信息安全的專門標(biāo)準(zhǔn)，目標(biāo)一致，共通性最強(qiáng)，也最容易整合。一般體系參照ISO27000，而具體措施要求參照等級(jí)保護(hù)；2）ISO27000與ISO20000在事件、業(yè)務(wù)連續(xù)性等管理方面有較大的共通性，在能力、變更、發(fā)布、供應(yīng)商、問題管理等方面也存在許多交叉點(diǎn)；3）ISO27000在風(fēng)險(xiǎn)評(píng)估、最佳控制實(shí)踐、全面安全管理等方面有優(yōu)勢(shì)。等級(jí)保護(hù)較符合中國行政管理習(xí)慣，各級(jí)要求明確具體，在重點(diǎn)保護(hù)原則、容易參照?qǐng)?zhí)行等方面有長(zhǎng)處。[3]但在系統(tǒng)性方面與ISO體系有一定差距；4）CMMI的項(xiàng)目計(jì)劃、變更管理、配置管理、組織培訓(xùn)、風(fēng)險(xiǎn)管理等過程域與信息安全、運(yùn)維管理的標(biāo)準(zhǔn)有很多相關(guān)、交叉的要求；5）ISO27000、等級(jí)保護(hù)在規(guī)劃、建設(shè)階段僅限于安全方面要求。CMMI雖是針對(duì)軟件開發(fā)的一個(gè)標(biāo)準(zhǔn)，但模型要求的通用實(shí)踐對(duì)信息系統(tǒng)各階段管理均具有較強(qiáng)的參考價(jià)值，可以彌補(bǔ)規(guī)劃、建設(shè)這二個(gè)階段中其它三個(gè)標(biāo)準(zhǔn)的不足。

表1

[針對(duì)領(lǐng)域＼& 標(biāo)準(zhǔn) 階段＼&規(guī)劃＼&建設(shè)＼&運(yùn)行＼&廢止＼&系統(tǒng)運(yùn)維＼&ISO20000＼&無＼&無＼&有＼&無＼&信息安全＼&ISO27000＼&有＼&有＼&有＼&有＼&信息安全＼&等級(jí)保護(hù)＼&有＼&有＼&有＼&有＼&軟件開發(fā)＼&CMMI＼&有＼&有＼&部分有＼&無＼&]

四個(gè)標(biāo)準(zhǔn)面向信息系統(tǒng)某一領(lǐng)域的特定管理，采用的系統(tǒng)化理論、過程化方法存在大量共通性、相融性，是可以融合在一起的。

電子政務(wù)是我國信息化應(yīng)用中比較成功的領(lǐng)域之一，業(yè)務(wù)需求實(shí)、系統(tǒng)投入大、應(yīng)用基礎(chǔ)好、監(jiān)管力度強(qiáng)，從電子政務(wù)開始推動(dòng)多標(biāo)準(zhǔn)融合、高起點(diǎn)的系統(tǒng)管理，是現(xiàn)實(shí)可行的。

（三）標(biāo)準(zhǔn)融合的必要性

系統(tǒng)管理涉及信息系統(tǒng)的全生命周期，是以安全為核心多目標(biāo)的任務(wù)。各標(biāo)準(zhǔn)著眼于某一專業(yè)領(lǐng)域或某一特定階段，單一采用某標(biāo)準(zhǔn)均不能完全覆蓋系統(tǒng)管理的全部。

部分單位建立了基于多個(gè)標(biāo)準(zhǔn)的、相互獨(dú)立的管理制度，則有可能會(huì)造成制度之間的重復(fù)問題，執(zhí)行人員面對(duì)繁多流程難于掌握與執(zhí)行，表單的重復(fù)填寫與多重審批，不僅增加工作量，也嚴(yán)重降低工作效率。

因此，融合各標(biāo)準(zhǔn)的優(yōu)點(diǎn)，建立一套系統(tǒng)、規(guī)范、實(shí)用的電子政務(wù)管理體系是十分必要的。

基于安全核心及多標(biāo)準(zhǔn)融合的電子政務(wù)管理體系構(gòu)建

在政府部門、大型事業(yè)單位的信息安全、運(yùn)維管理咨詢的實(shí)踐基礎(chǔ)上，我們總結(jié)了電子政務(wù)管理體系構(gòu)建的一些經(jīng)驗(yàn)，與大家分享探討。

（四）多標(biāo)準(zhǔn)融合四原則

電子政務(wù)系統(tǒng)管理多標(biāo)準(zhǔn)融合應(yīng)遵循以下原則：

1）系統(tǒng)性原則：以系統(tǒng)工程思想為指導(dǎo)，建設(shè)以安全為核心的信息系統(tǒng)管理體系。體系應(yīng)覆蓋規(guī)劃、建設(shè)、運(yùn)行、廢止全生命周期，管理對(duì)象應(yīng)包括信息系統(tǒng)相關(guān)的全部信息資產(chǎn)；

2）實(shí)用性原則：整合各標(biāo)準(zhǔn)的體例、分類、術(shù)語、方法，摒棄標(biāo)準(zhǔn)中過于學(xué)術(shù)化與抽象的描述，統(tǒng)一規(guī)劃、簡(jiǎn)單明了，保證體系獲得明確、快捷的理解與執(zhí)行。在兼顧標(biāo)準(zhǔn)要求基礎(chǔ)上，具體措施應(yīng)結(jié)合單位實(shí)際情況，吸納已有成功做法；

3）靈活性原則：針對(duì)不同的信息系統(tǒng)規(guī)模、等保備案級(jí)別，使用中可以進(jìn)行靈活、便捷的裁減。

4）合規(guī)性原則：管理體系運(yùn)行結(jié)果可以同時(shí)通過政府信息安全主管部門、體系外審機(jī)構(gòu)的測(cè)評(píng)、審核等要求。

（五）四級(jí)五類的體系融合方案

在研究及大量實(shí)踐的基礎(chǔ)上，我們提出了電子政務(wù)管理體系四級(jí)五類的融合方案。

按層次關(guān)系劃分為四級(jí)文件：

1）一級(jí)文件--制度總則：規(guī)定了系統(tǒng)管理的范圍、方針和目標(biāo)，原則、方法及職責(zé)，主要管理過程綜述。

2）二級(jí)文件--管理制度：具體規(guī)定各個(gè)方面的管理要求；

3）三級(jí)文件--規(guī)范文檔：對(duì)制度的細(xì)化與明確，包括技術(shù)規(guī)范、SOP、方法、細(xì)則等；

4）四級(jí)文件--記錄模板：包括表單、報(bào)告等模板。

按類別屬性劃分為A-E五大類制度：

A）制度總則類：制度總則及其下級(jí)文檔，包括組織架構(gòu)、體系負(fù)責(zé)人任命、安全區(qū)域示意圖等；

B）系統(tǒng)管理綜合類：各階段共通的管理要求，如文件記錄、人力資源、配置、變更、事件、問題、合規(guī)性等方面；

C）信息系統(tǒng)建設(shè)類：信息系統(tǒng)建設(shè)階段相關(guān)管理文件，主要制度是項(xiàng)目建設(shè)管理制度，涉及立項(xiàng)、采購、建設(shè)、試運(yùn)行、驗(yàn)收等。由于軟件開發(fā)的特殊性，可參考CMMI專門建立軟件開發(fā)涉及的需求、設(shè)計(jì)、測(cè)試、試運(yùn)行等階段的專門要求；

D）信息系統(tǒng)運(yùn)維類：信息系統(tǒng)運(yùn)維到終止階段相關(guān)管理文件，主要參考ISO20000及信息安全相關(guān)要求，如信息資產(chǎn)、持續(xù)性可用性、業(yè)務(wù)關(guān)系、供應(yīng)商、預(yù)算及考核，以及物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)的安全要求；

E）信息安全專項(xiàng)：信息安全專門的管理文件，包括信息安全風(fēng)險(xiǎn)評(píng)估、信息安全等級(jí)等。

（六）體系建設(shè)過程中注意要點(diǎn)

在制度的具體制訂、實(shí)施、檢查、審核過程中，應(yīng)特別注意以下要點(diǎn)：

1）管理意識(shí)培育：應(yīng)通過宣傳、培訓(xùn)、考核等方式，樹立單位全員人員對(duì)系統(tǒng)管理的正確認(rèn)識(shí)。[4]例如：領(lǐng)導(dǎo)層要認(rèn)識(shí)到對(duì)系統(tǒng)管理工作的資源保障、監(jiān)督管理的責(zé)任；全體人員要意識(shí)到保障信息系統(tǒng)安全可靠人人有責(zé)；

2）人性化落地措施：管理體系本身復(fù)雜又專業(yè)性強(qiáng)，但涉及全體人員的要求并不多，可專門整合成冊(cè)并人手一本，如能通俗化圖畫化則更佳。還可以采用上墻告示、目視化管理等方式，提高體系落地的有效性；

3）應(yīng)用于外包管理：系統(tǒng)管理工作外包后，相應(yīng)管理制度應(yīng)成為對(duì)外包人員的要求；

4）軟件工具的作用：軟件工具可以使體系實(shí)施中減少工作量、固化流程、強(qiáng)化監(jiān)督、提高效率。ISO20000相關(guān)的運(yùn)維工具，只要增加規(guī)劃、建設(shè)階段的審核流程，就能滿足體系的大多數(shù)管理需求。

參考文獻(xiàn)

[1] 李長(zhǎng)征.中國電子政務(wù)運(yùn)維管理現(xiàn)狀與發(fā)展趨勢(shì)（J），電子政務(wù)，2008年，第12期，19-20

[2] 高用成.對(duì)海關(guān)信息系統(tǒng)運(yùn)維管理工作的思考（A），信息科技，2010年，第21期，215-215

[3] 王閃閃.ISO27000與等級(jí)保護(hù)系列標(biāo)準(zhǔn)對(duì)比研究（D），陜西師范大學(xué)碩士學(xué)位論文，2010-06，41-45

[4] 武曉春、王茵、劉永慶.面向組織機(jī)構(gòu)的人員信息安全意識(shí)培養(yǎng)模式研究（A），電腦知識(shí)與技術(shù)，2011年，第34期，Vol.7