摘要:没有相应的信息安全水平,电子商务和电子政务的发展是不可能的。这不仅需要信息安全技术的进步,而且还要有对应用、操作、管理和拥有信息系统的相关人员进行适当的培训。一个完善的信息安全培训市场可以促进电子商务的发展。但是,如果没有一个恰当的法律环境,就不能形成良好的培训市场。法定的强制性培训是现阶段我国培训市场形成的一个关键因素。通过对比美国和中国的信息安全培训法律和市场的差别,我们可以认识到法定环境的重要性。
关键词:电子商务;法律环境;信息安全;培训市场;
在我国信息化进程中,信息安全管理人才非常缺乏,这需要我国对信息安全有更多的培训。然而,对比美国红红火火的信息安全管理的培训市场,我国的信息安全培训却寥寥落落,究其原因,主要是法制环境不同所至。
现代经济学认为,个人的理性行为并不必然导致集体的理性行为1。 也就是说对每个人都有利的事,不能担保每个人都会去做它。这是因为集体行为需要合作,而合作又需要克服利益的冲突2 。这就是为什么在我们的社会里需要法律和规章制度,这也是为什么形成信息安全培训市场需要适当的法律环境。
信息技术已经推动经济发展到了相当高的水平3 。在美国,IT技术促进劳动生产力以每年2%到2.75%的速率增长4 。这也激励了人们在其它领域(如电子商务和电子政务等)中应用信息技术。然而,为了成功发展电子商务,必须解决许多信息安全问题5,包括隐私保护、认证、保密和访问控制等6 。信息安全是影响电子商务发展的最重要的因素之一7 。信息安全的进步不仅依赖网络安全技术的发展,更依赖于成熟的信息安全管理和非技术方面的其它因素 8。这反过来需要对信息安全专业人员和机构中使用信息技术的各种层次人员进行相应的信息安全培训。这种培训也是促进电子商务和电子政务发展及积累人力资源的过程。总之,信息安全技术培训将有利于电子商务、电子政务、经济、乃至整个社会的发展。
为了电子商务和电子政务的发展,信息安全培训可以产生巨大的经济利益。许多公司在信息安全方面投资越来越多9。据专家调查,40%的信息安全投资10将用在培训各个层次人员的信息安全培训。这意味着信息安全培训市场有着巨大的潜在利润。然而单单有潜在的利润不足以形成一个市场。这个市场之所以存在,不仅仅是为了接受培训的人从那里得到培训,也不仅仅是为了社会的经济效益,更重要的是为了市场中每个个人自身的利益,或者为了是一个公司从它用在培训的投资中得到了合理的回报。
在培训市场的形成过程中存在一些障碍。对于一个公司来说, IT专业人员的频繁跳槽使公司不愿意在信息安全培训方面上有大的投资。另外,许多公司并没意识到信息安全的重要性11。对于个人来说,如果不存在一个公认的认证,没有认识到培训能提高他们的收入,那么他们也会对这方面的投资犹豫不决。
因此,为了形成培训市场,必须鼓励公司像政府部门和金融行业那样来培训他们的员工,这可以通过制订法律条文、或者通过管理者的高水平安全意识来实现。一个健康的培训行业,应该提供标准的认证,使得经受过培训人员的能力能在人才市场上得以认可。
用立法机构行为来加强信息安全培训的要求隐含着这样一个基本考虑:如忽视信息安全,可能会对公司的信息资产造成破坏,当这个破坏影响到网络时,也会给社会带来破坏。无论是谁负责信息工作时,都需要相应水平的安全培训,正如律师、护士、技术员一样,履行责任的同时也要保护公众的利益。从事信息技术及使用信息系统的人,需要适当的培训来被认可或被许可去履行责任。如果没有适当的法律制度,那么由于安全方面的疏忽或破坏,进而导致客户对企业或公共信息基础设施丧失信心,就会造成IT投资的损失,从而阻碍电子商务和电子政务的发展。
通过法律手段实行强制性培训是信息安全培训市场形成的一个关键因素。就像法律上对驾照的要求,使得驾驶学校赢利,也提高公共交通系统的经济效益。强制信息安全培训法律对促进电子政务和电子商务是必需的,对实现信息基础设施在经济效益也是必需的。这方面,美国已经在很早就开始注重强制性培训了。早在1987年,美国就调整了计算机安全法案,要求所有涉及管理、应用、操作那些含有敏感信息的联邦计算机系统的工作人员,都必须接受强制性、周期性的培训12。随后制定出了关于政府机构管理人员的规章制度,要求新的政府职员必须在60天之内接受信息安全培训。每个使用计算机系统的职员,在任何信息系统被升级或改变之后,或任一个新系统被引进后,都必须在不超过60天的时间内接受培训13。美国国家安全局也下达了指示,让每个政府机构制定关于信息安全的意识、培训和教育计划,从而使政府职员凭借各自不同的知识、经验和职责,能够胜任信息安全方面的工作。NSTISSC制定了一系列的指南来建立培训的标准。这些指南包括NSTISSD No.501“系统安全专业人员的国家培训标准” (1994年6月);NSTISSI No. 4012“被任命认证的权威人员的国家培训标准”(1997年8月); NSTISSI No. 4013“信息系统安全的系统管理员的国家培训标准”(1997年8月);NSTISSI No. 4014“信息系统安全官员的国家培训标准”(1997年8月),等等。这些信息安全指南和政策不仅对电子政务产生了深刻的影响,也对民营企业产生了积极的经济效果。因此美国的信息安全培训市场迅速的发展了起来。
美国的培训市场不仅拥有像Microsoft,、CISCO、Checkpoint等提供的产品相关的商业培训,还拥有在信息安全方面独立于任何产品的信息安全培训,如(ISC)2提供的CISSP 和SSCP认证和SANS提供的GIAC认证。例如,(ISC)2在美国每三天或四天将组织一次培训。SANS也是这样。总之,在美国,有关信息安全的证书大约有一百多种。
一个恰当的法律环境能够促使信息安全培训市场迅速发展,正如上述我们看到的美国的例子那样;当缺乏一个适当的法律环境时,将阻碍这个市场的形成,我国就处于信息安全培训市场还没发育的阶段。
中国也在信息安全方面付出了巨大的努力,也建立了许多关于信息安全的法律和规章制度。在1994年,全国人大发表了“中华人民共和国计算机信息系统的安全保护的规章制度” ;在1997年,公共安全部门发表了“计算机信息系统访问Internet的安全保护的管理方法” ;在2000年,保密局发表了“计算机信息系统和Internet的安全管理制度”。 中国政府其它部门也制定了一些法律措施,但是没有一个涉及到对信息系统的使用者、操作者及拥有者实行强制性培训,结果是在中国没有形成一个成熟的信息安全培训市场。因为在中国这个培训市场并不存在,因此电子商务行业感受到了信息安全专业人员缺乏的压力,这严重阻碍了电子商务和电子政务的发展。
可能是信息安全事故与交通事故不同,信息系统的一个安全缺陷不会导致人身的伤害,所以造成了中国对信息安全培训某种程度上的忽略。然而,缺乏信息安全培训给公司造成巨大的损失,并危及像Internet这样的公共设施。中国应该加强强制性培训和认证的立法,因为一个缺乏安全培训和知识的信息工作人员将使国家安全和公共基础设施受到威胁。由于专业人员经常流动,公司缺乏在培训上的投资动机。如果没有标准的培训和证书,那么个人也将缺乏在安全培训上的投资动机。为了促进电子商务、特别是电子政务发展,中国必须进行强制性信息安全培训立法,访问信息系统的人必须接受不同水平的培训课程并且拥有相应的证书。
参考文献:
1 Mancur Olson,
The Logic of Collective Action: Public Goods and the Theory of Groups, Harvard University Press, Cambridge, Massachusetts, 1980.
2张维迎,博弈论与信息
经济学,上海三联书店1996年出版,2003年第9次印刷.
3 Jason Dedrick et. al. Information Technology and economic performance: A Critical Review of the Empirical Evidence, ACM Computing Surveys, Vol. 35, Mar. 2003, pp.1-28.
4 Stephen D. Oliner and Daniel E. Sichel, Information Technology and Productivity: Where Are We Now and Where are We Going? Federal Reserve Research Paper, May 10, 2002.
5 Kevin F. McCrohan, Facing the Threats to Electronic Commerce, Journal of Business and Industrial Marketing, Vol.18 No.2 2003, pp.133-145.
6 Sasa Dekleva, Electronic Commerce: A Half-Empty Glass?, Communication of the Association for Information System, Vol 3, Article 18, June 2000.
7 Godwin J. Udo, Privacy and Security Concerns as Major Barriers for E-Commerce: a Survey Study, Information Management and Computer Security, Vol.9 No.4 2001, pp. 165-174
8 S.W. Smith, A Funny Thing Happened on the Way to the Marketplace, IEEE Security and Privacy, Nov./Dec. 2003, pp. 74-78
9 Lawrence Gordon and Martin Loeb, The Economics of Information Security Investment, ACM Trans. Information and System Security, Vol. 5, No. 4, Nov.2002, pp. 438-457.
10 Patrick McBride, How to Spend a Dollar on Security, Computer World, Nov. 2000.
11 M.F. Warren, Security Practice: Survey Evidence from Three Countries, Logistics Information Management, Vol.15 No.5/6 2002, pp.347-351.
12 Public Law [P.L.] 100-235 “Computer Security Act” 1987.
13 Office of Personnel Management, 5 CFR Part 930, “Training Requirements for the computer Security Act”, January 3 1992.
14NSTISSD No. 500 “Information Systems Security Education, Training, and Awareness”, 25 February 1993.
15 www.ncisse.org.