2011-03-11 08:57:00 来源:中国网
在我国电子政务建设中,信息安全管理人才非常缺乏,这需要我国对信息安全管理人员有更多的培训投入。信息安全培训主要应该依靠民间投入而不是政府投入,因为信息安全培训有着极大的经济效益,这些效益是培训市场的潜在利润。换句话说,只要创造良好的信息安全培训市场,就可以应用市场机制为我国信息化进程培育出急需的信息安全人才。然而,对比美国红红火火的信息安全管理的培训市场,我国的信息安全培训却寥寥落落,究其原因,主要是我国缺乏相应的法规制度。
为什么需要相应的法规制度呢?现代经济学认为,个人的理性行为并不必然导致集体的理性行为。也就是说对每个人都有利的事,不能担保每个人都会去做它。这是因为集体行为需要合作,而合作又需要克服利益的冲突 。这就是为什么在我们的社会里需要法律和规章制度,这也是为什么形成信息安全培训市场需要适当的法律环境。
信息技术已经推动经济发展到了相当高的水平 。在美国,IT技术促进劳动生产力以每年2%到2.75%的速率增长 。这也鼓励了人们将信息化扩展到其它领域,尤其是电子商务和电子政务领域。然而,为了成功发展电子商务,必须解决许多信息安全问题,包括隐私保护、认证、保密和访问控制等 。信息安全是影响电子商务发展的最重要的因素之一 。信息安全的进步不仅依赖网络安全技术的发展,更依赖于成熟的信息安全管理和非技术方面的其它因素。这反过来需要对信息安全专业人员和机构中使用信息技术的各种层次人员进行相应的信息安全培训。这种培训也是促进电子商务和电子政务发展及积累人力资源的过程。总之,信息安全技术培训将有利于电子商务、电子政务、经济、乃至整个社会的发展。
为了电子商务和电子政务的发展,信息安全培训可以产生巨大的经济利益。许多公司在信息安全方面投资越来越多。据专家调查,国外40%的信息安全投资将用在培训各个层次人员的信息安全培训。这意味着信息安全培训市场有着巨大的潜在利润。然而单单有潜在的利润不足以形成一个市场。这个市场之所以存在,不仅仅是为了接受培训的人可以得到培训,也不仅仅是为了经济的社会效益,更重要的是为了作为市场交易主体中每个个人自身的利益,或者为了是一个公司从它用在培训的投资中得到了合理的回报。
在培训市场的形成过程中存在种种障碍。对于一个公司来说, IT专业人员的频繁跳槽使公司不愿意在信息安全培训方面上有大的投资。另外,许多公司并没意识到信息安全的重要性。对于个人来说,如果不存在一个公认的认证,没有认识到培训能提高他们的收入,那么他们也会对自身培训的投资犹豫不决。
因此,为了形成培训市场,必须鼓励公司像政府部门和金融行业那样来培训他们的员工,这可以通过制订法律条文、或者通过管理者的高水平安全意识来实现。一个健康的培训行业,应该提供标准的认证,使得经受过培训人员的能力能在人才市场上得以认可。
用立法机构行为来加强信息安全培训的要求隐含着这样一个基本考虑:如忽视信息安全,可能会对公司的信息资产造成破坏,当这个破坏影响到网络时,也会给社会带来破坏。无论是谁负责信息工作时,都需要相应水平的安全培训,正如律师、护士、技术员一样,他们履行责任的前提是能够保护公众的利益。从事信息技术及使用信息系统的人,需要适当的培训来被认可或被许可去履行责任。如果没有适当的法律制度,那么由于安全方面的疏忽或破坏,进而导致客户对企业或公共信息基础设施丧失信心,就会造成IT投资的损失,从而阻碍电子商务和电子政务的发展。
通过法律手段实行强制性培训是信息安全培训市场形成的一个关键因素。就像法律上对驾照的要求一样,它使得驾驶学校赢利,也提高公共交通系统的经济效益。强制信息安全培训法律对促进电子政务和电子商务是必需的,对实现信息基础设施在经济效益也是必需的。这方面,美国已经在很早就开始注重强制性培训了。早在1987年,美国就调整了计算机安全法案,要求所有涉及管理、应用、操作那些含有敏感信息的联邦计算机系统的工作人员,都必须接受强制性、周期性的培训。随后制定出了关于政府机构管理人员的规章制度,要求新的政府职员必须在60天之内接受信息安全培训。每个使用计算机系统的职员,在任何信息系统被升级或改变之后,或任一个新系统被引进后,都必须在不超过60天的时间内接受培训。美国国家安全局也下达了指示,让每个政府机构制定关于信息安全的意识、培训和教育计划,从而使政府职员凭借各自不同的知识、经验和职责,能够胜任信息安全方面的工作。NSTISSC制定了一系列的指南来建立培训的标准。这些指南包括NSTISSD No.501“系统安全专业人员的国家培训标准” (1994年6月);NSTISSI No. 4012“被任命认证的权威人员的国家培训标准”(1997年8月); NSTISSI No. 4013“信息系统安全的系统管理员的国家培训标准”(1997年8月);NSTISSI No. 4014“信息系统安全官员的国家培训标准”(1997年8月),等等。这些信息安全指南和政策不仅对电子政务产生了深刻的影响,也对民营企业产生了积极的经济效果。因此美国的信息安全培训市场迅速的发展了起来。这些培训标准同时是政府提供的免费公共产品,为企业信息安全实施提供详尽的指导。
美国的培训市场不仅拥有像Microsoft,、CISCO、Checkpoint等提供的产品相关的商业培训,还拥有在信息安全方面独立于任何产品的信息安全培训,如(ISC)2提供的CISSP 和SSCP认证和SANS提供的GIAC认证。例如,(ISC)2在美国每三天或四天将组织一次培训。SANS也是这样。总之,在美国,有关信息安全的证书大约有一百多种。
一个恰当的法律环境能够促使信息安全培训市场迅速发展,正如上述我们看到的美国的例子那样;当缺乏一个适当的法律环境时,将阻碍这个市场的形成,我国就处于信息安全培训市场还没发育的阶段。
中国也在信息安全方面付出了巨大的努力,也建立了许多关于信息安全的法律和规章制度。在1994年,全国人大发表了“中华人民共和国计算机信息系统的安全保护的规章制度” ;在1997年,公共安全部门发表了“计算机信息系统访问Internet的安全保护的管理方法” ;在2000年,保密局发表了“计算机信息系统和Internet的安全管理制度”。 中国政府其它部门也制定了一些法律措施,但是没有一个涉及到对信息系统的使用者、操作者及拥有者实行强制性培训,结果是在中国没有形成一个成熟的信息安全培训市场。因为在中国这个培训市场并不存在,因此电子商务行业感受到了信息安全专业人员缺乏的压力,这严重阻碍了电子商务和电子政务的发展。
可能是信息安全事故与交通事故不同,信息系统的一个安全缺陷不会导致人身的伤害,所以造成了中国对信息安全培训某种程度上的忽略。然而,缺乏信息安全培训给公司造成巨大的损失,并危及像Internet这样的公共设施。中国应该加强强制性培训和认证的立法,因为一个缺乏安全培训和知识的信息工作人员将使国家安全和公共基础设施受到威胁。由于专业人员经常流动,公司缺乏在培训上的投资动机。如果没有标准的培训和证书,那么个人也将缺乏在安全培训上的投资动机。为了促进电子商务、特别是电子政务发展,中国必须进行强制性信息安全培训立法,访问信息系统的人必须接受不同水平的培训课程并且拥有相应的证书。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。