采購電子化進(jìn)程

采購電子化進(jìn)程

一、采購電子化過程中存在的安全隱患

采購改革起步晚，編制體制還在不斷完善，電子化采購也是近來提出的話題，管理思想、規(guī)章制度、管理技術(shù)、人才建設(shè)等都存在著一些不足，導(dǎo)致電子化采購在運(yùn)行中存在很多安全隱患。

1、管理思想上的問題。一是缺乏系統(tǒng)的管理思想。隨著采購工作的規(guī)范化、信息化運(yùn)行，采購機(jī)構(gòu)為信息安全做了大量的工作，制定了一些安全管理制度，但基本上還是靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的傳統(tǒng)管理方式，而不是建立在風(fēng)險(xiǎn)評估基礎(chǔ)上的動態(tài)的持續(xù)改進(jìn)管理的方法。結(jié)果不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低采購電子化中由信息安全故障引起的綜合效益損失。二是缺乏信息安全意識和信息安全方針。部分采購機(jī)構(gòu)領(lǐng)導(dǎo)對電子化進(jìn)程中信息資產(chǎn)所面臨的威脅認(rèn)識不足，或者只局限于IT方面的安全，沒有形成一個合理的電子化采購方針來指導(dǎo)組織信息安全管理工作。表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對網(wǎng)絡(luò)工作人員進(jìn)行必要的安全法律法規(guī)和防范安全風(fēng)險(xiǎn)的教育與培訓(xùn)，對現(xiàn)有的安全制度不能完全實(shí)施等。三是重視安全技術(shù)，輕視安全管理。目前，各級采購機(jī)構(gòu)正處于信息化建設(shè)的關(guān)鍵時(shí)期，為此，各級都配備先進(jìn)的計(jì)算機(jī)、網(wǎng)絡(luò)等技術(shù)，用以提高采購效率及服務(wù)水平。但是，相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的情況，造成安全隱患。

2、規(guī)章制度上的問題。網(wǎng)上采購作為采購信息化建設(shè)的產(chǎn)物，對傳統(tǒng)的采購模式已經(jīng)構(gòu)成挑戰(zhàn)。對于這樣的新生事物,相關(guān)的法律、制度至今還很不完善,即便在最近頒布實(shí)施的一些采購法規(guī)中提及的也很少。關(guān)于哪些方面信息應(yīng)當(dāng)公布、如何公布,網(wǎng)上采購程序的合法性如何界定，電子采購合同法律效力的確定，采購電子化的應(yīng)急管理等，都是相關(guān)部門必須面對的問題。應(yīng)盡快以法律方式來認(rèn)可和保護(hù)電子簽章，建立采購信息公開規(guī)定，以實(shí)現(xiàn)采購信息的開放性與安全性之間的平衡。通過各項(xiàng)配套法律的完善，使在建立一整套行之有效的措施的同時(shí)，落實(shí)各項(xiàng)安全保障制度。

3、管理技術(shù)上的問題。電子化采購所依托的是路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器，以及各類支持軟件，其安全性能、技術(shù)標(biāo)準(zhǔn)等對信息系統(tǒng)的安全有著重要影響。電子化管理技術(shù)上的缺陷來自三個方面：一是硬件缺陷。由于采購事業(yè)經(jīng)費(fèi)較少的原因，部分采購機(jī)構(gòu)計(jì)算機(jī)配置較低，一些先進(jìn)的安全硬件，如現(xiàn)代化的采購網(wǎng)絡(luò)中心還沒有建立。二是軟件缺陷。采購信息平臺正處于研發(fā)、試用階段，很多軟件技術(shù)還不成熟，如確認(rèn)客戶身份真實(shí)性的技術(shù)、保證數(shù)據(jù)傳輸安全的技術(shù)等。三是先進(jìn)的測試技術(shù)應(yīng)用不夠，如網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)安全掃描等技術(shù)。

4、采購人才的問題。電子化采購專業(yè)人才的缺乏是當(dāng)前采購電子化進(jìn)程中安全隱患的重要原因。系統(tǒng)安全管理人員是復(fù)合型人才，電子化采購的發(fā)展需要大批既熟悉物資采購業(yè)務(wù)，又精通計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，具有豐富網(wǎng)絡(luò)工程建設(shè)經(jīng)驗(yàn)的工程技術(shù)人員、管理人員。由于電子化采購事業(yè)剛剛起步，現(xiàn)有采購工作人員長期從事的都是傳統(tǒng)采購工作，所以在一時(shí)間內(nèi)難以適應(yīng)新的采購方式的要求。

二、采購電子化進(jìn)程中的安全策略

采購電子化改變了傳統(tǒng)采購業(yè)務(wù)的處理方式，優(yōu)化了采購過程，提高了采購效率，降低了采購成本，使采購真正達(dá)到了公開、公平、公正。實(shí)施采購電子化，將推動整個“采購管理信息化”的建設(shè)和發(fā)展，并將促使采購經(jīng)濟(jì)效益的整體提高。但是，這些優(yōu)越性要通過良好的采購網(wǎng)絡(luò)運(yùn)行平臺才能實(shí)現(xiàn)，因此，必須通過有效方式營造一個安全可靠的電子化采購網(wǎng)絡(luò)環(huán)境。

1、更新觀念，強(qiáng)化管理，深化科學(xué)的電子化采購管理理念。樹立系統(tǒng)管理思想。在考察、分析和解決電子化采購安全管理問題時(shí)要著眼于整個電子化采購安全系統(tǒng)，要以合作的精神從整個電子化采購事業(yè)全局出發(fā)，把一組具有特定目的、相互聯(lián)系、相互制約的安全因素組合起來，根據(jù)輕重緩急，予以通盤考慮，逐次解決。影響電子化安全的因素是多方面的、復(fù)雜的，同時(shí)又是相互聯(lián)系、相互制約的，一個安全隱患的存在通常會影響到整個電子化采購系統(tǒng)的有效運(yùn)行。要確實(shí)樹立系統(tǒng)管理思想還需把電子化安全隱患當(dāng)做動態(tài)的、發(fā)展的、持續(xù)的，把握其發(fā)展規(guī)律。

加強(qiáng)內(nèi)部管理。安全的最高境界不是產(chǎn)品，也不是服務(wù)，而是管理。要想保證網(wǎng)絡(luò)的安全，在做好邊界防護(hù)的同時(shí)，更要做好內(nèi)部網(wǎng)絡(luò)的管理。網(wǎng)絡(luò)的內(nèi)部安全管理策略包括：確定安全管理等級和安全管理范圍；嚴(yán)格控制人員進(jìn)出入機(jī)房；監(jiān)督工作人員操作過程，理順信息安全工作與其他工作的區(qū)別。

確定安全管理原則。采購機(jī)構(gòu)網(wǎng)絡(luò)中心的安全管理要本著多人負(fù)責(zé)、任期有限、職責(zé)分離的原則，將下列每組內(nèi)的兩項(xiàng)信息處理工作分開：計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收和傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計(jì)算機(jī)操作與信息系統(tǒng)使用媒介的保管。

2、建章立制，力促規(guī)范，加快電子化采購法規(guī)建設(shè)。安全的基石是社會法律、法規(guī)與手段，缺少法律、法規(guī)支持的安全是沒有保障、不能持久的。采購電子化是對傳統(tǒng)采購的一個突破，對采購工作人員的工作習(xí)慣和思維方式產(chǎn)生了一定的沖擊，法規(guī)支持的缺位，不利于統(tǒng)一規(guī)范用戶和采購機(jī)構(gòu)的思想認(rèn)識，不利于規(guī)范采購環(huán)節(jié)的當(dāng)事各方。

借鑒《電子簽名法》、《電子商務(wù)示范法》，建立符合采購實(shí)際的電子簽名方法、電子合同保護(hù)方法。要實(shí)現(xiàn)真正意義上的電子化采購，電子合同、電子簽名是關(guān)鍵的一環(huán)，但從地方政府及企業(yè)的運(yùn)行來看，這一環(huán)容易出現(xiàn)簽名無效或者采購當(dāng)事人拒不承認(rèn)采購合同的合法性等問題，為采購行為增添了不明朗的前景，頒布簽名及電子合同保護(hù)方法極為重要。

制定安全管理制度。信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作包括：根據(jù)工作重要程度，確定系統(tǒng)安全等級；根據(jù)安全等級，確定安全管理的范圍；制訂相應(yīng)的機(jī)房出入管理制度；制訂嚴(yán)格的操作規(guī)程；制訂完備的系統(tǒng)維護(hù)制度；制定應(yīng)急等級轉(zhuǎn)換規(guī)定以及應(yīng)急管理措施等。此外還包括電子化采購中的人員培訓(xùn)制度、專業(yè)電子化采購人員選擇辦法等。

3、依托硬件，開發(fā)軟件，突出電子化采購安全技術(shù)的作用。先進(jìn)的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評估，決定其需要的安全服務(wù)種類，選擇相對應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成全方位的安全系統(tǒng)。研發(fā)統(tǒng)一威脅安全管理技術(shù)。把采購機(jī)構(gòu)能夠?qū)崿F(xiàn)的硬件、軟件和網(wǎng)絡(luò)技術(shù)組合在一起，形成具有專門用途的安全設(shè)備，使之構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺。其基本功能主要包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)入侵防御和網(wǎng)關(guān)防病毒，此外還應(yīng)具有安全管理、采購日志、采購安全策略管理、服務(wù)質(zhì)量、負(fù)載均衡等功能。完善和發(fā)展招投標(biāo)中的安全技術(shù)和方法。一是網(wǎng)上招標(biāo)管理系統(tǒng)的安全，包括招投標(biāo)各方身份的真實(shí)性技術(shù)、標(biāo)書下載的授權(quán)控制技術(shù)、投標(biāo)書上傳中的機(jī)密性和完整性問題、投標(biāo)行為的不可否認(rèn)性問題；二是保證網(wǎng)上招投標(biāo)采購安全性的方法，如為招投標(biāo)各方發(fā)放數(shù)字證書，并結(jié)合以數(shù)字證書為核心的加密、數(shù)字簽名等安全技術(shù)保障網(wǎng)上招標(biāo)采購系統(tǒng)中的身份認(rèn)證、授權(quán)控制、信息機(jī)密性、完整性和不可否認(rèn)性，可以采取的技術(shù)有加密技術(shù)、數(shù)字簽名等。

4、依托院校，加強(qiáng)培訓(xùn)，推進(jìn)電子化采購人才培養(yǎng)。電子化采購人才的來源有：一是在校學(xué)員和引進(jìn)的人才，二是現(xiàn)有的采購隊(duì)伍。筆者以為，采購電子化應(yīng)當(dāng)主要依靠現(xiàn)有的采購隊(duì)伍，因?yàn)樗麄兙哂胸S富的采購工作經(jīng)驗(yàn)、扎實(shí)的解決采購實(shí)際問題的能力，只要通過一定的崗位培訓(xùn)、院校培訓(xùn)，短時(shí)間內(nèi)就可滿足電子化采購的需要。電子化采購不同于傳統(tǒng)采購，因而對采購人員的培訓(xùn)要適當(dāng)調(diào)整培訓(xùn)目標(biāo)和培訓(xùn)內(nèi)容。完善培訓(xùn)目標(biāo)。承擔(dān)培訓(xùn)任務(wù)的院校、部門應(yīng)當(dāng)把提高參訓(xùn)人員解決網(wǎng)絡(luò)故障、計(jì)算機(jī)故障、病毒入侵及熟練掌握電子化采購操作的能力作為培訓(xùn)的最高目標(biāo)。此外，還應(yīng)包括提高參訓(xùn)人員的網(wǎng)絡(luò)