党课:培养网络安全意识筑牢网络信息安全防线
同志们:
近年来网络技术快速发展,网络安全事件频频发生,网络安全形势愈加严峻,给国家安全、社会稳定、经济发展和个人信息安全造成严重威胁。为此,党的二十大报告强调必须坚定不移贯彻总体国家安全观,凸显网络安全在国家安全中的重要地位。中共中央、国务院也在印发的《数字中国建设整体布局规划》中指出,要切实维护网络安全,完善网络安全法律法规和政策体系。而A总书记则强调:“没有网络安全就没有国家安全”。在此背景下,地方党委政府切实扛起责任,高度重视网络安全建设工作,对公职人员网络安全意识提升的诉求愈加凸显。实践表明,责任制和绩效考核制由于自身存在局限性,不能在网络安全意识提升上充分发挥“激发政府部门及其公务员自觉提高工作质量”的倒逼作用,而培训教育经证明是提升公职人员网络安全意识最直接、最为有力的手段,故各城市加大力度开展公职人员网络安全意识培训教育工作。但在持续开展网络安全意识培训教育工作的基础上,仍发现地方公职人员的网络安全意识不够高,不能与新时代的网络安全建设工作相匹配,使公职人员网络安全意识提升成为地方党委政府面临的重要课题。借此机会,由我为大家作一堂党课报告,与同志们共同探讨交流。
一、提高思想认识,准确把握迫切需要解决网络安全意识培育的重大问题
(一)形势严峻:政务外网受攻击次数居高且事件频发
当前网络安全形势严峻已达成共识,但实际上绝大多数公职人员未能真正“知晓”“感知”地方面临的网络安全问题有多严峻。本文通过梳理、统计部分城市的有关报告,获得一些数据,直观反映出地方面临的网络安全形势严峻、防范压力巨大,提升公职人员网络安全意识确实是急迫而至关重要的。其中,仅2022年10月至2023年3月,对S市政务网站发起攻击的地区就达到389个,攻击者20087个,攻击次数高达370740次,危险系数很大。而S市党政机关和事业单位在网络安全工作中出现很多疏漏,例如信息泄露、弱口令、通报代码泄露等。每月仍有很多单位因此被警告、约谈、责令整改甚至被要求关停服务等。
(二)手段失效:责任制和绩效考核制难发挥倒逼作用
缺乏问责会导致习惯性执行不力。基于此,为确保网络安全工作落实到位,中共中央办公厅早于2017年发布了《党委(党组)网络安全工作责任制实施办法》,以期通过该制度明确党委(党组)领导班子、领导干部网络安全责任。其中明确指出“各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人”,并对各级党委(党组)所需要承担的主要网络安全责任作了列举。同时还明确在发生特定事件并产生损失时,将追究网络安全主要负责人的责任。此外,部分城市在中央考核指标的基础上,细化了网络安全工作责任制“检查考核指标”,并将指标结果与各单位绩效相挂钩。理论上,在责任制和绩效考核制的倒逼下,各单位理应意识得到强化、高度重视网络安全建设工作。但实践表明,这两项制度虽然产生了一定的督促作用,但作用有限。一是很多领导干部自知负有主要责任,但因认知不足,认为事故发生概率低,心存侥幸,不积极主动督促落实工作并强化预防;二是考核指标虽然作了细化,指向明确,但是有的单位不一定会对照指标扎实落实,存在以“政绩数据”“人造数据”等假数据应对考核的情况。而主管部门又无从对其提交上来的考核材料作实质性判断,对其数据造假行为无从监督。故想要做好“意识提升”这项“人心工作”,切实提高公职人员网络安全意识,仅靠责任制、绩效考核制的强化显然不是最佳选择。
(三)成效不足:当前网络安全意识培育工作效能不足
1.从领导干部层面看:“一岗双责”意识不够强,未发挥统筹督促作用。领导机关和领导干部带头冲在前、干在先,是做好网络安全建设工作的关键。当前部分单位、镇(街道)的领导“一岗双责”意识不强,对网络安全重视度不够,未将网络安全视为安全生产工作中重要的一环。例如,未完善本单位网络安全有关组织架构,未完善内部网络安全工作机制和组织体系;只重业务系统建设,忽视网络安全防护,吝啬于网络安全资金投入;未对业务系统安全进行全面规划、有效组织,出现问题后未能有效快速处置;对网络安全风险隐患认知不足,在未发生网络安全事件的情况下,不重视督促定期开展培训、应急演练等以提高有关人员的防范意识和能力。
2.从管理人员层面看:部分工作落实不到位,常见漏报不报整改不及时。部分网络管理人员日常没有严格将网络安全工作要求落实到位。例如,没有及时组织开展弱口令清查、安全测试、漏洞排查等工作,容易导致系统被攻破,发生数据泄露的安全事件;对网络和信息系统安全工作重视程度不足,未定期扫描漏洞、未及时整改发现的网络安全问题、未将漏洞扫描备案等。
3.从其他人员层面看:网络安全事件了解少,知识技能与岗位不相匹配。当前公职人员多数对网络安全事件比较关注,但更多停留在事件表面,缺乏相关的网络安全知识和应对技能。仍然存在为获取浏览速度而关闭防火墙、偶尔连接不可信的WIFI站点、敏感信息上传个人网盘、在第三方应用中打开文档、个人邮箱发送单位数据等情况。据问卷调查结果显示,受访人员中虽然有60.5%表示“比较关注”网络安全事件,26.89%表示“非常关注”,但还有11.76%表示“关注较少”,甚至小部分表示“不关注”。另外,有53.78%,也就是超过一半表示对《网络安全法》《数据安全法》《个人信息保护法》《密码法》等有关法律制度“了解较少”,甚至表示“完全不了解”的达到4.2%。还有将近10%的人员表示会“偶尔点击”不知名的邮件、链接、小程序等,甚至有的“点击比较多”。
二、准确分析原因,进一步增强网络安全意识培育效能工作的使命感责任感
行政效能理论视角下的培育效能,指在对培育资源优化配置的基础上,在培育中所表现出来的培育能力、效率以及培育目标的实现程度,是培育资源、培育能力、培育效率、培育效果四大要素有机整合。培育的组织形态、人员组成、预算经费、培育文化、受培育对象情况、制度质量、培育监督等,均可以影响培育效能。本文尝试以行政效能理论为分析工具,得出我国公职人员网络安全意识培育效能不足的主要原因在于以下几点。
(一)从制度和协作看:培育呈碎片化,单位缺乏协作。一方面,从培育制度角度看,网络安全意识培育“碎片化”是地方公职人员网络安全意识培育效能低下的重要因素之一。虽然各城市通过多项制度提出网络安全培育要求,每年市、区各单位也有开展网络安全培训工作,但很多城市未在市级层面统筹谋划,未制定出更为系统、全面的网络安全培育制度或工作方案,导致多数培育工作零散开展、未分级分类、不够精准、质量参差不一。实践表明,“碎片化”强化了市与区、单位与单位间客观存在的壁垒,使各层级、各区域、各单位安于自行组织网络安全意识培育活动,一定程度上减少单位间联动提升网络安全意识培育工作的意识和动力,反映在较少联合开展网络安全意识培育活动,存在“协作不能”。另一方面,从培育协作角度看,当前在网络安全意识培育方面,各单位间缺乏有效的协调与配合,未整合资源,未能以最小成本实现最大效益。在培育内容或培育对象上趋于雷同,造成有的人员重复接受培训、有的人员没有培训机会;有的知识技能重复学习,有的却长期未能了解。据问卷调查结果显示,61.34%的受访者表示有必要通过“加强制度机制建设,强化网络安全意识培育规划、制度制定”以提高培育效能。
(二)从数量和监督看:不作为常发生、监督欠缺依据。一方面,从培育数量角度看,“执行力不强”是造成网络安全意识培育效能低下的重要原因之一。由于单位自身的“自利性”,导致很多单位更为重视跟“经济收益”直接相关的培训活动,不重视网络安全意识培育工作,从而在网络安全意识培育工作中出现不作为、慢作为、假作为。主要表现为部分单位未按照有关制度要求分类组织、切实落实网络安全意识培育工作,弄虚作假、走形式走过场。据问卷调查结果显示,表示在过去一年里“没有”接受过与网络安全有关培训的公职人员占比高达13.45%。另一方面,从培育监督角度看,主管部门对培育活动的质量无从作出实质性监督。公职人员网络安全意识培育活动的开展,很大一部分有赖于各个单位自发组织。按照《党委(党组)网络安全工作责任实施办法》和考核指标的要求,各级党委(党组)有义务“组织开展经常性网络安全宣传教育”,必须组织开展网络安全宣传周活动;在职人员尤其是网络安全专业技术岗位人员,年度人均接受网络安全培训必须达到一定学时;每年必须组织网络安全意识和技能培训。但是上述指标均是对公职人员网络安全意识培育“数量”提出的要求,不涉及“质量”要求。故当前对各区域、各单位所开展的公职人员网络安全意识培育活动的质量监督缺乏依据,无从发现各培育工作的不足之处,故未能督促有关培育工作做得更科学有效。
(三)从资源和能力看:培育资源有限、能力不够匹配。一方面,从培育资源角度看,培育资源的相对稀缺,是公职人员网络安全意识培育效能提升的最大掣肘。公职人员网络安全意识培育活动必须以一定的物质或非物质资源为消耗,只有具备相当的培育资源,并对有限的资源进行合理分配,才能达到培育最优效果。公职人员网络安全意识培育资源应当包含培育的人员配备、信息资源、权力资源、技术装备等等,这是整个培育活动的支撑。第一,人员配备方面,由于很多单位所开展的培育数量和质量不能满足需求,故为确保成效,主管部门需要承担更多培育活动的组织,但由于所需的培育资源非常庞大,现有培育人员难以支撑那么大的培育体量。第二,信息资源方面,培育主体对受培育者的需求信息收集不足,导致开展的公职人员网络安全意识培育活动针对性不足。第三,物资资源方面,各单位未能在网络安全工作方面加大人力物力财力的支持和保障力度,较少能通过邀请第三方专家,组织培育质量较高的场景式、沉浸式培训。也未能提供更为先进的培育设备,例如,未能开发“网络安全意识培育平台系统”以做强做大培育工作。第四,权力资源方面,由于权力欠缺,在开展各项网络安全意识培育活动时,不具有约束力和强制力,以至于很难召集各单位网络安全责任人参与培育活动,直接影响培育效果。另一方面,从培育能力角度看,当前地方公职人员网络安全意识培育力量与培育任务不相匹配。培育能力是培育效能的基础,是做好网络安全意识培育工作的关键点。只有具备与培育任务相匹配的培育能力,才能将网络安全知识与技能顺利通过培育渠道传授给所有的公职人员。仅靠网络安全主管部门和各单位来推行公职人员网络安全意识培育工作,有权责不一致之嫌。毕竟该项培育工作需要覆盖到每一位公职人员,体量之大、要求之高,增加了培育工作开展的复杂性和艰难性。由于相关培育人员只是偶然从事培育活动工作,其素养有限,所具备的培育理念和培育经验智慧较难支撑大规模、常态化公职人员网络安全意识培育任务的完成。
(四)从范围和形式看
如若转载,请注明出处:https://www.xuekequan.com/174055.html