电子商务安全管理：完善认证机构是关键建议

确保整个商务活动过程的安全性，使电子商务活动和传统的商务活动一样可靠是商家和用户共同关心的焦点，也是电子商务能够全面健康发展的关键。改变IT系统不等于改变企业的信息安全管理，要使企业信息尽可能的安全，必须在技术投入的基础上融入人在管理方面的智慧；同时，不仅要防外，更要防内，即对组织内部人员的管理。信息安全问题的解决需要技术，但又不能单纯依靠技术。整个电子商务的交易过程，是人与技术相互融合的过程，如何使管理与技术相得益彰十分重要。“三分技术，七分管理”阐述了信息安全的本质。

（一）建立良好的法律环境

良好的法律环境是电子商务健康发展的保障，逐步建立健全适应电子商务健康发展的法律制度，对促进我国经济发展和实现国际经济合作有重要意义。电子商务所涉及的法律问题已成为一个需要进行广泛国际合作的问题。电子商务是一个虚拟市场交换，是一种动态商务活动，就免不了各种纠纷。在这种合作经济方式下必然会遇到相关的法律问题，其中主要有合同的有效性问题、税收问题、知识产权问题等。

由于电子商务中的合同是电子合同，所以合同的有效性问题是关键，合同成立需要有效发盘、有效接收和有效的合同形式。对于电子商务来说，要通过网络传送发盘，数据信息的传送不存在停留时间，撤回几乎是不可能的，所以发盘要慎重行事。电子商务中涉及的第二个法律问题是税收问题，各国政府和国际经济组织对电子商务的税收进行了较多研究，对其中的由于网络贸易而引发的税收流失也相当关注。电子商务中涉及的第三个重要问题是知识产权问题，Web站点的艺术设计和信息电子出版物以及其他的E-mail等信息资源都是有版权的，进行电子商务交易过程也要加以保护。由于商标的独特性，知识产权也成为电子商务中需要保护的另一个问题。此外电子商务还涉及管辖权、安全保密、认证隐私权等问题。

加强电子商务管理安全措施，首先要建立健全法律、法规，面对这种新的动态商务活动，要在原有法律基础上根据无纸化交易方式、经济合作方式，建立符合电子商务本身安全实现和经济合作的法律、法规制度。其次要继续完善电子商务安全管理机构，其中最为重要的是认证机构。2000年6月29日中国金融认证中心正式挂牌营业。国家级的电子商务认证机构的建设，为建立规范统一、布局合理的全国安全认证系统奠定了良好的基础。随着经济社会的发展，认证机构也需要不断发展完善。最后要提高工作人员及参与电子商务活动人员的法律意识和自身素质，做到有法可依、有法必依。加强工作人员的职业道德修养，自觉维护相关制度，提高个人职业技术能力，避免在技术环节中，由于工作人员大意造成电子商务的各类信息泄露或丢失。

我国保障电子商务安全的相关法律与制度主要有以下一些。

1.确立电子签名的法律效力

2004年8月28日，全国人民代表大会常务委员会第十一次会议通过了《中华人民共和国电子签名法》；2005年4月1日起施行；2019年4月23日第十三届全国人民代表大会常务委员会第十次会议修正。这是我国推进电子商务发展，扫除电子商务发展障碍的重要一步。该法被认为是中国首部真正意义上有关电子商务的立法。

2.加强电子银行业务的风险管理

2005年11月10日，中国银行保险监督管理委员会第四十次主席会议通过了《电子银行业务管理办法》，自2006年3月1日起施行。

3.规范电子认证服务行为

2009年2月18日，中华人民共和国工业和信息化部令第1号公布了《电子认证服务管理办法》，自2009年3月31日施行；之后根据2015年4月29日中华人民共和国工业和信息化部令第29号《工业和信息化关于修改部分规章的决定》进行了修订。

4.规范网络商品交易及有关服务行为

中华人民共和国国家市场监督管理总局出台的《网络商品交易及有关服务行为管理暂行办法》中明确规定，通过网络开展商品交易及有关服务行为的自然人，应提交其姓名和地址等真实的信息。

5.规范非金融机构支付服务行为，防范支付风险

2010年6月14日，中国人民银行发布了《非金融机构支付服务管理办法》，要求第三方支付公司必须在2011年9月1日前申请取得“支付业务许可证”，且全国性公司注册资本最低应为1亿元。该办法的出台意在规范当前发展迅猛的第三方支付行业。

6.保障网络安全(www.xing528.com)

2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》，自2017年6月1日起施行。电子商务安全相关法律与制度发展历程如图3-6所示。

7.电子商务综合性法律

2018年8月31日，十三届全国人大常委会第五次会议表决通过《中华人民共和国电子商务法》，自2019年1月1日起施行。

图3-6　保障电子商务安全的相关法律与制度发展历程示意

（二）提高网络安全防范意识

现在许多企业建立了技术防范机制，运用先进适用的信息安全技术建造了一道道屏障，阻隔罪犯或竞争对手的入侵，防范和化解风险，保证电子商务的顺利进行，但没有真正意识到互联网的易受攻击性。据调查，目前国内的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，网络安全更是无从谈起。只有提高网络安全防范意识，构建防范信息风险的心理屏障，才能维护电子商务的信息安全。

（三）信息安全管理制度

不论是信息的采集、加工、存储、传输、检索哪个环节的安全，先进的信息安全技术都是信息安全的保障。在采集信息时要加强对信息内容的审查管理，保障信息内容的完整性和真实性。由专门的系统管理人员对所负责的信息安全性进行测评，并对发现的漏洞及时采取技术手段进行补救，防止信息被窃取。在信息的加工处理过程中，管理人员应该对加工处理信息的系统定期进行安全检查和维护，避免在信息的加工处理过程中因为系统原因造成在系统内处理的信息被破坏。信息的存储设备也要有专用的设备和专门的人员进行管理，存储设备也要定期检查。在信息的传输过程中传输介质是最容易出现问题的环节，所以要对传输介质的安全格外注重。

（四）电子商务安全的风险管理

电子商务安全的风险管理就是对电子商务系统的安全风险进行识别、衡量、分析，并在此基础上进行有效的风险处理，降低各种风险发生的概率，或者当某种风险突然发生时，能够避免较大损失的管理过程。风险管理的目标就是尽可能以最低的成本或代价实现最大的安全保障。电子商务安全风险管理过程：检测电子商务系统的内外部环境，找出系统的脆弱环节；对电子商务安全风险进行评估分析，确定相应的方案措施，并在系统的各个环节进行监控；根据环境的变化随时调整风险管理的应对措施，从而满足电子商务的安全要求。

（五）加强人员管理

网络安全的程度往往取决于网络中最薄弱环节的安全程度，而最危险的是监管人员警惕性的缺失。因此，建设一支高度自觉、遵纪守法的技术人员队伍是网络安全管理的重要一环。所以，要加强对工作人员思想教育，定期对工作人员的政治思想、业务水平进行考核；加强技术培训和安全教育，提高工作人员业务水平和安全意识。在人员管理方面需要注意以下几点。

（1）多人负责：每项与安全有关的工作，都需要两人或多人负责，并且是由系统主管指派，相关人员要忠于职守，并且能胜任此项工作。

（2）职责分离：从事信息系统安全方面工作的人员严禁打听或者参与自身职责以外的任何事情。

（3）任期有限：为确保电子商务信息的安全管理，对于一些特殊职务的工作人员在职工作年限不宜过长，应适当调换不同岗位（在确保其胜任的前提下）。

电子商务广泛而深入的发展需要安全保障，然而安全是相对的，这就需要建立比较完整的电子商务安全管理体系，尽可能保证电子商务活动的安全、高效。电子商务安全管理，需要从技术、管理、法律等方面综合考虑，不断加强与完善。只有在安全的网络环境下，人们才能感受到电子商务带来的便捷、高效。