日本政府信息安全问责制度体系及借鉴

佟林杰 袁佳杭 盖宏伟

(燕山大学文法学院，秦皇岛，066004)

当前，随着全球信息化水平的不断提高，信息技术的创新和应用领域不断拓展，互联网和信息系统已经成为社会公共服务的关键基础设施，同时围绕信息获取、利用和控制的国际竞争日趋激烈，尤其是以“棱镜门”、“RSA后门”以及新型“蠕虫式”勒索病毒等重大安全网络事件的频发，世界各国对于保障信息安全尤其是政府信息安全的重视程度不断增加，美国、德国、英国、法国等主要发达国家相继制定和实施国家网络安全战略和计划，并通过外交、军事、经济等多元举措保证各自的网络信息和空间安全。我国历来重视网络信息安全工作，早在2003年，我国国务院办公厅就颁布实施了《加强信息安全保障工作的意见》；2004年党的十六届四中全会明确提出“确保国家的政治安全、经济安全、文化安全和信息安全”，首次将信息安全提升到国家安全战略层面。面对日益复杂的全球信息安全形势和国内信息安全现状，2013年，党的十八届三中全会明确指出：加大依法管理网络力度，加快完善互联网管理领导体制，确保国家网络和信息安全；2014年，中央网络安全和信息化领导小组成立，充分体现了国家对信息安全的重视程度；2016年11月，制定和颁布了《中华人民共和国网络安全法》，并于2017年6月1日正式实施；2018年4月，***同志在全国网络安全和信息化工作会议上强调：要落实关键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。我国已经初步形成以工信部、公安部、中央网信办、国家保密局以及国家质检总局等政府职能部门为主导的网络信息安全管理体系，以《网络安全法》等十余部法律为核心的网络信息安全法律体系，但是在网络信息安全问责领域无论从组织结构还是法律制度建设层面均相对滞后。而日本在信息安全问责尤其是政府信息安全问责领域的顶层设计较为完善，法律制度体系较为健全，对于我国信息安全问责制度的构建具有重要的借鉴和参考价值。

1 日本政府信息安全问责制度构建的理论基础

政治维度基础：二战后日本放弃天皇制改革议会内阁制并实行地方自治，问责制度是日本法制宪政体系的重要组成部分。日本政府信息安全问责范围涵盖所有行政机关及其所属行政官员，承担的责任分为个人与角色责任，据其职责履行效果把惩处分为“分限处分”和“惩戒”。政府行为及活动涉及大量的非公开性质甚至绝密性质的信息传递和交流，故日本历届内阁成员都将政府信息安全管理及问责作为政府工作的重要内容。

学术维度基础：日本学术界对政府信息安全问责制度的研究从未停止。东京大学社会信息研究所的滨田纯一从政府责任角度出发，提出信息安全问责包括电信及通讯政策的所有内容，官僚的权限在信息安全政策中应提高比重但要更注重责任的追究[1]。该阶段日本政府信息安全研究焦点在于信息安全维护的技术性特征方面，而伴随着私人部门思想在公共部门的全面渗透，学术界愈来愈重视社会介入政府信息安全问责的研究。砂田薫从狭义的政策领域角度提出IT渗透到个人层面正从产业为中心转为对全社会的政策覆盖，信息发展和政府政策密不可分，政府对信息安全的问责更是行政职责所在[2]；岡本剛和提出日本信息化中网络数据通信需求扩大，财政部门要积极参与信息政策制定与责任追究并在政策中引入竞争原则[3]；奥村裕一认为电子政务促进行政管理现代化，在政府整体信息安全政策制定中，政府信息安全官的监督责任应逐步扩大[4]；山碕良志从提高政府管理效率角度提出信息安全涉及政府税制改革与社会保障整合改革，信息安全问责体系要打破部门的纵向分工体制，促进整个政府信息安全问责执行[5]；河内久美子对信息安全问责的关键影响因素进行了系统分析，她指出信息安全问责评估机制的不健全以及信息安全问责渠道的多元化对于信息安全问责会产生重要的影响，此外，信息安全问责还容易受到执行人员主观意愿和理解能力的影响而产生问责偏差[6]。

2 日本政府信息安全问责制度体系

日本从国会信息安全立法到行政机关的信息安全战略文件发布，呈现出间隔时间短和操作性强的动态治理特征。归结起来其政府信息安全问责法律与战略体系主要涉及国家网络安全、政府信息安全管理和信息安全标准等内容。

2.1 信息安全问责制度的法律基础—《高度情报通信网络社会形成基本法》

鉴于利用信息和通信技术应对社会结构突发和剧烈变化的的紧迫性，日本国会于2000年颁布实施了《高度情报通信网络社会形成基本法》。该法是日本政府信息安全管理法制化和规范化的标志，也是保证政府信息和电信网络安全可靠的开始。该法从政府信息公开、公民信息安全权力和政府信息安全责任界定方面做了原则性的规定，如第七条到第十条规定，在建立先进的信息通信网络社会中，国家和地方公共实体要促进公平竞争，结合自身在先进信息网络社会形成中的角色，组建先进的信息通信组织部门，制定先进的信息通信网络社会政策，并有责任消除阻碍因素来维护信息安全；第十三条规定政府应当采取必要的立法或财政措施促进信息通信网络社会形成，保障全民信息安全；第十九条要求政府严格制定信息安全审查条例，优化信息部门编制和统计数据公布，妥善保护信息产权，促进消费者权益保护和电子商务发展；第二十条要求加速行政信息化进程，提高行政管理透明度，提高信息通信技术在公共领域的运用；第二十三条要求推进信息安全技术创新，制定跨部门计划，依托产学研合作，制定行政管理机构费用估算政策，并强调相应评估等。该法明确了日本内阁政府信息安全步入法制化和规范化的进程，为政府信息公开和政府信息安全问责制度建成奠定了基础。

2.2 信息安全问责制度的技术标准和规范—“动态治理”下的政府信息安全战略文件

鉴于信息交流与传递的迭新特性，日本政府采取动态治理理念分三阶段制定多部信息安全标准制度，并采取了一系列信息安全措施，从而推动了信息安全的发展。

(1)初始阶段(2000—2005)。IT战略本部于2001年出台了“电子日本战略2001”，并在2004年更新为“电子日本战略2004”，从信息基础设施维护上强调政府的信息安全责任，推动消除现有行政机制的僵化，利用政府管理资源，重建最大化成本效益机制。在落实信息安全方面，2003年10月，日本经济产业省制定了《信息安全总体战略》，从国家层面提出建设事故前提型社会系统，强调公共政策的功能性和依赖性，依据《信息安全管理基准》和《信息系统安全对策基准》将“信息安全监查”列为信息安全问责制度的基本原则；2005年，信息安全中心发布了《关键基础设施信息安全措施行动计划》，规定从事相关领域的部门对关键基础设施进行保护的责任，制定了对失职行为和单位的责任追究办法。

(2)全面实施阶段(2006—2012)。日本信息安全政策委员会分别于2006年和2009年发布了《国家信息安全战略》，规定安全日本战略要求下的政府信息安全问责责任，以“预防”和“可持续性”为原则，建立快速稳定的响应系统，引入国际安全标准和规范，强调社会参与、军民共建和与企业的合作共享等；又在2010年出台了《日本保护国民信息安全战略2010-2013》，强调政府在信息安全维护中的领导地位，通过建立信息安全问责机制，降低公众信息风险，保障全民信息安全；日本政府信息安全政策会议2011年将政府信息安全基准《政府机构信息安全对策统一基准》分割为《统一管理基准》和《统一技术基准》，以前者加强常态系统管理，以后者灵活应对信息技术的高速发展变化。

(3)强化拓展阶段(2013—至今)。2013年6月，日本信息安全中心出台了《网络安全战略》，强调与经济财政政策委员会合作，全面管理信息技术，强调政府部门对信息安全系统进行统计和审查；2013年11月，日本信息安全政策委员会发布了《网络安全合作国际战略》，提出政府信息安全问责工作中同步信息安全标准，开展网络空间国际合作；2015年，网络安全战略本部更新了《网络安全战略》，提出信息自由流通、法治监督以及通过政府和社会第三方的合作更新信息安全规范等内容；网络安全战略总部在2017年8月发布了《网络安全2017》，旨在贯彻和加强个人信息保护的执行、信息安全人力资源开发资质体系、信息安全审计、信息安全评估和认证系统信息相关标准的标准化(ISO/IECJTC1/SC27)和用于实现高可靠性计算环境的安全标准(TCG)。

2.3 信息安全问责制度的保障性法律—《网络安全基本法》

日本国会2014年11月通过了信息安全问责的保障性法律《网络安全基本法》，该法是对已经出台13年的《高度情报通信网络社会形成基本法》的补充更新，赋予了IT战略总部监督权限，可以调查日本政府各省厅的网络安全对策是否妥当，使政府机构层面的信息安全问责制度得到法制地位，同时该法为保证信息安全问责执行效果，出台了一系列保障性条款，其中第13条为国家行政机构的问责制度赋予了法制定位，可以保护政府信息安全问责执行效果；第24条对国家行政机关拟定和实施网络安全战略草案做了规定，并通过编制网络安全标准对政府行政机关和独立行政机关政策进行评估和审计；第30条中为保障信息安全问责有效执行，有关行政组织和地方公共机构负责人可以向网络安全战略司令部提出和其他机构合作等请求。此外，日本还相继制定出台多部辅助性法律，主要包括《特定电子邮件法》《个人情报保护法》《信息通信网络安全信赖性基准》《致力于信息安全问题的政府作用、功能的修正》和《政府机关关于信息安全的统一基准》等一系列政策法规，共同构成了日本政府信息安全问责的法律体系。

3 日本内阁政府信息安全问责主体构成

日本自二战后经过非军事化和民主化改革，确立了立法、行政与司法三权分立的议会内阁体制。国会、内阁和最高法院相互制约与监督并参与到政府信息安全问责之中，此外，独立行政法人、第三方和社会公众等构成政府信息安全问责主要体系，稳健的组织架构、持续的授权、合格的人员服务，大大加强了问责压力，使得日本信息安全管理和问责得到了稳步的发展。

3.1 政府内部问责

第一，内阁问责。日本政府信息安全问责中心部门是内置于内阁秘书处的国家信息安全中心(NISC)，对国家信息安全应急系统和责任追究负有双重责任，政策制定问题则由内阁总理大臣和内阁官房长官担任主席的国家安全保障会议(NSC)和信息安全政策委员会(ISPC)决定[7]。根据NSC和ISPC确定的方向，由NISC和IT战略本部合作，结合政府机构统一标准小组对国家的行政机构进行审计，政策由各部委执行，从而使得信息安全问责机制有效运行。在内阁秘书处下设的政府机关信息安全监测和应急小组(GSOC)全天候24小时收集和分析政府信息安全系统运行信息，对信息系统内部状况进行渗透测试，检查和改进政府信息系统，保障信息安全问责准确有效。

第二，行政辅助性部门问责。总务省(MIC)、人事院(NPA)、财务省(MOF)、经济产业省(METI)、个人情报保护委员会(PPC)、国家警察厅(NPA)和防卫省(MOD)服务于国家信息安全中心，发挥问责辅助作用。总务省注重行政部门业务合规性检查和审计，确保执行部门实施和信息系统利用率磋商之间的平衡；人事院根据编制和实施公务员CSIRT培训和安全培训计划，通过自查和审计工作，推进政府PDCA循环；财务省分年度进行信息系统检查，通过对国家信息安全机构进行信息安全管理审计，提供信息安全问责财务数据，支撑信息安全问责制度运行；经济产业省与日本情报处理推进机构(IPA)合作，从JISEC(信息安全评估与认证体系)用户角度来执行评估和认证程序，利用私营经营者的知识，进行采购利益相关者的研究采访，积极推动信息安全公共关系活动，促进政府信息安全问责执行；个人情报保护委员会全面执行《个人信息保护法》，监督和审计国家个人信息违法事件；国家警察厅全天候监控信息网络安全，成立信息安全对策队处理信息安全案件，提高信息问责实效；防卫省在信息系统开发中提供认证功能、访问控制功能、路径管理功能等各种功能，编制通信处理系统和信息收集分析程序为权力机关在问责过程中提供支撑。

3.2 立法和司法机构问责

第一，立法机构问责。在日本议会内阁制度中，国会拥有对政府的监督和问责权力，国会议员有权就内阁制定实施的信息安全政策和议案向内阁提出质询，并有权对政府机构和员工进行审查和追责，且证据或证人特许强制提供。调查权是日本国会监督权的重要组成部分。日本法律明确规定，任何人原则上都应答应各议院提供书面证据或到场作证之要求。国会专门成立常任委员会作为问责实施主体来行使调查权。日本《众议院规则》第94条和《参议院规则》第74条规定：常任委员会在会议期间，经议长承认，对属其管辖的事项行使国政调查权。此外，日本议会还通过行使财政控制权进行监督问责。审议和通过政府信息安全预算和财政议案。《日本国宪法》规定，必须根据国会的决议行使国家财政权，预算、补充预算和决算都须经国会审议并通过。

第二，司法机构问责。司法机关是日本政府信息安全问责的重要主体之一，检察机关审查委员会可以对政府制定的信息安全法规政策等是否合法进行审查。日本最高裁判所是最高审判机关。《日本国宪法》第81条规定：最高法院是拥有决定一切法律、法令、规则或处分是否符合宪法权限的终审法院。其通过“违宪审查制度”对政府信息安全作业进行监督和问责，以确保政府严格规范其行为。另外，日本国民可以基于司法公正原则对法官进行审查，从而保障信息安全和信息安全问责效果。

3.3 第三方问责

第一，独立行政法人问责。信息安全类独立行政法人通过制定个别设置法，独立于行政机关之外，将政府“规划”与 “实施”职能分立，引入市场竞争原理，辅助信息安全问责。日本情报处理推进机构(IPA)通过“目标管理”及 “业绩评价”制度对信息安全政策和机构进行调查，公开评价结果。为确保独立行政法人评价的客观性，总务省设立专门政策评价委员会并会同各省厅设立的信息安全独立行政法人营运评价委员会来评鉴业务绩效，为信息安全机构和干部绩效考核及赏罚提供依据。

第二，企业或信息咨询机构问责。企业和信息咨询机构也是日本政府信息安全问责中的重要环节。日本信息和互联网企业主动进行信息安全风险识别，成立信息安全委员会，并指定“首席信息安全官(CISO)，监控信息安全控制系统，审查和改进工作，开展教育培训来提高员工道德水平和安全意识[8]。日本信息安全运营商集团(ISOG-J)和日本信息安全管理协会(JILCoM)等信息咨询机构则会提供信息咨询，通过信息安全问题的收集，披露政府信息安全政策、监督政府信息安全的执行、提出信息安全建议、提高政府信息安全问责针对性与有效性。

3.4 社会公众问责

《日本国宪法》明确规定日本国民可以对权力机关是否违宪进行监督和审查，通过政治参与和社会舆论迫使权力机关改变不当作业。另外，日本颁布出台了多项法律来保障公民信息安全监督权，公众在预案参与、过程参与、末端参与中，提出自己的意见，通过投票表决的方式阻止不利于信息安全发展政策作业。同时，日本各大报纸、电视、广播、网络等媒体上都有信息安全平台，在网站上也设有信息安全专题，可以在这些网络媒体上披露政府的信息安全政策。在舆论压力和公众监督的大环境下，日本政府信息安全问责制度得以有效运行。

4 日本政府信息安全问责运行机制

日本政府信息安全问责制发展至今，形成了以信息安全问责执行机制、信息安全问责监督纠察机制、信息安全诉讼机制和信息安全绩效评估机制为完整链条的基本运行机制。

4.1 信息安全问责执行机制

日本政府信息安全问责执行过程包括制定、引入、运用、评价和修正五个环节。首先由国家信息安全中心依据年度信息安全战略制定信息安全问责标准和实施准则，而后各政府机构依照执行并实施信息安全管理，年末以信息安全报告的形式向信息技术战略总部进行反馈，之后会计检查院进行审计与评价并提出优化目标，对执行过程中的问题进行修改论证，提出修改方案以供下一年度的政策制定和引入。信息安全问责制下，行政、立法、司法部门，第三方机构和社会公众都是信息安全事件得以揭露的主体，由行政和立法部门的调查来确定事件的性质、问责对象并做出问责决定，当中适时引入司法部门的介入，从而形成问责总体流程。日本政府信息安全问责执行流程如图1所示。

4.2 信息安全问责监督纠察机制

信息安全监督力度不足、不重视信息资源造成日本本土信息泄露、信息失真甚至个人信息贩卖等严重社会问题，信息安全问责监督纠察机制就是针对这样一些安全问题，由内到外、由表及里地对公共部门领域所掌握的公共信息的安全状况进行严格监督、责任纠察，从而防范信息安全违法违规行为。具有独立性质的会计检察院和各地方检察委员会，通过检查权、建议与惩处权，以现场审计或后续调查的方式审计政府机构信息安全政策和核对行政机关信息安全收支账目等，审计结果以报告形式上交国会。另外，地方检查委员会没有行政决定权，针对违法违规行为及个人无权处理，而由立法部门成立专门工作组进行专项问题的深入调查并找出责任主体。与此同时，中央政府内部各部门会成立联合调查组，日本政府内部的国家信息安全中心设有情报安全对策推进会议，工作组成员对各政府部门的信息安全执行反馈报告进行解读与审计，并综合各方资源进行专案处理，如结合社会公众和第三方提供的线索，使社会公众参与到立法机构和行政部门的执法工作中，从而共同构成了信息安全监督纠察机制。

图1 信息安全问责执行流程图

4.3 信息安全诉讼机制

日本发生信息安全违法违规行为时，责任关联人必须立即向有关机构报告，之后主要涉及信息安全公诉、民诉、裁判员制度和司法审查制度。当发生危害信息安全事件时，日本法制系统需采取必要措施，责无旁贷地维护信息安全。

第一，诉讼机制。日本在组织上分为司法审判机关的裁判所和负有侦查和提起诉讼的监察厅，奉行“起诉便宜主义”，赋予检察官自由裁量权。日本最高检察厅认为检察官的业务范围是对收集到的证据进行充分论证，最终决定是否向裁判所提起诉讼，即决定是否起诉嫌疑人的权力只能由公诉的主宰者检察官享有。日本法律中规定检察官应当根据掌握的证据在确信嫌疑人能够获得有罪判决的高度可能性下才提起诉讼。日本检察审查会制度，保障检查系统公正法制。日本发生信息安全事件之后，日本检方会立即对行政违法违规行为进行证据的收集并适时提起公诉。由于信息数据资源的属性，在金融领域产生的部分信息安全经济案件，日本检方会针对企业和政府部门的不正当交易行为数据进行适当的民事诉讼。

第二，裁判员制度。2009年正式生效的在刑事审判中实行国民参与的裁判员制度，从司法审判过程出发增强了司法透明度。日本裁判员制度是由职业法官与随机抽取的裁判员组成合议庭进行审理裁决，使得刑事审判程序、法律适用等构成的审讯过程可视化得以实现。审判由书面审判主义转向当事人诉讼追行主义。在对政府信息安全造成严重损害的部门及其行为进行责任追究时的诉讼事宜中引入裁判员制度，使国民参与涉及信息安全的司法程序无疑是一剂确保国家信息安全的良药。

第三，违宪审查制度。继受于美国司法审查制度的日本违宪审查制度，由特设的宪法法院进行的抽象性危险审查和普通法院针对国家具体行为违宪作业进行的审查组成，在执行过程中附随性质明显。《日本国宪法》第81条规定：最高法院为有权决定一切法律、命令、规则以及处分是否符合宪法的终审法院。但日本最高法院很少就行政首长行为违宪参与判决。日本法院在对内阁政府信息安全政策发动司法权时必须依托具体的诉讼案件，严格遵守二重基准的法理和最小合理性及中间合理性审查基准。从顶层出发维护日本信息安全，保障政府信息安全问责的有效性。

4.4 信息安全绩效评估机制

日本针对政府信息安全行为进行系统的目标管理和绩效审核，包括对政府信息安全政策与行政机关及其员工的绩效评估政策，通过强调政府绩效评估来维护行政机构及其政策的有效性。日本政府于2002年正式施行《关于行政机关实施政策评价的法律》，界定了政策评价的对象和内容，明确了政府机构作业的事先评价与事后评价相结合的评价方式，并对政府绩效评估和评估报告的制作和提交做了明确要求。日本实施政府绩效评价的组织机构为总务省，负责审查和评估各政府机构及其政策的评价工作。在下属行政机构中，要求从部门规划、所辖范围的政策制定和政策执行效果等进行自我评价和总结，对问题进行目标管理，并选中重点评估对象。政府对信息项目进行绩效评估时最常使用的方法为逻辑框架法。评估基于政府部门的绩效考核和绩效管理的实际水平，从而分析政府的政策制定和执行水平，评估政府绩效水平并剖断评估各环节干系，得到影响政府绩效管理的目标群体并对其进行判辨说明。《关于行政机关实施政策评价的法律》第19条也明确规定：政府要向国会提交每年政策评价反馈的报告，接受国会对政府政策评价的监督。除此之外，日本《国家行政组织法》《内阁府设置法》《地方自治法》等都规定了政府层面进行政府绩效评价的细则与要求。《国家公务员法》《地方公务员法》则针对公务人员的定期和平时考核内容，从职业道德、工作和学习能力以及个人具体政策执行状况等对公务员进行绩效评估。另外对公务员问责要求做到：公务员在行政作业中未能认真履行职责，影响政府行政行为和效率的违法违规行为，要接受“分限处分”或“惩戒”的处罚。《国家公务员伦理法》也明确了公职人员需要恪守的行政伦理原则，包括虔诚服务全体国民、不以公谋私和私自行使职权损害国家和社会利益。 这些都从组织层面保障了政府信息安全问责的效果。

5 日本政府信息安全问责制度的评价与启示

5.1 日本政府信息安全问责制度的评价

日本政府信息安全问责制坚持促进信息公开和保障信息安全相结合，同时加强如信息筛选和屏蔽等信息安全技术的提升，禁止信息资源交易，规避信息安全类犯罪。日本政府信息安全问责的法律规章体系较为完备，结合动态治理理念下政府发布的各种信息安全规章和战略文件，配合相应的程序法，使得信息安全政策的适应范围和权威性大大提高，促进了具体执法工作的积极进行，使立法和执法紧密相联。此外，立法、司法与行政机构均创建具有信息安全问责职能的部门，加之社会公众力量灵活介入问责全程，体现了日本政府问责主体的多元性与配合性，使得信息安全问责公正透明，问责实效明显。日本内阁政府信息安全问责机制运行在相应的配套制度和保障措施作用下，表现出极强的可行性，政府信息安全监督机制、纠察机制，诉讼机制和绩效评估机制相互配合，保证了问责机制充分发挥作用。再者，日本第三方机构和企业发布信息安全状况调查，指出安全隐患和漏洞，民众也大胆揭发有可能造成信息安全出现问题的组织或者个人，使得日本信息安全得到全面保障。

5.2 对我国构建信息安全问责制度的启示

第一，立法和行政部门贯彻动态治理理念。我国信息安全类立法起步较晚，信息安全问责制度没有成型，针对信息安全类犯罪，大多套用别的法律准则及罪名，不仅效力针对性和权威性严重不足，而且没有层次和门类分别，只对精神进行规定，没有具体的执行与规定。因此，立法部门在制定相应法律法规时应注重变更和新增法律条款，以利政府能够持续调整信息安全规章和政策；组织机构设置和人员任用也要进行调整和改进，规定政府责任和法律责任主体，明确法律程度和途径，保障问责主体权力，使信息安全问责规范化、法制化和程序化。

第二，提高问责对象的针对性。信息安全问责目标为找出问责对象，确定问责结果。目前我国具体执行过程中只强调实施方，而对全体责任方追究力度不足。信息安全问责应加强对权利主体责任追究的针对性，加大问责力度，对信息安全类行政行为的影响进行系统全面的评估，加强对问责对象的责任界定，全力保障问责效果。此外还要注重运用离任审计，将终身问责纳入信息安全问责之中，真正使问责发挥功效。

第三，建立信息安全共享及应急支持机制。日本政府信息安全问责制度中，注重提高包括国家信息安全中心与信息安全政策委员会、财务省、经济产业省、个人情报保护委员会和国家警察厅等协同作业的科学性与专门性，精简交叉行政业务等，协调各方监理信息资源共享机制，并将信息安全标准纳入法律范畴，严格保障信息安全，防止信息犯罪。同时，建设应急支持机制，促进部门协作，提高信息安全问责实效性。

第四，明确政府职责，适时提高政府权限。信息安全问责应从事后责任追究发展为事前预警，提高政府信息安全问责的权限，扩大其工作范围，在保证人员任用的独立性之外，提高信息安全问责的有效性。同时，要对政府职责进行明确划分，提高政府机构绩效考核质量， 加紧制定信息安全诉讼制度的执行程序，确保信息安全问责可行性，使政府在明确职责之后，满足应对与日俱增的信息安全风险与挑战的需求。

第五，健全信息安全问责保障机制。目前我国问责力度较轻，问责热情低迷，惩戒效果不明显，严重影响问责制度的可持续性。因此，我国应该整顿问责机构，提高问责力度，严厉问责处罚。同时严肃问责态度，建立健全举报人保障机制，建设涵盖问责全程的配套保障体系。此外，还要做好信息安全监控，加强问责公示公告，系统保障信息安全问责制积极健康运行；提高创新信息技术和人才的培养力度，联合互联网企业开发信息安全保护技术和系统，创建从入侵检测、弱点分析到威胁分析的深度融合技术，从技术上规避信息安全事件的发生，使信息安全问责流畅运行。