從風險管理視角加強電子檔案安全管理

　　基于風險管理的電子檔案安全管理體系是一個系統化、程序化和檔案化的管理體系。基于“系統、全面、動態、科學”的安全風險評估，體現“預防控制為主”的思想，強調遵守國家有關信息安全原則前提下，合理選擇控制方式以保護電子檔案，使電子檔案安全風險的發生概率和結果降低到可接受的水平。這種管理體系更加適合于電子檔案的安全管理，檔案管理部門應盡快建立自身的電子檔案風險管理體系。
　　
　　1風險管理與安全管理關系的認識
　　
　　筆者認為，從信息安全風險管理的視角，來審視電子檔案的安全管理問題很有意義。通過對風險管理與安全管理關系的認識，我們可以更加深入地了解當前電子檔案安全管理存在的問題，進一步認清電子檔案安全管理工作存在的不足之處和改進方向。
　　要對風險與安全有深刻的認識。風險包含“威脅”和“機會”兩層含義，即風險造成的影響包括“消極的威脅”和“積極的機會”兩面，而不僅指傳統意義的威脅。風險管理本身就是安全管理一部分，而且，是核心組成部分，它既是一種安全指導思想，同時，也是一種安全實踐方式。
　　
　　2對安全管理的認識存在偏差
　　
　　信息安全風險管理提倡的是一種“適度安全”，即風險是絕對的，安全就是在綜合考慮成本與效益的前提下，通過安全措施來控制風險，使殘余風險降低到可接受的程度。同時，也強調樹立“風險意識”，并通過風險的大小來度量信息的安全性，將“信息”提升到“資產”的高度來進行安全管理。然而，傳統電子檔案安全管理對此認識卻存在偏差。
　　2.1追求絕對的安全。長期以來，由于檔案部門缺乏安全風險意識，總是想找到絕對安全的方法和措施來追求檔案各安全屬性(如保密性、完整性、可用性、真實性、不可否認性、可追究性和可讀性等)的絕對安全。然而，從理論上講，風險是絕對的，安全是相對的；風險是永恒的，安全是暫時的。而電子檔案安全管理工作從本質上來講，也就是風險管理工作。
　　2.2風險意識薄弱，對安全風險認識存在偏差。一些安全管理人員風險意識淡薄，信息安全知識不足，談風險是“杞人憂天”，說安全是“天下本無事，庸人自擾之”，根本沒有從風險管理的角度來度量電子檔案的安全性。這些，都嚴重影響了正確認識安全形勢和樹立科學的電子檔案安全風險觀。
　　2.3忽視了對“資產”評估鑒定。目前，檔案管理部門雖都認識到電子檔案的重要性，但絕大多數部門只是將電子檔案作為日常辦公的一種輔助幫助，并沒有將電子檔案提升到“資產”的高度來管理，就更談不上對“資產”進行評估鑒定。從安全管理的角度講，一個組織系統內的資產在被評估鑒定前，是不可能成功實施安全管理并進行維護的。
　　
　　3從風險管理的視角探討電子檔案安全管理問題
　　
　　很多檔案部門為追求安全，不惜成本盲目地追求新的安全產品與技術，結果，采用了一大批新安全產品與技術，卻收效甚微，造成資金的嚴重浪費。
　　3.1缺乏科學的安全管理理論與方法指導。信息安全風險管理是解決如何確切掌握信息及其依賴信息系統的安全程度；分析安全威脅來自何方、安全風險有多大；加強信息安全保障工作應采取哪些措施，要投入多少人力、財力和物力；確定已采取的信息安全措施是否有效；以及提出按照相應信息安全等級，進行安全建設和管理的依據等一系列具體問題的重要指導理論和方法。
　　3.2管理環節不完善。信息安全風險管理強調對信息系統生命周期的全過程管理，包括一個完整的風險管理環節：風險計劃的制訂、風險識別、風險評估、風險應對、風險監控。當前，電子檔案安全管理還存在明顯的薄弱環節。
　　3.3缺乏系統性和動態性。信息安全風險管理基于系統、全面、科學的安全風險評估，強調對信息的全過程、動態控制，對信息進行系統化安全管理，使安全風險發生的概率降到最低，從而實現系統安全的動態平衡。
　　3.4忽視了對安全風險、成本和效率的權衡。是在綜合成本和效率的前提下，找到安全風險、安全成本與效率之間平衡點，通過安全措施來控制風險，使殘余風險降低到可接受的范