基于風(fēng)險(xiǎn)評(píng)估的電子文件安全管理體系

陳奭琛

隨著信息技術(shù)的發(fā)展，電子政務(wù)建設(shè)不斷深入，電子文件的數(shù)量日益龐大。根據(jù)《中國(guó)電子文件管理現(xiàn)狀調(diào)查與分析報(bào)告》，“目前，我國(guó)機(jī)構(gòu)生成的電子文件數(shù)量占全部文件數(shù)量的72.7%。”由于自身的特點(diǎn)，電子文件從產(chǎn)生的那一天開始就時(shí)刻面臨隨時(shí)可能發(fā)生的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的一個(gè)重要環(huán)節(jié)，我國(guó)信息安全管理國(guó)家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）、《信息安全風(fēng)險(xiǎn)管理指南》（GB/Z24364-2009）將風(fēng)險(xiǎn)評(píng)估作為信息安全領(lǐng)域的一個(gè)技術(shù)手段。

電子文件風(fēng)險(xiǎn)評(píng)估是電子文件安全管理的重要前提和基礎(chǔ)，也是檔案信息化建設(shè)的重要課題。基于風(fēng)險(xiǎn)評(píng)估的電子文件安全管理體系能夠?qū)﹄娮游募畔踩珷顩r進(jìn)行“把脈”，提出針對(duì)性的“診療”手段，而不是傳統(tǒng)管理被動(dòng)的“頭痛醫(yī)頭腳痛醫(yī)腳”。

一、電子文件風(fēng)險(xiǎn)評(píng)估的意義

（一）風(fēng)險(xiǎn)評(píng)估是電子文件安全管理的前提和基礎(chǔ)。由于自身的特點(diǎn)，電子文件的風(fēng)險(xiǎn)始終客觀存在。檔案工作者的努力目標(biāo)就是利用一切先進(jìn)的技術(shù)和方法，把風(fēng)險(xiǎn)降到最低，把損失控制在最小的范圍內(nèi)。運(yùn)用風(fēng)險(xiǎn)管理的理念和方法，對(duì)電子文件進(jìn)行風(fēng)險(xiǎn)評(píng)估，能夠?qū)﹄娮游募M(jìn)行科學(xué)、全面的分析，查找可能威脅電子文件的風(fēng)險(xiǎn)，在風(fēng)險(xiǎn)發(fā)生之前作出判斷，采取措施，及時(shí)應(yīng)對(duì)。因此，風(fēng)險(xiǎn)評(píng)估對(duì)檔案工作具有重大意義，是傳統(tǒng)檔案管理方法的有益補(bǔ)充。

（二）風(fēng)險(xiǎn)評(píng)估是進(jìn)一步完善電子文件安全管理的關(guān)鍵環(huán)節(jié)。它能夠利用科學(xué)的量化標(biāo)準(zhǔn)，對(duì)風(fēng)險(xiǎn)發(fā)生的概率及其可能造成的損失進(jìn)行預(yù)測(cè)和分析，并在此基礎(chǔ)上對(duì)存在風(fēng)險(xiǎn)的環(huán)節(jié)進(jìn)行改進(jìn)和完善。電子文件安全管理實(shí)行風(fēng)險(xiǎn)評(píng)估能夠使管理者全面、清晰地把握電子文件存在的危險(xiǎn)和不足，有利于進(jìn)一步改進(jìn)管理方法，理清管理思路，完善管理制度，全面提升電子文件管理水平。

（三）風(fēng)險(xiǎn)評(píng)估是實(shí)施電子文件安全等級(jí)保護(hù)的必然要求。要對(duì)各類電子文件實(shí)施安全等級(jí)保護(hù)，就要在電子文件安全管理中開展風(fēng)險(xiǎn)評(píng)估，對(duì)電子文件安全管理體系中存在的風(fēng)險(xiǎn)進(jìn)行安全預(yù)測(cè)，科學(xué)定級(jí)，分級(jí)管理。

（四）風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)電子文件管理國(guó)際化的重要途徑。隨著信息安全工作的發(fā)展，風(fēng)險(xiǎn)管理在電子文件管理中的作用越來越得到人們的認(rèn)可，信息安全風(fēng)險(xiǎn)評(píng)估也從單一的技術(shù)手段發(fā)展成為一種科學(xué)的管理體系，科學(xué)統(tǒng)一的技術(shù)規(guī)范和評(píng)定依據(jù)逐漸成為風(fēng)險(xiǎn)評(píng)估的必需。由于信息安全事關(guān)國(guó)家利益，大部分發(fā)達(dá)國(guó)家都制訂了電子文件風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，并將之作為行業(yè)的技術(shù)性法規(guī)。電子文件管理廣泛開展風(fēng)險(xiǎn)評(píng)估，有利于推廣信息技術(shù)安全保護(hù)標(biāo)準(zhǔn)化，有利于促進(jìn)國(guó)際間技術(shù)交流合作，是實(shí)現(xiàn)電子文件管理國(guó)際化的重要途徑。

二、電子文件風(fēng)險(xiǎn)評(píng)估工作的困境

（一）風(fēng)險(xiǎn)認(rèn)識(shí)存在偏差。電子文件已經(jīng)成為檔案產(chǎn)生、保存和管理的主要形式，由于其自身特點(diǎn)，各種各樣的危險(xiǎn)始終緊隨著電子文件，但許多人對(duì)電子文件風(fēng)險(xiǎn)的認(rèn)識(shí)卻存在不同偏差。有的風(fēng)險(xiǎn)意識(shí)薄弱，認(rèn)為傳統(tǒng)紙質(zhì)檔案對(duì)保存環(huán)境要求條件高，需要預(yù)防微生物、蟲害、嚙齒動(dòng)物等的損害，還要時(shí)刻注意光照、溫度、濕度、灰塵等因素，而電子文件只需要一臺(tái)計(jì)算機(jī)就能解決所有問題，而且保存簡(jiǎn)單、利用方便，一勞永逸。也有的認(rèn)為電子文件作為信息技術(shù)的產(chǎn)物，必然面臨不可讀、失真、黑客等威脅，且一旦造成損失，往往是蕩然無存又無法挽救，其風(fēng)險(xiǎn)無可避免。也有的認(rèn)為現(xiàn)代信息技術(shù)十分先進(jìn)，只要建立科學(xué)的管理體系，采納先進(jìn)的管理技術(shù)，絕對(duì)能夠避免電子文件的風(fēng)險(xiǎn)。正是因?yàn)榇嬖趯?duì)風(fēng)險(xiǎn)認(rèn)識(shí)的各種偏差，導(dǎo)致管理者和利用者沒有科學(xué)、正確地認(rèn)識(shí)電子文件的風(fēng)險(xiǎn)，或者麻痹大意，或者失去信心，或者陷入一味追求絕對(duì)安全的誤區(qū)。正是因?yàn)榇嬖诟鞣N對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)的偏差，目前我國(guó)電子文件風(fēng)險(xiǎn)管理水平較低，尤其缺乏必要的風(fēng)險(xiǎn)評(píng)估活動(dòng)。

（二）安全風(fēng)險(xiǎn)評(píng)估工作滯后。一是沒有一支專業(yè)的風(fēng)險(xiǎn)評(píng)估隊(duì)伍。電子文件風(fēng)險(xiǎn)評(píng)估是一項(xiàng)專業(yè)化非常強(qiáng)的工作，我國(guó)有一些風(fēng)險(xiǎn)意識(shí)較強(qiáng)的已經(jīng)嘗試開展風(fēng)險(xiǎn)管理，但仍然沒有一支專業(yè)的風(fēng)險(xiǎn)評(píng)估隊(duì)伍。二是評(píng)估標(biāo)準(zhǔn)亟待完善。根據(jù)國(guó)家信息安全等級(jí)保護(hù)“自主定級(jí)，自主保護(hù)”的原則，應(yīng)該根據(jù)自身情況制訂科學(xué)的定級(jí)標(biāo)準(zhǔn)，嚴(yán)格執(zhí)行，確保電子文件安全管理。但我國(guó)大部分目前尚未制訂信息安全保護(hù)等級(jí)標(biāo)準(zhǔn)，沒有真正執(zhí)行電子文件等級(jí)保護(hù)的規(guī)定。三是風(fēng)險(xiǎn)管理缺乏系統(tǒng)性。電子文件風(fēng)險(xiǎn)管理是一個(gè)系統(tǒng)工作，包括風(fēng)險(xiǎn)管理規(guī)劃、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)監(jiān)控等四個(gè)基本環(huán)節(jié)。風(fēng)險(xiǎn)評(píng)估是整個(gè)風(fēng)險(xiǎn)管理的基礎(chǔ)性工作，但評(píng)估的結(jié)果必須與風(fēng)險(xiǎn)管理的其他環(huán)節(jié)緊密結(jié)合，特別是要具體指導(dǎo)風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)監(jiān)控活動(dòng)。由于電子文件風(fēng)險(xiǎn)管理剛剛起步，還沒有建立系統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制，無法真正實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估“有理可依，有據(jù)可循”。

（三）電子文件管理停留在傳統(tǒng)安全保護(hù)階段。電子文件是檔案管理的特殊對(duì)象，一些檔案工作者沒有認(rèn)識(shí)到電子文件既是“檔案”又是“電子信息”的特點(diǎn)，管理停留在傳統(tǒng)安全保護(hù)階段，沒有采取先進(jìn)的風(fēng)險(xiǎn)管理方法，給電子文件管理遺留下不少安全隱患。一是管理過程缺乏全程性，認(rèn)為保護(hù)是電子文件歸檔后的任務(wù)，沒有意識(shí)到電子文件形成和利用中存在的風(fēng)險(xiǎn)。二是安全管理停留在靜態(tài)、被動(dòng)階段，沒有根據(jù)電子文件的發(fā)展和單位管理體系內(nèi)部情況的變化實(shí)施動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)。三是大多數(shù)沒有積極引入遠(yuǎn)程技術(shù)、異地備份、云計(jì)算等先進(jìn)的技術(shù)加強(qiáng)電子文件安全管理。

（四）信息資產(chǎn)安全形勢(shì)嚴(yán)峻。信息資產(chǎn)的安全保護(hù)和開發(fā)利用是提高辦學(xué)效益、提升影響力的重要途徑。電子文件已經(jīng)逐步取代紙質(zhì)文件成為主要的檔案載體，儲(chǔ)存著數(shù)量龐大的數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、師生信息、科研資料等。由于電子文件的特點(diǎn)，信息資產(chǎn)存在著高風(fēng)險(xiǎn)性，往往一被泄漏就失去資產(chǎn)包含的價(jià)值。許多資產(chǎn)管理者和檔案工作者低估信息資產(chǎn)的價(jià)值，忽視電子文件信息保護(hù)，導(dǎo)致信息資產(chǎn)安全面臨著嚴(yán)峻的形勢(shì)。

三、基于風(fēng)險(xiǎn)評(píng)估的電子文件安全管理體系

（一）以風(fēng)險(xiǎn)管理規(guī)劃完善安全管理體系。風(fēng)險(xiǎn)管理規(guī)劃能夠?qū)﹄娮游募芾砉ぷ鬟M(jìn)行統(tǒng)籌規(guī)劃，有利于今后電子文件管理的持續(xù)、有序、順利開展。應(yīng)根據(jù)電子文件管理的需要，制訂電子文件風(fēng)險(xiǎn)規(guī)劃，將電子文件安全管理的實(shí)施目標(biāo)、構(gòu)建原則、構(gòu)建方法、工作內(nèi)容建成一個(gè)基本框架，進(jìn)而確立和完善電子文件安全管理體系。

（二）以風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)規(guī)范安全管理策略。電子文件安全管理策略就是針對(duì)電子文件安全管理的全局性、基礎(chǔ)性、系統(tǒng)性問題所制定的政策和措施，是對(duì)電子文件安全管理的總體思路和指導(dǎo)方針。電子文件安全管理策略是否科學(xué)、合理、適宜，關(guān)系著電子文件管理目標(biāo)和任務(wù)能否順利實(shí)現(xiàn)。風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)是電子文件風(fēng)險(xiǎn)評(píng)估的工具，直接決定了安全評(píng)估的結(jié)果，為風(fēng)險(xiǎn)管理的具體工作提供了操作性指導(dǎo)，因此也影響著電子文件安全管理策略的制定。電子文件風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的制定既要建立在國(guó)際組織和國(guó)家政府頒布的信息安全管理標(biāo)準(zhǔn)的基礎(chǔ)上，又要結(jié)合電子文件信息安全的具體情況，兼顧定性分析和定量分析的方法，從而達(dá)到對(duì)電子文件安全管理策略的戰(zhàn)略指導(dǎo)和操作規(guī)范。

（三）以風(fēng)險(xiǎn)評(píng)估結(jié)果引導(dǎo)安全管理工作。電子文件風(fēng)險(xiǎn)評(píng)估之所以能夠發(fā)揮作用，最主要是評(píng)估的結(jié)果對(duì)整個(gè)風(fēng)險(xiǎn)管理工作的指導(dǎo)意義。風(fēng)險(xiǎn)評(píng)估能夠初步識(shí)別出電子文件安全管理工作中的存在風(fēng)險(xiǎn)及造成因素，并根據(jù)風(fēng)險(xiǎn)因素的危害程度確定風(fēng)險(xiǎn)等級(jí)，提出應(yīng)對(duì)措施，引導(dǎo)今后的管理工作。

（四）以風(fēng)險(xiǎn)應(yīng)對(duì)策略提升安全管理水平。電子文件風(fēng)險(xiǎn)評(píng)估的根本目的是預(yù)測(cè)文件管理的危險(xiǎn)因素并采取有效的應(yīng)對(duì)策略，最大限度地減少各種風(fēng)險(xiǎn)因素造成的損失。為了保證電子文件信息的保密性、完整性、真實(shí)性和可用性，電子文件風(fēng)險(xiǎn)應(yīng)對(duì)策略必須對(duì)信息資產(chǎn)管理、文件管理和業(yè)務(wù)管理進(jìn)行統(tǒng)籌規(guī)劃，根據(jù)風(fēng)險(xiǎn)因素選擇采用風(fēng)險(xiǎn)預(yù)防、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)減輕或風(fēng)險(xiǎn)接受等五種基本策略應(yīng)對(duì)風(fēng)險(xiǎn)。一個(gè)優(yōu)秀的電子文件安全管理體系能夠根據(jù)電子文件管理的需要采取風(fēng)險(xiǎn)應(yīng)對(duì)措施，并在此基礎(chǔ)上改進(jìn)文件管理的方法，通過風(fēng)險(xiǎn)應(yīng)對(duì)在實(shí)際上不斷提高文件管理體系的科學(xué)水平。

電子文件的風(fēng)險(xiǎn)是客觀存在的，開展風(fēng)險(xiǎn)評(píng)估活動(dòng)是尋求一種適度的安全。開展風(fēng)險(xiǎn)評(píng)估活動(dòng)，能夠較為科學(xué)地對(duì)電子文件存在風(fēng)險(xiǎn)的大小、等級(jí)、嚴(yán)重程度以及可能造成的損失進(jìn)行預(yù)測(cè)，采取風(fēng)險(xiǎn)應(yīng)對(duì)措施，以達(dá)到規(guī)避風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)或者降低風(fēng)險(xiǎn)損失的目的。

（作者單位：泉州師范學(xué)院檔案館）endprint