《ISO/TRR 181288：20144信息與文獻文件過程和文件系統中的風險評估》及其借鑒

摘要：文件風險評估是文件安全管理的重要前提和基礎，也是檔案信息化建設的重要課題。ISO/TR 18128：2014標準的制定，為信息化建設背景下組織有效開展文件過程和文件系統的風險評估提供了指南，旨在確保文件能持續地滿足組織業務活動的需要。

關鍵詞：文件過程文件系統風險評估

“ISO/TR 18128：2014 Information and Documentation- Risk assessment for records processes and systems”and the Implications

Abstract： Risk assessment is fundamental for the security management of records； it is also an im？ portant issue for security management of electronic records. The publication of ISO/TR18128： 2014 has provided guidelines for the effective risk assessment of records processes and records systems for organi？ zations in the processes of construction of informa？ tion society and application of information technolo？ gies， it aims to ensure records can consistently meet the demands of business activities of an organization.

Key words： records processes； records system； risk assessment

一、制定背景

風險評估是風險管理的一個重要環節，我國信息安全管理國家標準《信息安全風險評估規范》（GB/ T20984- 2007）、《信息安全風險管理指南》（GB/ Z24364-2009）將風險評估作為信息安全領域的一個重要控制手段。文件過程和文件系統的風險評估是信息化建設中文件安全管理的重要前提和基礎，也是檔案信息化建設的重要課題。ISO/TR 18128：2014標準的制定，首次明確了文件管理過程中的風險評估要求，旨在協助組織在文件過程和文件系統中有效地開展風險評估，以確保文件能夠持續地滿足組織業務活動的需要。

ISO/TR 18128：2014適用于組織機構的文件管理專業人員或對文件負責的管理人員，審計人員或對組織機構風險管理方案負責的管理人員；適用于所有類型的組織機構，不論其規模、活動性質、職能復雜程度和組織結構如何。

二、標準內容

該標準由八章構成，其內容包括：第一章范圍、第二章規范性引用文件、第三章術語和定義、第四章組織風險評估的準則、第五章風險識別、第六章分析識別出的風險、第七章風險評價、第八章通示識別出的風險。此外，該標準還有三個資料性附錄，附錄A：風險登記簿中記錄的風險條目示例，附錄B：識別不確定性領域的檢查清單示例，附錄C：基于ISO27001的附錄A控制使用指南。

ISO/TR 18128：2014標準所提供的相關指導和示例源自ISO 31000：2009 （見圖1，引自ISO 31000：2009），通用的風險管理過程同樣適用于文件過程和文件系統。

風險評估過程包括了風險識別、風險分析和風險評價三個步驟。文件過程和文件系統中的風險評估結果應該被納入組織的一般風險管理框架，這樣組織才能更好地控制文件和業務質量。

ISO/TR 18128：2014標準的核心內容包括三部分：組織機構進行風險評估的準則、風險評估和對已識別和評估的風險進行通示。

第一部分組織機構風險評估的準則。要求組織機構建立通用風險標準，并確定風險評估活動的對象和范圍，建立風險評估的制度。它應當包括對風險性質和類型的測定、風險概率的表達、風險等級的確定、風險是應該處理還是可以忍受的量度和多風險的組合評估等。

第二部分風險評估，包含三個步驟：風險識別、分析已識別的風險、風險評估。

風險識別是為了識別那些可能發生或存在的會影響文件能否滿足組織機構要求的情況。風險識別的過程包括識別可能對組織機構的目標和性質有實質性影響的風險、事件或環境的原因和來源。該標準要求對環境（內外部因素）、文件系統以及組織創建和管理文件的過程之中的不確定性領域進行識別。

風險分析是確定已經識別出的風險的潛在后果并意識到風險的可能性。它包括可能性分析和概率估計。意識到已識別的風險的可能性是通過分析不確定性領域的性質，還有在一段時間內足以支持一個可靠估計的數據。而概率可以用不同的方式來表達，但通常都與風險等級有關。

風險評估是根據風險分析的結果，來協助確定哪些風險需要處理和處理實施的優先級。風險評估首先要分析不良事件的潛在影響，要綜合考慮用戶、文件、組織等多方面的因素，之后通過結合事件發生的概率及其產生的影響的程度，來評定事件是否是風險管理所關注的不良事件。

第三部分對風險進行通示。風險管理是一個連續的管理過程，對已評估的風險應該記錄并建檔，還應該加強各部門之間關于風險的溝通和交流。風險溝通是有效風險管理的一部分，目的是確保組織機構范圍內對風險的識別，加強對風險的防范和管控。

三、對我國文件管理工作的借鑒

ISO/TR 18128：2014標準作對我國文件管理具有以下三個方面的借鑒作用：

（一）建立了一套規范體系，用來規范文件過程和文件系統中的風險評估活動

ISO/TR 18128：2014根據已出臺的相關標準要求，結合文件過程和文件系統的風險管理情況，就風險評估這一核心問題，制定了一套規范體系指導文件過程和文件系統中的風險評估。首先規范了組織機構文件過程和文件系統風險評估的準則，之后規范了風險評估的步驟（風險的識別、分析和評價），最后規范了風險評估結果的通示。

（二）提供了一種分析方法，用來確定文件過程和文件系統中風險事件的潛在影響

ISO/TR 18128：2014從環境（內外部因素）、系統、文件過程三個方面詳細闡述了文件過程和文件系統中風險存在的不確定性領域及因素，闡述了不確定性領域中風險事件的潛在影響，值得一提的是，這些潛在影響中雖然有對組織機構的不利影響，但也可能會帶來有積極影響的機會。標準介紹了風險事件的可能性和概率的估計方法，每個風險都必須結合正在發生的事件和它真實發生后出現的后果這二者的可能性來進行評估，還包括風險等級確定，與風險標準進行比較，確定風險處理的要求。

（三）提供了一個實用指南，用來指導評估文件過程和文件系統中的風險

ISO/TR 18128：2014標準在識別和分析風險時，引導風險評估人員從不確定性角度出發，識別風險事件可能發生的不確定性領域，并確定不確定性是通過影響文件過程、文件系統還是通過內外部環境，導致文件不可用、不可靠、不真實、不完整，不能夠實現組織機構的目標。從風險源頭分析，對可能性進行概率估計，以此對風險劃定不同的等級，并賦予其優先級，以此來協助高層管理人員決策，確定哪些風險需要及時處理以及處理的先后順序，哪些風險在可承受范圍內，來進一步觀察。最后，對已評估的風險進行記錄，登記建檔，一是為了在以后遇到相同風險情況時，有可以借鑒的經驗，二是為了減少風險，在組織機構內部和組織機構之間通示風險。

ISO/TR 18128：2014標準，首次對于文件過程和文件系統中的風險評估進行了細致具體的闡述，多維度構建了文件過程和文件系統的風險評估和管控規范，輔以樣例參照，為組織機構風險評估提供了依據，有利于有效開展文件過程和文件系統的風險評估工作，以風險評估的結果來指導風險管理，并采取風險應對措施，規避風險、控制風險或降低風險損失，對維護文件的真實性、可靠性、完整性和可用性，滿足組織機構的文件要求，更好地為組織的業務活動服務有重要價值。

*本文系中國人民大學研究品牌項目（項目批準號：10XNI019）的研究成果之一。