電子檔案風險管理研究

文/連云港海事局 潘亞麗

一、研究背景和意義

網絡已經滲透到社會的不同領域，檔案的管理也越來越離不開信息和網絡平臺。計算機網絡為我們帶來了便捷、效率，也給我們造成了操作風險，電子檔案已經成為網絡犯罪侵犯的主要目標。計算機給我們創造方便和高效的同時也給我們帶來了管理風險。針對電子檔案風險管理存在的問題，應該采取有效電子檔案風險防控措施。21世紀初的“熊貓燒香”案件給了我們深深的教訓，從計算機病毒產生之日起，電子文件就時刻被暴露在風險之中。因此，檔案工作人員應該未雨綢繆，及時發現問題，面對問題，尋找解決問題的方式方法。

二、電子檔案的概念和重要特征

“電子檔案”是指在檔案管理部門保存的電子文件，是伴隨著社會的發展而在檔案領域出新的全新理念。依據國家相關規定，電子檔案是指有留存價值的可以歸入檔案的電子文件和與其匹配的軟件等數據。電子檔案有以下重要特征。第一，電子檔案的動態性和虛擬性相結合。電子檔案被儲存的方式是以電子文件的形式存儲在電腦中的。它有動態的特征，他的存儲是分布式的海量信息。第二，數字、多媒體化。電子檔案的信息整理、分類都是以數字和互聯網為基礎開展的。通過電腦的交互性實現的，電子檔案是多媒體的，可以利用網絡來具體操作。第三，加工的標準化和智能化。在搜索技術方面，電子檔案是智能的，檢索系統可以根據檢索條件來完成篩選工作。第四，服務用戶是第一位的。電子檔案的優點是信息更完備，從而讓使用者在使用時不受時間、空間上的限制，它的形式、內容都是以客戶為中心來設計的，電子檔案使用戶更多，但同時也給檔案用戶帶來了風險。

三、電子檔案面臨的主要風險

（一）電子檔案面臨的主要風險。電子檔案依據其自身的特征，其風險可以分為以下幾類：第一,技術風險。鑒于電子檔案對計算機的依賴性很強，所以，當計算機的軟硬件產生問題時，就會影響檔案工作的效率。第二，自然環境風險。造成這一風險的主要原因有，保管的產地、天災和人禍。保管場地的要素有溫度、濕度等，都會影響電子檔案的保管效果。如過高的溫度、過大的濕度都會減少信息載體的壽命。自然災害是不可抗力造成的災害，如地震、洪水。第三，網絡風險。網絡風險是一種搭建在開放性技術協議前提下的信息交流途徑。他的防衛和攻擊能力不高。當電子檔案在網絡上傳送時就有可能因為硬件故障或是沒有對內網和互聯網進行隔離而受到的侵襲，如，黑客的侵襲。第四，數據存取風險，主要是由于數據存儲方式不合理而對電子檔案的是否真實、完備造成影響的風險。主要是在單位內部造成的。表現為：一是數據收集不精準。二是數據沒有加密。三是按檔案管理人員素質低、風險意識薄弱造成的操作問題。四是已篡改數據的人員。五是數據未能及時備份。六是涉密檔案傳送時泄露。第五，風險管理，電子檔案是檔案管理的新形式。但是在實際操作中存在資金投入不高、管理者不重視、人員配置不合理、管理制度不完善等問題，這大大增加了電子檔案管理的風險。第六，法律風險。我國現有法律法規不完善，電子檔案中的數據的法律受保護的力度不高，還沒有明確的法律條文。

（二）電子檔案風險基本特征。第一，電子檔案風險的客觀性。造成電子檔案風險的因素有自然、社會和人為因素。這些因素都是客觀的，不隨著人的意志改變而變化。正是由于這種客觀性，造成了人們對電子檔案的風險管理受到限制。第二，電子檔案風險的不可規避性，由于決定電子檔案風險的各種要素是獨立于風險主體的。電子檔案風險管理的不可規避表現為：一是新的電子檔案的風險會反復發生。二是引發電子檔案風險的自然災害是不隨著主觀意識而轉移的。第三，電子檔案風險的隨機性。電子檔案風險是隨機的，風險的產生、發展、產生的場景、都是不可控的，它往往是不能夠提前預測的。

四、電子檔案風險管理對策建議

（一）電子檔案風險管理原則。科技的發展進步給社會帶來了巨大的風險。風險管理已經成為電子檔案管理的重要工作，其管理原則有以下幾點：第一，盡量能夠在風險產生前，利用各種預判方法，降低風險產生的概率。在風險發生中，利用各種手段第一時間做出反應，降低風險帶來的損失。在風險后，總結經驗，以備今后得以借鑒。第二，前端控制。為了能夠實現電子檔案的真實性，前端控制是非常有效的管理方式。可以有效提高電子檔案管理效益。第三，控費原則和風險平衡原則。我們要重視降低成本和機會成本的均衡，盡量使風險控制成本大于機會成本。

（二）電子檔案風險控制。對電子檔案的管理，應該做到對隨機出現的風險進行預判，把風險發生的可能降到最低是風險控制的目標。在風險管理時，第一步是進行風險辨別，第二步是對風險的預判，第三步是風險控制方式的選擇，他們三者構成了不可或缺的有機整體。

1.電子檔案風險識別。電子檔案風險識別是指使用不同的途徑，對未來有可能發生的風險及可能會造成風險的因素進行辨別、整理。風險管理首先要做的是對風險進行預判，也就是說首先應該調查研究電子檔案風險存在的種類和有可能釀成的后果，便于檔案管理工增加對風險的認知和了解。

2.建立風險評估機制。電子檔案風險評估是信息管理體系對所存檔的信息的完備性進行系統性評估的流程，是電子檔案風險管理工作的重要內容。風險評估包括：預估電子檔案的價值，電子檔案的形式、傳輸程序、加工和處理，評估電子檔案對保密、完備的標準。估算電子檔案及有關財務是否脆弱、潛在風險發生的可能，估算電子檔案遭到損壞后的嚴重影響。

3.電子檔案風險控制。風險控制是電子檔案風險管理的重中之重，依據風險評估，有針對性地采取措施。風險控制的最終目標是盡量減少對電子檔案管理所產生的風險，從而達到電子檔案管理的人、機器和環境相配合。

4.構筑技術保護屏障。電子檔案風險防控的重要方式是利用安全的信息安全技術。此類技術包括：物理、網絡安全技術、數據加密、備份、病毒防護技術，身份認證、事故應對技術、緊急應急技術等。在實際操作中，用得比較頻繁的是防火墻技術、電子簽名技術、WORM技術、存取權限控制等,保證了電子檔案信息是獨一無二的。

5.實現規范化管理。第一，提升檔案管理隊伍的管理水平，人是檔案管理核心要素，以人為本，提升檔案工的風險防控認知，提高專業技術水平、更新管理知識，避免了電子檔案工作人員因工作失誤而形成的風險。第二，優化內部管控制度。實踐表明，電子檔案的風險管理水平主要來源于企業內部，內部風險的防控要比外部風險防控高。依據電子檔案管理流程、建立健全管理制度，增強內部監管是電子檔案風險管理的首要工作。核定電子檔案歸檔、范疇、技術、軟件、數據等，保障電子檔案質量的連續可行。

6.電子檔案風險控制策略。第一，人本策略。認識電子檔案風險管理的重中之重。以人為本，加強檔案管理者的風險意識，提高業務水平，定期學習管理知識、提高管理理念，降低檔案管理者在工作中存在的風險，從而避免經常發生的風險。第二，制度策略。制度保證。完善科學合理的管理制度是規劃公司有效運營的重要手段，制定電子檔案體制，嚴防死守。國內外許多研究說明，許多威脅是從組織內部開始的，對內部威脅的防控比外部威脅的防控更難。

[1]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究,2005(1):38～42.

[2]陳濤,千峰.淺析從定性到定量進行風險管理的步驟[J].商業研究,2005(12):18～20.

[3]許國棟,李心丹.風險管理理論綜述及發展[J].北方經貿,2001(9):40～41.

[4]袁湘華.企業檔案計算機管理網絡安全策略[J].檔案學通訊,2002(1):43～44.

[5][加]露西安娜·杜蘭蒂.如何長期保證電子文件的真實性[J].李音,譯.中國檔案,2000(3):6～48.

[6]梁佩群.試論檔案計算機信息安全[J].檔案學通訊,2001(3):19～21.