高校檔案信息化管理的風(fēng)險評估探討

文/劉思洋

高校檔案信息化管理的風(fēng)險評估探討

文/劉思洋

信息化管理模式已全面運(yùn)用在各行各業(yè)的工作中，高校檔案管理也更多地呈現(xiàn)出了數(shù)字化與信息化的趨勢。相較之以往的檔案管理形式，檔案管理信息化實(shí)現(xiàn)了管理資源交互共享、信息安全存儲、服務(wù)即時高效等方面的管理服務(wù)功能。但在檔案管理信息化建設(shè)和實(shí)踐中，可能會引起信息安全問題，也會產(chǎn)生相應(yīng)的風(fēng)險損害

高校檔案管理信息化在對文字、圖像、聲像等各類檔案信息進(jìn)行數(shù)字化處理的基礎(chǔ)上，編輯可以修改的電子檔案形式，較大化地開發(fā)了檔案資源。但因檔案管理信息化與互聯(lián)網(wǎng)技術(shù)存在內(nèi)在的聯(lián)系，當(dāng)網(wǎng)絡(luò)平臺出現(xiàn)故障時，極易產(chǎn)生關(guān)聯(lián)風(fēng)險。目前，如何有效規(guī)避或減少檔案管理信息化風(fēng)險因素已成為業(yè)內(nèi)普遍關(guān)注的問題。

一、高校檔案管理信息化風(fēng)險評估關(guān)鍵環(huán)節(jié)分析

（一）常見風(fēng)險識別與標(biāo)示

在高校檔案管理信息化實(shí)踐中，常見的風(fēng)險類型有以下幾種：1、管理風(fēng)險。因管理人員疏漏或失職引發(fā)的風(fēng)險，如惡意泄露管理賬號、管理操作不當(dāng)?shù)取?、外來風(fēng)險。管理系統(tǒng)受到外界攻擊引發(fā)的風(fēng)險，如黑客非法入侵、病毒擴(kuò)散等。3、物理安全風(fēng)險。計算機(jī)硬件設(shè)備受損引起的風(fēng)險，如因火災(zāi)或地震導(dǎo)致基礎(chǔ)設(shè)施損害，引起存儲信息丟失。4、制度風(fēng)險。因法律法規(guī)建設(shè)滯后引起的風(fēng)險，如高校未制定嚴(yán)格的信息化管理制度，為不法分子帶來可乘之機(jī)。

（二）檔案管理信息系統(tǒng)風(fēng)險識別與評估

檔案管理系統(tǒng)包含物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層五個方面，這五個方面共同構(gòu)成一個有機(jī)整體，任何一項出現(xiàn)紕漏，都會造成系統(tǒng)出現(xiàn)風(fēng)險。在具體的風(fēng)險識別與評估中，要準(zhǔn)確找出這五個方面的安全薄弱點(diǎn)，防止出現(xiàn)遺漏。物理層又細(xì)分了管理人員安全、硬件設(shè)施和環(huán)境因素等，其中要著重做好硬件設(shè)施的風(fēng)險識別與評估；網(wǎng)絡(luò)層風(fēng)險評估對校園網(wǎng)、局域網(wǎng)等設(shè)置的訪問邊界進(jìn)行分析，看其是否存在網(wǎng)絡(luò)通訊風(fēng)險和資料信息傳送與接收風(fēng)險；檔案管理服務(wù)操作系統(tǒng)、信息檔案存儲數(shù)據(jù)系統(tǒng)、終端控制系統(tǒng)等都屬于系統(tǒng)層的范圍，風(fēng)險評估時應(yīng)全面分析；應(yīng)用層評估基于系統(tǒng)信息傳輸全過程，對各個信息處理環(huán)節(jié)所出現(xiàn)的風(fēng)險因素進(jìn)行評估；管理層風(fēng)險評估從現(xiàn)有的檔案業(yè)務(wù)流程出發(fā)，分析信息檔案的運(yùn)行機(jī)制、管理機(jī)制和保障措施，對其中可能存在的風(fēng)險進(jìn)行識別并評估。

（三）檔案信息安全現(xiàn)狀風(fēng)險評估

參考ISO17799的標(biāo)準(zhǔn)對檔案信息資源進(jìn)行資產(chǎn)管理，主要內(nèi)容包括數(shù)據(jù)信息采集、分類、整理、篩選、統(tǒng)計等，并形成詳細(xì)的資產(chǎn)清單。各類人員如管理人員、技術(shù)人員、一般工作人員對清單中的信息資源進(jìn)行業(yè)務(wù)流程分析，確定現(xiàn)有的風(fēng)險因素和種類。待上述工作完成之后，參照所搜集的具體數(shù)據(jù)，對高校檔案管理信息化中存在的風(fēng)險因素進(jìn)行定性和定量分析，以評估現(xiàn)有風(fēng)險應(yīng)對措施的時效性與可行性，同時確定風(fēng)險抵御強(qiáng)度。最后依據(jù)檔案管理信息化的宏觀目標(biāo)，確定檔案管理信息化的整體風(fēng)險狀況。

二、分析檔案管理的綜合評估指標(biāo)及信息化安全指標(biāo)詳解

高校的檔案安全風(fēng)險評估內(nèi)容，主要應(yīng)從檔案安全制度建設(shè)、檔案安全基礎(chǔ)設(shè)施、檔案安全防護(hù)設(shè)施、檔案信息保密和檔案安全應(yīng)急機(jī)制等方面制定評估指標(biāo)。

(一)檔案安全制度建設(shè)主要包含：1.建立基本規(guī)章制度；2.加強(qiáng)檔案安全制度落實(shí)。

（二）檔案安全基礎(chǔ)設(shè)施大體包含：1、檔案館面積指標(biāo)；2、檔案館耐火等級；3、檔案館防雷設(shè)計標(biāo)準(zhǔn)；4、檔案館抗震設(shè)計標(biāo)準(zhǔn)；5、檔案館供電系統(tǒng)；6、檔案館消防系統(tǒng)等。

（三）檔案安全防護(hù)設(shè)施主要包含：1、視頻監(jiān)控系統(tǒng)；2、入侵報警系統(tǒng)；3、出入口控制系統(tǒng)；4、建立溫濕度監(jiān)測系統(tǒng)，確保符合標(biāo)準(zhǔn)溫濕度范圍；5、確保檔案館符合規(guī)定的安全防護(hù)要求；6、符合檔案館的照度指標(biāo)；7、保證檔案館空氣質(zhì)量的標(biāo)準(zhǔn)。

（四）檔案信息化安全指標(biāo)詳解：

1、檔案信息的安全保密要求，具體體現(xiàn)在加強(qiáng)人員管理。檔案信息保密安全問題涉及面廣，幾乎同從事檔案工作的每個人都有關(guān)，在檔案的接收、保管、利用等各個環(huán)節(jié)上都存在著泄密的風(fēng)險。檔案管理單位應(yīng)根據(jù)《檔案法》、《保密法》等要求建立健全保密規(guī)章制度，建立檔案安全保密工作領(lǐng)導(dǎo)小組，加強(qiáng)人員教育、培訓(xùn)，人人簽訂安全保密責(zé)任書。其次，還應(yīng)加強(qiáng)涉密檔案、涉密設(shè)備的管理。涉密檔案定期清點(diǎn)和涉密設(shè)備定期檢查。由專門的涉密人員、獨(dú)立的計算機(jī)管理涉密檔案，對開放利用的檔案進(jìn)行嚴(yán)格的鑒定，對不開放的檔案也要嚴(yán)防信息泄漏，對存儲、轉(zhuǎn)移相關(guān)涉密的檔案資料，工作人員應(yīng)單獨(dú)使用涉密介質(zhì)。

2、檔案信息化建設(shè)中的信息安全，具體要求為從制度上，制定《電子文件管理暫行辦法》，《涉密信息內(nèi)容范圍暫行辦法》、《涉密計算機(jī)、移動存儲介質(zhì)保密管理暫行規(guī)定》、《涉密計算機(jī)維修、更換、報廢暫行規(guī)定》等相關(guān)制度規(guī)定。所有上網(wǎng)檔案（數(shù)據(jù)）都是經(jīng)過嚴(yán)格的檔案鑒定和網(wǎng)站信息審核。從技術(shù)上，對涉密計算機(jī)房等重要場所設(shè)有信息屏蔽設(shè)施，涉密計算機(jī)或系統(tǒng)與非涉密計算機(jī)或系統(tǒng)物理隔離，館藏檔案電子數(shù)據(jù)系統(tǒng)與辦公、互聯(lián)網(wǎng)實(shí)現(xiàn)物理隔離，辦公網(wǎng)絡(luò)和檔案數(shù)據(jù)網(wǎng)絡(luò)采取必要的安全措施，服務(wù)器前端裝有網(wǎng)絡(luò)入侵檢測設(shè)備等等。

（五）檔案安全應(yīng)急機(jī)制主要包含：1、檔案備份機(jī)制；2、檔案館容災(zāi)等級；

3、檔案搶救修復(fù)機(jī)制；4、應(yīng)急預(yù)案。

三、模擬各類檔案管理的風(fēng)險評估基本過程

（一）確定資產(chǎn)

數(shù)字檔案館要實(shí)現(xiàn)組織目標(biāo)，資產(chǎn)是必不可少的物質(zhì)條件，而確定資產(chǎn)是我們識別脆弱性和威脅的必要條件，對后期的分析評估工作至關(guān)重要。確定資產(chǎn)主要包括兩個過程，一是要確定信息資產(chǎn)的范圍；二是在此資產(chǎn)范圍內(nèi)確定每種資產(chǎn)的價值，通常情況下對建成數(shù)字檔案館的重要程度越大，則該資產(chǎn)的價值越高。我們認(rèn)為所有需要被保護(hù)的人、財、物都屬于資產(chǎn)，比如人員及其聲譽(yù)形象、信息和軟件資產(chǎn)、紙質(zhì)文件、服務(wù)、物理資產(chǎn)等。資產(chǎn)評估應(yīng)始于關(guān)鍵業(yè)務(wù)，最終使一切關(guān)鍵資產(chǎn)得以覆蓋。

（二）識別威脅和脆弱性

造成資產(chǎn)面臨風(fēng)險一方面是由于資產(chǎn)本身的脆弱性，另一方面，是客觀存在著利用這些脆弱性阻礙數(shù)字檔案館目標(biāo)實(shí)現(xiàn)的威脅。因此分析預(yù)估風(fēng)險時不僅要明確有哪些可利用的弱點(diǎn)，還要兼顧哪些人或事會利用這些弱點(diǎn)。一切涉及到的人、事、物都有可能對資產(chǎn)造成威脅，而脆弱性則可以從管理、技術(shù)等方面來檢視。

（三）識別當(dāng)前控制措施

數(shù)字檔案館建成之后，用以維護(hù)信息本身的各種技術(shù)手段和規(guī)章制度會應(yīng)運(yùn)而生。首先需要確定的是已采取措施的的種類，并對它們的可執(zhí)行性、合理性、完備性進(jìn)行分析。如果措施沒有被充分執(zhí)行使資產(chǎn)赤裸裸的呈現(xiàn)在威脅面前，風(fēng)險程度將大大提高；相應(yīng)地，如果采取的措施有效合理，資產(chǎn)面臨的風(fēng)險也會降低。

（四）確定發(fā)生安全事件的可能性和損失

安全事件發(fā)生的可能性直接與風(fēng)險大小相關(guān)，因此對事件發(fā)生可能性的判斷尤為重要。一般情況下，若脆弱性和威脅存在，則說明風(fēng)險程度大，但并不絕對。威脅是一個潛在的因素，它既可能消失，也可能轉(zhuǎn)化為現(xiàn)實(shí)安全事件發(fā)生，而損失往往只由后者導(dǎo)致。因此我們必須以當(dāng)前的控制措施為基礎(chǔ)分析安全事件發(fā)生的可能性，進(jìn)而判斷風(fēng)險程度的大小。

（五）確定風(fēng)險大小及決策

風(fēng)險評估中經(jīng)常需要根據(jù)風(fēng)險大小做出正確的決策，根據(jù)安全事件發(fā)生會造成的損失和概率可以對風(fēng)險大小進(jìn)行預(yù)估。如果預(yù)估的風(fēng)險太大，一方面需要我們妥善分析為了減小風(fēng)險所做的投入；另一方面，要加強(qiáng)各種安全防范措施，這也需要成本的投入。因此就要在風(fēng)險度和所需投入之間權(quán)衡利弊。

（六）執(zhí)行

安全措施的執(zhí)行是檔案管理風(fēng)險評估的最終環(huán)節(jié)。為了使決策能夠有效地鏈接于工作中，我們要對執(zhí)行過程進(jìn)行實(shí)時監(jiān)督；同時，要對執(zhí)行過程中出現(xiàn)的新威脅進(jìn)行分析，必要時對控制措施進(jìn)行及時修改。但是，完全依賴于采取的安全措施并不可取，因?yàn)樾畔⑾到y(tǒng)的風(fēng)險評估處于一個動態(tài)的循環(huán)中，我們應(yīng)周期性地對其進(jìn)行評估。

四、結(jié)語

信息技術(shù)和數(shù)字技術(shù)是未來社會發(fā)展的重要趨勢，高校檔案管理工作也勢必與信息技術(shù)呈現(xiàn)更為緊密的整合。高校檔案管理信息化建設(shè)的實(shí)踐已經(jīng)證明，信息技術(shù)和數(shù)字技術(shù)的應(yīng)用較大程度上優(yōu)化了檔案資源，提升了檔案管理的質(zhì)量。新的形勢下，高校檔案管理人員應(yīng)不斷探索檔案管理信息化的新途徑和新模式，同時全面評估檔案管理中的各類風(fēng)險因素，最大化地減少檔案管理風(fēng)險。

（作者單位：西安醫(yī)學(xué)院人事處）