如何做好電子檔案的風險控制

趙俊霞

風險控制是依據風險評估的結果，選擇和實施合適的安全措施。風險控制的最終目的是要減弱或者避免各種威脅對電子檔案所造成的風險，最終達到電子檔案管理中人、機、環境的和諧。

一、電子檔案風險控制措施

當通過風險評估確定在電子檔案管理過程中存在構成風險的威脅時，就要采取系統的安全措施來控制風險。一般來說，在風險控制時能夠采取的控制措施有以下四種：應用安全措施消除或者減少漏洞的遺留且不可控制的威脅（規避）將風險轉移到其他區域，或者全部轉移到外部（轉移）減少漏洞會被利用的影響（緩解），并承認因為沒有控制或者緩解措施而造成的風險（承認）。

1.風險規避，即試圖防止弱點被威脅利用的風險控制措施。這是一種更可取的方法，因為它尋求避免存在其整體中的風險，而不是在意識到這個風險后再處理它。規避是通過制止威脅，排除電子檔案管理中的弱點，限制對于電子檔案的訪問，并加強安全保護措施來實現的。風險規避有三種普通的方法：通過應用制度、培訓和教育，以及應用技術來規避。比如，通過應用制度來規避，它允許檔案管理人員頒布某些特定的制度。如果一個機構需要更嚴密地控制密碼的使用，那么就應馬上執行一項要求所有 IT 系統使用密碼的制度。需要注意的是，僅有制度是不夠的，高效的管理人員應始終能夠將制度的變化與培訓教育、應用技術結合起來。

2.風險轉移。即試圖將威脅轉移到其他資產、其他過程或其他機構中的控制措施。它可以通過重新考慮如何提供服務、修改配置模式、外包給其他機構、購買保險或者與提供商簽署服務合同來實現。這使得組織可將那些與復雜系統管理相關的風險轉移到處理這些風險有經驗的另外一個機構中。特定的合同協定的好處是提供商對災難恢復負責，并且自始至終遵守服務級別協定，負責保證服務器和網站的可用性。但是，外包并非不存在風險。電子檔案的所有者、IT 管理人員以及信息管理團隊要保證外包合同的災難恢復要求能夠滿足，并且在進行恢復工作前，可將之結合在一起。如果外包人員沒有滿足合同條款的要求，那么結果要比預期的要糟糕得多。

3.風險緩解。減少風險的后果或影響，通過制定實施應變計劃、災難恢復計劃、電子檔案相關資產重新配置等手段來減小電子檔案及相關資產價值本身或風險的后果或影響。風險緩解措施大體上分兩類：一類是事前措施，即在損失發生前為減少損失程度所采取的一系列措施；一類是事后措施，即在損失發生后為減少損失所采取的一系列措施。在損失發生前的緩解措施，有時也會減少損失發生的可能性。損失發生后的緩解措施主要集中于緊急情況的處理方面，以此來阻止損失范圍的擴大。

4.風險承認

如果說風險緩解是試圖減少因為弱點的暴露而造成影響的一種控制措施，那么，風險承認與之恰恰相反，是選擇對所暴露的弱點不采取任何保護措施，并且承認弱點暴露所產生的結果。風險承認方法只有在機構已經確定了風險等級，已經評估了攻擊的可能性，已經估計了發生攻擊所可能造成的毀壞程度，已經進行了一次徹底的成本效益分析，已經評估了使用適當類型可能性的控制措施，已經確定一些特殊功能、服務、信息或者資產的保護開銷是無效的情況下才能使用。該種風險控制是基于對其替代產品已進行了檢查，并且斷定保護一個資產的成本不能證明安全的資金開銷是應該的一種假設的基礎之上的風險控制。值得注意的是，如果機構中每個已被識別的弱點通過承認得以控制，那么就反映出一個機構沒有能力進行安全行動，并且總體上對安全是漠不關心的。同樣，對管理人員而言，如果他們不對信息進行保護，攻擊者就會覺得通過攻擊從這里獲得有價值的信息的想法也是可以接受的。這種方法所造成的風險遠遠超過了其所獲得的價值。

二、電子檔案風險控制策略

從上述四種電子檔案風險控制措施看，轉移和承認兩種措施并不能從實質上規避電子檔案風險。在電子檔案管理中應從風險產生的源頭上就避免風險的發生，或者采取相應的措施在風險來臨時，緩解風險所造成的損失。要規避風險的發生或者緩解風險所造成的損失，筆者認為在電子檔案風險控制中要做到以下幾點：第一是人本策略。人的因素是整個電子檔案風險管理過程中最為關鍵的因素。以人為本，培養檔案管理人員的風險意識，提高業務能力，更新管理知識，提升管理思想，使電子檔案管理人員在工作中減少失誤，增強風險意識，提高遵守制度的意識，避免在管理過程中所發生的風險。第二是制度策略。建立一套合理而健全的管理制度是管理好管理者的重要保障。組織內部電子檔案管理制度的建立，往往比購買設備、提高技術還重要。國內外電子檔案管理的實踐經驗表明，大多數的威脅來自組織內部，對內部威脅的防范比對外部威脅的防范更為困難。防范內部的威脅，管理制度（行政的和法律的）就顯得尤為重要。第三是技術策略。在規避或緩解電子檔案風險中，采用安全、可靠、通過檢驗的信息安全技術，是風險控制的有效手段。這些技術包括：一是物理安全技術，包括環境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。二是網絡安全技術，包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施（防火墻、入侵檢測系統、VPN 等）、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等。三是數據加密技術，包括加密算法、適用范圍、密鑰管理和交換等。四是數據備份技術，包括適用范圍、備份方式、備份數據的安全存儲、備份周期、負責人等。五是病毒防護技術，包括防病毒軟件的安裝、配置、對軟盤、移動硬盤、閃存等移動存儲設備使用和網絡下載等規定。六是系統安全技術，包括互聯網訪問技術、數據庫系統安全技術、郵件系統安全技術、應用服務器系統安全技術、個人桌面系統安全技術、其他業務相關系統安全技術以及系統補丁的更新測試、安裝等。七是身份認證及授權技術，包括認證及授權機制、方式、審計記錄以及口令管理方式、口令設置規則、口令適應規則等。八是事故處理、緊急響應技術，包括響應小組、聯系方式、事故處理計劃、控制過程等。九是災難恢復技術，包括負責人員、恢復機制、方式、歸檔管理、硬件、軟件等。