美國電子文件檔案館風險管理研究與啟示

張 茜 王靜婷/國防大學政治學院

日益復雜的數字環境，給數字檔案館的安全管理帶來諸多風險隱患，風險管理成為不可忽視且必須重視的要素，理解和管理風險成為數字檔案館的核心工作之一。風險管理不僅可以發現數字檔案館發展存在的機遇，也可以及時排除各種風險障礙和隱患，避免造成不良后果，為數字檔案館可持續發展提供支撐。美國NARA電子文件檔案館ERA為美國國家級數字檔案館，代表著國際前沿，是具代表性、發展較為成熟的引領性數字檔案館。本文對ERA風險管理實踐進行深入研究，探索其發展規律，分析其經驗優勢，了解當前數字檔案館發展的前沿，探析各個層級數字檔案館風險管理如何實施。

美國國家檔案與文件管理署（National Archives and Records Administration，簡稱NARA）建立的電子文件檔案館系統（Electronic Records Archives，簡稱ERA）系統，是在國際上影響最大的數字檔案館項目。為了更有效地保證電子文件的真實性、可靠性和憑證性，NARA經過大量論證和試驗，在2005年8月正式宣布開發美國國家檔案館電子文件檔案館系統，對美國聯邦政府部門所產生的各種類型電子文件實施安全、有效、長期的管理。為有效管理數字資產，NARA非常重視風險管理，將風險管理納入數字保存戰略，并將風險管理集成進入數字檔案全生命周期。ERA風險管理的思路可以歸納為頂層布局、全程管控。

1 ERA電子文件檔案館風險管理概況

ERA電子文件檔案館風險管理貫穿數字檔案館建設全生命周期，其頂層布局、全程管控的風險管理理念主要表現為：一是將風險管理納入數字戰略規劃，從頂層設計、戰略規劃層面加強指導；二是充足的財務預算為風險管理提供有效支撐；三是風險管理人員對數字檔案館管理認知的程度直接影響數字檔案館管理的質量。因此，通過明確風險管理相關人員角色和職責，降低或減輕數字檔案館管理過程中因人員而產生的風險。

2018年NARA發布了《數字戰略規劃2018—2022》[1]，基于一系列完整的憑證信息制定了數字戰略規劃。在啟動2018年至2022年戰略規劃時，NARA進行了傳統的環境評估，包括對檔案和信息管理的新趨勢、新做法、機構績效數據和項目等進行評估，以及面臨的十大管理挑戰。為制定戰略計劃，NARA管理人員對每個機構的活動或職能進行了基于風險的分析，并向所有員工發布了一份調查報告，征求他們對改進NARA和降低風險的建議，編制風險概要，并設計了新的戰略目標，以減輕機構面臨的長期戰略風險。因此，NARA的2018年至2022年戰略計劃確立了一個長期愿景，以推動其向前發展，轉變歸檔方式，也包括應對長期風險和提高機構效率及有效性的規劃。

ERA電子文件檔案館系統在可靠性、可伸縮性、可用性和成本方面存在許多問題，這使得它無法滿足NARA當前和預期未來的工作量。考慮到該系統在管理大量數字材料的傳輸、處理和存儲方面的局限性，以及技術的進步（尤其是云計算），2017年NARA投入3.5億美元，用于ERA2.0的開發以及其他可能被嵌入ERA2.0檔案系統的更新和遷移[2]。ERA2.0實施成本估計為4500萬美元[3]。可以看出，NARA在ERA的建設上資金投入較為充足，能夠滿足建設需要。同時，NARA具備完善的財務管理制度，擁有良好的財務規劃，對ERA的建設提供了充足的財政支持，能夠避免ERA在基礎設施、信息系統建設等方面因財務不確定性而引發的風險。

為成功實施風險管理戰略和流程，ERA明確了在風險管理中需要建立的相關人員類型以及其所應該承擔的職責，包括所有ERA工作人員和其他用戶（如相關雇員、顧問和合同商）的首要職責。在ERA電子文件檔案館的項目中，規定為了執行風險管理，應指定電子文件檔案館項目的總監、項目經理、風險官員、風險審計委員會、整合產品團隊等角色，并對各個類型人員的首要職能和職責進行了明確劃分。明確電子文件檔案館的整個管理流程中所有涉及風險管理的人員角色及其職責，做到層次清晰、權責明確，有利于減少因職責不明確而產生的各類風險。各層級人員可以在風險管理中共同發揮作用，形成全面的風險管理人員角色職責體系。

2 ERA風險管理分析

當前ERA已經成為走在國際前列的數字檔案館，其管理不斷更新完善。為了更好地實現ERA的戰略目標，NARA非常重視風險管理，從數字文件產生初期開始就納入了風險管理的范圍。NARA使用年度報告數據來確定趨勢和風險，并通過改進政策和指導來提高其協助組織機構管理文件的能力。通過其他監督活動，如檢查、評估和與各機構的其他工作，NARA繼續與各機構合作，以改進聯邦檔案管理并促進從紙質檔案向電子文件轉變。NARA從電子文件產生開始就將風險管理納入其中，到移交進NARA ERA進行長久保存，覆蓋了電子文件的整個生命周期。因此，本文將NARA數字檔案館的風險管理分為兩個階段進行研究，第一階段為前端風險管理，第二階段為移交進館后的風險管理。

2.1 第一階段：前端風險管理

第一階段主要通過電子文件管理系統文件管理自評估項目（簡稱RMSA）、年度高級文件管理機構官員（SAORM）報告和聯邦電子郵件管理報告來進行。通過自評估報告，NARA可以了解各個組織機構在文件管理中所處的風險等級。NARA通過自評估報告幫助文件管理機構識別風險并作出改進，特別是在電子文件管理方面。組織機構通過自評估來衡量其文件管理項目，促進文件管理效率的提高，不斷改善文件管理。利用這種自我評估、檢查和其他監督活動，幫助組織機構發現電子文件管理過程中的風險，有效控制了電子文件在前端的風險。

2.2 第二階段：進館后風險管理

第二階段為移交進館后的風險管理。ERA的風險管理是和前端的電子文件風險管理連續的，電子文件檔案館風險管理項目的實施方法是通過使用前期項目風險評估結果來制定的。評估的結果和后續評估，使NARA認識到接收文件時就伴隨著風險。這種高風險的暴露使風險管理成為ERA項目管理中的關鍵部分。文件移交進館后，NARA通過ERA的風險管理方案（Electronic Records Archives Risk Management Plan）[4]進行積極主動的風險管理，以確保風險在適當的管理層面得到處理。實施ERA風險管理方案，建立由以下內容構成的風險管理核心活動：規劃和實施風險管理；管理風險狀況；識別風險和機會；應用定量和定性風險分析；制定和執行風險應對方案和步驟；實施風險監控和控制流程；交流風險管理結果和活動，以及評估所有風險管理流程。NARA發布的ERA風險管理方案指出，積極主動的風險管理對管理過程至關重要，能夠確保風險在適當的管理層面得到處理。

ERA作為一個系統項目，存在一定的內在風險。必須確定風險、實施定性和或定量風險分析、制定并遵循風險應對計劃，并實施風險監控和控制，防止可預見的風險表現為重大問題。年度風險評估不僅為風險管理過程的有效性提供了一個獨立的視角，而且也為更大的機構范圍內的風險方法的總體運作提供了獨立的視角。隨著ERA計劃以IT風險管理過程為主導，其他NARA單位現在已認識到風險管理的價值，并已開始實施其自身流程的計劃。ERA風險管理力求在風險管理語言和流程中確立共性。

ERA風險管理流程采用了持續的、系統的和前瞻性的方法來識別、分析和應對風險，旨在最大限度地減少對ERA管理不利的事件發生的可能性和后果，并促進或推進可能產生積極影響的事件。ERA風險管理過程涉及風險識別、風險分析、風險方案和應對、風險監控和控制以及風險溝通。從風險識別開始，是循環的過程。可以看出，特定功能元素構成了ERA風險管理過程，使其可識別、分析、計劃和響應、監控和控制。在風險分析過程，ERA進行可能性評估，每個風險被分配一個高、中或低的發生概率；并據此決定風險嚴重性，為每個風險類別分配概率和影響評級并且定義風險可能發生的時間。風險的應對則會對風險的優先進行排序，與項目總監審查風險狀況，分配風險擁有者或責任人，確定適當的風險管理戰略資源，制定合適的風險應對方案，最后審查優先順序。同時ERA也會通過提交報告、定期審查各級別風險和發生的頻率等控制方法，執行風險審查。

NARA采取主動的風險管理方法，這對于電子文件檔案館的綜合管理流程來說是至關重要的，可以確保風險得到全面、科學的處理。從前端電子文件的產生開始便將風險管理納入其中，到進入電子文件檔案館的風險管理，NARA的全流程風險管理確保了ERA項目的成功。

3 ERA風險應對

NARA對于電子文件檔案館風險應對的策略以靈活為原則，以適應大規模數據的增長、技術和標準的不斷更新和變化，因此針對電子文件檔案館風險制定了關鍵策略，以有效保存數字對象。其目標是降低風險，實現最佳實踐，以實現對數字內容的長久保存和持續可訪問。ERA風險應對策略主要從以下幾個方面開展：首先，NARA非常重視新技術對電子文件檔案館的影響，因此對于云技術環境和區塊鏈技術等對電子文件檔案館帶來的機遇與挑戰，充分考慮如何有效應用并應對風險；其次，對于數字檔案資源的數據完整性風險也提出了一系列應對措施；最后，數字文件格式和媒體可持續風險是實現數字檔案資源長久保存的核心要素，因此NARA針對其檔案館過去幾十年接收的大量的不同格式，創建了數字文件長久保存格式的風險優先級矩陣，對長久保存格式進行了風險識別和風險應對。

3.1 新興技術風險應對

新興技術是影響電子文件檔案館管理的關鍵因素，這是因為技術環境一旦發生變化，電子文件檔案館會面臨機遇和挑戰。NARA非常重視新技術的應用對電子文件檔案館的影響，會及時研究新技術，并發布相應的指南公告來進行指導。

3.1.1 云計算環境下風險管理

考慮到當前社會，云計算技術的應用給ERA管理帶來巨大挑戰，因此云計算作為數字檔案館管理中重要技術背景，各個國家和地區也紛紛出臺相應法規標準，以明確云計算環境下數字檔案館建設中可能遇到的風險。2010年5月，NARA發布了《云計算環境下文件管理指南公告》，提出了云計算環境下的文件管理可能面臨的挑戰，并針對這些風險因素提出云計算的風險具體應對方式，包括讓機構文件管理人員和/或員工參與云計算解決方案的規劃、開發、部署和使用；確定云環境中的聯邦文件是否包含在現有文件處置計劃中；如何捕獲、管理、保留所有文件、提供給授權用戶和適用保管期限；在云環境中進行文件分析、開發和向NARA提交文件保管計劃；明確如何將數據遷移到新格式、操作系統等中，以便文件在整個生命周期中都具有可讀性等。

3.1.2 區塊鏈技術下的風險管理

2019年2月，NARA針對聯邦政府文件在區塊鏈的應用，發布了《區塊鏈白皮書》（Blockchain White Paper）[5]。該白皮書指出應用區塊鏈技術可以獲得確保文件真實性、完整性和準確性的新方法，但同時也可能對區塊鏈中產生的新型文件的管理帶來挑戰。更廣泛地說，應用區塊鏈使得文件管理方式從集中式的信任模型轉變為基于網絡的模型，在各個技術領域變得越來越普遍，網絡正成為一個主要的組織原則。這種轉變反映到檔案著錄項目上，可能會影響文件的組織、安排和維護方式，進而影響文件管理人員收集文件、應用智能和訪問控制以及執行處置規則的方式。應用區塊鏈技術還會對檔案學研究和學科整合帶來新的挑戰，檔案工作者需要學習新的技術。

NARA認為應用區塊鏈技術對電子文件檔案館不僅可能帶來風險，也可能帶來機遇，如區塊鏈技術對真實性所帶來的機遇，可以解決數字文件真實性面臨的挑戰。新技術的出現，風險需要隨著時間慢慢顯現，目前識別評估的風險還不完善，NARA也正在推進相應的研究，以及時提出策略應對新技術風險。

3.2 數據完整性風險應對

為確保數據的完整性，NARA認為：（1）應對所有移交的文件進行編目，并記錄所有輸入事件的結果，以及所有后期生命周期中的管理過程，如格式轉換、文件遷移和審計等。（2）系統必須包括惡意軟件掃描和檢查文件固定度的過程。檢查文件固定度指確認文件狀態是否被更改。（3）將內容從物理介質上復制下來，包括編寫攔截器，防止物理介質上的內容意外損壞。（4）對保存庫中存儲的所有原生數字電子文件和數字代理進行年度抽樣審計，包括定期檢查。（5）修復和/或替換存在固定問題的文件。（6）對日志執行季度審計，以驗證保存庫中的文件是否隨著時間的推移保持不變和未被破壞。（7）對包含NARA合法保管的永久文件載體進行年度抽樣審計。（8）對于包含有永久性保管文件的載體，如果其使用年限達到10年，應把文件復制到經過測試和驗證的新電子載體上。

3.3 格式和媒體可持續性風險應對

2020年6月，NARA發布《數字保存框架》，提出美國數字文件的進程正在加速，并且即將實現全數字化轉型。在此過程中，數字文件的格式建設是非常重要的一項基礎建設工作。2018年，美國NARA需求工作小組發布《通用電子文件管理需求》[6]，為機構現有的業務部門管理電子文件提供標準，幫助軟件供應商決定他們電子文件管理系統工具的功能，以及幫助機構識別他們需要的最佳工具。需求標準中對14種數字文件格式的遷移需求進行了明確，包括CAD文件、數字音頻文件、數字電影文件、數字視頻文件、數字圖像文件、掃描文本文件、數字海報文件、數字地理空間文件、演示文稿、文本數據文件、結構化數據文件、電子郵件、網頁文件等。每一類文件的格式均設置首選與可接收的格式進行需求陳述，同時首選或可接收格式不局限于某一種特定類型。對于掃描類文件需求，標準提供了具體的參數設置要求，對結構化數據的移交進一步進行了描述，以確保移交時形式的統一，同時也是為了能夠符合數據的合法性要求。網頁文件由于其特殊性，需求更為詳盡，重點強調了網頁文件移交完整性的需求。

在《數字保存框架》中NARA針對其檔案館過去幾十年接收的多種格式，創建了數字文件長久保存格式的風險優先級矩陣，對長久保存格式進行了風險識別和風險應對。NARA的格式風險評估充分考慮到格式的可持續性因素，從格式的開放性、透明性、自我描述性、許可和專利、加密和權限管理、外部依賴性、格式年齡等多個維度進行評估，對大量格式風險分析后確定了首選和可接收的數字文件長久保存格式[7]，形成了科學的格式需求標準。

數字文件長久保存格式對技術的依賴性非常強，技術更新迭代會使得格式時刻面臨新的風險，因此在需求標準中推薦的格式或可接收格式也并不會一成不變，這就需要定期對已有的格式進行風險審查，及時識別和評估其風險狀態。同時數字時代，新的數字文件格式也在不斷涌現，要實現長久保存，新格式的出現也需要不斷識別風險，更新格式需求標準。只有建立對現有格式定期審查、對新出現格式及時評估更新的機制，才能確保始終以最優的格式應用于數字文件長久保存，降低數字文件長久保存風險，有效應對風險。

4 啟示

對ERA在管理層面、技術層面和數字檔案資源管理層面上風險管理進行綜合分析，可以發現如下要點。

第一，從美國NARA的風險管理頂層設計看，NARA對數字檔案館的管理有明確的目標和導向，制定了《數字戰略規劃2018—2022》；從法律法規標準的制定情況看，NARA具備完善的法律法規標準體系，以及配套的指南，全方位規范數字檔案館的管理并給予指導，并且針對風險管理也制定了相關配套的法律法規。NARA數字檔案館建設戰略目標清晰，建立了完善的風險管理流程，風險管理覆蓋數字檔案全生命周期，風險管理人員角色和職責體系非常完善。基于以上措施，可能影響到戰略目標實現的各類風險已基本能夠識別，并能夠通過法律法規標準等進行應對，減輕風險或規避風險。

第二，從NARA ERA技術層面看，ERA基礎設施建設包括用于開發、測試、運行、監控、管理和/或支持信息技術服務的硬件、軟件、網絡、存儲、相關設備設施和針對ERA的存儲設施，非常重視存儲容量、系統和攻擊的選擇等，并且定期審查和更新為滿足業務需要而開發或采購的系統和設施。特別是在備份時，選擇了不同的存儲環境、不同的存儲載體等，以減輕風險。同時，對于新技術的出現，NARA能夠及時針對新技術開展風險評估，制定指南指導組織機構合理應用新技術，積極把握新技術帶來的機遇，避免風險。

第三，為實現數字檔案館建設目標，ERA非常重視數字檔案資源層面風險。數字檔案資源的長久保存風險作為風險管理的重要內容進行專門研究，如長久保存格式風險優先級矩陣，是數字保存的重要有機組成部分，為數字檔案資源的格式需求提供了優先級參考，有助于機構和數字檔案館規避風險。同時，NARA對元數據標準也進行了規范，指定關于每個數字對象的持久數字標識符和文件保存元數據。保存元數據時，應確保必要的上下文、管理、描述和技術信息與數字對象一起保存，這樣就確保了數字檔案資源的真實性、完整性、可靠性和可用性。

應當認識到，美國NARA電子文件檔案館風險管理還存在以下不足，即風險管理方案更新不及時、風險管理與數字檔案館的集成還需要進一步加強、隱私風險應對研究還不夠充分。

ERA風險管理經驗為我國數字檔案館風險管理提供了實踐經驗，具有如下啟示。首先，數字檔案館的建設應從頂層戰略規劃加以明確，細化法律法規標準。目前我國數字檔案館建設總體上遵循國家檔案局《數字檔案館建設指南》《數字檔案館系統測試辦法》《檔案館安全風險評估指標體系》，符合我國數字檔案館風險管理的基本要求，從一定程度上確保數字檔案館風險管理的法規遵循性，未來還需進一步將風險管理納入組織發展頂層戰略，遵循國際標準，制定專門的風險管理指南，以指導檔案機構開展風險評估。

其次，我國數字檔案館建設過程中對安全風險較為重視，其他風險管理還需要進一步加強。雖然已對照國家檔案局制定的《數字檔案館系統測試辦法》和《檔案館安全風險評估指標體系》，建設了安全保障體系，但數字檔案館本身是人工系統，管理具有復雜性，除了安全風險外，還有技術風險、資源長久保存方面風險、隱私風險等，隨著我國數字檔案館建設的不斷深入，還應充分評估各方面風險，尤其是及時跟蹤前沿技術，開展風險管理。云計算、大數據、區塊鏈等新技術帶來的機遇與挑戰，為檔案機構應對新技術風險提供及時指導，將風險控制在前端并開展充分的風險識別和評估。

再次，加強數字檔案館項目中國產自主可控格式開發與應用。按照我國軟硬件自主可控替代政策要求，需實現數字檔案館軟硬件設備的國產自主可控。目前針對文件存儲格式，我國已經使用自主研發的版式文件，并發布一系列標準來替代PDF格式標準，作為歸檔的主要格式。但是對于無法用版式文件歸檔的數字文件格式而言，仍然存在不可控的風險，需要加快自主研發替代，避免受制于人，防范我國數字文件乃至數字資產、數字遺產的丟失。

最后，我國還應加強與其他國家檔案館之間的風險管理信息的共享和溝通，積極參與到各個國家和地區、國際數字保存機構等的研究活動中，分享信息和經驗，尋找指導和合作，幫助識別出更多正在出現的風險，持續改進項目，加強與信息技術部門的溝通，確保信息技術部門能夠在伴隨著新技術和系統應用的情況下，及時加深對數字對象保存需求的理解，能夠在最短的時間內應對識別的風險，同時也可以推進數字檔案館風險管理的整體進程。