王元鋒　臧國(guó)全

〔摘 要〕數(shù)字保存系統(tǒng)風(fēng)險(xiǎn)是指貫穿于整個(gè)系統(tǒng)構(gòu)建、運(yùn)行和服務(wù)等各個(gè)環(huán)節(jié)的不確定因素。本文首先探討了系統(tǒng)的風(fēng)險(xiǎn)類型：系統(tǒng)管理風(fēng)險(xiǎn)、系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和技術(shù)環(huán)境支持風(fēng)險(xiǎn)，然后從風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)關(guān)系兩個(gè)角度分析了風(fēng)險(xiǎn)評(píng)估，最后分析了風(fēng)險(xiǎn)管理策略：風(fēng)險(xiǎn)規(guī)避策略、風(fēng)險(xiǎn)處置策略、風(fēng)險(xiǎn)轉(zhuǎn)移策略和風(fēng)險(xiǎn)容忍策略。

〔關(guān)鍵詞〕數(shù)字保存系統(tǒng)；風(fēng)險(xiǎn)管理；風(fēng)險(xiǎn)評(píng)估；數(shù)字資源保存

〔中圖分類號(hào)〕G250 〔文獻(xiàn)標(biāo)識(shí)碼〕C 〔文章編號(hào)〕1008-0821(2009)02-0210-04

Risk Management for Digital Preservation System Wang Yuanfeng Zang Guoquan

(Department of Information Management，Zhengzhou University，Zhengzhou 450001，China)

〔Abstract〕Digital preservation system risk means the uncertain factors which exist in all steps of digital preservation system including construction，operation and service.The following three aspects were discussed in this paper：(1)the type of risk，including system management risk，operation risk and technological and environmental support risk；(2)risk assessment，including risk rank and risk influence；and(3)risk management strategy，including risk avoidance strategies risk treatment strategies，risk transfer strategies and risk tolerance strategies.

〔Key words〕digital preservation system；risk management；risk assessment；digital resource preservation

風(fēng)險(xiǎn)是指貫穿于組織預(yù)期事件及其結(jié)果的不確定性，也即潛在地影響組織目標(biāo)完成的事件所發(fā)生的可能性及其所造成的影響。數(shù)字保存系統(tǒng)是負(fù)責(zé)長(zhǎng)期保存數(shù)字資源，提供值得用戶信任的數(shù)字資源存取能力的一種全文數(shù)據(jù)庫系統(tǒng)。數(shù)字保存系統(tǒng)風(fēng)險(xiǎn)是指貫穿于整個(gè)系統(tǒng)構(gòu)建、運(yùn)行和服務(wù)等各個(gè)環(huán)節(jié)的不確定因素。這些因素有系統(tǒng)管理層面的、系統(tǒng)運(yùn)行層面的和技術(shù)支持層面的，并與所處的外部環(huán)境息息相關(guān)。

數(shù)字保存系統(tǒng)的風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和管理策略等3個(gè)環(huán)節(jié)。

1 風(fēng)險(xiǎn)類型

數(shù)字保存系統(tǒng)的風(fēng)險(xiǎn)包括系統(tǒng)管理風(fēng)險(xiǎn)、系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和技術(shù)環(huán)境支持風(fēng)險(xiǎn)三大類[1]。

1.1 系統(tǒng)管理風(fēng)險(xiǎn)

1.1.1 運(yùn)行機(jī)構(gòu)管理風(fēng)險(xiǎn)

(1)管理失靈。機(jī)構(gòu)的某些管理行為失敗，導(dǎo)致無法實(shí)現(xiàn)系統(tǒng)的預(yù)期目標(biāo)。比如，采用的數(shù)字保存策略導(dǎo)致數(shù)據(jù)丟失；資源分配使得系統(tǒng)的一些功能無法完成。

(2)機(jī)構(gòu)信譽(yù)缺失。數(shù)字保存系統(tǒng)的用戶或數(shù)字資源委托保存者對(duì)系統(tǒng)實(shí)現(xiàn)其目標(biāo)的能力表示懷疑。比如，公開聲明削減系統(tǒng)的運(yùn)行經(jīng)費(fèi)有可能導(dǎo)致用戶對(duì)系統(tǒng)是否擁有充足資源來實(shí)現(xiàn)其高效運(yùn)行的擔(dān)心；數(shù)字資源的不可恢復(fù)性損失會(huì)導(dǎo)致對(duì)系統(tǒng)性能的擔(dān)心。

(3)預(yù)期指標(biāo)沒有實(shí)現(xiàn)。系統(tǒng)沒有達(dá)到預(yù)先設(shè)置的一些指標(biāo)。比如，數(shù)字產(chǎn)品傳遞平均時(shí)間超過系統(tǒng)預(yù)先設(shè)置的時(shí)間限制；系統(tǒng)沒有充分地保存數(shù)字資源的重要特征。

(4)系統(tǒng)無法全面履行職責(zé)。由于環(huán)境變化等原因致使系統(tǒng)的存在基礎(chǔ)喪失或根本上發(fā)生了改變，從而導(dǎo)致無法繼續(xù)履行其承若的職責(zé)。比如，系統(tǒng)依據(jù)的法律環(huán)境修訂使得其職責(zé)范圍發(fā)生了變化；相關(guān)簽約合同的改變使得其履行的義務(wù)發(fā)生變化。

(5)用戶需求發(fā)生重大變化。系統(tǒng)所提供的服務(wù)無法滿足用戶團(tuán)體的新需求。比如，用戶團(tuán)體采用了一種新的軟件系統(tǒng)，而該軟件系統(tǒng)與原來的數(shù)據(jù)格式不兼容；越來越多的用戶無法理解系統(tǒng)預(yù)先使用的標(biāo)記語言。

(6)數(shù)字保存業(yè)務(wù)被強(qiáng)制終止。由于各種原因?qū)е聰?shù)字保存業(yè)務(wù)停止服務(wù)。比如，與數(shù)字資源提供者所簽訂的合同或與資金提供者簽訂的合同無法續(xù)簽；數(shù)字保存系統(tǒng)倒閉或在競(jìng)爭(zhēng)中退出市場(chǎng)等原因，導(dǎo)致其保存業(yè)務(wù)終止。

(7)用戶反饋渠道不暢通或系統(tǒng)對(duì)用戶意見不予理睬。系統(tǒng)無法接收用戶反饋，或接收用戶反饋不全面，或缺乏接收用戶反饋的機(jī)制，或雖然可以完全接收用戶反饋，但系統(tǒng)均拒絕采納。

(8)系統(tǒng)沒有保存數(shù)字信息的必要特征，而這些特征對(duì)用戶團(tuán)體來說具有重要作用。比如，系統(tǒng)以文本文件的格式保存數(shù)字化手稿，但用戶更重視手稿的外觀；系統(tǒng)雖以圖片格式保存數(shù)字化手稿，但采用的分辨率沒有達(dá)到用戶所需的識(shí)別手稿細(xì)節(jié)級(jí)別的程度。

(9)系統(tǒng)存在知識(shí)產(chǎn)權(quán)侵權(quán)現(xiàn)象。系統(tǒng)沒有對(duì)各種類型的侵權(quán)、以及與產(chǎn)權(quán)相關(guān)的不端行為負(fù)責(zé)。比如，系統(tǒng)存儲(chǔ)有未獲得產(chǎn)權(quán)許可的數(shù)字信息，對(duì)這些信息的傳播存在產(chǎn)權(quán)侵權(quán)風(fēng)險(xiǎn)。

(10)系統(tǒng)存在違背合同現(xiàn)象。系統(tǒng)沒有完成合同規(guī)定的職責(zé)，或系統(tǒng)的活動(dòng)超出了合同允許的范圍。比如，按照合同規(guī)定，系統(tǒng)保存的一些數(shù)字資源僅限于特定用戶團(tuán)體的訪問，而系統(tǒng)將這些信息資源通過因特網(wǎng)向廣大網(wǎng)絡(luò)用戶開放。

(11)系統(tǒng)存在違背相關(guān)規(guī)則現(xiàn)象。系統(tǒng)的活動(dòng)與相關(guān)規(guī)則(例如，行業(yè)規(guī)則)相違背。比如，系統(tǒng)沒有執(zhí)行具有法律效力的保障雇員安全和健康的規(guī)則。

(12)系統(tǒng)缺乏有效評(píng)估其活動(dòng)是否達(dá)到預(yù)期目標(biāo)的能力。比如，系統(tǒng)無法證實(shí) 其保存的數(shù)字資源的完整性和真實(shí)性得到有效維護(hù)；系統(tǒng)無法證實(shí)數(shù)字資源委托保存者的提 交信息被正確地獲取，并轉(zhuǎn)換為完整的正確的保存信息包。

1.1.2 員工風(fēng)險(xiǎn)

(1)關(guān)鍵員工的離崗。那些處于對(duì)實(shí)現(xiàn)系統(tǒng)目標(biāo)起著至關(guān)重要崗位的員工的離崗，導(dǎo)致系統(tǒng)目標(biāo)的實(shí)現(xiàn)缺乏連續(xù)性和一致性。比如，系統(tǒng)的高級(jí)管理者，或掌握系統(tǒng)核心技術(shù)的工程師跳槽到競(jìng)爭(zhēng)對(duì)手從事相同或相似的工作。

(2)員工技術(shù)過時(shí)。比如，員工僅具備實(shí)施按照時(shí)序?qū)?shù)字對(duì)象進(jìn)行保存的策略(該策略已經(jīng)過時(shí))，而沒有進(jìn)行針對(duì)出現(xiàn)的新技術(shù)新策略的培訓(xùn)。

(3)缺乏員工績(jī)效評(píng)估機(jī)制。比如，系統(tǒng)缺乏職員績(jī)效檔案，或缺乏有效識(shí)別員工培訓(xùn)需求的機(jī)制。

1.1.3 資金風(fēng)險(xiǎn)

(1)資金不充足。比如，系統(tǒng)每年運(yùn)營(yíng)都處于虧損狀態(tài)，或?yàn)閷?shí)現(xiàn)系統(tǒng)各項(xiàng)功能而分配的資源不足。

(2)資金分配不合理。系統(tǒng)的資源分配缺乏合理性，致使投入產(chǎn)出不成比例。比如，管理投資方面，所購買的軟件功能遠(yuǎn)遠(yuǎn)超過了所需，而市場(chǎng)上存在有能夠滿足需求的廉價(jià)軟件。

(3)財(cái)務(wù)管理不符合相應(yīng)的法律規(guī)章。比如，沒有照章納稅，財(cái)務(wù)審查沒通過。

(4)預(yù)算削減。比如，對(duì)于依靠地方政府投資而運(yùn)行的數(shù)字保存系統(tǒng)，由于地方財(cái)政收入減1.2 系統(tǒng)運(yùn)行風(fēng)險(xiǎn)

1.2.1 數(shù)字資源獲取風(fēng)險(xiǎn)

(1)提交的信息結(jié)構(gòu)失效或格式失真。數(shù)字資源提交者所提交的信息不符合系統(tǒng)要求的結(jié)構(gòu)或格式，導(dǎo)致無法保存。比如，系統(tǒng)不支持所提交信息的格式，提交信息的是以XML格式編碼，但該編碼對(duì)于系統(tǒng)提供的識(shí)別框架來說是無效的。

(2)提交信息不完整。提交信息中沒有包含保存所需的內(nèi)容。比如，提交信息中沒有元數(shù)據(jù)，而根據(jù)與信息提交者的合同，元數(shù)據(jù)是要隨內(nèi)容信息一起提交的。

(3)提交過程中，提交信息受外部影響而改變。在系統(tǒng)接收到信息與系統(tǒng)生成保存信息之間，提交信息發(fā)生改變，而這種改變不是由系統(tǒng)施加的。

(4)保存信息無法追溯到提交信息。保存信息不能追朔到相應(yīng)的提交信息或提交信息的某一集合。比如，系統(tǒng)無法追朔某件保存信息的來源，導(dǎo)致無法確定其保存的完整性。

1.2.2 數(shù)字資源保存風(fēng)險(xiǎn)

(1)保密信息被泄密。根據(jù)有關(guān)協(xié)議，系統(tǒng)保存的一些信息受到一些訪問限制，但這類信息被公開傳播。比如，系統(tǒng)的用戶認(rèn)證子系統(tǒng)失靈，系統(tǒng)保存的一些商業(yè)敏感信息被規(guī)定以外的用戶訪問。

(2)信息和服務(wù)可獲取性的缺失。系統(tǒng)不能提供相應(yīng)的服務(wù)，或應(yīng)該被訪問的信息無法提供訪問。比如，由于系統(tǒng)服務(wù)器出現(xiàn)故障，導(dǎo)致其保存信息無法被訪問。

(3)信息的真實(shí)性缺失。系統(tǒng)無法驗(yàn)證其所保存的數(shù)字信息與其所接收的原始數(shù)字信息的一致性。比如，由于數(shù)字遷移的實(shí)施導(dǎo)致數(shù)字對(duì)象的格式信息和一些內(nèi)容信息發(fā)生變化，使得其保存的遷移后的數(shù)字對(duì)象與系統(tǒng)接收的數(shù)字對(duì)象不一致。

(4)信息的可靠性缺失。系統(tǒng)無法驗(yàn)證其保存信息的可靠性。比如，法院拒絕承認(rèn)其保存信息作為證據(jù)。

(5)信息來源缺失。由于保存信息的改變，導(dǎo)致系統(tǒng)無法追朔其保存信息的來源。

(6)不可識(shí)別的保存信息的變更。系統(tǒng)無法追蹤或監(jiān)控其保存信息發(fā)生改變的時(shí)間和地點(diǎn)。比如，系統(tǒng)缺少記錄或維護(hù)足夠的校驗(yàn)信息來檢測(cè)保存信息發(fā)生改變的場(chǎng)所。

(7)數(shù)據(jù)備份丟失或不再可用。系統(tǒng)無法從數(shù)據(jù)備份機(jī)制中恢復(fù)信息。比如，在數(shù)字主文檔丟失時(shí)，系統(tǒng)無法從備份中恢復(fù)信息，因?yàn)閭浞莸慕橘|(zhì)已經(jīng)遭到了不可逆轉(zhuǎn)的損壞。

(8)數(shù)據(jù)副本內(nèi)容不一致。當(dāng)系統(tǒng)維護(hù)多個(gè)數(shù)據(jù)副本時(shí)，副本內(nèi)容之間出現(xiàn)不一致現(xiàn)象。比如，當(dāng)有3個(gè)副本時(shí)，隨機(jī)校驗(yàn)對(duì)比檢測(cè)顯示，1個(gè)副本的內(nèi)容與其他2個(gè)存在數(shù)據(jù)不同情況。

(9)信息參考完整性的標(biāo)識(shí)符選取不當(dāng)。系統(tǒng)無法根據(jù)給定的標(biāo)識(shí)符定位所需數(shù)字對(duì)象。比如，基于獲取時(shí)間而設(shè)計(jì)的數(shù)字對(duì)象標(biāo)識(shí)符，當(dāng)1個(gè)系統(tǒng)有2個(gè)或2個(gè)以上數(shù)據(jù)獲取渠道時(shí)，就有可能出現(xiàn)不同數(shù)字對(duì)象賦予1個(gè)標(biāo)識(shí)符。

(10)數(shù)字保存計(jì)劃無法有效地執(zhí)行。比如，系統(tǒng)選擇數(shù)字仿真作為數(shù)字資源長(zhǎng)期保存策略，但缺少相應(yīng)的技術(shù)人員來實(shí)施，也缺乏足夠的資源來委托第三方代其實(shí)施。

(11)保存策略導(dǎo)致信息丟失。保存策略的實(shí)施導(dǎo)致一些數(shù)字對(duì)象的一些重要特征的丟失。比如，數(shù)字遷移的結(jié)果會(huì)導(dǎo)致數(shù)字對(duì)象的外觀信息丟失。

(12)信息(包括獲取信息、保存信息和傳播信息)的不可追溯性。在保存系統(tǒng)生命周期內(nèi)，某一特定信息單元無法追溯到相應(yīng)的來源出處。比如，系統(tǒng)沒有維護(hù)保存信息來源以及對(duì)其處理的文檔，從而導(dǎo)致保存信息不具有可追溯性。

1.2.3 元數(shù)據(jù)管理風(fēng)險(xiǎn)

(1)用來描述參考完整性的元數(shù)據(jù)丟失。比如，數(shù)字對(duì)象與相應(yīng)元數(shù)據(jù)之間的描述關(guān)系斷裂(如，用來描述元數(shù)據(jù)與相應(yīng)數(shù)字對(duì)象關(guān)系的目錄結(jié)構(gòu)文檔不可恢復(fù)性地?fù)p失)，導(dǎo)致數(shù)字對(duì)象的不可檢索性。

(2)用來描述數(shù)字對(duì)象發(fā)生變化的歷史記錄的元數(shù)據(jù)不完整或不準(zhǔn)確。比如，缺乏描述數(shù)字對(duì)象起源以及在整個(gè)生命周期過程中發(fā)生改變的文檔。

(3)數(shù)字對(duì)象的不可發(fā)現(xiàn)性。支持?jǐn)?shù)字對(duì)象發(fā)現(xiàn)的元數(shù)據(jù)不充分。比如，設(shè)計(jì)元數(shù)據(jù)描述時(shí)，數(shù)字對(duì)象的檢索點(diǎn)考慮不全面，導(dǎo)致數(shù)字對(duì)象的被發(fā)現(xiàn)性不充分。

(4)可理解性的界定模糊。元數(shù)據(jù)的功用之一是幫助用戶對(duì)數(shù)字對(duì)象的理解，如果系統(tǒng)對(duì)用戶的數(shù)字對(duì)象“可理解性”的界定不清晰，就會(huì)導(dǎo)致元數(shù)據(jù)的選取不合理。

(5)保存信息在語義和技術(shù)層面的可理解性不足。比如，系統(tǒng)提供和維護(hù)的表征信息不全面、不合理，從而導(dǎo)致相應(yīng)的保存信息在用戶理解層面上的困難。

1.2.4 數(shù)字訪問風(fēng)險(xiǎn)

(1)無法向用戶提供數(shù)字訪問服務(wù)。比如，由于網(wǎng)絡(luò)服務(wù)故障，導(dǎo)致提供數(shù)字訪問的WEB服務(wù)器處于離線狀態(tài)。

(2)數(shù)字訪問身份驗(yàn)證子系統(tǒng)失效。限定數(shù)字信息訪問的系統(tǒng)功能不完善，導(dǎo)致不合理的訪問或訪問失敗。比如，對(duì)于某一數(shù)字對(duì)象，無權(quán)訪問的用戶由于身份驗(yàn)證失效而可以對(duì)其進(jìn)行存取。

(3)數(shù)字訪問權(quán)限授權(quán)子系統(tǒng)失效。權(quán)限分配子系統(tǒng)功能不完善，導(dǎo)致用戶的權(quán)限分配不合理。比如，基于用戶名的授權(quán)系統(tǒng)，當(dāng)多個(gè)用戶出現(xiàn)重名時(shí)，就會(huì)導(dǎo)致數(shù)字訪問的權(quán)限分配混亂。

(4)數(shù)字訪問服務(wù)水平欠佳。系統(tǒng)沒有達(dá)到預(yù)期的服務(wù)目標(biāo)。比如，如果系統(tǒng)規(guī)定傳遞單件數(shù)字資源必須在5分鐘內(nèi)完成，但實(shí)際為10分鐘。

1.3 技術(shù)環(huán)境支持風(fēng)險(xiǎn)

(1)軟硬件損壞或缺乏可持續(xù)發(fā)展性。比如，軟件商破產(chǎn)導(dǎo)致軟件沒有更新保障。

(2)軟硬件無法支持系統(tǒng)出現(xiàn)的新目標(biāo)。一般情況下，系統(tǒng)基礎(chǔ)結(jié)構(gòu)是為滿足現(xiàn)行目標(biāo)而設(shè)計(jì)的，但隨著環(huán)境變化，用戶需求也會(huì)發(fā)生變化，系統(tǒng)目標(biāo)就要更新，但軟硬件可能無法支持新目標(biāo)的實(shí)現(xiàn)。比如，當(dāng)保存的數(shù)字對(duì)象或用戶數(shù)量增加到一定程度時(shí)，軟件無法支持。

(3)軟硬件過時(shí)。核心技術(shù)不再流行。比如，采用的操作系統(tǒng)不再受提供商支持，因此，操作系統(tǒng)的安全更新不再有保障。

(4)存儲(chǔ)介質(zhì)老化或過時(shí)。介質(zhì)老化導(dǎo)致數(shù)據(jù)讀寫困難。比如，磁帶的物理老化使得對(duì)存儲(chǔ)的數(shù)字對(duì)象無法讀取。

(5)系統(tǒng)安全漏洞被非法利用。比如，數(shù)字對(duì)象存取軟件存在安全漏洞，該漏洞被用戶識(shí)別，并被用來對(duì)數(shù)字對(duì)象進(jìn)行非法訪問。

(6)外來軟件的侵入。比如，黑客軟件侵入到系統(tǒng)服務(wù)器，在服務(wù)器中執(zhí)行惡意代碼。

(7)破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時(shí)或永久不可使用。比如，系統(tǒng)所在地發(fā)生地震、臺(tái)風(fēng)、颶風(fēng)等。

(8)系統(tǒng)意外崩潰。比如，所有數(shù)字對(duì)象意外地被物理刪除；由于某種外界不可抗拒因素導(dǎo)致系統(tǒng)被迫終止。

(9)系統(tǒng)被有意破壞。比如，系統(tǒng)通過網(wǎng)絡(luò)被電子型恐怖分子侵入；內(nèi)心不滿的系統(tǒng)工作人員對(duì)系統(tǒng)的破壞。

(10)重要公用設(shè)施出現(xiàn)故障。比如，系統(tǒng)的電力供應(yīng)出現(xiàn)問題，致使整個(gè)系統(tǒng)癱瘓。

(11)系統(tǒng)所依賴的相關(guān)方服務(wù)出現(xiàn)問題。比如，向數(shù)字保存系統(tǒng)提供信息傳播的因特網(wǎng)服務(wù)提供商破產(chǎn)或退出服務(wù)領(lǐng)域。

(12)系統(tǒng)與其所依賴的相關(guān)方服務(wù)合同出現(xiàn)變更。比如，電價(jià)增長(zhǎng)，因特網(wǎng)服務(wù)提供商從系統(tǒng)的web服務(wù)器中撤銷其服務(wù)所依賴的技術(shù)。

(13)系統(tǒng)原始文件部分或全部毀壞。比如，火災(zāi)可能導(dǎo)致系統(tǒng)所簽訂合同和各類文件毀壞。

(14)系統(tǒng)無能力評(píng)估其技術(shù)設(shè)施和安全設(shè)施的有效性。比如，系統(tǒng)缺少測(cè)試安全措施效果的機(jī)制，或評(píng)估其技術(shù)設(shè)施有效性的機(jī)制。

2 風(fēng)險(xiǎn)評(píng)估

2.1 風(fēng)險(xiǎn)等級(jí)

風(fēng)險(xiǎn)等級(jí)包括風(fēng)險(xiǎn)發(fā)生的頻率和風(fēng)險(xiǎn)產(chǎn)生的影響。風(fēng)險(xiǎn)發(fā)生的頻率即特定風(fēng)險(xiǎn)發(fā)生的可能性。這種可能性通過特定時(shí)間內(nèi)風(fēng)險(xiǎn)發(fā)生的次數(shù)來衡量。風(fēng)險(xiǎn)發(fā)生的次數(shù)不同，等級(jí)不同。在風(fēng)險(xiǎn)發(fā)生頻率的等級(jí)界定上，一般可分為下述6個(gè)級(jí)別[2]：

(1)可能性極低(比如，100年以上發(fā)生1次)；

(2)可能性很低(比如，每10年發(fā)生1次)；

(3)可能性較低(比如，每5年發(fā)生1次)；

(4)可能性中等(比如，每年發(fā)生1次)；

(5)可能性高(比如，每個(gè)月發(fā)生1次)；

(6)可能性很高(比如，每個(gè)月發(fā)生1次以上)。

風(fēng)險(xiǎn)產(chǎn)生的影響即風(fēng)險(xiǎn)發(fā)生后對(duì)數(shù)字對(duì)象真實(shí)性和可理解性的作用效果。這種效果通過數(shù)字對(duì)象真實(shí)性和可理解性的具體缺失狀況來衡量。效果不同，等級(jí)也不同。在風(fēng)險(xiǎn)影響等級(jí)界定上，一般可分為下述7級(jí)[3]：

(1)無影響：所有數(shù)字資源的真實(shí)性和可理解性毫無喪失；

(2)微不足道影響：導(dǎo)致數(shù)字對(duì)象的真實(shí)性和可理解性部分喪失，但可完全恢復(fù)；

(3)輕度影響：導(dǎo)致數(shù)字對(duì)象的真實(shí)性和可理解性較普遍喪失，但可完全恢復(fù)；

(4)中度影響：導(dǎo)致數(shù)字對(duì)象的真實(shí)性和可理解性完全喪失，但可完全恢復(fù)；

(5)高度影響：導(dǎo)致數(shù)字對(duì)象的真實(shí)性和可理解性部分喪失，且其中一些喪失是數(shù)字保存系統(tǒng)不可恢復(fù)的；

(6)相當(dāng)大影響：導(dǎo)致數(shù)字對(duì)象的真實(shí)性和可理解性較普遍喪失，且這些喪失是數(shù)字保存系統(tǒng)不可恢復(fù)的，其中一些喪失第三方可恢復(fù)；

(7)災(zāi)難性的影響：導(dǎo)致數(shù)字對(duì)象的真實(shí)性和可理解性完全喪失，且所有喪失是采用任何方法都無法恢復(fù)的。

2.2 風(fēng)險(xiǎn)關(guān)系

風(fēng)險(xiǎn)之間存在著各種關(guān)系，這些關(guān)系可分為[4]：

(1)爆發(fā)型：多個(gè)風(fēng)險(xiǎn)同時(shí)發(fā)生，產(chǎn)生的影響要遠(yuǎn)大于各個(gè)風(fēng)險(xiǎn)單獨(dú)產(chǎn)生的影響之和。比如，1.3(7)的“破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時(shí)或永久不可使用”與1.3(11)的“系統(tǒng)所依賴的相關(guān)方服務(wù)出現(xiàn)問題”兩種風(fēng)險(xiǎn)的關(guān)系。

(2)感染型：一個(gè)風(fēng)險(xiǎn)的發(fā)生會(huì)增加另外一個(gè)風(fēng)險(xiǎn)發(fā)生的可能性。比如，1.1.1中的“管理失靈”與“機(jī)構(gòu)信譽(yù)缺失”兩種風(fēng)險(xiǎn)的關(guān)系；1.2.2中的“數(shù)據(jù)備份丟失或不再可用”與1.2.3中的“用來描述數(shù)字對(duì)象發(fā)生變化的歷史記錄的元數(shù)據(jù)不完整或不準(zhǔn)確”兩種風(fēng)險(xiǎn)的關(guān)系。

(3)互助型：一個(gè)風(fēng)險(xiǎn)的規(guī)避有助于另外一個(gè)風(fēng)險(xiǎn)的規(guī)避。比如，1.2.3(4)的“可理解性的界定模糊”與1.2.3(5)的“保存信息在語義和技術(shù)層面的可理解性不足”兩種風(fēng)險(xiǎn)的關(guān)系。

(4)“多米諾骨牌”型：一個(gè)風(fēng)險(xiǎn)的規(guī)避使另外一個(gè)風(fēng)險(xiǎn)的規(guī)避有效性降低。比如，1.2.2(10)的“數(shù)字保存計(jì)劃無法有效地執(zhí)行”與1.2.2(11)“保存策略導(dǎo)致信息丟失”兩種風(fēng)險(xiǎn)的關(guān)系。

(5)離散型：一個(gè)風(fēng)險(xiǎn)的存在，與其他風(fēng)險(xiǎn)無關(guān)。比如，1.2.2(5)的“信息來源缺失”與1.3(7)的“破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時(shí)或永久不可使用”兩種風(fēng)險(xiǎn)的關(guān)系。

3 風(fēng)險(xiǎn)管理

不同類型的風(fēng)險(xiǎn)應(yīng)該采用不同的管理策略。這些策略包括[5]：

(1)風(fēng)險(xiǎn)規(guī)避策略：為了避開可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的環(huán)境，而及時(shí)采取的行動(dòng)；

(2)風(fēng)險(xiǎn)處置策略：當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)應(yīng)該采取的處置方法；

(3)風(fēng)險(xiǎn)轉(zhuǎn)移策略：通過適當(dāng)?shù)姆绞綄L(fēng)險(xiǎn)轉(zhuǎn)移給其他組織，如簽署服務(wù)合同；

(4)風(fēng)險(xiǎn)容忍策略：接受和容忍一定等級(jí)的風(fēng)險(xiǎn)，并采取一些有效行動(dòng)來降低風(fēng)險(xiǎn)影響。

風(fēng)險(xiǎn)管理策略是一個(gè)不斷學(xué)習(xí)與實(shí)踐的過程。一些數(shù)字保存系統(tǒng)經(jīng)過長(zhǎng)期的實(shí)踐，總結(jié)出了對(duì)不同種類風(fēng)險(xiǎn)進(jìn)行管理的相應(yīng)策略。

3.1 風(fēng)險(xiǎn)規(guī)避與處置策略

很多風(fēng)險(xiǎn)都可采用相應(yīng)的措施來規(guī)避。當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)，也可采用一些方法來解決。示例如下：

(1)風(fēng)險(xiǎn)1.1.1(9)：系統(tǒng)存在知識(shí)產(chǎn)權(quán)侵權(quán)現(xiàn)象。

規(guī)避策略：對(duì)保存的數(shù)字資源進(jìn)行評(píng)估，以確定受產(chǎn)權(quán)限制的數(shù)字資源；尋求法律咨詢，以確定對(duì)這些數(shù)字資源進(jìn)行操作的合法性。

處置策略：制定相關(guān)政策和工作程序，應(yīng)對(duì)知識(shí)產(chǎn)權(quán)的挑戰(zhàn)。

(2)風(fēng)險(xiǎn)1.1.2(2)：?jiǎn)T工技術(shù)過時(shí)。

規(guī)避策略：制定員工培訓(xùn)方式，并保證員工經(jīng)過培訓(xùn)可熟練掌握所需技術(shù)；實(shí)施員工績(jī)效評(píng)估，定期確定其技術(shù)水平和培訓(xùn)需求。

處置策略：提供培訓(xùn)設(shè)施，以改變過時(shí)技術(shù)。

(3)風(fēng)險(xiǎn)1.1.3(1)：資金不充足，無法實(shí)現(xiàn)系統(tǒng)目標(biāo)。

規(guī)避策略：通過有償服務(wù)來實(shí)現(xiàn)自身可持續(xù)發(fā)展；尋求穩(wěn)定的預(yù)算保證。

處置策略：尋求使用額外資金，確保系統(tǒng)目標(biāo)的完成；縮減其他開支，以彌補(bǔ)資金差額；由于資金缺乏導(dǎo)致系統(tǒng)無法正常運(yùn)轉(zhuǎn)時(shí)，修改系統(tǒng)目標(biāo)。

(4)風(fēng)險(xiǎn)1.2.2(1)：保密信息被泄密。

規(guī)避策略：確保相關(guān)政策和操作與系統(tǒng)保密規(guī)定相一致；確保軟硬件系統(tǒng)和保存策略符合保密規(guī)定。

處置策略：采取相關(guān)措施，撤銷保密信息的可獲取性，并采取應(yīng)對(duì)措施減少系統(tǒng)信譽(yù)損失。

3.2 風(fēng)險(xiǎn)轉(zhuǎn)移策略

有些風(fēng)險(xiǎn)，當(dāng)其發(fā)生時(shí)，可以轉(zhuǎn)移到其他組織。示例如下：

(1)風(fēng)險(xiǎn)1.1.1(6)：數(shù)字保存業(yè)務(wù)被強(qiáng)制終止。

轉(zhuǎn)移策略：與其他數(shù)字保存系統(tǒng)簽署協(xié)議，制定后續(xù)委托保存方案；制定退出保存業(yè)務(wù)策略。

(2)風(fēng)險(xiǎn)1.3(6)：外來軟件的侵入。

轉(zhuǎn)移策略：與提供軟件安全服務(wù)的第三方簽署服務(wù)合同，實(shí)現(xiàn)風(fēng)險(xiǎn)轉(zhuǎn)移。

(3)風(fēng)險(xiǎn)1.3(8)：系統(tǒng)意外崩潰。

轉(zhuǎn)移策略：為系統(tǒng)購買保險(xiǎn)，將損失降到最低程度。

3.3 風(fēng)險(xiǎn)容忍策略

還有一些風(fēng)險(xiǎn)，發(fā)生時(shí)產(chǎn)生的影響可以容忍，但要有一個(gè)“度”的界定。示例如下：

(1)風(fēng)險(xiǎn)1.2.2(11)：保存策略導(dǎo)致信息丟失。

容忍策略：制定政策，清晰界定系統(tǒng)保存活動(dòng)中所允許的信息丟失范圍。

(2)風(fēng)險(xiǎn)1.2.2(7)：數(shù)據(jù)備份丟失或不再可用。

容忍策略：實(shí)施多余備份存儲(chǔ)方法。

(3)風(fēng)險(xiǎn)1.2.2(2)：信息和服務(wù)可獲取性的缺失。

容忍策略：制定相關(guān)政策，清晰界定應(yīng)承擔(dān)的最低信息傳輸量，以及允許的傳輸時(shí)間延時(shí)和信息不可獲取的時(shí)間間隔等。

參考文獻(xiàn)

[1]DCC.Digital Repository Audit Method Based on Risk Assessment[EB].http：∥en.wikipedia.org/wiki/DigitalzRepositoryzAuditzMethodzBasedzonzRiskzAssessment，2007-06-20.

[2]OCLC.Criteria for Measuring Trustworthiness of Digital Repositories & Archives：an Audit & Certification Checklist[EB].http：∥bibpur1.oclc.org/web/16713，2007-07-10.

[3]RLG.Attributes of a Trusted Digital Repository：Meeting the Needs of Research Resources[EB].http：∥www.rlg.org/longterm/attributes01.pdf，2006-08-10.

[4]RLG，NARA.Task Force on Digital Repository Certification：Audit Checklist for Certifying Digital Repositories[EB].http：∥www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf，2007-10-10.

[5]DPE.Digital Information：A Report of the Task Force on Archiving of Digital Information[EB].http：∥www.dpe.org/ArchTF/index.html，2008-08-10.