陳奭琛

隨著信息技術(shù)的發(fā)展，電子政務(wù)建設(shè)不斷深入，電子文件的數(shù)量日益龐大。根據(jù)《中國電子文件管理現(xiàn)狀調(diào)查與分析報告》，“目前，我國機構(gòu)生成的電子文件數(shù)量占全部文件數(shù)量的72.7%?！庇捎谧陨淼奶攸c，電子文件從產(chǎn)生的那一天開始就時刻面臨隨時可能發(fā)生的風(fēng)險。風(fēng)險評估是風(fēng)險管理的一個重要環(huán)節(jié)，我國信息安全管理國家標(biāo)準(zhǔn)《信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）、《信息安全風(fēng)險管理指南》（GB/Z24364-2009）將風(fēng)險評估作為信息安全領(lǐng)域的一個技術(shù)手段。

電子文件風(fēng)險評估是電子文件安全管理的重要前提和基礎(chǔ)，也是檔案信息化建設(shè)的重要課題?；陲L(fēng)險評估的電子文件安全管理體系能夠?qū)﹄娮游募畔踩珷顩r進(jìn)行“把脈”，提出針對性的“診療”手段，而不是傳統(tǒng)管理被動的“頭痛醫(yī)頭腳痛醫(yī)腳”。

一、電子文件風(fēng)險評估的意義

（一）風(fēng)險評估是電子文件安全管理的前提和基礎(chǔ)。由于自身的特點，電子文件的風(fēng)險始終客觀存在。檔案工作者的努力目標(biāo)就是利用一切先進(jìn)的技術(shù)和方法，把風(fēng)險降到最低，把損失控制在最小的范圍內(nèi)。運用風(fēng)險管理的理念和方法，對電子文件進(jìn)行風(fēng)險評估，能夠?qū)﹄娮游募M(jìn)行科學(xué)、全面的分析，查找可能威脅電子文件的風(fēng)險，在風(fēng)險發(fā)生之前作出判斷，采取措施，及時應(yīng)對。因此，風(fēng)險評估對檔案工作具有重大意義，是傳統(tǒng)檔案管理方法的有益補充。

（二）風(fēng)險評估是進(jìn)一步完善電子文件安全管理的關(guān)鍵環(huán)節(jié)。它能夠利用科學(xué)的量化標(biāo)準(zhǔn)，對風(fēng)險發(fā)生的概率及其可能造成的損失進(jìn)行預(yù)測和分析，并在此基礎(chǔ)上對存在風(fēng)險的環(huán)節(jié)進(jìn)行改進(jìn)和完善。電子文件安全管理實行風(fēng)險評估能夠使管理者全面、清晰地把握電子文件存在的危險和不足，有利于進(jìn)一步改進(jìn)管理方法，理清管理思路，完善管理制度，全面提升電子文件管理水平。

（三）風(fēng)險評估是實施電子文件安全等級保護(hù)的必然要求。要對各類電子文件實施安全等級保護(hù)，就要在電子文件安全管理中開展風(fēng)險評估，對電子文件安全管理體系中存在的風(fēng)險進(jìn)行安全預(yù)測，科學(xué)定級，分級管理。

（四）風(fēng)險評估是實現(xiàn)電子文件管理國際化的重要途徑。隨著信息安全工作的發(fā)展，風(fēng)險管理在電子文件管理中的作用越來越得到人們的認(rèn)可，信息安全風(fēng)險評估也從單一的技術(shù)手段發(fā)展成為一種科學(xué)的管理體系，科學(xué)統(tǒng)一的技術(shù)規(guī)范和評定依據(jù)逐漸成為風(fēng)險評估的必需。由于信息安全事關(guān)國家利益，大部分發(fā)達(dá)國家都制訂了電子文件風(fēng)險評估標(biāo)準(zhǔn)，并將之作為行業(yè)的技術(shù)性法規(guī)。電子文件管理廣泛開展風(fēng)險評估，有利于推廣信息技術(shù)安全保護(hù)標(biāo)準(zhǔn)化，有利于促進(jìn)國際間技術(shù)交流合作，是實現(xiàn)電子文件管理國際化的重要途徑。

二、電子文件風(fēng)險評估工作的困境

（一）風(fēng)險認(rèn)識存在偏差。電子文件已經(jīng)成為檔案產(chǎn)生、保存和管理的主要形式，由于其自身特點，各種各樣的危險始終緊隨著電子文件，但許多人對電子文件風(fēng)險的認(rèn)識卻存在不同偏差。有的風(fēng)險意識薄弱，認(rèn)為傳統(tǒng)紙質(zhì)檔案對保存環(huán)境要求條件高，需要預(yù)防微生物、蟲害、嚙齒動物等的損害，還要時刻注意光照、溫度、濕度、灰塵等因素，而電子文件只需要一臺計算機就能解決所有問題，而且保存簡單、利用方便，一勞永逸。也有的認(rèn)為電子文件作為信息技術(shù)的產(chǎn)物，必然面臨不可讀、失真、黑客等威脅，且一旦造成損失，往往是蕩然無存又無法挽救，其風(fēng)險無可避免。也有的認(rèn)為現(xiàn)代信息技術(shù)十分先進(jìn)，只要建立科學(xué)的管理體系，采納先進(jìn)的管理技術(shù)，絕對能夠避免電子文件的風(fēng)險。正是因為存在對風(fēng)險認(rèn)識的各種偏差，導(dǎo)致管理者和利用者沒有科學(xué)、正確地認(rèn)識電子文件的風(fēng)險，或者麻痹大意，或者失去信心，或者陷入一味追求絕對安全的誤區(qū)。正是因為存在各種對風(fēng)險認(rèn)識的偏差，目前我國電子文件風(fēng)險管理水平較低，尤其缺乏必要的風(fēng)險評估活動。

（二）安全風(fēng)險評估工作滯后。一是沒有一支專業(yè)的風(fēng)險評估隊伍。電子文件風(fēng)險評估是一項專業(yè)化非常強的工作，我國有一些風(fēng)險意識較強的已經(jīng)嘗試開展風(fēng)險管理，但仍然沒有一支專業(yè)的風(fēng)險評估隊伍。二是評估標(biāo)準(zhǔn)亟待完善。根據(jù)國家信息安全等級保護(hù)“自主定級，自主保護(hù)”的原則，應(yīng)該根據(jù)自身情況制訂科學(xué)的定級標(biāo)準(zhǔn)，嚴(yán)格執(zhí)行，確保電子文件安全管理。但我國大部分目前尚未制訂信息安全保護(hù)等級標(biāo)準(zhǔn)，沒有真正執(zhí)行電子文件等級保護(hù)的規(guī)定。三是風(fēng)險管理缺乏系統(tǒng)性。電子文件風(fēng)險管理是一個系統(tǒng)工作，包括風(fēng)險管理規(guī)劃、風(fēng)險評估、風(fēng)險應(yīng)對和風(fēng)險監(jiān)控等四個基本環(huán)節(jié)。風(fēng)險評估是整個風(fēng)險管理的基礎(chǔ)性工作，但評估的結(jié)果必須與風(fēng)險管理的其他環(huán)節(jié)緊密結(jié)合，特別是要具體指導(dǎo)風(fēng)險應(yīng)對和風(fēng)險監(jiān)控活動。由于電子文件風(fēng)險管理剛剛起步，還沒有建立系統(tǒng)的風(fēng)險管理機制，無法真正實現(xiàn)風(fēng)險評估“有理可依，有據(jù)可循”。

（三）電子文件管理停留在傳統(tǒng)安全保護(hù)階段。電子文件是檔案管理的特殊對象，一些檔案工作者沒有認(rèn)識到電子文件既是“檔案”又是“電子信息”的特點，管理停留在傳統(tǒng)安全保護(hù)階段，沒有采取先進(jìn)的風(fēng)險管理方法，給電子文件管理遺留下不少安全隱患。一是管理過程缺乏全程性，認(rèn)為保護(hù)是電子文件歸檔后的任務(wù)，沒有意識到電子文件形成和利用中存在的風(fēng)險。二是安全管理停留在靜態(tài)、被動階段，沒有根據(jù)電子文件的發(fā)展和單位管理體系內(nèi)部情況的變化實施動態(tài)的風(fēng)險評估和風(fēng)險應(yīng)對。三是大多數(shù)沒有積極引入遠(yuǎn)程技術(shù)、異地備份、云計算等先進(jìn)的技術(shù)加強電子文件安全管理。

（四）信息資產(chǎn)安全形勢嚴(yán)峻。信息資產(chǎn)的安全保護(hù)和開發(fā)利用是提高辦學(xué)效益、提升影響力的重要途徑。電子文件已經(jīng)逐步取代紙質(zhì)文件成為主要的檔案載體，儲存著數(shù)量龐大的數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、師生信息、科研資料等。由于電子文件的特點，信息資產(chǎn)存在著高風(fēng)險性，往往一被泄漏就失去資產(chǎn)包含的價值。許多資產(chǎn)管理者和檔案工作者低估信息資產(chǎn)的價值，忽視電子文件信息保護(hù)，導(dǎo)致信息資產(chǎn)安全面臨著嚴(yán)峻的形勢。

三、基于風(fēng)險評估的電子文件安全管理體系

（一）以風(fēng)險管理規(guī)劃完善安全管理體系。風(fēng)險管理規(guī)劃能夠?qū)﹄娮游募芾砉ぷ鬟M(jìn)行統(tǒng)籌規(guī)劃，有利于今后電子文件管理的持續(xù)、有序、順利開展。應(yīng)根據(jù)電子文件管理的需要，制訂電子文件風(fēng)險規(guī)劃，將電子文件安全管理的實施目標(biāo)、構(gòu)建原則、構(gòu)建方法、工作內(nèi)容建成一個基本框架，進(jìn)而確立和完善電子文件安全管理體系。

（二）以風(fēng)險評估標(biāo)準(zhǔn)規(guī)范安全管理策略。電子文件安全管理策略就是針對電子文件安全管理的全局性、基礎(chǔ)性、系統(tǒng)性問題所制定的政策和措施，是對電子文件安全管理的總體思路和指導(dǎo)方針。電子文件安全管理策略是否科學(xué)、合理、適宜，關(guān)系著電子文件管理目標(biāo)和任務(wù)能否順利實現(xiàn)。風(fēng)險評估標(biāo)準(zhǔn)是電子文件風(fēng)險評估的工具，直接決定了安全評估的結(jié)果，為風(fēng)險管理的具體工作提供了操作性指導(dǎo)，因此也影響著電子文件安全管理策略的制定。電子文件風(fēng)險評估標(biāo)準(zhǔn)的制定既要建立在國際組織和國家政府頒布的信息安全管理標(biāo)準(zhǔn)的基礎(chǔ)上，又要結(jié)合電子文件信息安全的具體情況，兼顧定性分析和定量分析的方法，從而達(dá)到對電子文件安全管理策略的戰(zhàn)略指導(dǎo)和操作規(guī)范。

（三）以風(fēng)險評估結(jié)果引導(dǎo)安全管理工作。電子文件風(fēng)險評估之所以能夠發(fā)揮作用，最主要是評估的結(jié)果對整個風(fēng)險管理工作的指導(dǎo)意義。風(fēng)險評估能夠初步識別出電子文件安全管理工作中的存在風(fēng)險及造成因素，并根據(jù)風(fēng)險因素的危害程度確定風(fēng)險等級，提出應(yīng)對措施，引導(dǎo)今后的管理工作。

（四）以風(fēng)險應(yīng)對策略提升安全管理水平。電子文件風(fēng)險評估的根本目的是預(yù)測文件管理的危險因素并采取有效的應(yīng)對策略，最大限度地減少各種風(fēng)險因素造成的損失。為了保證電子文件信息的保密性、完整性、真實性和可用性，電子文件風(fēng)險應(yīng)對策略必須對信息資產(chǎn)管理、文件管理和業(yè)務(wù)管理進(jìn)行統(tǒng)籌規(guī)劃，根據(jù)風(fēng)險因素選擇采用風(fēng)險預(yù)防、風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)移、風(fēng)險減輕或風(fēng)險接受等五種基本策略應(yīng)對風(fēng)險。一個優(yōu)秀的電子文件安全管理體系能夠根據(jù)電子文件管理的需要采取風(fēng)險應(yīng)對措施，并在此基礎(chǔ)上改進(jìn)文件管理的方法，通過風(fēng)險應(yīng)對在實際上不斷提高文件管理體系的科學(xué)水平。

電子文件的風(fēng)險是客觀存在的，開展風(fēng)險評估活動是尋求一種適度的安全。開展風(fēng)險評估活動，能夠較為科學(xué)地對電子文件存在風(fēng)險的大小、等級、嚴(yán)重程度以及可能造成的損失進(jìn)行預(yù)測，采取風(fēng)險應(yīng)對措施，以達(dá)到規(guī)避風(fēng)險、控制風(fēng)險或者降低風(fēng)險損失的目的。

（作者單位：泉州師范學(xué)院檔案館）endprint