〔摘 要〕數(shù)字保存系統(tǒng)風(fēng)險是指貫穿于整個系統(tǒng)構(gòu)建、運行和服務(wù)等各個環(huán)節(jié)的不確定因素。本文首先探討了系統(tǒng)的風(fēng)險類型：系統(tǒng)管理風(fēng)險、系統(tǒng)運行風(fēng)險和技術(shù)環(huán)境支持風(fēng)險，然后從風(fēng)險等級和風(fēng)險關(guān)系兩個角度分析了風(fēng)險評估，最后分析了風(fēng)險管理策略：風(fēng)險規(guī)避策略、風(fēng)險處置策略、風(fēng)險轉(zhuǎn)移策略和風(fēng)險容忍策略。

〔關(guān)鍵詞〕數(shù)字保存系統(tǒng)；風(fēng)險管理；風(fēng)險評估；數(shù)字資源保存

〔中圖分類號〕G250 〔文獻(xiàn)標(biāo)識碼〕C 〔文章編號〕1008-0821(2009)02-0210-04

Risk Management for Digital Preservation System Wang Yuanfeng Zang Guoquan

(Department of Information Management，Zhengzhou University，Zhengzhou 450001，China)

〔Abstract〕Digital preservation system risk means the uncertain factors which exist in all steps of digital preservation system including construction，operation and service.The following three aspects were discussed in this paper：(1)the type of risk，including system management risk，operation risk and technological and environmental support risk；(2)risk assessment，including risk rank and risk influence；and(3)risk management strategy，including risk avoidance strategies risk treatment strategies，risk transfer strategies and risk tolerance strategies.

〔Key words〕digital preservation system；risk management；risk assessment；digital resource preservation

風(fēng)險是指貫穿于組織預(yù)期事件及其結(jié)果的不確定性，也即潛在地影響組織目標(biāo)完成的事件所發(fā)生的可能性及其所造成的影響。數(shù)字保存系統(tǒng)是負(fù)責(zé)長期保存數(shù)字資源，提供值得用戶信任的數(shù)字資源存取能力的一種全文數(shù)據(jù)庫系統(tǒng)。數(shù)字保存系統(tǒng)風(fēng)險是指貫穿于整個系統(tǒng)構(gòu)建、運行和服務(wù)等各個環(huán)節(jié)的不確定因素。這些因素有系統(tǒng)管理層面的、系統(tǒng)運行層面的和技術(shù)支持層面的，并與所處的外部環(huán)境息息相關(guān)。

數(shù)字保存系統(tǒng)的風(fēng)險管理包括風(fēng)險識別、風(fēng)險評估和管理策略等3個環(huán)節(jié)。

1 風(fēng)險類型

數(shù)字保存系統(tǒng)的風(fēng)險包括系統(tǒng)管理風(fēng)險、系統(tǒng)運行風(fēng)險和技術(shù)環(huán)境支持風(fēng)險三大類[1]。

1.1 系統(tǒng)管理風(fēng)險

1.1.1 運行機構(gòu)管理風(fēng)險

(1)管理失靈。機構(gòu)的某些管理行為失敗，導(dǎo)致無法實現(xiàn)系統(tǒng)的預(yù)期目標(biāo)。比如，采用的數(shù)字保存策略導(dǎo)致數(shù)據(jù)丟失；資源分配使得系統(tǒng)的一些功能無法完成。

(2)機構(gòu)信譽缺失。數(shù)字保存系統(tǒng)的用戶或數(shù)字資源委托保存者對系統(tǒng)實現(xiàn)其目標(biāo)的能力表示懷疑。比如，公開聲明削減系統(tǒng)的運行經(jīng)費有可能導(dǎo)致用戶對系統(tǒng)是否擁有充足資源來實現(xiàn)其高效運行的擔(dān)心；數(shù)字資源的不可恢復(fù)性損失會導(dǎo)致對系統(tǒng)性能的擔(dān)心。

(3)預(yù)期指標(biāo)沒有實現(xiàn)。系統(tǒng)沒有達(dá)到預(yù)先設(shè)置的一些指標(biāo)。比如，數(shù)字產(chǎn)品傳遞平均時間超過系統(tǒng)預(yù)先設(shè)置的時間限制；系統(tǒng)沒有充分地保存數(shù)字資源的重要特征。

(4)系統(tǒng)無法全面履行職責(zé)。由于環(huán)境變化等原因致使系統(tǒng)的存在基礎(chǔ)喪失或根本上發(fā)生了改變，從而導(dǎo)致無法繼續(xù)履行其承若的職責(zé)。比如，系統(tǒng)依據(jù)的法律環(huán)境修訂使得其職責(zé)范圍發(fā)生了變化；相關(guān)簽約合同的改變使得其履行的義務(wù)發(fā)生變化。

(5)用戶需求發(fā)生重大變化。系統(tǒng)所提供的服務(wù)無法滿足用戶團體的新需求。比如，用戶團體采用了一種新的軟件系統(tǒng)，而該軟件系統(tǒng)與原來的數(shù)據(jù)格式不兼容；越來越多的用戶無法理解系統(tǒng)預(yù)先使用的標(biāo)記語言。

(6)數(shù)字保存業(yè)務(wù)被強制終止。由于各種原因?qū)е聰?shù)字保存業(yè)務(wù)停止服務(wù)。比如，與數(shù)字資源提供者所簽訂的合同或與資金提供者簽訂的合同無法續(xù)簽；數(shù)字保存系統(tǒng)倒閉或在競爭中退出市場等原因，導(dǎo)致其保存業(yè)務(wù)終止。

(7)用戶反饋渠道不暢通或系統(tǒng)對用戶意見不予理睬。系統(tǒng)無法接收用戶反饋，或接收用戶反饋不全面，或缺乏接收用戶反饋的機制，或雖然可以完全接收用戶反饋，但系統(tǒng)均拒絕采納。

(8)系統(tǒng)沒有保存數(shù)字信息的必要特征，而這些特征對用戶團體來說具有重要作用。比如，系統(tǒng)以文本文件的格式保存數(shù)字化手稿，但用戶更重視手稿的外觀；系統(tǒng)雖以圖片格式保存數(shù)字化手稿，但采用的分辨率沒有達(dá)到用戶所需的識別手稿細(xì)節(jié)級別的程度。

(9)系統(tǒng)存在知識產(chǎn)權(quán)侵權(quán)現(xiàn)象。系統(tǒng)沒有對各種類型的侵權(quán)、以及與產(chǎn)權(quán)相關(guān)的不端行為負(fù)責(zé)。比如，系統(tǒng)存儲有未獲得產(chǎn)權(quán)許可的數(shù)字信息，對這些信息的傳播存在產(chǎn)權(quán)侵權(quán)風(fēng)險。

(10)系統(tǒng)存在違背合同現(xiàn)象。系統(tǒng)沒有完成合同規(guī)定的職責(zé)，或系統(tǒng)的活動超出了合同允許的范圍。比如，按照合同規(guī)定，系統(tǒng)保存的一些數(shù)字資源僅限于特定用戶團體的訪問，而系統(tǒng)將這些信息資源通過因特網(wǎng)向廣大網(wǎng)絡(luò)用戶開放。

(11)系統(tǒng)存在違背相關(guān)規(guī)則現(xiàn)象。系統(tǒng)的活動與相關(guān)規(guī)則(例如，行業(yè)規(guī)則)相違背。比如，系統(tǒng)沒有執(zhí)行具有法律效力的保障雇員安全和健康的規(guī)則。

(12)系統(tǒng)缺乏有效評估其活動是否達(dá)到預(yù)期目標(biāo)的能力。比如，系統(tǒng)無法證實 其保存的數(shù)字資源的完整性和真實性得到有效維護；系統(tǒng)無法證實數(shù)字資源委托保存者的提 交信息被正確地獲取，并轉(zhuǎn)換為完整的正確的保存信息包。

1.1.2 員工風(fēng)險

(1)關(guān)鍵員工的離崗。那些處于對實現(xiàn)系統(tǒng)目標(biāo)起著至關(guān)重要崗位的員工的離崗，導(dǎo)致系統(tǒng)目標(biāo)的實現(xiàn)缺乏連續(xù)性和一致性。比如，系統(tǒng)的高級管理者，或掌握系統(tǒng)核心技術(shù)的工程師跳槽到競爭對手從事相同或相似的工作。

(2)員工技術(shù)過時。比如，員工僅具備實施按照時序?qū)?shù)字對象進(jìn)行保存的策略(該策略已經(jīng)過時)，而沒有進(jìn)行針對出現(xiàn)的新技術(shù)新策略的培訓(xùn)。

(3)缺乏員工績效評估機制。比如，系統(tǒng)缺乏職員績效檔案，或缺乏有效識別員工培訓(xùn)需求的機制。

1.1.3 資金風(fēng)險

(1)資金不充足。比如，系統(tǒng)每年運營都處于虧損狀態(tài)，或為實現(xiàn)系統(tǒng)各項功能而分配的資源不足。

(2)資金分配不合理。系統(tǒng)的資源分配缺乏合理性，致使投入產(chǎn)出不成比例。比如，管理投資方面，所購買的軟件功能遠(yuǎn)遠(yuǎn)超過了所需，而市場上存在有能夠滿足需求的廉價軟件。

(3)財務(wù)管理不符合相應(yīng)的法律規(guī)章。比如，沒有照章納稅，財務(wù)審查沒通過。

(4)預(yù)算削減。比如，對于依靠地方政府投資而運行的數(shù)字保存系統(tǒng)，由于地方財政收入減1.2 系統(tǒng)運行風(fēng)險

1.2.1 數(shù)字資源獲取風(fēng)險

(1)提交的信息結(jié)構(gòu)失效或格式失真。數(shù)字資源提交者所提交的信息不符合系統(tǒng)要求的結(jié)構(gòu)或格式，導(dǎo)致無法保存。比如，系統(tǒng)不支持所提交信息的格式，提交信息的是以XML格式編碼，但該編碼對于系統(tǒng)提供的識別框架來說是無效的。

(2)提交信息不完整。提交信息中沒有包含保存所需的內(nèi)容。比如，提交信息中沒有元數(shù)據(jù)，而根據(jù)與信息提交者的合同，元數(shù)據(jù)是要隨內(nèi)容信息一起提交的。

(3)提交過程中，提交信息受外部影響而改變。在系統(tǒng)接收到信息與系統(tǒng)生成保存信息之間，提交信息發(fā)生改變，而這種改變不是由系統(tǒng)施加的。

(4)保存信息無法追溯到提交信息。保存信息不能追朔到相應(yīng)的提交信息或提交信息的某一集合。比如，系統(tǒng)無法追朔某件保存信息的來源，導(dǎo)致無法確定其保存的完整性。

1.2.2 數(shù)字資源保存風(fēng)險

(1)保密信息被泄密。根據(jù)有關(guān)協(xié)議，系統(tǒng)保存的一些信息受到一些訪問限制，但這類信息被公開傳播。比如，系統(tǒng)的用戶認(rèn)證子系統(tǒng)失靈，系統(tǒng)保存的一些商業(yè)敏感信息被規(guī)定以外的用戶訪問。

(2)信息和服務(wù)可獲取性的缺失。系統(tǒng)不能提供相應(yīng)的服務(wù)，或應(yīng)該被訪問的信息無法提供訪問。比如，由于系統(tǒng)服務(wù)器出現(xiàn)故障，導(dǎo)致其保存信息無法被訪問。

(3)信息的真實性缺失。系統(tǒng)無法驗證其所保存的數(shù)字信息與其所接收的原始數(shù)字信息的一致性。比如，由于數(shù)字遷移的實施導(dǎo)致數(shù)字對象的格式信息和一些內(nèi)容信息發(fā)生變化，使得其保存的遷移后的數(shù)字對象與系統(tǒng)接收的數(shù)字對象不一致。

(4)信息的可靠性缺失。系統(tǒng)無法驗證其保存信息的可靠性。比如，法院拒絕承認(rèn)其保存信息作為證據(jù)。

(5)信息來源缺失。由于保存信息的改變，導(dǎo)致系統(tǒng)無法追朔其保存信息的來源。

(6)不可識別的保存信息的變更。系統(tǒng)無法追蹤或監(jiān)控其保存信息發(fā)生改變的時間和地點。比如，系統(tǒng)缺少記錄或維護足夠的校驗信息來檢測保存信息發(fā)生改變的場所。

(7)數(shù)據(jù)備份丟失或不再可用。系統(tǒng)無法從數(shù)據(jù)備份機制中恢復(fù)信息。比如，在數(shù)字主文檔丟失時，系統(tǒng)無法從備份中恢復(fù)信息，因為備份的介質(zhì)已經(jīng)遭到了不可逆轉(zhuǎn)的損壞。

(8)數(shù)據(jù)副本內(nèi)容不一致。當(dāng)系統(tǒng)維護多個數(shù)據(jù)副本時，副本內(nèi)容之間出現(xiàn)不一致現(xiàn)象。比如，當(dāng)有3個副本時，隨機校驗對比檢測顯示，1個副本的內(nèi)容與其他2個存在數(shù)據(jù)不同情況。

(9)信息參考完整性的標(biāo)識符選取不當(dāng)。系統(tǒng)無法根據(jù)給定的標(biāo)識符定位所需數(shù)字對象。比如，基于獲取時間而設(shè)計的數(shù)字對象標(biāo)識符，當(dāng)1個系統(tǒng)有2個或2個以上數(shù)據(jù)獲取渠道時，就有可能出現(xiàn)不同數(shù)字對象賦予1個標(biāo)識符。

(10)數(shù)字保存計劃無法有效地執(zhí)行。比如，系統(tǒng)選擇數(shù)字仿真作為數(shù)字資源長期保存策略，但缺少相應(yīng)的技術(shù)人員來實施，也缺乏足夠的資源來委托第三方代其實施。

(11)保存策略導(dǎo)致信息丟失。保存策略的實施導(dǎo)致一些數(shù)字對象的一些重要特征的丟失。比如，數(shù)字遷移的結(jié)果會導(dǎo)致數(shù)字對象的外觀信息丟失。

(12)信息(包括獲取信息、保存信息和傳播信息)的不可追溯性。在保存系統(tǒng)生命周期內(nèi)，某一特定信息單元無法追溯到相應(yīng)的來源出處。比如，系統(tǒng)沒有維護保存信息來源以及對其處理的文檔，從而導(dǎo)致保存信息不具有可追溯性。

1.2.3 元數(shù)據(jù)管理風(fēng)險

(1)用來描述參考完整性的元數(shù)據(jù)丟失。比如，數(shù)字對象與相應(yīng)元數(shù)據(jù)之間的描述關(guān)系斷裂(如，用來描述元數(shù)據(jù)與相應(yīng)數(shù)字對象關(guān)系的目錄結(jié)構(gòu)文檔不可恢復(fù)性地?fù)p失)，導(dǎo)致數(shù)字對象的不可檢索性。

(2)用來描述數(shù)字對象發(fā)生變化的歷史記錄的元數(shù)據(jù)不完整或不準(zhǔn)確。比如，缺乏描述數(shù)字對象起源以及在整個生命周期過程中發(fā)生改變的文檔。

(3)數(shù)字對象的不可發(fā)現(xiàn)性。支持?jǐn)?shù)字對象發(fā)現(xiàn)的元數(shù)據(jù)不充分。比如，設(shè)計元數(shù)據(jù)描述時，數(shù)字對象的檢索點考慮不全面，導(dǎo)致數(shù)字對象的被發(fā)現(xiàn)性不充分。

(4)可理解性的界定模糊。元數(shù)據(jù)的功用之一是幫助用戶對數(shù)字對象的理解，如果系統(tǒng)對用戶的數(shù)字對象“可理解性”的界定不清晰，就會導(dǎo)致元數(shù)據(jù)的選取不合理。

(5)保存信息在語義和技術(shù)層面的可理解性不足。比如，系統(tǒng)提供和維護的表征信息不全面、不合理，從而導(dǎo)致相應(yīng)的保存信息在用戶理解層面上的困難。

1.2.4 數(shù)字訪問風(fēng)險

(1)無法向用戶提供數(shù)字訪問服務(wù)。比如，由于網(wǎng)絡(luò)服務(wù)故障，導(dǎo)致提供數(shù)字訪問的WEB服務(wù)器處于離線狀態(tài)。

(2)數(shù)字訪問身份驗證子系統(tǒng)失效。限定數(shù)字信息訪問的系統(tǒng)功能不完善，導(dǎo)致不合理的訪問或訪問失敗。比如，對于某一數(shù)字對象，無權(quán)訪問的用戶由于身份驗證失效而可以對其進(jìn)行存取。

(3)數(shù)字訪問權(quán)限授權(quán)子系統(tǒng)失效。權(quán)限分配子系統(tǒng)功能不完善，導(dǎo)致用戶的權(quán)限分配不合理。比如，基于用戶名的授權(quán)系統(tǒng)，當(dāng)多個用戶出現(xiàn)重名時，就會導(dǎo)致數(shù)字訪問的權(quán)限分配混亂。

(4)數(shù)字訪問服務(wù)水平欠佳。系統(tǒng)沒有達(dá)到預(yù)期的服務(wù)目標(biāo)。比如，如果系統(tǒng)規(guī)定傳遞單件數(shù)字資源必須在5分鐘內(nèi)完成，但實際為10分鐘。

1.3 技術(shù)環(huán)境支持風(fēng)險

(1)軟硬件損壞或缺乏可持續(xù)發(fā)展性。比如，軟件商破產(chǎn)導(dǎo)致軟件沒有更新保障。

(2)軟硬件無法支持系統(tǒng)出現(xiàn)的新目標(biāo)。一般情況下，系統(tǒng)基礎(chǔ)結(jié)構(gòu)是為滿足現(xiàn)行目標(biāo)而設(shè)計的，但隨著環(huán)境變化，用戶需求也會發(fā)生變化，系統(tǒng)目標(biāo)就要更新，但軟硬件可能無法支持新目標(biāo)的實現(xiàn)。比如，當(dāng)保存的數(shù)字對象或用戶數(shù)量增加到一定程度時，軟件無法支持。

(3)軟硬件過時。核心技術(shù)不再流行。比如，采用的操作系統(tǒng)不再受提供商支持，因此，操作系統(tǒng)的安全更新不再有保障。

(4)存儲介質(zhì)老化或過時。介質(zhì)老化導(dǎo)致數(shù)據(jù)讀寫困難。比如，磁帶的物理老化使得對存儲的數(shù)字對象無法讀取。

(5)系統(tǒng)安全漏洞被非法利用。比如，數(shù)字對象存取軟件存在安全漏洞，該漏洞被用戶識別，并被用來對數(shù)字對象進(jìn)行非法訪問。

(6)外來軟件的侵入。比如，黑客軟件侵入到系統(tǒng)服務(wù)器，在服務(wù)器中執(zhí)行惡意代碼。

(7)破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時或永久不可使用。比如，系統(tǒng)所在地發(fā)生地震、臺風(fēng)、颶風(fēng)等。

(8)系統(tǒng)意外崩潰。比如，所有數(shù)字對象意外地被物理刪除；由于某種外界不可抗拒因素導(dǎo)致系統(tǒng)被迫終止。

(9)系統(tǒng)被有意破壞。比如，系統(tǒng)通過網(wǎng)絡(luò)被電子型恐怖分子侵入；內(nèi)心不滿的系統(tǒng)工作人員對系統(tǒng)的破壞。

(10)重要公用設(shè)施出現(xiàn)故障。比如，系統(tǒng)的電力供應(yīng)出現(xiàn)問題，致使整個系統(tǒng)癱瘓。

(11)系統(tǒng)所依賴的相關(guān)方服務(wù)出現(xiàn)問題。比如，向數(shù)字保存系統(tǒng)提供信息傳播的因特網(wǎng)服務(wù)提供商破產(chǎn)或退出服務(wù)領(lǐng)域。

(12)系統(tǒng)與其所依賴的相關(guān)方服務(wù)合同出現(xiàn)變更。比如，電價增長，因特網(wǎng)服務(wù)提供商從系統(tǒng)的web服務(wù)器中撤銷其服務(wù)所依賴的技術(shù)。

(13)系統(tǒng)原始文件部分或全部毀壞。比如，火災(zāi)可能導(dǎo)致系統(tǒng)所簽訂合同和各類文件毀壞。

(14)系統(tǒng)無能力評估其技術(shù)設(shè)施和安全設(shè)施的有效性。比如，系統(tǒng)缺少測試安全措施效果的機制，或評估其技術(shù)設(shè)施有效性的機制。

2 風(fēng)險評估

2.1 風(fēng)險等級

風(fēng)險等級包括風(fēng)險發(fā)生的頻率和風(fēng)險產(chǎn)生的影響。風(fēng)險發(fā)生的頻率即特定風(fēng)險發(fā)生的可能性。這種可能性通過特定時間內(nèi)風(fēng)險發(fā)生的次數(shù)來衡量。風(fēng)險發(fā)生的次數(shù)不同，等級不同。在風(fēng)險發(fā)生頻率的等級界定上，一般可分為下述6個級別[2]：

(1)可能性極低(比如，100年以上發(fā)生1次)；

(2)可能性很低(比如，每10年發(fā)生1次)；

(3)可能性較低(比如，每5年發(fā)生1次)；

(4)可能性中等(比如，每年發(fā)生1次)；

(5)可能性高(比如，每個月發(fā)生1次)；

(6)可能性很高(比如，每個月發(fā)生1次以上)。

風(fēng)險產(chǎn)生的影響即風(fēng)險發(fā)生后對數(shù)字對象真實性和可理解性的作用效果。這種效果通過數(shù)字對象真實性和可理解性的具體缺失狀況來衡量。效果不同，等級也不同。在風(fēng)險影響等級界定上，一般可分為下述7級[3]：

(1)無影響：所有數(shù)字資源的真實性和可理解性毫無喪失；

(2)微不足道影響：導(dǎo)致數(shù)字對象的真實性和可理解性部分喪失，但可完全恢復(fù)；

(3)輕度影響：導(dǎo)致數(shù)字對象的真實性和可理解性較普遍喪失，但可完全恢復(fù)；

(4)中度影響：導(dǎo)致數(shù)字對象的真實性和可理解性完全喪失，但可完全恢復(fù)；

(5)高度影響：導(dǎo)致數(shù)字對象的真實性和可理解性部分喪失，且其中一些喪失是數(shù)字保存系統(tǒng)不可恢復(fù)的；

(6)相當(dāng)大影響：導(dǎo)致數(shù)字對象的真實性和可理解性較普遍喪失，且這些喪失是數(shù)字保存系統(tǒng)不可恢復(fù)的，其中一些喪失第三方可恢復(fù)；

(7)災(zāi)難性的影響：導(dǎo)致數(shù)字對象的真實性和可理解性完全喪失，且所有喪失是采用任何方法都無法恢復(fù)的。

2.2 風(fēng)險關(guān)系

風(fēng)險之間存在著各種關(guān)系，這些關(guān)系可分為[4]：

(1)爆發(fā)型：多個風(fēng)險同時發(fā)生，產(chǎn)生的影響要遠(yuǎn)大于各個風(fēng)險單獨產(chǎn)生的影響之和。比如，1.3(7)的“破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時或永久不可使用”與1.3(11)的“系統(tǒng)所依賴的相關(guān)方服務(wù)出現(xiàn)問題”兩種風(fēng)險的關(guān)系。

(2)感染型：一個風(fēng)險的發(fā)生會增加另外一個風(fēng)險發(fā)生的可能性。比如，1.1.1中的“管理失靈”與“機構(gòu)信譽缺失”兩種風(fēng)險的關(guān)系；1.2.2中的“數(shù)據(jù)備份丟失或不再可用”與1.2.3中的“用來描述數(shù)字對象發(fā)生變化的歷史記錄的元數(shù)據(jù)不完整或不準(zhǔn)確”兩種風(fēng)險的關(guān)系。

(3)互助型：一個風(fēng)險的規(guī)避有助于另外一個風(fēng)險的規(guī)避。比如，1.2.3(4)的“可理解性的界定模糊”與1.2.3(5)的“保存信息在語義和技術(shù)層面的可理解性不足”兩種風(fēng)險的關(guān)系。

(4)“多米諾骨牌”型：一個風(fēng)險的規(guī)避使另外一個風(fēng)險的規(guī)避有效性降低。比如，1.2.2(10)的“數(shù)字保存計劃無法有效地執(zhí)行”與1.2.2(11)“保存策略導(dǎo)致信息丟失”兩種風(fēng)險的關(guān)系。

(5)離散型：一個風(fēng)險的存在，與其他風(fēng)險無關(guān)。比如，1.2.2(5)的“信息來源缺失”與1.3(7)的“破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時或永久不可使用”兩種風(fēng)險的關(guān)系。

3 風(fēng)險管理

不同類型的風(fēng)險應(yīng)該采用不同的管理策略。這些策略包括[5]：

(1)風(fēng)險規(guī)避策略：為了避開可能導(dǎo)致風(fēng)險發(fā)生的環(huán)境，而及時采取的行動；

(2)風(fēng)險處置策略：當(dāng)風(fēng)險發(fā)生時應(yīng)該采取的處置方法；

(3)風(fēng)險轉(zhuǎn)移策略：通過適當(dāng)?shù)姆绞綄L(fēng)險轉(zhuǎn)移給其他組織，如簽署服務(wù)合同；

(4)風(fēng)險容忍策略：接受和容忍一定等級的風(fēng)險，并采取一些有效行動來降低風(fēng)險影響。

風(fēng)險管理策略是一個不斷學(xué)習(xí)與實踐的過程。一些數(shù)字保存系統(tǒng)經(jīng)過長期的實踐，總結(jié)出了對不同種類風(fēng)險進(jìn)行管理的相應(yīng)策略。

3.1 風(fēng)險規(guī)避與處置策略

很多風(fēng)險都可采用相應(yīng)的措施來規(guī)避。當(dāng)風(fēng)險發(fā)生時，也可采用一些方法來解決。示例如下：

(1)風(fēng)險1.1.1(9)：系統(tǒng)存在知識產(chǎn)權(quán)侵權(quán)現(xiàn)象。

規(guī)避策略：對保存的數(shù)字資源進(jìn)行評估，以確定受產(chǎn)權(quán)限制的數(shù)字資源；尋求法律咨詢，以確定對這些數(shù)字資源進(jìn)行操作的合法性。

處置策略：制定相關(guān)政策和工作程序，應(yīng)對知識產(chǎn)權(quán)的挑戰(zhàn)。

(2)風(fēng)險1.1.2(2)：員工技術(shù)過時。

規(guī)避策略：制定員工培訓(xùn)方式，并保證員工經(jīng)過培訓(xùn)可熟練掌握所需技術(shù)；實施員工績效評估，定期確定其技術(shù)水平和培訓(xùn)需求。

處置策略：提供培訓(xùn)設(shè)施，以改變過時技術(shù)。

(3)風(fēng)險1.1.3(1)：資金不充足，無法實現(xiàn)系統(tǒng)目標(biāo)。

規(guī)避策略：通過有償服務(wù)來實現(xiàn)自身可持續(xù)發(fā)展；尋求穩(wěn)定的預(yù)算保證。

處置策略：尋求使用額外資金，確保系統(tǒng)目標(biāo)的完成；縮減其他開支，以彌補資金差額；由于資金缺乏導(dǎo)致系統(tǒng)無法正常運轉(zhuǎn)時，修改系統(tǒng)目標(biāo)。

(4)風(fēng)險1.2.2(1)：保密信息被泄密。

規(guī)避策略：確保相關(guān)政策和操作與系統(tǒng)保密規(guī)定相一致；確保軟硬件系統(tǒng)和保存策略符合保密規(guī)定。

處置策略：采取相關(guān)措施，撤銷保密信息的可獲取性，并采取應(yīng)對措施減少系統(tǒng)信譽損失。

3.2 風(fēng)險轉(zhuǎn)移策略

有些風(fēng)險，當(dāng)其發(fā)生時，可以轉(zhuǎn)移到其他組織。示例如下：

(1)風(fēng)險1.1.1(6)：數(shù)字保存業(yè)務(wù)被強制終止。

轉(zhuǎn)移策略：與其他數(shù)字保存系統(tǒng)簽署協(xié)議，制定后續(xù)委托保存方案；制定退出保存業(yè)務(wù)策略。

(2)風(fēng)險1.3(6)：外來軟件的侵入。

轉(zhuǎn)移策略：與提供軟件安全服務(wù)的第三方簽署服務(wù)合同，實現(xiàn)風(fēng)險轉(zhuǎn)移。

(3)風(fēng)險1.3(8)：系統(tǒng)意外崩潰。

轉(zhuǎn)移策略：為系統(tǒng)購買保險，將損失降到最低程度。

3.3 風(fēng)險容忍策略

還有一些風(fēng)險，發(fā)生時產(chǎn)生的影響可以容忍，但要有一個“度”的界定。示例如下：

(1)風(fēng)險1.2.2(11)：保存策略導(dǎo)致信息丟失。

容忍策略：制定政策，清晰界定系統(tǒng)保存活動中所允許的信息丟失范圍。

(2)風(fēng)險1.2.2(7)：數(shù)據(jù)備份丟失或不再可用。

容忍策略：實施多余備份存儲方法。

(3)風(fēng)險1.2.2(2)：信息和服務(wù)可獲取性的缺失。

容忍策略：制定相關(guān)政策，清晰界定應(yīng)承擔(dān)的最低信息傳輸量，以及允許的傳輸時間延時和信息不可獲取的時間間隔等。

參考文獻(xiàn)

[1]DCC.Digital Repository Audit Method Based on Risk Assessment[EB].http：∥en.wikipedia.org/wiki/DigitalRepositoryAuditMethodBasedonRiskAssessment，2007-06-20.

[2]OCLC.Criteria for Measuring Trustworthiness of Digital Repositories Archives：an Audit Certification Checklist[EB].http：∥bibpur1.oclc.org/web/16713，2007-07-10.

[3]RLG.Attributes of a Trusted Digital Repository：Meeting the Needs of Research Resources[EB].http：∥www.rlg.org/longterm/attributes01.pdf，2006-08-10.

[4]RLG，NARA.Task Force on Digital Repository Certification：Audit Checklist for Certifying Digital Repositories[EB].http：∥www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf，2007-10-10.

[5]DPE.Digital Information：A Report of the Task Force on Archiving of Digital Information[EB].http：∥www.dpe.org/ArchTF/index.html，2008-08-10.