王元鋒　臧國全

〔摘 要〕數(shù)字保存系統(tǒng)風險是指貫穿于整個系統(tǒng)構(gòu)建、運行和服務等各個環(huán)節(jié)的不確定因素。本文首先探討了系統(tǒng)的風險類型：系統(tǒng)管理風險、系統(tǒng)運行風險和技術(shù)環(huán)境支持風險，然后從風險等級和風險關系兩個角度分析了風險評估，最后分析了風險管理策略：風險規(guī)避策略、風險處置策略、風險轉(zhuǎn)移策略和風險容忍策略。

〔關鍵詞〕數(shù)字保存系統(tǒng)；風險管理；風險評估；數(shù)字資源保存

〔中圖分類號〕G250 〔文獻標識碼〕C 〔文章編號〕1008-0821(2009)02-0210-04

Risk Management for Digital Preservation System Wang Yuanfeng Zang Guoquan

(Department of Information Management，Zhengzhou University，Zhengzhou 450001，China)

〔Abstract〕Digital preservation system risk means the uncertain factors which exist in all steps of digital preservation system including construction，operation and service.The following three aspects were discussed in this paper：(1)the type of risk，including system management risk，operation risk and technological and environmental support risk；(2)risk assessment，including risk rank and risk influence；and(3)risk management strategy，including risk avoidance strategies risk treatment strategies，risk transfer strategies and risk tolerance strategies.

〔Key words〕digital preservation system；risk management；risk assessment；digital resource preservation

風險是指貫穿于組織預期事件及其結(jié)果的不確定性，也即潛在地影響組織目標完成的事件所發(fā)生的可能性及其所造成的影響。數(shù)字保存系統(tǒng)是負責長期保存數(shù)字資源，提供值得用戶信任的數(shù)字資源存取能力的一種全文數(shù)據(jù)庫系統(tǒng)。數(shù)字保存系統(tǒng)風險是指貫穿于整個系統(tǒng)構(gòu)建、運行和服務等各個環(huán)節(jié)的不確定因素。這些因素有系統(tǒng)管理層面的、系統(tǒng)運行層面的和技術(shù)支持層面的，并與所處的外部環(huán)境息息相關。

數(shù)字保存系統(tǒng)的風險管理包括風險識別、風險評估和管理策略等3個環(huán)節(jié)。

1 風險類型

數(shù)字保存系統(tǒng)的風險包括系統(tǒng)管理風險、系統(tǒng)運行風險和技術(shù)環(huán)境支持風險三大類[1]。

1.1 系統(tǒng)管理風險

1.1.1 運行機構(gòu)管理風險

(1)管理失靈。機構(gòu)的某些管理行為失敗，導致無法實現(xiàn)系統(tǒng)的預期目標。比如，采用的數(shù)字保存策略導致數(shù)據(jù)丟失；資源分配使得系統(tǒng)的一些功能無法完成。

(2)機構(gòu)信譽缺失。數(shù)字保存系統(tǒng)的用戶或數(shù)字資源委托保存者對系統(tǒng)實現(xiàn)其目標的能力表示懷疑。比如，公開聲明削減系統(tǒng)的運行經(jīng)費有可能導致用戶對系統(tǒng)是否擁有充足資源來實現(xiàn)其高效運行的擔心；數(shù)字資源的不可恢復性損失會導致對系統(tǒng)性能的擔心。

(3)預期指標沒有實現(xiàn)。系統(tǒng)沒有達到預先設置的一些指標。比如，數(shù)字產(chǎn)品傳遞平均時間超過系統(tǒng)預先設置的時間限制；系統(tǒng)沒有充分地保存數(shù)字資源的重要特征。

(4)系統(tǒng)無法全面履行職責。由于環(huán)境變化等原因致使系統(tǒng)的存在基礎喪失或根本上發(fā)生了改變，從而導致無法繼續(xù)履行其承若的職責。比如，系統(tǒng)依據(jù)的法律環(huán)境修訂使得其職責范圍發(fā)生了變化；相關簽約合同的改變使得其履行的義務發(fā)生變化。

(5)用戶需求發(fā)生重大變化。系統(tǒng)所提供的服務無法滿足用戶團體的新需求。比如，用戶團體采用了一種新的軟件系統(tǒng)，而該軟件系統(tǒng)與原來的數(shù)據(jù)格式不兼容；越來越多的用戶無法理解系統(tǒng)預先使用的標記語言。

(6)數(shù)字保存業(yè)務被強制終止。由于各種原因?qū)е聰?shù)字保存業(yè)務停止服務。比如，與數(shù)字資源提供者所簽訂的合同或與資金提供者簽訂的合同無法續(xù)簽；數(shù)字保存系統(tǒng)倒閉或在競爭中退出市場等原因，導致其保存業(yè)務終止。

(7)用戶反饋渠道不暢通或系統(tǒng)對用戶意見不予理睬。系統(tǒng)無法接收用戶反饋，或接收用戶反饋不全面，或缺乏接收用戶反饋的機制，或雖然可以完全接收用戶反饋，但系統(tǒng)均拒絕采納。

(8)系統(tǒng)沒有保存數(shù)字信息的必要特征，而這些特征對用戶團體來說具有重要作用。比如，系統(tǒng)以文本文件的格式保存數(shù)字化手稿，但用戶更重視手稿的外觀；系統(tǒng)雖以圖片格式保存數(shù)字化手稿，但采用的分辨率沒有達到用戶所需的識別手稿細節(jié)級別的程度。

(9)系統(tǒng)存在知識產(chǎn)權(quán)侵權(quán)現(xiàn)象。系統(tǒng)沒有對各種類型的侵權(quán)、以及與產(chǎn)權(quán)相關的不端行為負責。比如，系統(tǒng)存儲有未獲得產(chǎn)權(quán)許可的數(shù)字信息，對這些信息的傳播存在產(chǎn)權(quán)侵權(quán)風險。

(10)系統(tǒng)存在違背合同現(xiàn)象。系統(tǒng)沒有完成合同規(guī)定的職責，或系統(tǒng)的活動超出了合同允許的范圍。比如，按照合同規(guī)定，系統(tǒng)保存的一些數(shù)字資源僅限于特定用戶團體的訪問，而系統(tǒng)將這些信息資源通過因特網(wǎng)向廣大網(wǎng)絡用戶開放。

(11)系統(tǒng)存在違背相關規(guī)則現(xiàn)象。系統(tǒng)的活動與相關規(guī)則(例如，行業(yè)規(guī)則)相違背。比如，系統(tǒng)沒有執(zhí)行具有法律效力的保障雇員安全和健康的規(guī)則。

(12)系統(tǒng)缺乏有效評估其活動是否達到預期目標的能力。比如，系統(tǒng)無法證實 其保存的數(shù)字資源的完整性和真實性得到有效維護；系統(tǒng)無法證實數(shù)字資源委托保存者的提 交信息被正確地獲取，并轉(zhuǎn)換為完整的正確的保存信息包。

1.1.2 員工風險

(1)關鍵員工的離崗。那些處于對實現(xiàn)系統(tǒng)目標起著至關重要崗位的員工的離崗，導致系統(tǒng)目標的實現(xiàn)缺乏連續(xù)性和一致性。比如，系統(tǒng)的高級管理者，或掌握系統(tǒng)核心技術(shù)的工程師跳槽到競爭對手從事相同或相似的工作。

(2)員工技術(shù)過時。比如，員工僅具備實施按照時序?qū)?shù)字對象進行保存的策略(該策略已經(jīng)過時)，而沒有進行針對出現(xiàn)的新技術(shù)新策略的培訓。

(3)缺乏員工績效評估機制。比如，系統(tǒng)缺乏職員績效檔案，或缺乏有效識別員工培訓需求的機制。

1.1.3 資金風險

(1)資金不充足。比如，系統(tǒng)每年運營都處于虧損狀態(tài)，或為實現(xiàn)系統(tǒng)各項功能而分配的資源不足。

(2)資金分配不合理。系統(tǒng)的資源分配缺乏合理性，致使投入產(chǎn)出不成比例。比如，管理投資方面，所購買的軟件功能遠遠超過了所需，而市場上存在有能夠滿足需求的廉價軟件。

(3)財務管理不符合相應的法律規(guī)章。比如，沒有照章納稅，財務審查沒通過。

(4)預算削減。比如，對于依靠地方政府投資而運行的數(shù)字保存系統(tǒng)，由于地方財政收入減1.2 系統(tǒng)運行風險

1.2.1 數(shù)字資源獲取風險

(1)提交的信息結(jié)構(gòu)失效或格式失真。數(shù)字資源提交者所提交的信息不符合系統(tǒng)要求的結(jié)構(gòu)或格式，導致無法保存。比如，系統(tǒng)不支持所提交信息的格式，提交信息的是以XML格式編碼，但該編碼對于系統(tǒng)提供的識別框架來說是無效的。

(2)提交信息不完整。提交信息中沒有包含保存所需的內(nèi)容。比如，提交信息中沒有元數(shù)據(jù)，而根據(jù)與信息提交者的合同，元數(shù)據(jù)是要隨內(nèi)容信息一起提交的。

(3)提交過程中，提交信息受外部影響而改變。在系統(tǒng)接收到信息與系統(tǒng)生成保存信息之間，提交信息發(fā)生改變，而這種改變不是由系統(tǒng)施加的。

(4)保存信息無法追溯到提交信息。保存信息不能追朔到相應的提交信息或提交信息的某一集合。比如，系統(tǒng)無法追朔某件保存信息的來源，導致無法確定其保存的完整性。

1.2.2 數(shù)字資源保存風險

(1)保密信息被泄密。根據(jù)有關協(xié)議，系統(tǒng)保存的一些信息受到一些訪問限制，但這類信息被公開傳播。比如，系統(tǒng)的用戶認證子系統(tǒng)失靈，系統(tǒng)保存的一些商業(yè)敏感信息被規(guī)定以外的用戶訪問。

(2)信息和服務可獲取性的缺失。系統(tǒng)不能提供相應的服務，或應該被訪問的信息無法提供訪問。比如，由于系統(tǒng)服務器出現(xiàn)故障，導致其保存信息無法被訪問。

(3)信息的真實性缺失。系統(tǒng)無法驗證其所保存的數(shù)字信息與其所接收的原始數(shù)字信息的一致性。比如，由于數(shù)字遷移的實施導致數(shù)字對象的格式信息和一些內(nèi)容信息發(fā)生變化，使得其保存的遷移后的數(shù)字對象與系統(tǒng)接收的數(shù)字對象不一致。

(4)信息的可靠性缺失。系統(tǒng)無法驗證其保存信息的可靠性。比如，法院拒絕承認其保存信息作為證據(jù)。

(5)信息來源缺失。由于保存信息的改變，導致系統(tǒng)無法追朔其保存信息的來源。

(6)不可識別的保存信息的變更。系統(tǒng)無法追蹤或監(jiān)控其保存信息發(fā)生改變的時間和地點。比如，系統(tǒng)缺少記錄或維護足夠的校驗信息來檢測保存信息發(fā)生改變的場所。

(7)數(shù)據(jù)備份丟失或不再可用。系統(tǒng)無法從數(shù)據(jù)備份機制中恢復信息。比如，在數(shù)字主文檔丟失時，系統(tǒng)無法從備份中恢復信息，因為備份的介質(zhì)已經(jīng)遭到了不可逆轉(zhuǎn)的損壞。

(8)數(shù)據(jù)副本內(nèi)容不一致。當系統(tǒng)維護多個數(shù)據(jù)副本時，副本內(nèi)容之間出現(xiàn)不一致現(xiàn)象。比如，當有3個副本時，隨機校驗對比檢測顯示，1個副本的內(nèi)容與其他2個存在數(shù)據(jù)不同情況。

(9)信息參考完整性的標識符選取不當。系統(tǒng)無法根據(jù)給定的標識符定位所需數(shù)字對象。比如，基于獲取時間而設計的數(shù)字對象標識符，當1個系統(tǒng)有2個或2個以上數(shù)據(jù)獲取渠道時，就有可能出現(xiàn)不同數(shù)字對象賦予1個標識符。

(10)數(shù)字保存計劃無法有效地執(zhí)行。比如，系統(tǒng)選擇數(shù)字仿真作為數(shù)字資源長期保存策略，但缺少相應的技術(shù)人員來實施，也缺乏足夠的資源來委托第三方代其實施。

(11)保存策略導致信息丟失。保存策略的實施導致一些數(shù)字對象的一些重要特征的丟失。比如，數(shù)字遷移的結(jié)果會導致數(shù)字對象的外觀信息丟失。

(12)信息(包括獲取信息、保存信息和傳播信息)的不可追溯性。在保存系統(tǒng)生命周期內(nèi)，某一特定信息單元無法追溯到相應的來源出處。比如，系統(tǒng)沒有維護保存信息來源以及對其處理的文檔，從而導致保存信息不具有可追溯性。

1.2.3 元數(shù)據(jù)管理風險

(1)用來描述參考完整性的元數(shù)據(jù)丟失。比如，數(shù)字對象與相應元數(shù)據(jù)之間的描述關系斷裂(如，用來描述元數(shù)據(jù)與相應數(shù)字對象關系的目錄結(jié)構(gòu)文檔不可恢復性地損失)，導致數(shù)字對象的不可檢索性。

(2)用來描述數(shù)字對象發(fā)生變化的歷史記錄的元數(shù)據(jù)不完整或不準確。比如，缺乏描述數(shù)字對象起源以及在整個生命周期過程中發(fā)生改變的文檔。

(3)數(shù)字對象的不可發(fā)現(xiàn)性。支持數(shù)字對象發(fā)現(xiàn)的元數(shù)據(jù)不充分。比如，設計元數(shù)據(jù)描述時，數(shù)字對象的檢索點考慮不全面，導致數(shù)字對象的被發(fā)現(xiàn)性不充分。

(4)可理解性的界定模糊。元數(shù)據(jù)的功用之一是幫助用戶對數(shù)字對象的理解，如果系統(tǒng)對用戶的數(shù)字對象“可理解性”的界定不清晰，就會導致元數(shù)據(jù)的選取不合理。

(5)保存信息在語義和技術(shù)層面的可理解性不足。比如，系統(tǒng)提供和維護的表征信息不全面、不合理，從而導致相應的保存信息在用戶理解層面上的困難。

1.2.4 數(shù)字訪問風險

(1)無法向用戶提供數(shù)字訪問服務。比如，由于網(wǎng)絡服務故障，導致提供數(shù)字訪問的WEB服務器處于離線狀態(tài)。

(2)數(shù)字訪問身份驗證子系統(tǒng)失效。限定數(shù)字信息訪問的系統(tǒng)功能不完善，導致不合理的訪問或訪問失敗。比如，對于某一數(shù)字對象，無權(quán)訪問的用戶由于身份驗證失效而可以對其進行存取。

(3)數(shù)字訪問權(quán)限授權(quán)子系統(tǒng)失效。權(quán)限分配子系統(tǒng)功能不完善，導致用戶的權(quán)限分配不合理。比如，基于用戶名的授權(quán)系統(tǒng)，當多個用戶出現(xiàn)重名時，就會導致數(shù)字訪問的權(quán)限分配混亂。

(4)數(shù)字訪問服務水平欠佳。系統(tǒng)沒有達到預期的服務目標。比如，如果系統(tǒng)規(guī)定傳遞單件數(shù)字資源必須在5分鐘內(nèi)完成，但實際為10分鐘。

1.3 技術(shù)環(huán)境支持風險

(1)軟硬件損壞或缺乏可持續(xù)發(fā)展性。比如，軟件商破產(chǎn)導致軟件沒有更新保障。

(2)軟硬件無法支持系統(tǒng)出現(xiàn)的新目標。一般情況下，系統(tǒng)基礎結(jié)構(gòu)是為滿足現(xiàn)行目標而設計的，但隨著環(huán)境變化，用戶需求也會發(fā)生變化，系統(tǒng)目標就要更新，但軟硬件可能無法支持新目標的實現(xiàn)。比如，當保存的數(shù)字對象或用戶數(shù)量增加到一定程度時，軟件無法支持。

(3)軟硬件過時。核心技術(shù)不再流行。比如，采用的操作系統(tǒng)不再受提供商支持，因此，操作系統(tǒng)的安全更新不再有保障。

(4)存儲介質(zhì)老化或過時。介質(zhì)老化導致數(shù)據(jù)讀寫困難。比如，磁帶的物理老化使得對存儲的數(shù)字對象無法讀取。

(5)系統(tǒng)安全漏洞被非法利用。比如，數(shù)字對象存取軟件存在安全漏洞，該漏洞被用戶識別，并被用來對數(shù)字對象進行非法訪問。

(6)外來軟件的侵入。比如，黑客軟件侵入到系統(tǒng)服務器，在服務器中執(zhí)行惡意代碼。

(7)破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時或永久不可使用。比如，系統(tǒng)所在地發(fā)生地震、臺風、颶風等。

(8)系統(tǒng)意外崩潰。比如，所有數(shù)字對象意外地被物理刪除；由于某種外界不可抗拒因素導致系統(tǒng)被迫終止。

(9)系統(tǒng)被有意破壞。比如，系統(tǒng)通過網(wǎng)絡被電子型恐怖分子侵入；內(nèi)心不滿的系統(tǒng)工作人員對系統(tǒng)的破壞。

(10)重要公用設施出現(xiàn)故障。比如，系統(tǒng)的電力供應出現(xiàn)問題，致使整個系統(tǒng)癱瘓。

(11)系統(tǒng)所依賴的相關方服務出現(xiàn)問題。比如，向數(shù)字保存系統(tǒng)提供信息傳播的因特網(wǎng)服務提供商破產(chǎn)或退出服務領域。

(12)系統(tǒng)與其所依賴的相關方服務合同出現(xiàn)變更。比如，電價增長，因特網(wǎng)服務提供商從系統(tǒng)的web服務器中撤銷其服務所依賴的技術(shù)。

(13)系統(tǒng)原始文件部分或全部毀壞。比如，火災可能導致系統(tǒng)所簽訂合同和各類文件毀壞。

(14)系統(tǒng)無能力評估其技術(shù)設施和安全設施的有效性。比如，系統(tǒng)缺少測試安全措施效果的機制，或評估其技術(shù)設施有效性的機制。

2 風險評估

2.1 風險等級

風險等級包括風險發(fā)生的頻率和風險產(chǎn)生的影響。風險發(fā)生的頻率即特定風險發(fā)生的可能性。這種可能性通過特定時間內(nèi)風險發(fā)生的次數(shù)來衡量。風險發(fā)生的次數(shù)不同，等級不同。在風險發(fā)生頻率的等級界定上，一般可分為下述6個級別[2]：

(1)可能性極低(比如，100年以上發(fā)生1次)；

(2)可能性很低(比如，每10年發(fā)生1次)；

(3)可能性較低(比如，每5年發(fā)生1次)；

(4)可能性中等(比如，每年發(fā)生1次)；

(5)可能性高(比如，每個月發(fā)生1次)；

(6)可能性很高(比如，每個月發(fā)生1次以上)。

風險產(chǎn)生的影響即風險發(fā)生后對數(shù)字對象真實性和可理解性的作用效果。這種效果通過數(shù)字對象真實性和可理解性的具體缺失狀況來衡量。效果不同，等級也不同。在風險影響等級界定上，一般可分為下述7級[3]：

(1)無影響：所有數(shù)字資源的真實性和可理解性毫無喪失；

(2)微不足道影響：導致數(shù)字對象的真實性和可理解性部分喪失，但可完全恢復；

(3)輕度影響：導致數(shù)字對象的真實性和可理解性較普遍喪失，但可完全恢復；

(4)中度影響：導致數(shù)字對象的真實性和可理解性完全喪失，但可完全恢復；

(5)高度影響：導致數(shù)字對象的真實性和可理解性部分喪失，且其中一些喪失是數(shù)字保存系統(tǒng)不可恢復的；

(6)相當大影響：導致數(shù)字對象的真實性和可理解性較普遍喪失，且這些喪失是數(shù)字保存系統(tǒng)不可恢復的，其中一些喪失第三方可恢復；

(7)災難性的影響：導致數(shù)字對象的真實性和可理解性完全喪失，且所有喪失是采用任何方法都無法恢復的。

2.2 風險關系

風險之間存在著各種關系，這些關系可分為[4]：

(1)爆發(fā)型：多個風險同時發(fā)生，產(chǎn)生的影響要遠大于各個風險單獨產(chǎn)生的影響之和。比如，1.3(7)的“破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時或永久不可使用”與1.3(11)的“系統(tǒng)所依賴的相關方服務出現(xiàn)問題”兩種風險的關系。

(2)感染型：一個風險的發(fā)生會增加另外一個風險發(fā)生的可能性。比如，1.1.1中的“管理失靈”與“機構(gòu)信譽缺失”兩種風險的關系；1.2.2中的“數(shù)據(jù)備份丟失或不再可用”與1.2.3中的“用來描述數(shù)字對象發(fā)生變化的歷史記錄的元數(shù)據(jù)不完整或不準確”兩種風險的關系。

(3)互助型：一個風險的規(guī)避有助于另外一個風險的規(guī)避。比如，1.2.3(4)的“可理解性的界定模糊”與1.2.3(5)的“保存信息在語義和技術(shù)層面的可理解性不足”兩種風險的關系。

(4)“多米諾骨牌”型：一個風險的規(guī)避使另外一個風險的規(guī)避有效性降低。比如，1.2.2(10)的“數(shù)字保存計劃無法有效地執(zhí)行”與1.2.2(11)“保存策略導致信息丟失”兩種風險的關系。

(5)離散型：一個風險的存在，與其他風險無關。比如，1.2.2(5)的“信息來源缺失”與1.3(7)的“破壞性的環(huán)境因素，致使系統(tǒng)所在地暫時或永久不可使用”兩種風險的關系。

3 風險管理

不同類型的風險應該采用不同的管理策略。這些策略包括[5]：

(1)風險規(guī)避策略：為了避開可能導致風險發(fā)生的環(huán)境，而及時采取的行動；

(2)風險處置策略：當風險發(fā)生時應該采取的處置方法；

(3)風險轉(zhuǎn)移策略：通過適當?shù)姆绞綄L險轉(zhuǎn)移給其他組織，如簽署服務合同；

(4)風險容忍策略：接受和容忍一定等級的風險，并采取一些有效行動來降低風險影響。

風險管理策略是一個不斷學習與實踐的過程。一些數(shù)字保存系統(tǒng)經(jīng)過長期的實踐，總結(jié)出了對不同種類風險進行管理的相應策略。

3.1 風險規(guī)避與處置策略

很多風險都可采用相應的措施來規(guī)避。當風險發(fā)生時，也可采用一些方法來解決。示例如下：

(1)風險1.1.1(9)：系統(tǒng)存在知識產(chǎn)權(quán)侵權(quán)現(xiàn)象。

規(guī)避策略：對保存的數(shù)字資源進行評估，以確定受產(chǎn)權(quán)限制的數(shù)字資源；尋求法律咨詢，以確定對這些數(shù)字資源進行操作的合法性。

處置策略：制定相關政策和工作程序，應對知識產(chǎn)權(quán)的挑戰(zhàn)。

(2)風險1.1.2(2)：員工技術(shù)過時。

規(guī)避策略：制定員工培訓方式，并保證員工經(jīng)過培訓可熟練掌握所需技術(shù)；實施員工績效評估，定期確定其技術(shù)水平和培訓需求。

處置策略：提供培訓設施，以改變過時技術(shù)。

(3)風險1.1.3(1)：資金不充足，無法實現(xiàn)系統(tǒng)目標。

規(guī)避策略：通過有償服務來實現(xiàn)自身可持續(xù)發(fā)展；尋求穩(wěn)定的預算保證。

處置策略：尋求使用額外資金，確保系統(tǒng)目標的完成；縮減其他開支，以彌補資金差額；由于資金缺乏導致系統(tǒng)無法正常運轉(zhuǎn)時，修改系統(tǒng)目標。

(4)風險1.2.2(1)：保密信息被泄密。

規(guī)避策略：確保相關政策和操作與系統(tǒng)保密規(guī)定相一致；確保軟硬件系統(tǒng)和保存策略符合保密規(guī)定。

處置策略：采取相關措施，撤銷保密信息的可獲取性，并采取應對措施減少系統(tǒng)信譽損失。

3.2 風險轉(zhuǎn)移策略

有些風險，當其發(fā)生時，可以轉(zhuǎn)移到其他組織。示例如下：

(1)風險1.1.1(6)：數(shù)字保存業(yè)務被強制終止。

轉(zhuǎn)移策略：與其他數(shù)字保存系統(tǒng)簽署協(xié)議，制定后續(xù)委托保存方案；制定退出保存業(yè)務策略。

(2)風險1.3(6)：外來軟件的侵入。

轉(zhuǎn)移策略：與提供軟件安全服務的第三方簽署服務合同，實現(xiàn)風險轉(zhuǎn)移。

(3)風險1.3(8)：系統(tǒng)意外崩潰。

轉(zhuǎn)移策略：為系統(tǒng)購買保險，將損失降到最低程度。

3.3 風險容忍策略

還有一些風險，發(fā)生時產(chǎn)生的影響可以容忍，但要有一個“度”的界定。示例如下：

(1)風險1.2.2(11)：保存策略導致信息丟失。

容忍策略：制定政策，清晰界定系統(tǒng)保存活動中所允許的信息丟失范圍。

(2)風險1.2.2(7)：數(shù)據(jù)備份丟失或不再可用。

容忍策略：實施多余備份存儲方法。

(3)風險1.2.2(2)：信息和服務可獲取性的缺失。

容忍策略：制定相關政策，清晰界定應承擔的最低信息傳輸量，以及允許的傳輸時間延時和信息不可獲取的時間間隔等。

參考文獻

[1]DCC.Digital Repository Audit Method Based on Risk Assessment[EB].http：∥en.wikipedia.org/wiki/DigitalzRepositoryzAuditzMethodzBasedzonzRiskzAssessment，2007-06-20.

[2]OCLC.Criteria for Measuring Trustworthiness of Digital Repositories & Archives：an Audit & Certification Checklist[EB].http：∥bibpur1.oclc.org/web/16713，2007-07-10.

[3]RLG.Attributes of a Trusted Digital Repository：Meeting the Needs of Research Resources[EB].http：∥www.rlg.org/longterm/attributes01.pdf，2006-08-10.

[4]RLG，NARA.Task Force on Digital Repository Certification：Audit Checklist for Certifying Digital Repositories[EB].http：∥www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf，2007-10-10.

[5]DPE.Digital Information：A Report of the Task Force on Archiving of Digital Information[EB].http：∥www.dpe.org/ArchTF/index.html，2008-08-10.