文/山東省實驗中學東校圖書館 李林

?

論電子文件風險管理的重要性

文/山東省實驗中學東校圖書館 李林

【摘要】本文從電子文件風險管理運用于電子文件安全維護的必要性和加強電子文件安全的迫切性、電子文件風險管理的發(fā)展使電子文件安全維護成為可能三個方面認識風險管理對電子文件安全性的重要意義，從而深入了解電子文件管理中存在的問題，使電子文件能夠擁有安全穩(wěn)定的發(fā)展過程，從而有效規(guī)避風險。

【關(guān)鍵詞】電子文件；風險管理；信息安全

一、電子文件風險管理運用于電子文件安全維護的必要性

電子文件是信息系統(tǒng)的血脈。電子文件承載著信息系統(tǒng)最基本的數(shù)據(jù)、信息。如ERMS（電子文件管理系統(tǒng)）就是一個特定類型的信息系統(tǒng)，專門用于管理和保存那些可以為業(yè)務(wù)活動提供證據(jù)的文件。如果一個信息系統(tǒng)癱瘓或出現(xiàn)故障，那么其電子文件就會遭受破壞，則導(dǎo)致機關(guān)，國家及社會記憶的缺失。統(tǒng)計數(shù)據(jù)表明，20%-30%以上的計算機安全問題會不同程度地導(dǎo)致信息丟失，10%-20%以上的安全問題會導(dǎo)致信息失密。而另一項調(diào)查結(jié)果稱，2000年各種計算機安全事故造成的損失中，30%-40%是由于電子文件的泄漏造成的。電子文件的丟失或泄露造成信息系統(tǒng)內(nèi)容的不完整或永久缺失，這不僅關(guān)系著形成機構(gòu)的命運，而且牽動著社會的發(fā)展。風險管理作為一種預(yù)見性管理方法，可以針對造成風險的主要因素制定風險管理對策，最大程度地維護電子文件的完整與安全。

電子文件的生成、傳遞、利用、保存都是基于計算機系統(tǒng)的，計算機系統(tǒng)雖然強大，但存在巨大的安全風險。每一項技術(shù)或管理的漏洞都有可能導(dǎo)致文件質(zhì)量的缺損以至于造成更大的經(jīng)濟損失。根據(jù)Carnegie Mellon大學的估計，每1000行代碼一般有5～15個程序缺陷，當今的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及各種應(yīng)用程序，代碼數(shù)量動輒幾萬行或幾十萬行，存在漏洞的可能性是非常大的。除了計算機系統(tǒng)自身的缺陷外，人為事故也越來越嚴重。2013年5月8日荷蘭政府發(fā)言人表示，政府機構(gòu)的網(wǎng)站遭黑客以直接拒絕服務(wù)（DDo S）攻擊，令網(wǎng)站癱瘓數(shù)小時，其后在電腦專家的協(xié)助下恢復(fù)運作。對于這些偶然性、不可避免的事故，電子文件管理不僅要做好后期事故應(yīng)對措施，而且要未雨綢繆，提前做好電子文件風險監(jiān)控、評估，對即將發(fā)生的漏洞事故，進行前瞻性的控制，避免不必要的損失。

電子文件與傳統(tǒng)文件存在巨大差異，也意味著電子文件信息遠比一般信息面臨的風險更嚴峻復(fù)雜，所以“雙套制”、“雙軌制”的應(yīng)用也是基于這一特殊性的。檔案的“雙套制”是指同一份文件，采取電子和紙質(zhì)兩種形式鑒定、整理、保存、歸檔；“雙軌制”，是指紙質(zhì)文件和電子文件同步隨業(yè)務(wù)流程運轉(zhuǎn)。這是電子文件現(xiàn)階段比較安全和保守的做法。但隨著大量的電子文件的產(chǎn)生，雙軌制、雙套制這種將電子文件和傳統(tǒng)文件結(jié)合的管理方式已無力解決管理中出現(xiàn)的問題，如紙質(zhì)版本的真實性與完整性難以保證；工作量及成本增加等；所以風險管理可以從電子文件本身特點出發(fā)，建立一套科學的風險管理策略及體系，應(yīng)對電子文件保管中出現(xiàn)的一些問題。

二、加強電子文件安全的迫切性急需風險管理

電子文件的安全是電子文件質(zhì)量的保障，是電子文件有效利用的前提，更是電子檔案完整真實保存的基礎(chǔ)。加強電子文件的安全性迫在眉睫，需要風險管理的全程規(guī)劃控制和風險應(yīng)對。

文件生命周期全程風險的疊加在電子文件的管理過程中表現(xiàn)明顯，嚴重影響電子文件的安全性。在電子文件的管理系統(tǒng)中，其階段性是比較模糊的，其風險等級從前期的生成期、流轉(zhuǎn)期到后期的保存期明顯呈現(xiàn)遞減趨勢。在生成和流轉(zhuǎn)過程中，物理設(shè)備為電子文件信息提供了記錄載體、存儲介質(zhì)、傳播通道、處理元器件等，由于科學技術(shù)更新快、管理不善、非法侵入等原因可能會造成信息載體老化、信息丟失、更改等不利于電子文件安全的后果，給流轉(zhuǎn)過程的數(shù)據(jù)交換與共享及存儲器的可讀性帶來隱患。而后期文件是基于前期的管理狀況，這就使電子文件不同階段的風險產(chǎn)生了疊加效應(yīng)。這種現(xiàn)象造成的損失將是無法彌補的。而風險管理可以針對風險成因進行分析、識別，找到威脅因素加以控制。

電子文件風險管理研究是應(yīng)需而生的。它不是生搬硬套，而是基于對電子文件自身管理特點及其與機構(gòu)業(yè)務(wù)活動之間關(guān)系的理解和把握。電子文件不同于傳統(tǒng)文件，其風險因素的多樣性從不同方面威脅著電子文件安全，只有將風險因素一一掌握，才能有效遏制風險，維護電子文件的安全性。風險因素是促使或引起風險事故的條件，以及風險事故發(fā)生時，致使損失增加、擴大的條件?！峨娮游募L險管理》中比較系統(tǒng)全面地將風險因素分為三大類，分別為機構(gòu)內(nèi)部風險因素、社會環(huán)境風險因素和自然環(huán)境因素。其中機構(gòu)內(nèi)部風險包括文件管理業(yè)務(wù)、信息基礎(chǔ)設(shè)施、系統(tǒng)設(shè)計、文件管理制度、組織、人員、資金因素；社會環(huán)境因素涉及主管部門、規(guī)范體系、客戶因素等方面；自然因素包括保管場所、天災(zāi)、人禍三類。多樣的風險因素對電子文件的安全維護提出了更高的要求。電子文件的風險管理需要從系統(tǒng)、制度、人員素質(zhì)等各個方面加以規(guī)范，在風險事故發(fā)生之前及時識別和評估。

電子文件損壞所造成的損失是不可彌補的，電子文件安全保護急需未雨綢繆。電子文件作為檔案的一種特殊形式，是國家機構(gòu)、社會組織或個人在社會活動中直接形成的有價值的歷史記錄，也是當代傳承社會記憶的重要媒介。如果電子文件受損可能會造成相關(guān)機構(gòu)、個人乃至國家的利益損失和社會記憶的缺失。2006年8月15日美國宇航局爆出“阿波羅11號”飛船登月的原始錄像帶竟然在美國宇航局的戈達德航天中心丟失。2006年7月25日“格美”臺風以200多毫米的強降水肆虐湖南省郴州北湖區(qū)致使全區(qū)城鄉(xiāng)洪水泛濫，500多卷檔案資料被沖毀，2臺電腦以及大量電子文件均被洪水浸泡。以上的實例中，電子文件的丟失，毀壞不僅造成了直接的經(jīng)濟損失，對于具有世界意義的重要文件的丟失，帶來的將是人類文明發(fā)展史和社會記憶的缺失。基于回避、降低損失的風險管理將是保護電子文件安全的有力選擇。

三、電子文件風險管理的發(fā)展使電子文件安全維護成為可能

風險管理20世紀30年代萌芽于美國，到50年代正式成為一門科學。1970年以后在全球興起了風險管理運動。風險管理作為一種管理方法和技術(shù)在國外的經(jīng)濟、軟件項目管理、文件管理、信息管理中已經(jīng)有不少研究和應(yīng)用，但是首次明確提出電子文件風險管理是在中國人民大學申報的國家社科基金項目重點課題《電子政務(wù)系統(tǒng)中文件管理風險防范于對策研究》，并將其作為獨立的對象加以系統(tǒng)地研究，形成了一套完整的管理框架和體系?，F(xiàn)在對電子文件風險管理的研究大部分是基于風險管理學研究方法的。近些年，國內(nèi)“網(wǎng)絡(luò)安全風險管理”“計算機風險管理”“信息安全風險管理”發(fā)展的如火如荼；國外許多企業(yè)也將“信息風險”或“網(wǎng)絡(luò)風險”納入了企業(yè)風險管理的范疇。并且也推出了許多風險管理類的規(guī)范與著作，如《信息系統(tǒng)審計：安全、風險管理與控制》《信息安全風險管理指南（征求意見稿）》《風險管理—風險評估技術(shù)》（Risk management—Risk assessment tech niques）等。風險管理的思想在各相關(guān)領(lǐng)域的成功運用為電子文件風險管理的發(fā)展奠定了方法基礎(chǔ)和管理經(jīng)驗。

電子文件風險管理的現(xiàn)有成果是電子文件安全維護的有力保障。中國人民大學《電子政務(wù)系統(tǒng)中文件管理風險防范于對策研究》中對電子文件風險管理研究出一套體系，其管理過程主要包括目標設(shè)定、電子文件管理規(guī)劃、電子文件風險識別、電子文件風險評估、電子文件風險應(yīng)對、電子文件風險管理監(jiān)控六個方面。每一方面都制定了相關(guān)的模板、措施。如在電子文件風險識別中，主要使用的方法有頭腦風暴法、德爾菲法、案例研究法、工作分解結(jié)構(gòu)圖、流程圖；電子文件風險評估模型以及電子文件風險應(yīng)對體系的理論模型。在電子文件風險評估和電子文件應(yīng)對中，考慮到了風險因素的多樣性，辨別風險，進行分析研究及評估，然后找到與之相對的應(yīng)對策略。電子文件風險管理這整個流程按照“生命周期理論”從其生成、流轉(zhuǎn)到保存全階段進行全過程管理，為電子文件的安全提供了有力的保障。

四、結(jié)語

電子文件作為現(xiàn)代社會文明發(fā)展重要的歷史記錄，其安全維護必須是我們檔案界以及各個機構(gòu)及國家應(yīng)該重視的問題。電子文件風險管理是將風險管理理念引入電子文件管理，從反向思維的方式研究電子文件管理所面臨的種種問題。電子文件風險管理不僅從風險因素出發(fā)對電子文件進行研究與保管，而且提高了文書檔案人員的風險意識，避免了風險事故的發(fā)生。文書檔案人員在運用風險管理的過程中，也可以尋找到電子文件管理的新思路。我們要進一步總結(jié)和歸納電子文件風險管理理論和實踐經(jīng)驗，加強電子文件風險管理的可操作性。

【參考文獻】

［1］馮慧玲著.電子文件風險管理，中國人民大學出版社，第44頁.

［2］科飛管理咨詢公司.信息安全管理概，機械工業(yè)出版社，第42頁.

［3］［美］Bruce·Schneier著，吳世忠，馬芳譯.網(wǎng)絡(luò)信息安全的真相，機械工業(yè)出版社，第124頁.

［4］《登月錄像丟了》.載《北京青年報》，2006-08-17.

［5］湖南省郴州市北湖區(qū)檔案信息網(wǎng)（http://www.bhac.gov. cn/NEWS/printpage.asp？ Id=601）