略谈电子档案管理工作中风险评估的作用

略谈电子档案管理工作中风险评估的作用

电子档案风险评估是保证电子档案质量及其安全性的一种方法，其重要性在于：电子档案风险评估是信息安全风险评估的重要组成部分；是衡量信息安全系统安全性的重要指标；是保证电子档案安全的基础性工作；是电子档案管理分级防护和突出重点的具体体现；是制定电子档案风险管理对策的起点和基础。

标签： 电子档案；风险评估；档案管理；作用

随着计算机网络技术的普及，网络计算机为操作者提供方便的同时，也会存在一定的安全隐患与风险。管理不当、操作不规范、密码简单、系统不升级、不安装防火墙及杀毒软件都会引发网络安全事故，给档案管理增加一定的风险。信息系统应该是安全的，电子档案应该是真实、准确的，但事实上所有的信息系统都存在安全风险，因此人们追求的所谓安全的信息系统，实际上是指在实施了风险评估并做出风险应对之后，仍然存在残余风险但残余风险可被接受的信息系统。经过这样“处理”的信息系统中生成的电子档案才是符合管理和利用要求的。风险评估日渐成为该领域的一项重要研究方法。电子档案风险评估是风险评估在电子档案风险管理中的具体运用，是保证电子档案质量及其安全性的一种方法。任何信息系统都会有安全风险，或者说信息安全风险是必然的。电子档案作为一种信息类型，自然也会遭遇到风险问题。网络、计算机和信息管理系统是电子档案生存的基础。在电子档案风险评估的过程中，要全面设计和考虑信息安全问题，提高安全意识，加强安全管理，在电子档案管理工作中，一定要有风险管理意识，加强安全管理，落实安全保障措施，只有这样才能最大限度地保障计算网络环境，确保电子档案和档案信息的安全。

一、电子档案风险评估是信息安全风险评估的重要组成部分 信息安全风险管理是保障信息安全的主要途径之一。风险是信息安全中的基本概念，只有在正确、全面地了解和理解安全风险之后，才能决定如何处理安全风险，从而在应对中做出合理的决策。信息安全风险评估是信息安全风险管理过程中的重要阶段。电子档案风险评估是信息安全风险评估在电子档案管理活动中的具体应用，同时也是信息安全风险评估的重要组成部分。电子档案作为政府机构行使职能、开展公务、服务公众的工具，与此同时电子档案作为记录其活动的真实可靠的凭证，保证电子档案的安全性，对于提升整个电子政务系统信息安全是必要和必须的。

二、电子档案风险评估是衡量信息安全系统安全性的重要指标

中国工程院院长徐匡迪曾说：“没有安全的工程就是豆腐渣工程”。信息系统的安全涉及诸多方面，如网络安全、操作系统安全、传输安全等，但其核心是信息的安全，信息安全的最终落脚点是系统中运行的各类电子档案，因为电子档案全面系统地记录了机构各类业务活动的全过程，是机构行使职能、开展业务活动的主要工具，是无法替代的一种独特信息资源。各类风险因素造成的直接或者间接危害的承受体主要是电子档案。如果电子档案不真实、不完整、不可用，信息系统根本谈不上是安全的，机构的业务活动自然也就无法正常、有序和顺利地开展。很多风险管理标准都已将信息提高到了机构资产的地位，电子档案作为“信息中的主角”理应也成为机构的信息资产。通过电子档案风险评估确定哪些风险最有可能破坏电子档案的质量，最容易给机构带来负面影响，从而进行有针对性

的、有先后的阶梯式应对。

三、电子档案风险评估是保证电子档案安全的基础性工作 一般性的电子档案管理注重正面的、常规性的管理，它所关注的是如何按部就班地管理电子档案。这种方法很难发现已有管理中存在的问题。风险管理则选择相反的角度，从分析现状查找威胁电子档案的风险开始电子档案的管理，是对一般电子档案管理的有益补充。风险管理对于实际工作具有非常重要的意义。风险评估是风险管理的关键环节。风险评估能够解决电子档案管理过程中系统软件、网络环境以及信息系统的安全程度，采用有效的手段，加强风险管理意识，确定已采取的保护措施是否有效，以及提出按照相应的等级进行应对和管理的依据等一系列具体问题。通过自我评估，可以让机构清楚本单位电子档案管理在制度、技术、人员、资金等方面都存在哪些问题，结合定量分析，进一步划分风险等级，采取应对措施解决那些危害电子档案质量的严重风险，例如因主管部门没有出台电子档案真实、完整、可读的管理办法、管理标准而造成的制度风险往往会给电子档案安全带来很大的危害和负面影响，造成电子档案质量的缺损。若能得到这样的共识，机构就可以有针对性地采取应对措施，达到较高的成本效益比。

四、电子档案风险评估是电子档案管理分级防护和突出重点的具体体现 在网络环境下，数字化电子文档的形成、处理、传输、保存、加密、管理以及提供利用的各个阶段都存在着一定安全风险。档案的原始性和历史性要求在档案管理的整个过程中不可进行人为的修改，一定要保持档案内容的真实性、完整性与有效性。一方面要防止网络窃取，另一方面要防止档案管理部门内部管理上的疏漏。电子档案风险管理通过评估可以按照文件的重要程度、风险出现的概率和影响大小测算出风险的等级，实行有针对性地分级风险应对。通过科学的风险评估可以将风险管理的目标、风险的性质、风险的危害程度以及风险应对措施等要素一一对应起来，明确什么样的风险应该采取什么样的应对措施，使得风险管理能够兼顾科学、有效、效益的原则。这就需要电子文档在归档前应该采取相应的防护措施。此外，应要求档案管理人员在接受电子文档时采取安全手段和技术措施，保证进馆电子档案的安全性，提前进行风险控制。

五、电子档案风险评估是制定电子档案风险管理对策的起点和基础

电子档案风险评估是风险评估理论和方法在电子档案管理活动中的运用，是科学分析文件和文件管理在真实性、可靠性、完整性、可用性、机密性等方面所面临的风险，并对风险防范、风险控制等做出决策的过程。所有电子档案管理措施都应该基于文件安全的风险评估，只有在正确地、全面地理解风险后，才能决定什么样的安全措施能够满足机构电子档案风险管理的需求，在风险控制、风险减少、风险转移之间做出正确的判断，决定调动多少人力及物质资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。不同电子政务系统的使命和业务目标的差异性、业务和系统本身的特性决定了电子档案保护需求的不同，总之，电子档案风险管理应对措施应该是在适度成本下来实现适度的安全。

综上所述，由于电子档案数量的急剧增加，优化电子档案管理的需求也越来越强烈，电子档案管理的风险预防应该从网络基础设

（下转第100页）