数字档案安全管理和风险评估研究.docVIP

数字档案安全管理和风险评估研究 　　［摘要］ 评估行为是组织管理需求和目标实现的重要途径，风险评估对档案事业而言是对管理漏洞、面临威胁的可能性和程度的综合判断，有助于安全危机的预防、治理。数字档案管理相对于传统档案管理更复杂，作为明确数字档案安全需求的途径研究，探讨影响的关键因素和风险评估的实现，符合信息安全和档案事业信息化发展形势要求，有助于促进数字档案安全管理体系构建。 　　［关键词］ 数字档案；信息安全；风险评估 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 13. 070 　　［中图分类号］G271［文献标识码］A［文章编号］1673 - 0194（2014）13- 0110- 02 　　安全危机可以认为是系统从有序向无序状态的演化，数字档案安全因数字档案对载体的依赖性和可更改性使其易受到安全威胁，确保存储和利用的真实、完整不易。针对数字档案的安全风险评估是对数字档案在形成、收集、管理和利用过程中面临威胁、存在弱点及影响，以及三者综合作用带来风险的可能性和程度的判断，是实现数字档案安全和科学管理的重要手段。 　　1数字档案安全管理与风险评估 　　作为危机管理的基础，风险评估是组织管理基于安全领域的应用，在数字档案管理中风险评估和安全管理如一枚硬币的两面，构成了数字档案安全的保障体系。对其安全的评估是确定信息安全需求的重要途径，属于信息安全管理体系的策划过程，有助于明晰安全现状，及时采取措施并降低损失，保护信息资源完整、真实。信息化背景下风险评估已成为数字档案实现安全管理和科学管理的必不可少的因素，关系到其安全的有效实现和功能价值发挥。 　　数字档案安全风险评估有理论和现实支撑作为依据。评估研究发展至今，已在诸多领域发展为成熟、系统的理论。众所周知，在现代企业质量管理、风险投资中， ＩＳＯ ９０００质量管理体系已树立了国际权威，风险投资机构在市场投资中也不可或缺。安全评估由于是对关乎系统功能的潜在风险的判析，对其研究符合国家信息安全战略，与此相适应，数字档案安全研究正成为档案事业关注的重要内容，而管理评估理论、档案安全理论、生命周期理论、档案鉴定理论、信息安全防御和检测等理论和实践的发展，以及当前已有的法律规范或标准，如《电子文件归档与管理规范》《计算机信息系统安全保护条例》《信息安全等级保护管理办法》《档案信息系统安全等级保护定级工作指南》等，为数字档案安全风险评估标准体系建立提供了基础。 　　2数字档案安全风险评估的现实与关键分析 　　2.1 数字档案安全风险评估的现实 　　档案管理对评估的应用主要表现在利用效果、环境方面，在信息安全得到重视的环境下信息系统安全等级保护与风险评估开始推进，随着档案管理信息化应用的深入，数字档案安全评估逐渐受到关注。然而当前对其系统的应用较少，风险评估意识还尚显淡薄；多数属于面临危机的被动检测，并未纳入到过程管理中；检测方法相对简单，经验性和主观性特征突出，而实行风险检测时对技术较为偏重，体现出安全保护体系不完善的现实。 　　2.2 数字档案安全风险评估的关键点 　　数字档案安全风险评估受到环境、主观意识、管理等因素的影响，变量因素间的互动交织影响着安全和评估，这要求加强安全保障体系的建设。如将其风险评估视为系统，在实现上，首先应是对系统性、层级性原则的坚持，即评估要贯穿信息安全保障全过程，覆盖数字档案从生成、传递、存储到利用的全部环节，要综合组织管理、技术、环境和法律因素进行评估，要对密级不同的数字档案、系统的不同功能模块实行多层次有区别评估；其次，在评估对象和风险要素确认、评估框架建构和评估分析的整个流程中，关键是评估方法的选用和风险要素的确认。 　　（1）评估方法的选用关乎评估策略的实施和效果实现。数字档案管理由于信息种类、格式多样，信息、系统和网络的管理特点差异较大，受诸多因素作用的结果各异，因此方法选用对评估行为的有效性至关重要。信息安全评估主要有专家调查评估法、事件树分析法（基于事故推演产生原因）、故障树分析法（图形化地逻辑分析由因而果的联系事件）和风险评审法（对决策进行仿真项目的风险可能推演），前3种是易被接受的方法，而风险评审法相对适应风险性极其不确定决策的评估。笔者认为，首先，不同类型的档案机构由于其管理方式、资源类型的不同，不同方法的选用、实现应该体现出差异；其次，视数字档案管理具体情况，可采取一种或多种方法，而不局限于单一方法使用；再次，要考量是否要经常性评估、评估时间要求、科学性要求和体制因素限制等，科学设计评估实现步骤和策略，坚持科学性、实用性和独立性的灵活创新，不要一味追求科学、系统而忽略条件的限制。 　　（2）风险要素的确认是评估指标体系建立的内核。数字档案安全风险评