李林

【摘要】本文從電子文件風(fēng)險(xiǎn)管理運(yùn)用于電子文件安全維護(hù)的必要性和加強(qiáng)電子文件安全的迫切性、電子文件風(fēng)險(xiǎn)管理的發(fā)展使電子文件安全維護(hù)成為可能三個(gè)方面認(rèn)識(shí)風(fēng)險(xiǎn)管理對(duì)電子文件安全性的重要意義，從而深入了解電子文件管理中存在的問(wèn)題，使電子文件能夠擁有安全穩(wěn)定的發(fā)展過(guò)程，從而有效規(guī)避風(fēng)險(xiǎn)。

【關(guān)鍵詞】電子文件；風(fēng)險(xiǎn)管理；信息安全

一、電子文件風(fēng)險(xiǎn)管理運(yùn)用于電子文件安全維護(hù)的必要性

電子文件是信息系統(tǒng)的血脈。電子文件承載著信息系統(tǒng)最基本的數(shù)據(jù)、信息。如ERMS（電子文件管理系統(tǒng)）就是一個(gè)特定類型的信息系統(tǒng)，專門用于管理和保存那些可以為業(yè)務(wù)活動(dòng)提供證據(jù)的文件。如果一個(gè)信息系統(tǒng)癱瘓或出現(xiàn)故障，那么其電子文件就會(huì)遭受破壞，則導(dǎo)致機(jī)關(guān)，國(guó)家及社會(huì)記憶的缺失。統(tǒng)計(jì)數(shù)據(jù)表明，20%-30%以上的計(jì)算機(jī)安全問(wèn)題會(huì)不同程度地導(dǎo)致信息丟失，10%-20%以上的安全問(wèn)題會(huì)導(dǎo)致信息失密。而另一項(xiàng)調(diào)查結(jié)果稱，2000年各種計(jì)算機(jī)安全事故造成的損失中，30%-40%是由于電子文件的泄漏造成的。電子文件的丟失或泄露造成信息系統(tǒng)內(nèi)容的不完整或永久缺失，這不僅關(guān)系著形成機(jī)構(gòu)的命運(yùn)，而且牽動(dòng)著社會(huì)的發(fā)展。風(fēng)險(xiǎn)管理作為一種預(yù)見(jiàn)性管理方法，可以針對(duì)造成風(fēng)險(xiǎn)的主要因素制定風(fēng)險(xiǎn)管理對(duì)策，最大程度地維護(hù)電子文件的完整與安全。

電子文件的生成、傳遞、利用、保存都是基于計(jì)算機(jī)系統(tǒng)的，計(jì)算機(jī)系統(tǒng)雖然強(qiáng)大，但存在巨大的安全風(fēng)險(xiǎn)。每一項(xiàng)技術(shù)或管理的漏洞都有可能導(dǎo)致文件質(zhì)量的缺損以至于造成更大的經(jīng)濟(jì)損失。根據(jù)Carnegie Mellon大學(xué)的估計(jì)，每1000行代碼一般有5～15個(gè)程序缺陷，當(dāng)今的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及各種應(yīng)用程序，代碼數(shù)量動(dòng)輒幾萬(wàn)行或幾十萬(wàn)行，存在漏洞的可能性是非常大的。除了計(jì)算機(jī)系統(tǒng)自身的缺陷外，人為事故也越來(lái)越嚴(yán)重。2013年5月8日荷蘭政府發(fā)言人表示，政府機(jī)構(gòu)的網(wǎng)站遭黑客以直接拒絕服務(wù)（DDoS）攻擊，令網(wǎng)站癱瘓數(shù)小時(shí)，其后在電腦專家的協(xié)助下恢復(fù)運(yùn)作。對(duì)于這些偶然性、不可避免的事故，電子文件管理不僅要做好后期事故應(yīng)對(duì)措施，而且要未雨綢繆，提前做好電子文件風(fēng)險(xiǎn)監(jiān)控、評(píng)估，對(duì)即將發(fā)生的漏洞事故，進(jìn)行前瞻性的控制，避免不必要的損失。

電子文件與傳統(tǒng)文件存在巨大差異，也意味著電子文件信息遠(yuǎn)比一般信息面臨的風(fēng)險(xiǎn)更嚴(yán)峻復(fù)雜，所以“雙套制”、“雙軌制”的應(yīng)用也是基于這一特殊性的。檔案的“雙套制”是指同一份文件，采取電子和紙質(zhì)兩種形式鑒定、整理、保存、歸檔；“雙軌制”，是指紙質(zhì)文件和電子文件同步隨業(yè)務(wù)流程運(yùn)轉(zhuǎn)。這是電子文件現(xiàn)階段比較安全和保守的做法。但隨著大量的電子文件的產(chǎn)生，雙軌制、雙套制這種將電子文件和傳統(tǒng)文件結(jié)合的管理方式已無(wú)力解決管理中出現(xiàn)的問(wèn)題，如紙質(zhì)版本的真實(shí)性與完整性難以保證；工作量及成本增加等；所以風(fēng)險(xiǎn)管理可以從電子文件本身特點(diǎn)出發(fā)，建立一套科學(xué)的風(fēng)險(xiǎn)管理策略及體系，應(yīng)對(duì)電子文件保管中出現(xiàn)的一些問(wèn)題。

二、加強(qiáng)電子文件安全的迫切性急需風(fēng)險(xiǎn)管理

電子文件的安全是電子文件質(zhì)量的保障，是電子文件有效利用的前提，更是電子檔案完整真實(shí)保存的基礎(chǔ)。加強(qiáng)電子文件的安全性迫在眉睫，需要風(fēng)險(xiǎn)管理的全程規(guī)劃控制和風(fēng)險(xiǎn)應(yīng)對(duì)。

文件生命周期全程風(fēng)險(xiǎn)的疊加在電子文件的管理過(guò)程中表現(xiàn)明顯，嚴(yán)重影響電子文件的安全性。在電子文件的管理系統(tǒng)中，其階段性是比較模糊的，其風(fēng)險(xiǎn)等級(jí)從前期的生成期、流轉(zhuǎn)期到后期的保存期明顯呈現(xiàn)遞減趨勢(shì)。在生成和流轉(zhuǎn)過(guò)程中，物理設(shè)備為電子文件信息提供了記錄載體、存儲(chǔ)介質(zhì)、傳播通道、處理元器件等，由于科學(xué)技術(shù)更新快、管理不善、非法侵入等原因可能會(huì)造成信息載體老化、信息丟失、更改等不利于電子文件安全的后果，給流轉(zhuǎn)過(guò)程的數(shù)據(jù)交換與共享及存儲(chǔ)器的可讀性帶來(lái)隱患。而后期文件是基于前期的管理狀況，這就使電子文件不同階段的風(fēng)險(xiǎn)產(chǎn)生了疊加效應(yīng)。這種現(xiàn)象造成的損失將是無(wú)法彌補(bǔ)的。而風(fēng)險(xiǎn)管理可以針對(duì)風(fēng)險(xiǎn)成因進(jìn)行分析、識(shí)別，找到威脅因素加以控制。

電子文件風(fēng)險(xiǎn)管理研究是應(yīng)需而生的。它不是生搬硬套，而是基于對(duì)電子文件自身管理特點(diǎn)及其與機(jī)構(gòu)業(yè)務(wù)活動(dòng)之間關(guān)系的理解和把握。電子文件不同于傳統(tǒng)文件，其風(fēng)險(xiǎn)因素的多樣性從不同方面威脅著電子文件安全，只有將風(fēng)險(xiǎn)因素一一掌握，才能有效遏制風(fēng)險(xiǎn)，維護(hù)電子文件的安全性。風(fēng)險(xiǎn)因素是促使或引起風(fēng)險(xiǎn)事故的條件，以及風(fēng)險(xiǎn)事故發(fā)生時(shí)，致使損失增加、擴(kuò)大的條件?！峨娮游募L(fēng)險(xiǎn)管理》中比較系統(tǒng)全面地將風(fēng)險(xiǎn)因素分為三大類，分別為機(jī)構(gòu)內(nèi)部風(fēng)險(xiǎn)因素、社會(huì)環(huán)境風(fēng)險(xiǎn)因素和自然環(huán)境因素。其中機(jī)構(gòu)內(nèi)部風(fēng)險(xiǎn)包括文件管理業(yè)務(wù)、信息基礎(chǔ)設(shè)施、系統(tǒng)設(shè)計(jì)、文件管理制度、組織、人員、資金因素；社會(huì)環(huán)境因素涉及主管部門、規(guī)范體系、客戶因素等方面；自然因素包括保管場(chǎng)所、天災(zāi)、人禍三類。多樣的風(fēng)險(xiǎn)因素對(duì)電子文件的安全維護(hù)提出了更高的要求。電子文件的風(fēng)險(xiǎn)管理需要從系統(tǒng)、制度、人員素質(zhì)等各個(gè)方面加以規(guī)范，在風(fēng)險(xiǎn)事故發(fā)生之前及時(shí)識(shí)別和評(píng)估。

電子文件損壞所造成的損失是不可彌補(bǔ)的，電子文件安全保護(hù)急需未雨綢繆。電子文件作為檔案的一種特殊形式，是國(guó)家機(jī)構(gòu)、社會(huì)組織或個(gè)人在社會(huì)活動(dòng)中直接形成的有價(jià)值的歷史記錄，也是當(dāng)代傳承社會(huì)記憶的重要媒介。如果電子文件受損可能會(huì)造成相關(guān)機(jī)構(gòu)、個(gè)人乃至國(guó)家的利益損失和社會(huì)記憶的缺失。2006年8月15日美國(guó)宇航局爆出“阿波羅11號(hào)”飛船登月的原始錄像帶竟然在美國(guó)宇航局的戈達(dá)德航天中心丟失。2006年7月25日“格美”臺(tái)風(fēng)以200多毫米的強(qiáng)降水肆虐湖南省郴州北湖區(qū)致使全區(qū)城鄉(xiāng)洪水泛濫，500多卷檔案資料被沖毀，2臺(tái)電腦以及大量電子文件均被洪水浸泡。以上的實(shí)例中，電子文件的丟失，毀壞不僅造成了直接的經(jīng)濟(jì)損失，對(duì)于具有世界意義的重要文件的丟失，帶來(lái)的將是人類文明發(fā)展史和社會(huì)記憶的缺失。基于回避、降低損失的風(fēng)險(xiǎn)管理將是保護(hù)電子文件安全的有力選擇。

三、電子文件風(fēng)險(xiǎn)管理的發(fā)展使電子文件安全維護(hù)成為可能

風(fēng)險(xiǎn)管理20世紀(jì)30年代萌芽于美國(guó)，到50年代正式成為一門科學(xué)。1970年以后在全球興起了風(fēng)險(xiǎn)管理運(yùn)動(dòng)。風(fēng)險(xiǎn)管理作為一種管理方法和技術(shù)在國(guó)外的經(jīng)濟(jì)、軟件項(xiàng)目管理、文件管理、信息管理中已經(jīng)有不少研究和應(yīng)用，但是首次明確提出電子文件風(fēng)險(xiǎn)管理是在中國(guó)人民大學(xué)申報(bào)的國(guó)家社科基金項(xiàng)目重點(diǎn)課題《電子政務(wù)系統(tǒng)中文件管理風(fēng)險(xiǎn)防范于對(duì)策研究》，并將其作為獨(dú)立的對(duì)象加以系統(tǒng)地研究，形成了一套完整的管理框架和體系?，F(xiàn)在對(duì)電子文件風(fēng)險(xiǎn)管理的研究大部分是基于風(fēng)險(xiǎn)管理學(xué)研究方法的。近些年，國(guó)內(nèi)“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理”“計(jì)算機(jī)風(fēng)險(xiǎn)管理”“信息安全風(fēng)險(xiǎn)管理”發(fā)展的如火如荼；國(guó)外許多企業(yè)也將“信息風(fēng)險(xiǎn)”或“網(wǎng)絡(luò)風(fēng)險(xiǎn)”納入了企業(yè)風(fēng)險(xiǎn)管理的范疇。并且也推出了許多風(fēng)險(xiǎn)管理類的規(guī)范與著作，如《信息系統(tǒng)審計(jì)：安全、風(fēng)險(xiǎn)管理與控制》《信息安全風(fēng)險(xiǎn)管理指南（征求意見(jiàn)稿）》《風(fēng)險(xiǎn)管理—風(fēng)險(xiǎn)評(píng)估技術(shù)》（Risk management—Risk assessment techniques）等。風(fēng)險(xiǎn)管理的思想在各相關(guān)領(lǐng)域的成功運(yùn)用為電子文件風(fēng)險(xiǎn)管理的發(fā)展奠定了方法基礎(chǔ)和管理經(jīng)驗(yàn)。

電子文件風(fēng)險(xiǎn)管理的現(xiàn)有成果是電子文件安全維護(hù)的有力保障。中國(guó)人民大學(xué)《電子政務(wù)系統(tǒng)中文件管理風(fēng)險(xiǎn)防范于對(duì)策研究》中對(duì)電子文件風(fēng)險(xiǎn)管理研究出一套體系，其管理過(guò)程主要包括目標(biāo)設(shè)定、電子文件管理規(guī)劃、電子文件風(fēng)險(xiǎn)識(shí)別、電子文件風(fēng)險(xiǎn)評(píng)估、電子文件風(fēng)險(xiǎn)應(yīng)對(duì)、電子文件風(fēng)險(xiǎn)管理監(jiān)控六個(gè)方面。每一方面都制定了相關(guān)的模板、措施。如在電子文件風(fēng)險(xiǎn)識(shí)別中，主要使用的方法有頭腦風(fēng)暴法、德?tīng)柗品?、案例研究法、工作分解結(jié)構(gòu)圖、流程圖；電子文件風(fēng)險(xiǎn)評(píng)估模型以及電子文件風(fēng)險(xiǎn)應(yīng)對(duì)體系的理論模型。在電子文件風(fēng)險(xiǎn)評(píng)估和電子文件應(yīng)對(duì)中，考慮到了風(fēng)險(xiǎn)因素的多樣性，辨別風(fēng)險(xiǎn)，進(jìn)行分析研究及評(píng)估，然后找到與之相對(duì)的應(yīng)對(duì)策略。電子文件風(fēng)險(xiǎn)管理這整個(gè)流程按照“生命周期理論”從其生成、流轉(zhuǎn)到保存全階段進(jìn)行全過(guò)程管理，為電子文件的安全提供了有力的保障。

四、結(jié)語(yǔ)

電子文件作為現(xiàn)代社會(huì)文明發(fā)展重要的歷史記錄，其安全維護(hù)必須是我們檔案界以及各個(gè)機(jī)構(gòu)及國(guó)家應(yīng)該重視的問(wèn)題。電子文件風(fēng)險(xiǎn)管理是將風(fēng)險(xiǎn)管理理念引入電子文件管理，從反向思維的方式研究電子文件管理所面臨的種種問(wèn)題。電子文件風(fēng)險(xiǎn)管理不僅從風(fēng)險(xiǎn)因素出發(fā)對(duì)電子文件進(jìn)行研究與保管，而且提高了文書檔案人員的風(fēng)險(xiǎn)意識(shí)，避免了風(fēng)險(xiǎn)事故的發(fā)生。文書檔案人員在運(yùn)用風(fēng)險(xiǎn)管理的過(guò)程中，也可以尋找到電子文件管理的新思路。我們要進(jìn)一步總結(jié)和歸納電子文件風(fēng)險(xiǎn)管理理論和實(shí)踐經(jīng)驗(yàn)，加強(qiáng)電子文件風(fēng)險(xiǎn)管理的可操作性。

【參考文獻(xiàn)】

[1]馮慧玲著.電子文件風(fēng)險(xiǎn)管理，中國(guó)人民大學(xué)出版社，第44頁(yè).

[2]科飛管理咨詢公司.信息安全管理概，機(jī)械工業(yè)出版社，第42頁(yè).

[3][美]Bruce·Schneier著，吳世忠，馬芳譯.網(wǎng)絡(luò)信息安全的真相，機(jī)械工業(yè)出版社，第124頁(yè).

[4]《登月錄像丟了》.載《北京青年報(bào)》，2006-08-17.

[5]湖南省郴州市北湖區(qū)檔案信息網(wǎng)（http：//www.bhac.gov.cn/NEWS/printpage.asp？ Id=601）