■譚燕萍

檔案信息安全風(fēng)險(xiǎn)評(píng)估多元主體模式優(yōu)化分析★

■譚燕萍

本文探討了多元評(píng)估主體模式形成的基礎(chǔ)，并對(duì)其存在的問題進(jìn)行分析，提出可行的多元評(píng)估主體模式優(yōu)化路徑。

風(fēng)險(xiǎn)評(píng)估主體 多元評(píng)估主體模式檔案信息安全 優(yōu)化路徑

評(píng)估活動(dòng)首要確定評(píng)估的主持機(jī)構(gòu)，即由誰主導(dǎo)評(píng)估活動(dòng)的進(jìn)行，這個(gè)機(jī)構(gòu)就是通常所說的評(píng)估主體。評(píng)估主體的構(gòu)成、資質(zhì)、業(yè)務(wù)水平、素質(zhì)、態(tài)度是決定評(píng)估活動(dòng)能否取得實(shí)效的關(guān)鍵因素。

從我國(guó)各地開展的檔案信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐來看，評(píng)估主體的模式主要分為內(nèi)部評(píng)估主體模式、外部評(píng)估主體模式、多元評(píng)估主體模式三種。隨著檔案信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)的深入開展，檔案部門主導(dǎo)、各方參與的多元評(píng)估主體模式逐漸確立，即主要由檔案部門內(nèi)部組成的具備相應(yīng)條件的相對(duì)獨(dú)立機(jī)構(gòu)、具備相應(yīng)資質(zhì)的檔案部門外部的社會(huì)專業(yè)機(jī)構(gòu)、專家等組成。它有效克服了單純的內(nèi)部評(píng)估主體模式易造成評(píng)估工作的形式化，以及完全獨(dú)立的外部評(píng)估主體模式缺乏實(shí)際操作性的弊端，更好地發(fā)揮了各評(píng)估主體的優(yōu)勢(shì)。然而，多元評(píng)估主體模式的運(yùn)行也還處于探索的階段，實(shí)踐中仍存在著一些問題亟須解決。

一、多元評(píng)估主體模式形成的基礎(chǔ)

從我國(guó)各地開展的檔案信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)踐來看，多元評(píng)估主體模式是在充分吸取內(nèi)部評(píng)估主體模式和外部評(píng)估主體模式優(yōu)點(diǎn)的基礎(chǔ)上，有效避免兩者的弊端而形成的檔案部門主導(dǎo)、各方參與的評(píng)估主體模式。

（一）內(nèi)部評(píng)估主體模式

內(nèi)部評(píng)估主體模式是由檔案部門具備相應(yīng)條件的相對(duì)獨(dú)立的內(nèi)部機(jī)構(gòu)或人員來組織進(jìn)行檔案信息安全風(fēng)險(xiǎn)評(píng)估，即典型的“同體評(píng)估”。例如，天津市開展的檔案安全風(fēng)險(xiǎn)評(píng)估，由新成立的檔案安全風(fēng)險(xiǎn)評(píng)估工作領(lǐng)導(dǎo)小組負(fù)責(zé)組織實(shí)施，具體成員由檔案各職能部門組成，是典型的內(nèi)部評(píng)估主體模式。

內(nèi)部評(píng)估主體模式的優(yōu)點(diǎn)：熟悉檔案信息系統(tǒng)建設(shè)、維護(hù)全過程，對(duì)檔案利用服務(wù)需求、檔案信息系統(tǒng)薄弱環(huán)節(jié)熟悉了解，能夠及時(shí)發(fā)現(xiàn)問題、并有效調(diào)動(dòng)資源尋求解決方案，提高評(píng)估效率。

內(nèi)部評(píng)估主體模式的局限性：一是評(píng)估結(jié)果客觀性不強(qiáng)。評(píng)估涉及檔案信息管理的各個(gè)環(huán)節(jié)、部門，評(píng)估主體來源于檔案部門內(nèi)部，容易出現(xiàn)主觀偏好，影響評(píng)估結(jié)果的客觀性。另外，安全風(fēng)險(xiǎn)的出現(xiàn)往往折射出管理上的漏洞，是對(duì)自身的質(zhì)疑。來源于檔案部門內(nèi)部的評(píng)估主體難以保持中立的態(tài)度，因而容易造成評(píng)估流于形式，影響評(píng)估結(jié)果的客觀性。二是評(píng)估專業(yè)性、技術(shù)性不高。風(fēng)險(xiǎn)評(píng)估是一門專業(yè)性、技術(shù)性很強(qiáng)的學(xué)科，有著系統(tǒng)的操作規(guī)范，檔案部門是在2010年檔案安全保障體系確立之后才引入檔案風(fēng)險(xiǎn)評(píng)估的理念，精通風(fēng)險(xiǎn)評(píng)估理論和實(shí)踐操作的人才還很缺乏，因此，評(píng)估采用的方法、技術(shù)相對(duì)簡(jiǎn)單，使得評(píng)估流于表面，直接影響評(píng)估的專業(yè)性。三是評(píng)估缺乏常態(tài)性和規(guī)律性。目前評(píng)估工作大多是以風(fēng)險(xiǎn)評(píng)估領(lǐng)導(dǎo)小組，這種臨時(shí)性組建的組織機(jī)構(gòu)形式開展，風(fēng)險(xiǎn)評(píng)估職能還不能內(nèi)化為組織機(jī)構(gòu)內(nèi)部常規(guī)化職能，這容易導(dǎo)致運(yùn)動(dòng)式評(píng)估。這種突擊式的評(píng)估容易使得評(píng)估缺乏常態(tài)性和規(guī)律性，不適應(yīng)大數(shù)據(jù)時(shí)代檔案信息安全常規(guī)化、系統(tǒng)化的保障需求。

（二）外部評(píng)估主體模式

外部評(píng)估主體模式是由檔案部門以外的具備相應(yīng)資質(zhì)的社會(huì)專業(yè)機(jī)構(gòu)或人員提供技術(shù)支持，進(jìn)行檔案信息安全風(fēng)險(xiǎn)評(píng)估，可以是學(xué)術(shù)團(tuán)體、專業(yè)評(píng)估服務(wù)機(jī)構(gòu)、社會(huì)中介組織、專家學(xué)者等。

外部評(píng)估主體模式的優(yōu)點(diǎn)：機(jī)構(gòu)獨(dú)立性強(qiáng)，評(píng)估結(jié)果相對(duì)客觀；評(píng)估專業(yè)性強(qiáng)，擁有豐富的評(píng)估實(shí)踐以及專門的評(píng)估技術(shù)的專業(yè)評(píng)估人員。

外部評(píng)估主體模式的局限性：一是評(píng)估信息獲取難度大，需要檔案部門的配合，不能獨(dú)自開展評(píng)估工作，評(píng)估阻力大。二是評(píng)估動(dòng)力缺乏。與檔案信息安全風(fēng)險(xiǎn)評(píng)估沒有相關(guān)利益關(guān)系，只是被動(dòng)的接受評(píng)估要求，評(píng)估動(dòng)力不足。三是評(píng)估效力不足。評(píng)估結(jié)果在檔案部門采納前，只作為學(xué)理上的研究，不具備行政效力，權(quán)威性不足。

（三）多元評(píng)估主體模式

單純的內(nèi)部評(píng)估主體模式容易造成評(píng)估工作的形式化，完全獨(dú)立的第三方主持評(píng)估工作，缺乏實(shí)際操作性。多元主體模式是檔案部門主導(dǎo)、各方參與的評(píng)估主體模式，主要由檔案部門內(nèi)部組成的具備相應(yīng)條件的相對(duì)獨(dú)立機(jī)構(gòu)、具備相應(yīng)資質(zhì)的檔案部門外部的社會(huì)專業(yè)機(jī)構(gòu)、專家等組成。多元主體模式的優(yōu)點(diǎn)：能夠克服內(nèi)部評(píng)估主體模式和外部評(píng)估主體模式的弊端，能更好地發(fā)揮各評(píng)估主體的優(yōu)勢(shì)。它明確了檔案部門在評(píng)估主體的主導(dǎo)地位，能夠?yàn)闄n案安全風(fēng)險(xiǎn)評(píng)估提供強(qiáng)有力的動(dòng)力保障。此外，倡導(dǎo)多方參與，特別是專業(yè)的社會(huì)評(píng)估機(jī)構(gòu)、評(píng)估專家對(duì)評(píng)估活動(dòng)的智力的支持，保障評(píng)估的專業(yè)性、客觀性。但同時(shí)多元評(píng)估主體模式的運(yùn)行也還處于探索的階段，仍存在著一些問題亟須解決。

二、檔案信息安全風(fēng)險(xiǎn)評(píng)估多元主體模式存在的問題

（一）具有相應(yīng)檔案信息安全風(fēng)險(xiǎn)評(píng)估資質(zhì)的第三方機(jī)構(gòu)尚未形成

目前，專門從事檔案信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的機(jī)構(gòu)尚未形成，現(xiàn)階段主要由檔案信息系統(tǒng)開發(fā)商提供相關(guān)的安全風(fēng)險(xiǎn)評(píng)估服務(wù)。例如，上海中信信息發(fā)展股份有限公司為國(guó)家檔案局、浙江、福建、江蘇、廣西、遼寧、上海、天津等12個(gè)檔案局（館）建設(shè)數(shù)字檔案館[1]，并同時(shí)提供風(fēng)險(xiǎn)評(píng)估、漏掃滲透、安全架構(gòu)設(shè)計(jì)、信息系統(tǒng)冗余備份設(shè)計(jì)等方面的信息安全服務(wù)[2]。上海信安達(dá)檔案文件管理有限公司提供風(fēng)險(xiǎn)評(píng)估、制定信息管理規(guī)定、信息管理培訓(xùn)等信息風(fēng)險(xiǎn)管理服務(wù)[3]。

由于目前第三方評(píng)估機(jī)構(gòu)尚在孕育中，不能適應(yīng)檔案信息安全風(fēng)險(xiǎn)評(píng)估的要求：一是所能提供的評(píng)估層次級(jí)別比較低。目前所提供的評(píng)估服務(wù)還僅限于運(yùn)用安全檢查工具對(duì)檔案信息系統(tǒng)進(jìn)行安全檢測(cè)，這樣得到的安全評(píng)估結(jié)果可信度不高，容易以偏概全，不適用于復(fù)雜的檔案信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估。二是缺乏信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)服務(wù)資質(zhì)認(rèn)證，游離在國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)規(guī)范管理之外。中國(guó)信息安全認(rèn)證中心2017年1月3日公布的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證獲證組織名單達(dá)167家[4]，但從事檔案信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的相關(guān)企業(yè)尚不在其中。三是目前評(píng)估安全保障機(jī)制缺乏，對(duì)服務(wù)機(jī)構(gòu)提供的評(píng)估安全保障缺乏控制力、約束力。

（二）檔案信息安全風(fēng)險(xiǎn)評(píng)估專家運(yùn)行機(jī)制缺乏，專家的有效性得不到最大發(fā)揮

評(píng)估專家來源廣泛，有來自檔案系統(tǒng)內(nèi)部的，也有來自檔案系統(tǒng)外部的，例如高校、科研機(jī)構(gòu)，企業(yè)等。專家作為多元化主體模式中重要的一員，來自檔案信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)領(lǐng)域的權(quán)威，具有專業(yè)優(yōu)勢(shì)，熟練掌握評(píng)估相關(guān)專業(yè)領(lǐng)域知識(shí)和評(píng)估相關(guān)技能，為評(píng)估提供智力支持，確保評(píng)估結(jié)果的客觀性，保障評(píng)估的公平、公正。但由于評(píng)估專家運(yùn)行機(jī)制還未建立起來，使得專家的有效性得不到最大的發(fā)揮，存在以下問題：一是評(píng)估專家參與評(píng)估隨意性大，評(píng)估隊(duì)伍缺乏穩(wěn)定性。目前還沒有專家參與評(píng)估的相關(guān)具體規(guī)定，例如對(duì)于是否需要專家，如何確定專家名單，專家在評(píng)估組的比例等，隨意性較大。另外，評(píng)估專家往往是由于評(píng)估的需要臨時(shí)組織，成員變動(dòng)大，難以形成穩(wěn)定的組織和團(tuán)隊(duì)來從事評(píng)估的專門活動(dòng)。二是專家的中立性缺乏保障。專家的中立性地位是評(píng)估結(jié)果客觀的保障，專家的遴選、組織由檔案部門負(fù)責(zé)，專家的獨(dú)立性缺乏相關(guān)制度保障，容易受檔案行政管理部門的影響，易出現(xiàn)主觀偏好，影響評(píng)估結(jié)果的客觀性。三是專家結(jié)構(gòu)設(shè)置影響評(píng)估效果。評(píng)估專家的知識(shí)和經(jīng)驗(yàn)水平難免會(huì)影響評(píng)估結(jié)果，由于還沒有建立合理規(guī)范的專家制度對(duì)專家結(jié)構(gòu)進(jìn)行科學(xué)合理設(shè)置，因此不能有效消除專家自身專業(yè)局限對(duì)評(píng)估結(jié)果產(chǎn)生的不良影響。四是心理誤差影響評(píng)估結(jié)果。在評(píng)估過程中，專家難免受到首因效應(yīng)、近因效應(yīng)、從眾效應(yīng)、情緒效應(yīng)等心理誤差影響和干擾檔案信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果。

三、檔案信息安全風(fēng)險(xiǎn)評(píng)估多元主體模式優(yōu)化的路徑

（一）做好檔案信息安全風(fēng)險(xiǎn)評(píng)估的頂層設(shè)計(jì)

檔案信息安全風(fēng)險(xiǎn)評(píng)估多元主體模式的優(yōu)化首要做好檔案信息安全風(fēng)險(xiǎn)評(píng)估的頂層設(shè)計(jì)，明確檔案信息安全風(fēng)險(xiǎn)評(píng)估主體，并做好各評(píng)估主體的相關(guān)職能界定；做好評(píng)估相關(guān)政策、法規(guī)、標(biāo)準(zhǔn)的制定。按照評(píng)估發(fā)起者的不同可以分為自評(píng)估和檢查評(píng)估。在自評(píng)估階段，技術(shù)支持可以由具備相應(yīng)資質(zhì)的檔案部門外部的社會(huì)專業(yè)機(jī)構(gòu)提供。檢查評(píng)估由上級(jí)政府信息化主管部門和上級(jí)檔案行政管理部門發(fā)起。專家則貫穿評(píng)估始終，為檔案信息安全風(fēng)險(xiǎn)評(píng)估提供智力支持。

（二）加強(qiáng)檔案信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)的培育和監(jiān)管

1.支持購(gòu)買評(píng)估服務(wù)，確定評(píng)估服務(wù)機(jī)構(gòu)合法身份。對(duì)于檔案信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)的發(fā)展，檔案行政管理部門的態(tài)度應(yīng)該是支持并鼓勵(lì)的，允許并鼓勵(lì)檔案信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)充分發(fā)揮自身技術(shù)的優(yōu)勢(shì)，積極參與評(píng)估，特別是自評(píng)估環(huán)節(jié)。將非涉密的檔案信息安全風(fēng)險(xiǎn)評(píng)估納入社會(huì)購(gòu)買服務(wù)的范圍，列入政府采購(gòu)清單，提供評(píng)估技術(shù)性服務(wù)。

2.優(yōu)化評(píng)估服務(wù)機(jī)構(gòu)發(fā)展環(huán)境。及時(shí)發(fā)布檔案信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)供需信息，為供需雙方提供精準(zhǔn)服務(wù)。吸收評(píng)估服務(wù)機(jī)構(gòu)相關(guān)技術(shù)專家進(jìn)入檔案信息安全風(fēng)險(xiǎn)評(píng)估專家?guī)臁?/p>

3.做好相關(guān)制度設(shè)計(jì)，加強(qiáng)監(jiān)管。制定檔案信息安全風(fēng)險(xiǎn)評(píng)估行業(yè)標(biāo)準(zhǔn)，完善評(píng)估機(jī)構(gòu)的準(zhǔn)入機(jī)制、評(píng)價(jià)機(jī)制、退出機(jī)制。對(duì)評(píng)估服務(wù)機(jī)構(gòu)提出明確資質(zhì)要求并進(jìn)行資格認(rèn)證，從源頭上確保評(píng)估的專業(yè)性、技術(shù)性。目前，中國(guó)信息安全認(rèn)證中心從評(píng)估服務(wù)機(jī)構(gòu)的法律地位、財(cái)務(wù)資信、辦公場(chǎng)所、人員素質(zhì)與資質(zhì)、業(yè)績(jī)、服務(wù)管理、服務(wù)合同、服務(wù)安全、服務(wù)技術(shù)、專業(yè)評(píng)價(jià)等方面進(jìn)行服務(wù)資質(zhì)等級(jí)認(rèn)證。采用服務(wù)質(zhì)量評(píng)價(jià)、信用評(píng)價(jià)等新型監(jiān)管模式，創(chuàng)新檔案信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)的監(jiān)管。將評(píng)估過程的安全監(jiān)管與行業(yè)的退出機(jī)制結(jié)合起來，防止風(fēng)險(xiǎn)評(píng)估過程安全事件、泄密事故發(fā)生，將評(píng)估的安全風(fēng)險(xiǎn)控制在最低。

（三）建立健全檔案信息安全風(fēng)險(xiǎn)評(píng)估專家制度

1.嚴(yán)格把好“入口關(guān)”，建立科學(xué)、完善的專家遴選機(jī)制。建立由學(xué)歷、職稱、榮譽(yù)等基本指標(biāo)、職業(yè)道德修養(yǎng)指標(biāo)、專業(yè)業(yè)績(jī)指標(biāo)等構(gòu)成的專家遴選指標(biāo)體系，經(jīng)過嚴(yán)格的遴選程序，遴選出一批專家組成專業(yè)結(jié)構(gòu)、年齡結(jié)構(gòu)、職稱結(jié)構(gòu)、研究領(lǐng)域等配置合理的檔案信息安全風(fēng)險(xiǎn)評(píng)估專家?guī)臁?/p>

2.建立科學(xué)的專家?guī)爝\(yùn)行機(jī)制。由專家?guī)旃芾砦瘑T會(huì)對(duì)遴選入庫(kù)的專家進(jìn)行聘任、培訓(xùn)、考核，實(shí)行動(dòng)態(tài)管理。

3.建立專家咨詢機(jī)制。對(duì)專家提供咨詢的方式、途徑、環(huán)節(jié)等方面做出詳細(xì)的規(guī)定，提升專家咨詢的效果，確保專家智囊團(tuán)作用的發(fā)揮。

4.建立完善有效的激勵(lì)機(jī)制。為有效的激發(fā)專家的潛能，可以通過提供專家交流、考察、學(xué)習(xí)、培訓(xùn)的機(jī)會(huì)，為專家自身發(fā)展提供空間，實(shí)現(xiàn)復(fù)合型專家培養(yǎng)的目標(biāo)。

5.建立嚴(yán)格的責(zé)任追究機(jī)制。為切實(shí)保障評(píng)估本身的安全，專家除了職業(yè)道德的自我約束之外，還應(yīng)從制度上建立專家責(zé)任追究機(jī)制，以保障檔案信息安全風(fēng)險(xiǎn)評(píng)估的正確性、科學(xué)性、安全性。

[1]數(shù)字檔案館解決方案[EB/OL].[2017-1-9].http://www.cesgroup.com.cn/platformData/infoplat/pub/zxxx_12/web/szdagztjjfa_new.jsp.

[2]服務(wù)支持 [EB/OL].[2017-1-9].http: //www.cesgroup.com.cn/platformData/infoplat/pub/zxxx_12/web/s1services.jsp.

[3]信息風(fēng)險(xiǎn)管理[EB/OL].[2017-1-2].http: //www.grmchina.com/zh/solutions/information _risk_management.php.

[4]信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證獲證組織名單 [EB/OL].[2017-1-9].http://www.isccc.gov.cn/zxyw/fwzzrz/fwzzrzzscx/09/870938.shtml.

作者單位：廣西民族大學(xué)檔案館

本文系廣西民族大學(xué)科研基金資助課題“檔案安全風(fēng)險(xiǎn)評(píng)估專家咨詢制度設(shè)計(jì)”（項(xiàng)目編號(hào)：2016MDYB015）、廣西民族大學(xué)相思湖青年學(xué)者創(chuàng)新團(tuán)隊(duì)資助課題階段性成果。