郭 寧

（濱州市濱城區(qū)檔案館，山東 濱州 256600）

傳統模式下，檔案館采取的是紙質管理模式，這種管理模式效率低，從檔案信息資料的采集，到分析處理，再到儲存、管理、后期利用，其效率均不夠高[1]。而在網絡信息快速發(fā)展的背景下，各大檔案館均致力于數字化檔案館的建設。而在數字化檔案館建設過程中，會面臨檔案信息安全問題，為了使檔案信息安全風險問題得到有效預防控制，則有必要做好數字化檔案館的信息安全風險評估工作。由此可見，本文圍繞“數字化檔案館信息安全風險評估”進行分析探討價值意義顯著。

1 檔案資源的確定

數字化檔案館信息安全風險評估是一項系統化的工作，相關工作人員需保持嚴謹的工作態(tài)度，規(guī)范評估流程，并嚴格執(zhí)行評估流程。在該工作流程中，檔案資源（以下簡稱為“資源”）的確定是首要工作。并且，在數字檔案館組織目標實現過程中，資源為物質基礎部分[2]。信息安全風險層面上的威脅，主要針對資源而存在。通過對相關資源的確定，能夠為數字化檔案館信息安全風險潛在的威脅及脆弱性的識別，提供必要的條件。倘若此環(huán)節(jié)的工作未能落實到位，則會使后續(xù)評估工作的效率及質量受到影響。在此環(huán)節(jié)，主要的工作包括：1）對數字化檔案館具備哪些信息資源；2）對相關資源的價值進行確定；3）分析研究相關資源的價值對數字化檔案館目標的執(zhí)行及完成之間的關聯性等。需認識到的是，在數字化檔案館中，其資源范圍廣泛，比如：紙質文件、服務、軟件資源、信息資源以及人員等，均屬于資源的范疇。此外，在資源評估工作開展過程中，需以關鍵業(yè)務作為切入點，然后井然有序地將全部關鍵資源覆蓋，確保資源評估工作的完整性及規(guī)范性。

2 威脅及脆弱性的識別

基于數字化檔案館信息安全風險評估工作開展期間，需認識到的是，其資源風險，根本原因在于資源潛在脆弱性的特點[3]。同時，從客觀層面分析，相關脆弱性要素，在未能有效預防控制的基礎上，又會使數字化檔案館目標的執(zhí)行及實現受到較大程度的威脅。因此，在其信息安全風險評估過程中，需對潛在的威脅、脆弱性進行詳細識別。例如：“威脅數字化檔案館信息安全的威脅性有哪些？”、“相關脆弱性易被哪些人群利用？”等等。在對相關威脅及脆弱性問題加以明確的基礎上，才能夠確保評估工作具有參考對象。需認識到的是，在數字化檔案館信息安全風險評估工作開展過程中，需認識到對其資源造成威脅，并引發(fā)脆弱性問題的主要因素有：人、事、物等；針對這些威脅及脆弱性問題，可采取加強相關人員管理、引進現代化科學技術等方式，使威脅及脆弱性問題得到有效防控，進而保證檔案信息的安全性。

3 目前防控措施的識別

在數字化檔案館構建完成之后，在信息安全防控工作開展期間，會制定并實施相關檔案管理制度，并通過技術的引進及應用的方式，使信息安全得到一定程度的維護。而采取的維護措施是否有效，則需進行識別。所以，做好目前防控措施的識別工作是非常重要的。一方面，需對落實了哪些防控措施加以了解；另一方面，需對落實的措施的合理性、完整性、有效性等進行識別及判斷。倘若落實的措施合理、有效，則能夠在一定程度上降低數字化檔案館信息安全風險；反之，倘若落實的措施不合理、缺乏有效性，則其信息安全風險難以得到有效防控，進而會對數字化檔案館相關資源受到嚴重威脅。因此，總結起來，需確保數字化檔案館信息安全防控措施的有效性、合理性及完整性。

4 安全事件發(fā)生的可能性及損失的識別

在數字化檔案館信息安全管理工作開展過程中，需認識到的是，脆弱性及威脅的存在，并非絕對會發(fā)生風險。主要是因為，脆弱性是主觀存在的，而威脅則是客觀存在的。其中，對于潛在的威脅來說，具有轉化成現實安全風險事件的可能性，也可能自行消除。對于損失來說，當威脅轉變?yōu)榘踩L險事件的基礎上，才會發(fā)生。所以，在對其防控措施進行識別前期，需重視對安全事件發(fā)生的可能性及損失進行識別。將安全事件發(fā)生的可能性及損失的嚴重程度、等級進行合理劃分，然后采取有針對性的防控措施，以此有矢放地保障數字化檔案館信息的安全性。

5 風險大小的確定

上述工作順利、有效完成的條件下，確定數字化檔案館信息安全風險的大小則較為簡單。主要以安全風險事件出現的概率、引發(fā)的損失為依據，則可以對風險的大小進行確定[4]。風險大小的明確，可能為后續(xù)決策的制定及執(zhí)行提供客觀、科學的依據。

6 決策的確定及執(zhí)行

決策的確定及執(zhí)行，為數字化檔案館信息安全風險評估工作的最末環(huán)節(jié)，即完成一系列風險評估之后，制定決策，實施決策，使數字化檔案館信息安全得到有效保證。而決策的確定及執(zhí)行的主要內容包括：1）決策的制定。在決策制定過程中，首先需結合潛在的風險是否能夠接受進行評估，倘若不能接受，則需對降低或消除風險需作出哪些投入。風險決策的實施，根據風險大小的不同，所需成本也不同，因此需要對風險和成本之間進行合理權衡。并且，決策的制定不能一意孤行，需采納相關部門管理人員及技術人員的建議及意見，確保決策制定的客觀性及科學性。2）決策的執(zhí)行。將決策制定好之后，執(zhí)行非常關鍵。倘若光有決策，而不執(zhí)行，則決策如同虛設，前面的一系列工作的成果也難以得到有效轉化[5]。因此，在決策執(zhí)行過程中，需嚴格按照制定的決策的計劃方案實施，以此確保決策實施的規(guī)范性。與此同時，在數字化檔案館信息安全風險防范過程中，可能實施決策期間，還會有新的風險問題出現，所以及時改進決策方案也非常關鍵?？傮w而言，信息安全風險是一個動態(tài)變化的過程，所以決策的執(zhí)行也需要具備一定的彈性，否則難以保障風險防控效果的綜合效益。

7 結語

綜上所述，基于數字化檔案館信息安全風險評估工作開展過程中，需明確風險評估工作流程，嚴格按照“檔案資源的確定→威脅及脆弱性的識別→安全事件發(fā)生的可能性及損失的識別→風險大小的確定→決策的確定及執(zhí)行”流程執(zhí)行。與此同時，根據實踐工作經驗發(fā)現在數字化檔案館信息安全風險評估工作期間，其風險評估要素主要有三個：其一，為資源識別要素；其二，為威脅性識別要素；其三，為脆弱性識別要素。其中，在資源識別過程中，需重視對數字化檔案館當中的相關數據信息、軟件、硬件、服務以及人員等資源的識別；在威脅性識別過程中，需重視對信息安全管理工作是否落實到位、信息安全技術人才是否完備、信息安全管理及技術人員工作是否負責等進行是被；在脆弱性識別過程中，則需重視黑客攻擊威脅、計算機病毒威脅、環(huán)境威脅等?？傊?，需結合不同的風險因素，采取有針對性的解決措施，從而確保數字化檔案館信息安全風險得到全面、高效地防控。