从风险管理视角加强电子档案安全管理

　　基于风险管理的电子档案安全管理体系是一个系统化、程序化和档案化的管理体系。基于“系统、全面、动态、科学”的安全风险评估，体现“预防控制为主”的思想，强调遵守国家有关信息安全原则前提下，合理选择控制方式以保护电子档案，使电子档案安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子档案的安全管理，档案管理部门应尽快建立自身的电子档案风险管理体系。
　　
　　1风险管理与安全管理关系的认识
　　
　　笔者认为，从信息安全风险管理的视角，来审视电子档案的安全管理问题很有意义。通过对风险管理与安全管理关系的认识，我们可以更加深入地了解当前电子档案安全管理存在的问题，进一步认清电子档案安全管理工作存在的不足之处和改进方向。
　　要对风险与安全有深刻的认识。风险包含“威胁”和“机会”两层含义，即风险造成的影响包括“消极的威胁”和“积极的机会”两面，而不仅指传统意义的威胁。风险管理本身就是安全管理一部分，而且，是核心组成部分，它既是一种安全指导思想，同时，也是一种安全实践方式。
　　
　　2对安全管理的认识存在偏差
　　
　　信息安全风险管理提倡的是一种“适度安全”，即风险是绝对的，安全就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度。同时，也强调树立“风险意识”，并通过风险的大小来度量信息的安全性，将“信息”提升到“资产”的高度来进行安全管理。然而，传统电子档案安全管理对此认识却存在偏差。
　　2.1追求绝对的安全。长期以来，由于档案部门缺乏安全风险意识，总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而，从理论上讲，风险是绝对的，安全是相对的；风险是永恒的，安全是暂时的。而电子档案安全管理工作从本质上来讲，也就是风险管理工作。
　　2.2风险意识薄弱，对安全风险认识存在偏差。一些安全管理人员风险意识淡薄，信息安全知识不足，谈风险是“杞人忧天”，说安全是“天下本无事，庸人自扰之”，根本没有从风险管理的角度来度量电子档案的安全性。这些，都严重影响了正确认识安全形势和树立科学的电子档案安全风险观。
　　2.3忽视了对“资产”评估鉴定。目前，档案管理部门虽都认识到电子档案的重要性，但绝大多数部门只是将电子档案作为日常办公的一种辅助帮助，并没有将电子档案提升到“资产”的高度来管理，就更谈不上对“资产”进行评估鉴定。从安全管理的角度讲，一个组织系统内的资产在被评估鉴定前，是不可能成功实施安全管理并进行维护的。
　　
　　3从风险管理的视角探讨电子档案安全管理问题
　　
　　很多档案部门为追求安全，不惜成本盲目地追求新的安全产品与技术，结果，采用了一大批新安全产品与技术，却收效甚微，造成资金的严重浪费。
　　3.1缺乏科学的安全管理理论与方法指导。信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度；分析安全威胁来自何方、安全风险有多大；加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；确定已采取的信息安全措施是否有效；以及提出按照相应信息安全等级，进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。
　　3.2管理环节不完善。信息安全风险管理强调对信息系统生命周期的全过程管理，包括一个完整的风险管理环节：风险计划的制订、风险识别、风险评估、风险应对、风险监控。当前，电子档案安全管理还存在明显的薄弱环节。
　　3.3缺乏系统性和动态性。信息安全风险管理基于系统、全面、科学的安全风险评估，强调对信息的全过程、动态控制，对信息进行系统化安全管理，使安全风险发生的概率降到最低，从而实现系统安全的动态平衡。
　　3.4忽视了对安全风险、成本和效率的权衡。是在综合成本和效率的前提下，找到安全风险、安全成本与效率之间平衡点，通过安全措施来控制风险，使残余风险降低到可接受的范