基于风险评估的电子文件安全管理体系

2014-01-15 16:39陈奭琛
档案天地 2014年1期
关键词:管理体系信息安全风险管理

陈奭琛

随着信息技术的发展,电子政务建设不断深入,电子文件的数量日益庞大。根据《中国电子文件管理现状调查与分析报告》,“目前,我国机构生成的电子文件数量占全部文件数量的72.7%。”由于自身的特点,电子文件从产生的那一天开始就时刻面临随时可能发生的风险。风险评估是风险管理的一个重要环节,我国信息安全管理国家标准《信息安全风险评估规范》(GB/T20984-2007)、《信息安全风险管理指南》(GB/Z24364-2009)将风险评估作为信息安全领域的一个技术手段。

电子文件风险评估是电子文件安全管理的重要前提和基础,也是档案信息化建设的重要课题。基于风险评估的电子文件安全管理体系能够对电子文件信息安全状况进行“把脉”,提出针对性的“诊疗”手段,而不是传统管理被动的“头痛医头脚痛医脚”。

一、电子文件风险评估的意义

(一)风险评估是电子文件安全管理的前提和基础。由于自身的特点,电子文件的风险始终客观存在。档案工作者的努力目标就是利用一切先进的技术和方法,把风险降到最低,把损失控制在最小的范围内。运用风险管理的理念和方法,对电子文件进行风险评估,能够对电子文件进行科学、全面的分析,查找可能威胁电子文件的风险,在风险发生之前作出判断,采取措施,及时应对。因此,风险评估对档案工作具有重大意义,是传统档案管理方法的有益补充。

(二)风险评估是进一步完善电子文件安全管理的关键环节。它能够利用科学的量化标准,对风险发生的概率及其可能造成的损失进行预测和分析,并在此基础上对存在风险的环节进行改进和完善。电子文件安全管理实行风险评估能够使管理者全面、清晰地把握电子文件存在的危险和不足,有利于进一步改进管理方法,理清管理思路,完善管理制度,全面提升电子文件管理水平。

(三)风险评估是实施电子文件安全等级保护的必然要求。要对各类电子文件实施安全等级保护,就要在电子文件安全管理中开展风险评估,对电子文件安全管理体系中存在的风险进行安全预测,科学定级,分级管理。

(四)风险评估是实现电子文件管理国际化的重要途径。随着信息安全工作的发展,风险管理在电子文件管理中的作用越来越得到人们的认可,信息安全风险评估也从单一的技术手段发展成为一种科学的管理体系,科学统一的技术规范和评定依据逐渐成为风险评估的必需。由于信息安全事关国家利益,大部分发达国家都制订了电子文件风险评估标准,并将之作为行业的技术性法规。电子文件管理广泛开展风险评估,有利于推广信息技术安全保护标准化,有利于促进国际间技术交流合作,是实现电子文件管理国际化的重要途径。

二、电子文件风险评估工作的困境

(一)风险认识存在偏差。电子文件已经成为档案产生、保存和管理的主要形式,由于其自身特点,各种各样的危险始终紧随着电子文件,但许多人对电子文件风险的认识却存在不同偏差。有的风险意识薄弱,认为传统纸质档案对保存环境要求条件高,需要预防微生物、虫害、啮齿动物等的损害,还要时刻注意光照、温度、湿度、灰尘等因素,而电子文件只需要一台计算机就能解决所有问题,而且保存简单、利用方便,一劳永逸。也有的认为电子文件作为信息技术的产物,必然面临不可读、失真、黑客等威胁,且一旦造成损失,往往是荡然无存又无法挽救,其风险无可避免。也有的认为现代信息技术十分先进,只要建立科学的管理体系,采纳先进的管理技术,绝对能够避免电子文件的风险。正是因为存在对风险认识的各种偏差,导致管理者和利用者没有科学、正确地认识电子文件的风险,或者麻痹大意,或者失去信心,或者陷入一味追求绝对安全的误区。正是因为存在各种对风险认识的偏差,目前我国电子文件风险管理水平较低,尤其缺乏必要的风险评估活动。

(二)安全风险评估工作滞后。一是没有一支专业的风险评估队伍。电子文件风险评估是一项专业化非常强的工作,我国有一些风险意识较强的已经尝试开展风险管理,但仍然没有一支专业的风险评估队伍。二是评估标准亟待完善。根据国家信息安全等级保护“自主定级,自主保护”的原则,应该根据自身情况制订科学的定级标准,严格执行,确保电子文件安全管理。但我国大部分目前尚未制订信息安全保护等级标准,没有真正执行电子文件等级保护的规定。三是风险管理缺乏系统性。电子文件风险管理是一个系统工作,包括风险管理规划、风险评估、风险应对和风险监控等四个基本环节。风险评估是整个风险管理的基础性工作,但评估的结果必须与风险管理的其他环节紧密结合,特别是要具体指导风险应对和风险监控活动。由于电子文件风险管理刚刚起步,还没有建立系统的风险管理机制,无法真正实现风险评估“有理可依,有据可循”。

(三)电子文件管理停留在传统安全保护阶段。电子文件是档案管理的特殊对象,一些档案工作者没有认识到电子文件既是“档案”又是“电子信息”的特点,管理停留在传统安全保护阶段,没有采取先进的风险管理方法,给电子文件管理遗留下不少安全隐患。一是管理过程缺乏全程性,认为保护是电子文件归档后的任务,没有意识到电子文件形成和利用中存在的风险。二是安全管理停留在静态、被动阶段,没有根据电子文件的发展和单位管理体系内部情况的变化实施动态的风险评估和风险应对。三是大多数没有积极引入远程技术、异地备份、云计算等先进的技术加强电子文件安全管理。

(四)信息资产安全形势严峻。信息资产的安全保护和开发利用是提高办学效益、提升影响力的重要途径。电子文件已经逐步取代纸质文件成为主要的档案载体,储存着数量庞大的数据资产、软件资产、师生信息、科研资料等。由于电子文件的特点,信息资产存在着高风险性,往往一被泄漏就失去资产包含的价值。许多资产管理者和档案工作者低估信息资产的价值,忽视电子文件信息保护,导致信息资产安全面临着严峻的形势。

三、基于风险评估的电子文件安全管理体系

(一)以风险管理规划完善安全管理体系。风险管理规划能够对电子文件管理工作进行统筹规划,有利于今后电子文件管理的持续、有序、顺利开展。应根据电子文件管理的需要,制订电子文件风险规划,将电子文件安全管理的实施目标、构建原则、构建方法、工作内容建成一个基本框架,进而确立和完善电子文件安全管理体系。

(二)以风险评估标准规范安全管理策略。电子文件安全管理策略就是针对电子文件安全管理的全局性、基础性、系统性问题所制定的政策和措施,是对电子文件安全管理的总体思路和指导方针。电子文件安全管理策略是否科学、合理、适宜,关系着电子文件管理目标和任务能否顺利实现。风险评估标准是电子文件风险评估的工具,直接决定了安全评估的结果,为风险管理的具体工作提供了操作性指导,因此也影响着电子文件安全管理策略的制定。电子文件风险评估标准的制定既要建立在国际组织和国家政府颁布的信息安全管理标准的基础上,又要结合电子文件信息安全的具体情况,兼顾定性分析和定量分析的方法,从而达到对电子文件安全管理策略的战略指导和操作规范。

(三)以风险评估结果引导安全管理工作。电子文件风险评估之所以能够发挥作用,最主要是评估的结果对整个风险管理工作的指导意义。风险评估能够初步识别出电子文件安全管理工作中的存在风险及造成因素,并根据风险因素的危害程度确定风险等级,提出应对措施,引导今后的管理工作。

(四)以风险应对策略提升安全管理水平。电子文件风险评估的根本目的是预测文件管理的危险因素并采取有效的应对策略,最大限度地减少各种风险因素造成的损失。为了保证电子文件信息的保密性、完整性、真实性和可用性,电子文件风险应对策略必须对信息资产管理、文件管理和业务管理进行统筹规划,根据风险因素选择采用风险预防、风险规避、风险转移、风险减轻或风险接受等五种基本策略应对风险。一个优秀的电子文件安全管理体系能够根据电子文件管理的需要采取风险应对措施,并在此基础上改进文件管理的方法,通过风险应对在实际上不断提高文件管理体系的科学水平。

电子文件的风险是客观存在的,开展风险评估活动是寻求一种适度的安全。开展风险评估活动,能够较为科学地对电子文件存在风险的大小、等级、严重程度以及可能造成的损失进行预测,采取风险应对措施,以达到规避风险、控制风险或者降低风险损失的目的。

(作者单位:泉州师范学院档案馆)endprint

猜你喜欢
管理体系信息安全风险管理
住房公积金风险管理信息化审计探讨
新建城区消防安全管理体系的完善措施
风险管理在心内科中的应用效果观察
地铁资产管理体系运行评估研究
基于ERP系统构建协同化的电力物资供应链管理体系
信息安全不止单纯的技术问题
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
“珠江”荣获《知识产权管理体系认证证书》
养老保险精算的分析与风险管理的研究