如何建立电子档案信息安全评价指标体系

张继霞

信息技术在档案管理中的广泛应用，一方面提高了档案工作的效率，扩大了档案的社会影响力；另一方面也对档案工作提出了新的要求，例如存储介质的不稳定、技术过时、黑客入侵、电脑病毒破坏等都使得电子档案信息的安全保护面临着前所未有的挑战。

电子档案信息的安全管理是一个过程，而不是一个产品，我们不能期望通过一个安全产品就能把所有的安全问题都解决。对各档案管理系统来说，解决电子档案信息安全的首要问题就是要识别自身信息系统所面临的风险，包括这些风险可能带来的安全威胁与影响的程度，然后进行最充分的分析与评价。只有采用科学有效的模型和方法进行全面的安全评价，才能真正掌握内部信息系统的整体安全状况，分析各种存在的威胁，以便针对高风险的威胁采取有效的安全措施，提高整体安全水平，逐步建成坚固的电子档案信息安全管理体系。

一、电子档案信息安全评价指标体系的组成

电子档案信息系统是一个复杂的系统工程，既有硬件，又有软件，既有外部影响，又有内部因素，而且许多方面是相互制约的。因此，必须有一个规范的、统一的、客观的标准。根据国内外的电子档案信息安全评估标准，国家对电子档案信息和网络信息系统安全性的基本要求，结合电子档案管理和网络管理经验，综合考虑影响电子档案信息安全的各种因素，建立电子档案信息安全评价指标体系。

二、电子档案信息安全评价指标体系权重确定方法

用若干个指标进行综合评价时，其对评价对象的作用，从评价目的来看，并不是同等重要的。指标越重要，权的数值就越大；反之，数值小则可以说明其重要程度相对较低。合理地确定和适当地调整指标权重，体现了系统评价指标中各因素之间的轻重有度、主次有别，更能增加评价因素的可比性。在安全评价中，具体确定权重的方法很多，如德尔菲法、主成分分析法、层次分析法、环比法等。其中，层次分析法比较适用于电子档案信息安全的评价。层次分析法的核心是对决策对象进行评价和选择，并对它们进行优劣排序，从而为决策者提供定量形式的决策依据。它充分利用人的分析、判断和综合能力，适用于结构较为复杂、决策准则较多且不易量化的决策问题。它将定性分析和定量分析相结合，具有高度的简明性、有效性、可靠性和广泛的适用性。而电子档案信息安全指标体系因素多、主观性强且决策结果难以直接准确计量，因而可以用层次分析法来确定指标体系的权重。层次分析法的基本步骤是：1、将复杂问题概念化，找出研究对象所涉及的主要因素；2、分析各因素的关联、隶属关系，构建有序的阶梯层次结构模型；3、对同一层次的各因素根据上一层次中某一准则的相对重要性进行两两比较，建立判断矩阵；4、由判断矩阵计算被比较因素对上一层准则的相对权重，并进行一致性检验；5、计算各层次相对于系统总目标的合成权重，进行层次总排序。

三、电子档案信息安全评价指标体系综合评价方法

综合评价是指对被评价对象进行客观、公正、合理的全局性、整体性评价。可以用作综合评价的数学方法很多，但是每种方法考虑问题的侧重点各有不同。鉴于所选择的方法不同，有可能导致评价结果的不同，因而在进行多目标综合评价时，应具体问题具体分析。根据被评价对象本身的特性，在遵循客观性、可操作性和有效性原则的基础上选择合适的评价方法。在信息安全领域，目前存在的综合评价方法有信息系统安全风险的属性评估方法、模糊综合评价方法、基于灰色理论的评价方法、基于粗糙集理论的评价方法等。对于这些方法，目前还没有评论认为哪一种方法更适用于信息安全领域的综合评价。鉴于此种情况，本指标体系采用模糊综合评价方法。模糊综合评价就是以模糊数学为基础，应用模糊关系合成的原理，将一些边界不清、不易定量的因素定量化，进行综合评价的一种方法。从评价对象来看，用模糊综合评价方法来评价信息安全系统是可行的。首先，对于信息的安全管理而言，“安全”与“危险”之间没有明显的分界线，即安全与危险之间存在着一种中间过渡的状态，这种中间状态具有亦此亦彼的性质，也就是通常所说的模糊性。因此在安全的刻画与描述上大多采用自然语言来表达，而自然语言最大的特点是它的模糊性。另外，电子档案信息安全评价中，对一些评价要素的评价是具有模糊性的。如组织管理中的评价很难量化，一般只能用“好”、“一般”、“差”等等级概念来描述，具有较强的模糊性。而且一些评价要素受外界环境的影响较大，具有不确定性，如网络攻击、安全设施失效、人为失误等偶然性较大，难以准确评价。对于这些模糊的、不确定性的问题通常采用模糊数学来研究。模糊综合评价方法就是在对多种因素影响的事物或现象进行总的评价过程中涉及到模糊因素或模糊概念的一种评估方式，它通过运用模糊集合中隶属度和隶属度函数的理论来刻画这种模糊性，以达到定量精确的目的。

总之，模糊综合评价方法是一种适用于在信息安全管理方面进行系统评价的可行方法，其基本步骤为：1、确定评价集。评价集是以评判者对被评价对象可能做出的各种总的评判结果为元素组成的集合，例如我们可以对电子档案信息安全评价采用五个等级的评语集合（很好，好，较好，一般，差）。2、建立因素集。因素集是以影响评判对象的各种因素为元素组成的集合，在本文的电子档案信息安全评价体系中，主因素层的因素集有物理安全、管理安全、网络安全、信息安全和系统安全五个指标.3、建立权重集。由于各评价要素在评价中的重要程度不同，因而必须对各要素按其重要程度给出不同的权重，权重集通过层次分析法确定。4、进行单因素评价，建立单因素模糊评价矩阵。即确定评价因素集中每一个因素指标在评语集中的隶属度。5、模糊矩阵的复合运算。当评价集、因素集、权重集和单因素评价矩阵确定后，便可按照一定的模糊运算规则进行模糊综合评价，以求得各层次中各因素的评价结果和最终的综合评价结果。