档案管理信息化的优势及安全风险评估研究

文/菏泽市城市综合开发办公室 潘晓露

随着社会的快速发展，国家越来越重视档案信息化的管理工作。档案信息化是指运用先进的科学信息技术，充分的应用档案网络建设平台，通过科学有效的方法对档案信息进行合理的管理与应用，这样在一定程度上可以实现档案信息资源的充分利用。近年来，随着科学技术的快速发展，为我国的档案管理事业信息化带来了很好的发展机会，档案管理信息化可以依托先进的科学技术，使管理的方法和手段得到更新和改革，但是在档案管理信息化的过程中也会出现一些信息安全问题，所以有效的使用信息安全风险评估理论，加强档案信息安全管理具有十分重要的意义。

一、档案管理信息化的优势

（一）有助于档案资料的长期存档以及储备。传统的档案管理方式主要是以纸质为核心，这种管理方式存在着很多的弊端，因为随着时代的发展，档案资料日益增加，纸质资料由于物理因素，长期的存储会导致其发生潮湿或者变质等，由此可以看出，传统的档案信息管理方式不利于档案资料的长期有效的存储。如今使用的档案管理信息化可以有效的解决这些问题，通过使用先进的科学技术，将逐渐增加的原始的档案资料储存到一个很小的硬盘中，而且还能够实现长期的储存。由此可以看出，档案管理信息化在档案资料的长期储存方面有着很大的优势。

（二）有助于档案信息的检索。传统的档案信息管理中需要安排专门的管理人员，从很多的档案管理资料的目录中查找所需要的档案信息，而且这个过程主要是通过肉眼来查找，然后根据查找到的记录标号信息，再到原始的档案存储库房中去查找，这个查找的过程需要消耗大量的时间和人力，大大降低了查找的效率。这种查找方式更多的依赖人力。所以，有的时候由于工作人员的马虎，会导致查找结果失败，严重影响查找结果的准确性。随着时代的快速发展，档案管理信息化的使用，工作人员只需要通过对计算机中特定的档案信息系统的管理软件的使用，再结合查找所需要的具体条件，就可以快速、准确地从众多的信息资源中找到符合条件的档案信息。这样既能够节省查找所需要的时间，又能够保证检索的准确性，从而在一定程度上提高了检索的效率。

（三）有助于档案信息的共享。随着科学技术的发展，计算机的广泛使用，各个单位之间可以通过网络实现彼此之间的信息联系，如果每个单位都实现档案管理信息化，那么通过网络平台，所有的单位之间可以有效的实现资源共享的目的，从而实现档案资源的有效利用，总而言之，档案资源管理信息化的建设有利于档案资源信息的共享。

（四）有助于远程服务功能的实现。传统的档案资源的管理使用的是实体信息的物理管理手段，这种方式严重的阻碍着远程服务功能的实现，因为缺少科学技术含量，无法实现档案信息资源在空间的转移，从而在一定程度上影响远程服务功能的使用。而档案管理的信息化的使用，可以有效的使用先进的网络技术以及通信技术，通过远程检索可以实现档案资源的检索，而且还能够很好的实现档案信息资源在空间上的转移，如果在不同的地方可以检索同样一份档案资料，还可以将检索出来的档案资料在检索的地方进行打印，完全摆脱了地点的局限性。所以，采用的档案管理的信息化方式，能够有效的实现远程服务功能。

（五）有助于资源的节省。在过去，使用传统的档案管理方式，主要利用人工对一些资料进行收集、整理、保管以及检索。这样的管理方式存在很多的弊端，主要表现在需要投入大量的人力，而且还会花费大量的检索时间。传统的管理模式的属性是以手工劳动为主。所以，检索的结果的准确性在一定程度上受到人为因素的影响。随着信息技术的快速发展，科学技术在档案档案管理方面的使用，实现了档案资料管理的信息化，使其工作的过程中增加了技术含量，从根本上改变了传统档案管理方式，在一定程度上提高了资料管理的效率，增加了档案的存储量，从而降低的资源的使用。

二、档案管理信息化过程中存在的不足之处

信息技术以及信息产业的飞速发展，给档案管理信息化建设带来了机会，同时也给其带来了巨大的冲击和新的挑战。信息系统自身所处的网络环境的特点以及信息系统自身的局限性会导致信息系统的发展过程中会受到一些因素的影响。而且，在使用的过程中也会遇到一些认为破坏或者是木马等方面的破坏。所以，档案管理信息化的过程中会遇到一些信息安全隐患，这严重影响信息的安全可靠性。但是，随着时代的快速发展，人们在不断的探索和研究防止信息系统遭受到破坏的措施，而且在杀毒软件和入侵检测技术方面获得了很大的成就。虽然这些检测手段的使用在一定程度上可以防止恶意程序对信息系统的破坏，但是并没有从根本上解决档案信息系统的安全问题。因为随着信息技术的发展，信息系统受到的威胁也在逐渐向着多样化的趋势发展变化，而且更加的隐蔽化，对于信息系统的破坏性越来越大。随着信息技术的广泛使用，信息安全的内涵也在不断的丰富，已经不再是最开始的单单对信息保密，而是向着保证信息的完整性、准确性方向发展，使档案信息变得更加的实用而且具有不可否认性。进而实现多方面的防控实施技术。

三、档案管理信息化中安全风险评估的作用

人们在进行档案信息管理的过程中受到认识能力以及实践能力的限制，不能够保证信息管理的完全安全性，所以档案信息管理系统在一定程度上存在着脆弱性，这种情况导致在使用档案信息的过程中面临着一些人为或者是自然条件的破坏，所以档案信息管理存在安全风险具有必然性。因此，对档案信息管理进行安全风险评估具有重要的意义，信息安全建设的前提是，基于对综合成本以及效益的考虑，采取有效的安全方法对风险进行控制，保证残余风险降低在最小的程度。因为，人们追求实际的信息系统的安全，是指对信息系统实施了风险控制之后，接受残余风险的存在，但是残余风险应该控制在最小的程度。所以，要保证档案信息系统的安全可靠性，就应该实施全面、系统的安全风险评估，将安全风险评估的思想以及观念贯穿到整个信息管理的过程中。

通常情况下，信息安全风险主要指的是在整个信息管理的过程中，信息的安全属性所面临的危害发生的可能性。产生这种可能性的原因是系统脆弱性、人为因素或者是其他的因素造成的威胁。用来衡量安全事件发生的概率以及造成的影响的指标主要有两种。然而，危害的程度并不只取决于安全事件发展的概率，还与其造成的后果的严重性的大小有着直接的关系。安全风险评估具有很多的特点。首先，它具有决策支持性，这个特点在整个安全风险评估周期中都存在，只是内容不相同，因为安全评估的真正目的是供给安全管理支持以及服务的。在系统生命周期中都存在着安全隐患，所以整个生命周期中都离不开安全风险评估。其次，比较分析性，这个特点主要体现在对安全管理和运营的不同的方案能够进行有效的比较以及分析；能够对不同背景情况下使用的科学技术以及资金投入进行比较分析；还能够对产生的结果进行有效的比较分析。最后，前提假设性，对档案信息进行管理的过程中所使用的风险评估会涉及到各种评估数据，这些数据能够被分为两种。其中一种数据的功能是对档案信息实际情况的描述，通过这些数据就可以了解整个档案管理信息中的情况；另一种数据是指预测数据，主要是根据系统各种假设前提条件确定的，因为在信息管理的整个过程中，都要对一些未知的情况进行事先的预测，然后做出必要的假设，得出相关的预测数据，再根据这些预测数据对系统进行风险评估。

四、档案管理不同阶段进行不同的风险评估

信息系统的开发涉及到很多的模型，而且随着科学技术的快速发展，各种模型都在不断的升级。从最早期的线性模型到螺旋式模型再到后来的并发式的模型，这些系统模型的开发都是为了满足不同的系统需求。然而，风险评估却存在于整个信息系统的生命周期中，但是由于信息系统的生命周期中有很多的阶段，而且每一个阶段活动的内容都有所差别，因此信息管理的安全目标以及对安全风险评估的要求也是不同的。

（一）对于分析阶段的风险评估。其真正的目的是为了实现规划中的档案信息系统安全风险的获得，这样才能够根据获得的信息来满足安全建设的具体需求。分析阶段的风险评估的重点是抓住系统初期的安全风险评估，从而有效的满足对安全性的需求，然后从宏观的角度来分析和评估档案信息管理系统中可能存在的危险因素。

（二）设计阶段的安全风险评估。这个阶段涉及到的安全目标比较多，所以能够有效的确定安全目标具有重要的意义。应该采取有效的措施，通过安全风险评估，保证档案信息管理系统中安全目标的明确。

（三）集成实现阶段。这个阶段的主要目的是要验证系统安全要求的实现效果与符合性是否一致，所以，应该通过有效的风险评估对其进行验证。需要注意的是，在进行资产评估的时候，如果在分析阶段以及设计阶段已经对资产进行了评估，那么在这个阶段就不需要再重新做资产评估的工作，防止重复性工作的发生。所以，可以直接用前两个阶段得出的资产评估的结果，但是如果在分析阶段和设计阶段都没有进行资产评估，则需要在此阶段先进行这项工作。威胁评估依然着重威胁环境，而且要对真实环境中的具体威胁进行有效的分析。除此之外，还应该对档案信息管理系统进行实际环境的脆弱性的有效分析，重点放在信息的运行环境以及管理环境中的脆弱性的分析。

（四）运行维护阶段。对档案管理系统不断的进行有效的风险评估，从而确保系统的安全、可靠性，这样才能够保证档案管理系统在整个生命周期中都处于安全的环境。

五、档案信息安全风险评估存在的不足

我国在档案信息安全风险评估方面已经取得了很大的成就，积累了一些宝贵的经验。但是，由于我国档案信息安全风险评估工作起步晚，还存在一些不足之处，主要表现在以下几点。

（一）管理层对于信息安全风险评估缺乏一定的重视，而且缺少一些专业评估技术人员。当前评估技术人员的专业技能不高也是现阶段存在的问题。所以，应该对评估人员进行定期的培训，提高他们的专业技能，保证风险评估工作有效的进行，同时还应该采取有效的措施来提高工作人员对于风险评估的重视，是档案管理信息化环境处于安全的运行环境中。

（二）风险评估的工作流程还不够完善，而且一些风险技术标准也需要进一步的更新。档案信息化管理的风险评估，不仅仅是一个管理的过程，也是一个技术性的过程，所以应该根据实际情况来科学合理地制定工作流程和技术标准。如果所有的环境和情况都套用一种工作流程和一个技术标准，就会导致不匹配现象的出现，不仅影响风险评估的效果，而且在一定程度上还影响信息系统的安全性。

（三）评估工具的发展比较滞后，随着科学技术的快速发展，信息安全漏洞会逐渐显露出来，所以对信息系统的威胁逐渐增加。应该采用先进的评估工具对其进行风险评估，从而满足档案管理信息化的需求。

六、结语

随着信息技术的飞速发展，应该摆脱传统的档案信息管理方式，采用档案管理信息化的建设。本文主要探讨了档案管理信息化的优势，并且介绍了档案信息安全风险评估的内容，提出了目前档案信息安全风险评估中的不足之处，希望对我国的档案信息化的发展提供一定的参考价值。

[1]白志英,刘勇,贺红军,薛福俊.浅谈档案数字化工作五个到位[A].档案与文化建设:2012 年全国档案工作者年会论文集(中)[C],2012.

[2]王一萍.浅谈档案数字化现状及对策[A].行与知——社会主义文化大发展大繁荣中的档案工作[C],2012.

[3]李雪,杜琴.新形势下加强电力企业档案现代化管理的思考[J].江西电力职业技术学院学报,2012(03).

[4]张英奎,王飞,房彦君.大数据时代的企业档案信息化建设[J].北京化工大学学报(社会科学版),2014(03).

[5]黄欢.信息安全风险评估系统的研究和实现[D].南京航空航天大学,2008.