防患于未然.doc

防患于未然摘要：随着计算机技术应用于档案管理中的趋势不断显著，给电子文件管理既带来管理理念创新的机遇同时，也带来信息安全风险的挑战。电子文件管理中存在的信息安全问题越来越受到关注，在档案业务管理机构和理论研究领域引起热论。试从电子文件的特点来分析电子文件风险的成因及对电子文件进行风险管理的手段。关键词：电子文件；风险管理；成因；手段古人云：“居安思危，思则有备，有备无患，敢以此规。”（春秋左丘明左传襄公十一年）。“损失”和“不确定性”是定义“风险”的两个关键词。风险无处不在，在信息时代，电子文件亦遭遇各类风险的威胁。所谓电子文件风险，是指由电子文件管理不当造成的载体存在形式损坏、文件内容缺失、信息安全损失等后果，即电子文件管理实际效果与预期目标之间的差异。一、电子文件风险的成因1.信息基础设施存在不足。电子文件是在信息系统中产生的，一方面，信息系统本身的固有特点造成电子文件管理上的缺陷，如可能发生物理连接错误、信息载体老化、软件漏洞、受到木马、黑客攻击等现象；另一方面，信息产品的生命周期较短以致在信息交换、共享、长期保持时可能产生错乱码、文件无法识别、系统异构等现象。2.不可抗力对电子文件安全的威胁。电子文件管理活动必须在一定区域、场所内进行，而保管场所不适宜、天灾、人祸等均能够造成电子文件安全风险。如2008年的汶川大地震，机关、团体、企事业单位甚至个人保存的电子文件，除一小部分的数据经异地备份得以留存外，其他数据荡然无存，造成了严重的经济社会损失。3.电子文件管理制度不规范。电子文件的管理缺乏规范的范畴界定和管理依据。全程管理原则和前端控制原则是电子文件管理的重要原则之一，强调要在电子文件生命周期的初期及电子文件管理系统的设计阶段就需要对电子文件进行管理，收集齐全电子文件相关的背景、结构、内容信息。然而，在具体实践中由于没有科学界定电子文件安全管理范畴，造成电子文件安全管理工作不系统、不全面。4.对电子文件安全管理的关键环节关注不够，评估体系不健全。以往人们对电子文件的安全管理的关注点过多放在对电子文件本身风险因素上，而忽视了对其依赖的信息系统风险进行综合管理。实际上二者是同一事物的两个面，不可偏废。二、电子文件风险管理1.电子文件风险管理的定义。信息系统中文件风险是客观的，文件信息安全是信息系统的血脉，然而仅依靠纸质拷贝和信息系统安全管理无法全面应对电子文件风险，只有建立电子文件风险管理体系，才能满足电子文件质量要求的复杂性、严格性的要求，充分发挥信息化的效益。电子文件风险管理是指通过认识、鉴别和评估电子文件安全系数（风险因素），采取适合的技术手段对电子文件风险进行前端控制和过程监督，以较小的投入实现降低电子文件风险所造成的损失的一系列管理活动。2.电子文件风险事故。电子文件风险事故即电子文件质量缺损、信息安全泄露的具体体现，它由风险因素引起，是造成损失的直接原因。例如，某机关的一部门的电子文件管理的制度不健全、系统不完善，存在安全隐患，若该部门的一名工作人员非法访问了带有保密性质的文件，使得文件中的保密信息泄露出去，造成了恶劣的政治或社会影响。其中，管理制度不健全、系统不完善，是风险因素；工作人员非法访问机密文件是风险事故；导致泄密是基本损失，产生恶劣的政治或社会影响是连带损失；基本损失与连带损失的不确定性就构成了电子文件的风险。三、电子文件风险管理的手段1.构建电子文件管理安全保护框架，建立电子文件风险管理体系。为应对在电子文件产生、流转过程中的系统安全、网络安全、应用安全和管理安全问题对电子文件安全可能造成的破坏，必须建立电子文件管理安全保护框架。在计算机信息系统安全保护等级划分准则（gb17859-1999）中，把计算机系统安全保护能力分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级五个等级，对电子文件风险进行分级管理。制定严密的风险管理制度，并常抓不懈，可以有效地保障电子文件安全。2.严格规范电子文件管理各流程的技术处理和职责分工。由于电子文件信息的易更改、易复制的特点，其信息内容和文件形式缺乏可靠性和依据性，需要同时对文件内容的真实性和原始性进行鉴定，而这一切必须依靠信息技术的发展和法律法规与制度支持。例如通过实时备份、计算机加密、数字签名、电子印章、防火墙技术等技术措施维护电子文件管理系统的安全性，进而保障电子文件的真实可靠；通过针对文件形成部门和管理部门制定的人员责任分工制度来防患或降低信息失真的可能。3.强化系统安全保障能力，提高系统防范风险的能力。生产、存储及管理电子文件的系统要有必要的存储空间，必须能够处理所管理的大批量电子文件；系统必须能够根据需要，无遗漏、无差错地复制电子文件；系统必须具有可靠性，能在发生问题时提供技术支持；系统必须具有处理大储存量的能力系统必须具备查错能力。4.建立电子文件管理的责任机制，提高电子文件的风险意识。加强电子文件风险管理还应从加强档案工作者队伍建设和改进管理方式入手，提高人员素质，明确责任。电子文件安全保护的关键性问题是强调对文件损失的责任，必须建立严格的责任机制，实行责任分担，才能从组织上保障电子文件信息安全。5.要有成套的应急预案，做好电子文件数据存储和备份。为确保在突发和极端情况发生时最大限度地减少损失，必须健全电子文件应急防范工作体系，保证计算机设备的高可靠性和信息存储系统的高可靠性，提供良好的、有效的数据恢复手段和灾难恢复机制。四、结语所谓“有为才有位”。随着电子文件数量“井喷式”的增长，若要充分发挥电子文件在政务管理及社会各领域的作用，必须以保障电子文件的信息安全和信息的有效性为前提，保证电子文件信息的可靠性、真实性、有用性，提高电子文件在实际应用中的利用效果和服务效率。电子文件在人们的日常工作、生产