论文部分内容阅读
摘要:文件风险评估是文件安全管理的重要前提和基础,也是档案信息化建设的重要课题。ISO/TR 18128:2014标准的制定,为信息化建设背景下组织有效开展文件过程和文件系统的风险评估提供了指南,旨在确保文件能持续地满足组织业务活动的需要。
关键词:文件过程文件系统风险评估
“ISO/TR 18128:2014 Information and Documentation- Risk assessment for records processes and systems”and the Implications
Abstract: Risk assessment is fundamental for the security management of records; it is also an im? portant issue for security management of electronic records. The publication of ISO/TR18128: 2014 has provided guidelines for the effective risk assessment of records processes and records systems for organi? zations in the processes of construction of informa? tion society and application of information technolo? gies, it aims to ensure records can consistently meet the demands of business activities of an organization.
Key words: records processes; records system; risk assessment
一、制定背景
风险评估是风险管理的一个重要环节,我国信息安全管理国家标准《信息安全风险评估规范》(GB/ T20984- 2007)、《信息安全风险管理指南》(GB/ Z24364-2009)将风险评估作为信息安全领域的一个重要控制手段。文件过程和文件系统的风险评估是信息化建设中文件安全管理的重要前提和基础,也是档案信息化建设的重要课题。ISO/TR 18128:2014标准的制定,首次明确了文件管理过程中的风险评估要求,旨在协助组织在文件过程和文件系统中有效地开展风险评估,以确保文件能够持续地满足组织业务活动的需要。
ISO/TR 18128:2014适用于组织机构的文件管理专业人员或对文件负责的管理人员,审计人员或对组织机构风险管理方案负责的管理人员;适用于所有类型的组织机构,不论其规模、活动性质、职能复杂程度和组织结构如何。
二、标准内容
该标准由八章构成,其内容包括:第一章范围、第二章规范性引用文件、第三章术语和定义、第四章组织风险评估的准则、第五章风险识别、第六章分析识别出的风险、第七章风险评价、第八章通示识别出的风险。此外,该标准还有三个资料性附录,附录A:风险登记簿中记录的风险条目示例,附录B:识别不确定性领域的检查清单示例,附录C:基于ISO27001的附录A控制使用指南。
ISO/TR 18128:2014标准所提供的相关指导和示例源自ISO 31000:2009 (见图1,引自ISO 31000:2009),通用的风险管理过程同样适用于文件过程和文件系统。
风险评估过程包括了风险识别、风险分析和风险评价三个步骤。文件过程和文件系统中的风险评估结果应该被纳入组织的一般风险管理框架,这样组织才能更好地控制文件和业务质量。
ISO/TR 18128:2014标准的核心内容包括三部分:组织机构进行风险评估的准则、风险评估和对已识别和评估的风险进行通示。
第一部分组织机构风险评估的准则。要求组织机构建立通用风险标准,并确定风险评估活动的对象和范围,建立风险评估的制度。它应当包括对风险性质和类型的测定、风险概率的表达、风险等级的确定、风险是应该处理还是可以忍受的量度和多风险的组合评估等。
第二部分风险评估,包含三个步骤:风险识别、分析已识别的风险、风险评估。
风险识别是为了识别那些可能发生或存在的会影响文件能否满足组织机构要求的情况。风险识别的过程包括识别可能对组织机构的目标和性质有实质性影响的风险、事件或环境的原因和来源。该标准要求对环境(内外部因素)、文件系统以及组织创建和管理文件的过程之中的不确定性领域进行识别。
风险分析是确定已经识别出的风险的潜在后果并意识到风险的可能性。它包括可能性分析和概率估计。意识到已识别的风险的可能性是通过分析不确定性领域的性质,还有在一段时间内足以支持一个可靠估计的数据。而概率可以用不同的方式来表达,但通常都与风险等级有关。
风险评估是根据风险分析的结果,来协助确定哪些风险需要处理和处理实施的优先级。风险评估首先要分析不良事件的潜在影响,要综合考虑用户、文件、组织等多方面的因素,之后通过结合事件发生的概率及其产生的影响的程度,来评定事件是否是风险管理所关注的不良事件。
第三部分对风险进行通示。风险管理是一个连续的管理过程,对已评估的风险应该记录并建档,还应该加强各部门之间关于风险的沟通和交流。风险沟通是有效风险管理的一部分,目的是确保组织机构范围内对风险的识别,加强对风险的防范和管控。 三、对我国文件管理工作的借鉴
ISO/TR 18128:2014标准作对我国文件管理具有以下三个方面的借鉴作用:
(一)建立了一套规范体系,用来规范文件过程和文件系统中的风险评估活动
ISO/TR 18128:2014根据已出台的相关标准要求,结合文件过程和文件系统的风险管理情况,就风险评估这一核心问题,制定了一套规范体系指导文件过程和文件系统中的风险评估。首先规范了组织机构文件过程和文件系统风险评估的准则,之后规范了风险评估的步骤(风险的识别、分析和评价),最后规范了风险评估结果的通示。
(二)提供了一种分析方法,用来确定文件过程和文件系统中风险事件的潜在影响
ISO/TR 18128:2014从环境(内外部因素)、系统、文件过程三个方面详细阐述了文件过程和文件系统中风险存在的不确定性领域及因素,阐述了不确定性领域中风险事件的潜在影响,值得一提的是,这些潜在影响中虽然有对组织机构的不利影响,但也可能会带来有积极影响的机会。标准介绍了风险事件的可能性和概率的估计方法,每个风险都必须结合正在发生的事件和它真实发生后出现的后果这二者的可能性来进行评估,还包括风险等级确定,与风险标准进行比较,确定风险处理的要求。
(三)提供了一个实用指南,用来指导评估文件过程和文件系统中的风险
ISO/TR 18128:2014标准在识别和分析风险时,引导风险评估人员从不确定性角度出发,识别风险事件可能发生的不确定性领域,并确定不确定性是通过影响文件过程、文件系统还是通过内外部环境,导致文件不可用、不可靠、不真实、不完整,不能够实现组织机构的目标。从风险源头分析,对可能性进行概率估计,以此对风险划定不同的等级,并赋予其优先级,以此来协助高层管理人员决策,确定哪些风险需要及时处理以及处理的先后顺序,哪些风险在可承受范围内,来进一步观察。最后,对已评估的风险进行记录,登记建档,一是为了在以后遇到相同风险情况时,有可以借鉴的经验,二是为了减少风险,在组织机构内部和组织机构之间通示风险。
ISO/TR 18128:2014标准,首次对于文件过程和文件系统中的风险评估进行了细致具体的阐述,多维度构建了文件过程和文件系统的风险评估和管控规范,辅以样例参照,为组织机构风险评估提供了依据,有利于有效开展文件过程和文件系统的风险评估工作,以风险评估的结果来指导风险管理,并采取风险应对措施,规避风险、控制风险或降低风险损失,对维护文件的真实性、可靠性、完整性和可用性,满足组织机构的文件要求,更好地为组织的业务活动服务有重要价值。
*本文系中国人民大学研究品牌项目(项目批准号:10XNI019)的研究成果之一。
关键词:文件过程文件系统风险评估
“ISO/TR 18128:2014 Information and Documentation- Risk assessment for records processes and systems”and the Implications
Abstract: Risk assessment is fundamental for the security management of records; it is also an im? portant issue for security management of electronic records. The publication of ISO/TR18128: 2014 has provided guidelines for the effective risk assessment of records processes and records systems for organi? zations in the processes of construction of informa? tion society and application of information technolo? gies, it aims to ensure records can consistently meet the demands of business activities of an organization.
Key words: records processes; records system; risk assessment
一、制定背景
风险评估是风险管理的一个重要环节,我国信息安全管理国家标准《信息安全风险评估规范》(GB/ T20984- 2007)、《信息安全风险管理指南》(GB/ Z24364-2009)将风险评估作为信息安全领域的一个重要控制手段。文件过程和文件系统的风险评估是信息化建设中文件安全管理的重要前提和基础,也是档案信息化建设的重要课题。ISO/TR 18128:2014标准的制定,首次明确了文件管理过程中的风险评估要求,旨在协助组织在文件过程和文件系统中有效地开展风险评估,以确保文件能够持续地满足组织业务活动的需要。
ISO/TR 18128:2014适用于组织机构的文件管理专业人员或对文件负责的管理人员,审计人员或对组织机构风险管理方案负责的管理人员;适用于所有类型的组织机构,不论其规模、活动性质、职能复杂程度和组织结构如何。
二、标准内容
该标准由八章构成,其内容包括:第一章范围、第二章规范性引用文件、第三章术语和定义、第四章组织风险评估的准则、第五章风险识别、第六章分析识别出的风险、第七章风险评价、第八章通示识别出的风险。此外,该标准还有三个资料性附录,附录A:风险登记簿中记录的风险条目示例,附录B:识别不确定性领域的检查清单示例,附录C:基于ISO27001的附录A控制使用指南。
ISO/TR 18128:2014标准所提供的相关指导和示例源自ISO 31000:2009 (见图1,引自ISO 31000:2009),通用的风险管理过程同样适用于文件过程和文件系统。
风险评估过程包括了风险识别、风险分析和风险评价三个步骤。文件过程和文件系统中的风险评估结果应该被纳入组织的一般风险管理框架,这样组织才能更好地控制文件和业务质量。
ISO/TR 18128:2014标准的核心内容包括三部分:组织机构进行风险评估的准则、风险评估和对已识别和评估的风险进行通示。
第一部分组织机构风险评估的准则。要求组织机构建立通用风险标准,并确定风险评估活动的对象和范围,建立风险评估的制度。它应当包括对风险性质和类型的测定、风险概率的表达、风险等级的确定、风险是应该处理还是可以忍受的量度和多风险的组合评估等。
第二部分风险评估,包含三个步骤:风险识别、分析已识别的风险、风险评估。
风险识别是为了识别那些可能发生或存在的会影响文件能否满足组织机构要求的情况。风险识别的过程包括识别可能对组织机构的目标和性质有实质性影响的风险、事件或环境的原因和来源。该标准要求对环境(内外部因素)、文件系统以及组织创建和管理文件的过程之中的不确定性领域进行识别。
风险分析是确定已经识别出的风险的潜在后果并意识到风险的可能性。它包括可能性分析和概率估计。意识到已识别的风险的可能性是通过分析不确定性领域的性质,还有在一段时间内足以支持一个可靠估计的数据。而概率可以用不同的方式来表达,但通常都与风险等级有关。
风险评估是根据风险分析的结果,来协助确定哪些风险需要处理和处理实施的优先级。风险评估首先要分析不良事件的潜在影响,要综合考虑用户、文件、组织等多方面的因素,之后通过结合事件发生的概率及其产生的影响的程度,来评定事件是否是风险管理所关注的不良事件。
第三部分对风险进行通示。风险管理是一个连续的管理过程,对已评估的风险应该记录并建档,还应该加强各部门之间关于风险的沟通和交流。风险沟通是有效风险管理的一部分,目的是确保组织机构范围内对风险的识别,加强对风险的防范和管控。 三、对我国文件管理工作的借鉴
ISO/TR 18128:2014标准作对我国文件管理具有以下三个方面的借鉴作用:
(一)建立了一套规范体系,用来规范文件过程和文件系统中的风险评估活动
ISO/TR 18128:2014根据已出台的相关标准要求,结合文件过程和文件系统的风险管理情况,就风险评估这一核心问题,制定了一套规范体系指导文件过程和文件系统中的风险评估。首先规范了组织机构文件过程和文件系统风险评估的准则,之后规范了风险评估的步骤(风险的识别、分析和评价),最后规范了风险评估结果的通示。
(二)提供了一种分析方法,用来确定文件过程和文件系统中风险事件的潜在影响
ISO/TR 18128:2014从环境(内外部因素)、系统、文件过程三个方面详细阐述了文件过程和文件系统中风险存在的不确定性领域及因素,阐述了不确定性领域中风险事件的潜在影响,值得一提的是,这些潜在影响中虽然有对组织机构的不利影响,但也可能会带来有积极影响的机会。标准介绍了风险事件的可能性和概率的估计方法,每个风险都必须结合正在发生的事件和它真实发生后出现的后果这二者的可能性来进行评估,还包括风险等级确定,与风险标准进行比较,确定风险处理的要求。
(三)提供了一个实用指南,用来指导评估文件过程和文件系统中的风险
ISO/TR 18128:2014标准在识别和分析风险时,引导风险评估人员从不确定性角度出发,识别风险事件可能发生的不确定性领域,并确定不确定性是通过影响文件过程、文件系统还是通过内外部环境,导致文件不可用、不可靠、不真实、不完整,不能够实现组织机构的目标。从风险源头分析,对可能性进行概率估计,以此对风险划定不同的等级,并赋予其优先级,以此来协助高层管理人员决策,确定哪些风险需要及时处理以及处理的先后顺序,哪些风险在可承受范围内,来进一步观察。最后,对已评估的风险进行记录,登记建档,一是为了在以后遇到相同风险情况时,有可以借鉴的经验,二是为了减少风险,在组织机构内部和组织机构之间通示风险。
ISO/TR 18128:2014标准,首次对于文件过程和文件系统中的风险评估进行了细致具体的阐述,多维度构建了文件过程和文件系统的风险评估和管控规范,辅以样例参照,为组织机构风险评估提供了依据,有利于有效开展文件过程和文件系统的风险评估工作,以风险评估的结果来指导风险管理,并采取风险应对措施,规避风险、控制风险或降低风险损失,对维护文件的真实性、可靠性、完整性和可用性,满足组织机构的文件要求,更好地为组织的业务活动服务有重要价值。
*本文系中国人民大学研究品牌项目(项目批准号:10XNI019)的研究成果之一。