论文部分内容阅读
摘要:档案信息安全风险评估的核心问题之一是风险评估分析方法的选择。为了加强档案信息的安全管理, 本文将动态风险评估方法引入档案信息安全风险评估领域,以期为相关工作建立安全风险评估机制, 开展档案安全风险评估及采取有效措施,消除安全隐患提供参考。
关键词:档案安全管理;档案信息安全;安全风险评估
1 引言
档案信息是人类经济活动和社会活动的战略资源,在国家经济建设和人民日常生活中发挥着越来越重要的作用。然而,随着档案信息化建设的不断推进,档案信息系统及其周边系统规模不断扩大,系统结构更加复杂,档案安全管理问题日益突出。在档案安全管理中进行安全风险评估是对档案实体和档案信息资源所面临的威胁及其可能造成的影响的可能性的评估,是档案信息安全风险防范的切入点和关键环节。然而,开展档案安全风险评估工作需要根据实际情况确定评估内容、评估指标以及评估方式,以保证评估工作的科学性、合理性。目前,学术界针对档案安全风险评估大多停留在静态分析的基础上,初步构建了档案安全风险评估指标体系,但没有考虑到档案安全风险要素之间的动态变化及相互间的转化关系,没有建立起基于动态风险分析的档案安全管理风险评估模型。
2 档案安全动态风险要素识别
档案管理的各个环节都面临的安全风险,动态风险评估首先要识别档案安全管理过程中面临的各类潜在风险要素。基于近年来档案安全事故发生的案例,本文利用归纳法总结出当前档案安全管理面临的五大风险要素。
2.1 主体要素
人是档案安全管理中唯一参与的主体,并且贯穿档案安全管理的全过程,对档案实体安全和信息安全都会造成一定的风险。
2.2 方法要素
方法要素指的是档案安全管理中运用的管理方法,主要包括:①人才队伍建设。如岗位安排、职能定位、业务培训等。②档案安全管理制度建设。
2.3 环境要素
在传统的以纸张为载体的纸质档案管理中,环境要素主要指人力不可改变的气象环境、地质环境等自然环境要素,自然环境要素会带来水灾、火灾、风灾等风险;还指人为可改变的部分气候环境。
2.4 设备要素
设备要素引发的档案安全管理风险体现在以下方面:①档案装具。档案装具是存放并保护档案的装置或容器,也是将档案实体与外界环境隔离开来的最后防护层。
2.5 客体要素
客体要素指的是档案本身在不受外界自然环境和人为因素影响的情况下所遭受的风险。档案实际上由载体材料和记录材料构成,无论是载体材料还是记录材料,其自身的理化性质在不受任何外界因素和人为因素的影响下都会发生退化,如载体老化、字迹褪色等,威胁到档案实体的安全和信息准确获取。不同的档案载体材料和记录材料,具有不同的理化性质,在档案产生时要选择耐久性强的材料,以降低档案自身退化速度。相对于其他要素而言,客体要素所引发的风险较小,周期也较长。
3 风险要素动态关系分析
在档案安全管理面临的各类风险要素中,每种要素本身都处于不断变化状态,并且要素之间呈现出动态传递特点,某一要素的变化会引起其他要素的联动变化。
3.1 风险要素的动态性
风险要素的动态性主要表现为自身要素内涵的变化和重要程度的变化。在电子文件大量出现以前,档案管理处于线下的实体管理层面,主体要素中档案人员计算机技能的缺失、环境要素中的网络环境的冲击、设备要素中的档案自动化管理软硬件设备故障等,都不会对档案安全管理带来显性风险。但由于科技进步,档案工作方式发生了重大变化,各种风险要素的内涵不断得到补充,呈现出动态性特点。再者,从当前档案安全管理的现行条件来看,主体要素中业务技能要素、方法要素中的技术要素和制度要素、环境要素中的网络环境要素、设备要素中的软件要素等的重要性都在不断增加。
3.2 风险要素的关联性
主体、方法、环境、设备、客体五种要素是相互关联的,并呈现出动态变化的特点。主体要素在档案安全管理风险系统中起到了全局性的影响,决定了选择何种管理方法、如何改造档案所处环境、配置何种管理设备以及选择何种档案载体;方法和设备两大要素直接影响环境要素的发挥,科学的档案安全管理制度以及先进的设备配置,能够局部改善档案的保管环境,从而降低环境要素引发的风险;客体要素反作用于其他要素,例如电子文件大量产生后,档案的管理方式发生质的转变,无论是档案人员的业务技能、档案管理制度,还是保管环境要求、设备配置等,都面临着改变。总而言之,从整体上把握档案安全管理五大风险要素的动态性及其关联性,是构建档案安全动态风险评估模型的前提和基础。
4 档案安全动态风险评估指标体系
在选择评估指标时应该做到全面,同时也要分清主次,重点关注那些最为重要的指标,并且确保选取的指标尽量具备可量化、能独立开的特点,即遵循关键指标原则。在关键指标原则下,笔者利用层次分析法初步构建了档案安全动态风险评估指标体系,包括总体层、要素層和指标层,具体指标体系框架如图1所示:
上述指标体系共包含18个评估指标,其中定性指标8个,定量指标10个,定性指标在评估时应该参照行业标准或者根据相关的实践经验,如库房设计缺陷可按照《档案馆建筑设计规范》(JGJ25-2000)评估,档案人员的保护意识、业务技能可根据档案工作的实际经验评估。定量指标的评估主要是利用数学模型计算要素引发风险的可能性,如制度覆盖率=(已制定制度数量/应制定制度数量)×100%;档案装具合格率=(合格装具数量/总装具数量)×100%。定量指标在评估过程中离不开定性评估,如应制定制度的确定、合格装具标准的确定等,因此在完成各类指标的评估时,应尽可能利用定性与定量相结合的评估方法,降低定性评估方法的主观性和定量评估方法中数据获取的困难性。
5 档案安全动态风险评估模型
由于五大风险要素的动态性,评估指标体系也处于不断更新状态,评估单位会因为档案安全管理水平的不同而有所区别。基于这些客观因素的考虑,笔者构建了基于动态风险分析的档案安全评估模型,模型框架如图2所示:
档案安全动态风险评估模型是一个动态的、循环的评估模型,主要包含入口区、评估区和判断区三个区域。入口区主要是确定评估指标体系;评估区是对各个指标进行定性或定量评估;判断区是根据评估结果判断现阶段档案安全管理是否面临风险,若无风险则保持或继续完善原有的保护方案,若存在风险则调整原有方案,规避风险。由于风险要素的动态性,初次评估后经过一段时间需要重新确定评估指标体系,并进行二次评估,这是该模型动态性和循环性的集中体现,也是档案安全动态风险评估模型最为重要的特征。
6 结束语
总之,档案信息安全风险评估是一个复杂的工作过程,选择合适的安全风险评估分析方法是落实档案安全管理工作的关键。而实施动态安全风险评估能更加充分有效地发挥风险评估的作用,对于实际档案安全管理有十分重要的意义。然而,在动态安全风险评估中,无论是风险要素的识别、动态关系的确定,还是指标体系和评估模型的构建,都是一个持续改进的长期过程。因此,对评估队伍的培养和该评估方法的探索还需进一步研究。
参考文献:
[1]梁惠萍.关于档案安全风险评估活动的实践及思考[J].办公室业务, 2012(4S):49-50.
[2]吴迪锋.浅析动态风险评估理念[J].计算机光盘软件与应用, 2012(14):129-130.
[3]王炎.构建基于信息安全风险评估的档案信息安全保障体系必要性之我见[J].黑龙江档案, 2013(1):46.
关键词:档案安全管理;档案信息安全;安全风险评估
1 引言
档案信息是人类经济活动和社会活动的战略资源,在国家经济建设和人民日常生活中发挥着越来越重要的作用。然而,随着档案信息化建设的不断推进,档案信息系统及其周边系统规模不断扩大,系统结构更加复杂,档案安全管理问题日益突出。在档案安全管理中进行安全风险评估是对档案实体和档案信息资源所面临的威胁及其可能造成的影响的可能性的评估,是档案信息安全风险防范的切入点和关键环节。然而,开展档案安全风险评估工作需要根据实际情况确定评估内容、评估指标以及评估方式,以保证评估工作的科学性、合理性。目前,学术界针对档案安全风险评估大多停留在静态分析的基础上,初步构建了档案安全风险评估指标体系,但没有考虑到档案安全风险要素之间的动态变化及相互间的转化关系,没有建立起基于动态风险分析的档案安全管理风险评估模型。
2 档案安全动态风险要素识别
档案管理的各个环节都面临的安全风险,动态风险评估首先要识别档案安全管理过程中面临的各类潜在风险要素。基于近年来档案安全事故发生的案例,本文利用归纳法总结出当前档案安全管理面临的五大风险要素。
2.1 主体要素
人是档案安全管理中唯一参与的主体,并且贯穿档案安全管理的全过程,对档案实体安全和信息安全都会造成一定的风险。
2.2 方法要素
方法要素指的是档案安全管理中运用的管理方法,主要包括:①人才队伍建设。如岗位安排、职能定位、业务培训等。②档案安全管理制度建设。
2.3 环境要素
在传统的以纸张为载体的纸质档案管理中,环境要素主要指人力不可改变的气象环境、地质环境等自然环境要素,自然环境要素会带来水灾、火灾、风灾等风险;还指人为可改变的部分气候环境。
2.4 设备要素
设备要素引发的档案安全管理风险体现在以下方面:①档案装具。档案装具是存放并保护档案的装置或容器,也是将档案实体与外界环境隔离开来的最后防护层。
2.5 客体要素
客体要素指的是档案本身在不受外界自然环境和人为因素影响的情况下所遭受的风险。档案实际上由载体材料和记录材料构成,无论是载体材料还是记录材料,其自身的理化性质在不受任何外界因素和人为因素的影响下都会发生退化,如载体老化、字迹褪色等,威胁到档案实体的安全和信息准确获取。不同的档案载体材料和记录材料,具有不同的理化性质,在档案产生时要选择耐久性强的材料,以降低档案自身退化速度。相对于其他要素而言,客体要素所引发的风险较小,周期也较长。
3 风险要素动态关系分析
在档案安全管理面临的各类风险要素中,每种要素本身都处于不断变化状态,并且要素之间呈现出动态传递特点,某一要素的变化会引起其他要素的联动变化。
3.1 风险要素的动态性
风险要素的动态性主要表现为自身要素内涵的变化和重要程度的变化。在电子文件大量出现以前,档案管理处于线下的实体管理层面,主体要素中档案人员计算机技能的缺失、环境要素中的网络环境的冲击、设备要素中的档案自动化管理软硬件设备故障等,都不会对档案安全管理带来显性风险。但由于科技进步,档案工作方式发生了重大变化,各种风险要素的内涵不断得到补充,呈现出动态性特点。再者,从当前档案安全管理的现行条件来看,主体要素中业务技能要素、方法要素中的技术要素和制度要素、环境要素中的网络环境要素、设备要素中的软件要素等的重要性都在不断增加。
3.2 风险要素的关联性
主体、方法、环境、设备、客体五种要素是相互关联的,并呈现出动态变化的特点。主体要素在档案安全管理风险系统中起到了全局性的影响,决定了选择何种管理方法、如何改造档案所处环境、配置何种管理设备以及选择何种档案载体;方法和设备两大要素直接影响环境要素的发挥,科学的档案安全管理制度以及先进的设备配置,能够局部改善档案的保管环境,从而降低环境要素引发的风险;客体要素反作用于其他要素,例如电子文件大量产生后,档案的管理方式发生质的转变,无论是档案人员的业务技能、档案管理制度,还是保管环境要求、设备配置等,都面临着改变。总而言之,从整体上把握档案安全管理五大风险要素的动态性及其关联性,是构建档案安全动态风险评估模型的前提和基础。
4 档案安全动态风险评估指标体系
在选择评估指标时应该做到全面,同时也要分清主次,重点关注那些最为重要的指标,并且确保选取的指标尽量具备可量化、能独立开的特点,即遵循关键指标原则。在关键指标原则下,笔者利用层次分析法初步构建了档案安全动态风险评估指标体系,包括总体层、要素層和指标层,具体指标体系框架如图1所示:
上述指标体系共包含18个评估指标,其中定性指标8个,定量指标10个,定性指标在评估时应该参照行业标准或者根据相关的实践经验,如库房设计缺陷可按照《档案馆建筑设计规范》(JGJ25-2000)评估,档案人员的保护意识、业务技能可根据档案工作的实际经验评估。定量指标的评估主要是利用数学模型计算要素引发风险的可能性,如制度覆盖率=(已制定制度数量/应制定制度数量)×100%;档案装具合格率=(合格装具数量/总装具数量)×100%。定量指标在评估过程中离不开定性评估,如应制定制度的确定、合格装具标准的确定等,因此在完成各类指标的评估时,应尽可能利用定性与定量相结合的评估方法,降低定性评估方法的主观性和定量评估方法中数据获取的困难性。
5 档案安全动态风险评估模型
由于五大风险要素的动态性,评估指标体系也处于不断更新状态,评估单位会因为档案安全管理水平的不同而有所区别。基于这些客观因素的考虑,笔者构建了基于动态风险分析的档案安全评估模型,模型框架如图2所示:
档案安全动态风险评估模型是一个动态的、循环的评估模型,主要包含入口区、评估区和判断区三个区域。入口区主要是确定评估指标体系;评估区是对各个指标进行定性或定量评估;判断区是根据评估结果判断现阶段档案安全管理是否面临风险,若无风险则保持或继续完善原有的保护方案,若存在风险则调整原有方案,规避风险。由于风险要素的动态性,初次评估后经过一段时间需要重新确定评估指标体系,并进行二次评估,这是该模型动态性和循环性的集中体现,也是档案安全动态风险评估模型最为重要的特征。
6 结束语
总之,档案信息安全风险评估是一个复杂的工作过程,选择合适的安全风险评估分析方法是落实档案安全管理工作的关键。而实施动态安全风险评估能更加充分有效地发挥风险评估的作用,对于实际档案安全管理有十分重要的意义。然而,在动态安全风险评估中,无论是风险要素的识别、动态关系的确定,还是指标体系和评估模型的构建,都是一个持续改进的长期过程。因此,对评估队伍的培养和该评估方法的探索还需进一步研究。
参考文献:
[1]梁惠萍.关于档案安全风险评估活动的实践及思考[J].办公室业务, 2012(4S):49-50.
[2]吴迪锋.浅析动态风险评估理念[J].计算机光盘软件与应用, 2012(14):129-130.
[3]王炎.构建基于信息安全风险评估的档案信息安全保障体系必要性之我见[J].黑龙江档案, 2013(1):46.