电子档案管理风险点范文1
一、电子文件与电子档案的相关概念
(一)电子文件:电子文件又可以被称之为数字文件,具体指的是由电子计算机计算和生成的一种电子信息,其主要用二进制的数位进行记录和保存。电子文件与安全管理相关的特性主要具有以下几点,首先,电子文件信息与保存的载体具有相分离性,这是影响电子文件安全管理的最基本的特性;其次,电子文件的信息是数据化的显示形式;最后,电子文件对于电子设备有着严重的依赖性,离开了相应的设备,这些电子信息就会变得无法使用。
(二)电子档案:电子档案的定义方式有很多,但是业界对于其统一的认识基本达成一致,指的是那些保存在电子计算机内的用作档案保管的电子文件的统称。
二、影响电子档案安全性的相关因素
(一)自然因素。各种自然的不可抗因素是影响电子档案安全性主要自然因素。例如水灾、地震、台风等这些自然因素能够直接的影响电子档案的安全。而风、雪、雷雨等自然因素会影响电子档案的湿度温度的变化等,使得电子档案的光盘或者是其他载体变质或者是消磁,进而使得电子档案的安全性受到严重的影响甚至是遭到破坏。
(二)环境因素。电子档案的安全管理离不开环境因素的稳定,这里所指的环境具体包括硬件的环境和软件的环境。硬件的环境指的是保存电子档案的载体、相应的网络共享联系等,而软件环境则包括一个国家的政治、经济、文化等方面的环境。只有当二者的环境达到稳定状态,才能有效的保证电子档案的安全性。
(三)人为因素。电子档案安全管理的人为因素主要包括人为的蓄意破坏、人为的管理疏忽和人为的不当操作。这三类人为因素都能够使得电子档案的安全性受到影响甚至是遭到破坏。
三、电子档案风险管理的必要性
(一)信息技术存在巨大的安全风险。现如今,电子计算机的广泛使用很大程度上改变了人们的生产生活方式。但是由于人们过分的依赖这些电子设备也使得人们的生活存在着很大的风险,这个对于电子档案的安全管理也不例外。计算机系统的软硬件系统的不断更新升级,也在一定程度上加大了电子档案安全管理的风险性。
(二)电子档案的特性使得其容易产生风险。电子档案与传统的档案相比具有很大的优势,但是电子档案其也存在着一些新型风险模式。例如,电子档案具有真实性受损或者是具有不可读取性的一些新型的风险,这种风险并不是传统风险的叠加,而是风险的扩大化。因此,这充分说明电子档案其实就是一把双刃剑,在给档案管理带来便利的同时,也给档案的安全管理带来了不少的风险性。
四、电子档案管理过程中的风险控制措施
(一)在电子档案管理过程中进行有效的风险规避,减少风险带来的损失。在进行电子档案管理的过程中,首先应该建立起一整套的风险规避制度来进行相应的风险防范。例如,管理人员可以制定一项要求所有的IT系统都必须使用密码的一个制度来进行风险的规避;其次,在进行电子档案管理的过程中,还应该对管理人员实施有效的培训和教育,让他们在以后的工作中有意识的进行风险的规避;再次,还应该加强对于技术的开发和应用。通过制定更新的技术规范来确保风险的减少;最后,要实施相应的安全控制防护,安全控制防护的有效使用,能够有效的将系统漏洞或者是黑客的攻击的可能性降到最低。
(二)在电子档案管理过程中进行有效的风险转移,减少风险带来的损失。在进行电子档案安全管理过程中,进行有效的风险转移也是一种极其有效的方式之一。风险转移就是档案安全管理过程中管理人员试图使用一切的手段将各种威胁转移到其他的方面或者其他的过程。这样的风险转移方式主要通过重新考虑提供服务、修改相应的装配模式、为重要的电子档案购买保险等,旨在通过这些方式有效的将风险进行转移,保证电子档案的安全,减少相应的风险。
(三)在电子档案管理过程中进行有效的风险缓解,减少风险带来的损失。在进行电子档案管理的过程中,风险可以采取规避或者转移的方式,对于那些既不能规避也不能转移的风险可以采取一定的风险缓解的方式。这种缓解方式主要是采取事前和事后措施。事前措施指的是在损失发生前采取一定的措施,减少损失的发生。事后措施指的是在损失发生后集中精力减轻紧急情况带来的损失,以此降低风险带来的各类损失。
(四)在电子档案管理过程中进行合理的风险承认,避免风险带来的损失。在进行电子档案管理的过程中,风险是不可避免的,这就要求相应的管理人员在遇到风险的时候,对风险发生已经造成的损失选择承认。风险承认的方法就是要求相应的管理人员对已经发生的风险进行等级的确认,并且对其造成的损失进行及时的评估和成本效益的分析。通过这种风险承认的方式,可以将已经发生的在电子档案管理过程的风险带来的损失降到最低点,并给以后的档案管理工作敲响警钟。
电子档案管理风险点范文2
关键词:电子信息;档案管理;风险;有效控制;方法
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为单位办公带来了巨大的变革,使办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致数据被盗,所以,我们在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免电子信息档案风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1、积极引进最新技术。
计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2、制定一些制度。
为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以我们要主动制定一些有针对性的制度来进行预防,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3、及时消除风险。
为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,我们尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4、及时进行预防和保护。
为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解电子信息档案风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,很多单位开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,我们都要积极主动的进行及时的处理,这才是最为关键的。
三、分散电子信息档案风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给我们档案管理造成损失,那么那些使用电子信息n案的人员要做的就是一定要严格遵守操作标准。
四、评估电子信息档案风险的措施
电子档案管理风险点范文3
1避免风险的措施
提早预防,预防风险是躲避风险的最有用的方法,亦然最经济的方式,就电子档案而言,应该以它本身的已有的缺点为依据来实施控制管理,保证内部信息的安全性,主要措施有:
1.1积极引进最新技术
在计算机使用的过程中,要结合多种防范措施进行保护。创新技术的应用在一定程度上增加信息的安全性,所以,要引进新的技术,使风险规避达到最优化。设置密码是最广泛使用的方法。在操作系统的电子信息文件的密码设置,培养计算机人才的监督控制的一些技术,避免了信息资源的外部因素的干扰。
1.2制定制度
管理制度在保障信息的安全性中是不可缺少的部分,单位要及时主动制定严格的针对性制度进行防范,同时也可以根据实际情况制定制度。
1.3及时消除风险
为了确保信息文件的数据安全,消除潜在的风险是非常重要的,在电脑的维修周期,单位尤其要注意随时可能出现的风险,并采取积极措施。由于计算机技术的的复杂性,只要及时且做到全面对待问题,那就能够把问题解决掉。例如,对于计算机的病毒,以及时应对潜在的风险,并采取措施是非常必要的。
1.4及时进行预防和保护
一种消除电子信息的风险因素的重要措施,它能有效的避免外部因素的破坏信息数据,保证信息的安全。
2控制风险的措施
一旦电子信息档案遭到外界影响,要想把危险降到最低程度,就要求管理人员最大程度地把危险掌控在严格的一定的范围内。目前不少单位在制订实践应变计划、恢复计划、电子讯息档案,从新安置等方法来减小风险,减小电子信息档案及相关资产价值自身或风险亏损。补救措施的方法有事先措施、过后措施。事先措施指的是在亏损产生前为减少损亏程度使用的方案,危害过后措施指的是损失发生后减少威害实行的方法。值得注意的是,如果有危险的电子文件管理,无论在什么样的情况下,单位应主动及时的处理。
3分散风险的措施
在电子信息档案管理中,转移策略也是一种经常使用的规避风险的措施,转移策略实质上就是一种分散风险的方式,也就是把风险转到其他的地方,一般来说,可以从多个方面对风险转移的方法实施修改,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等。经过此种方式的处理之后,我们就可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。除此之外,还可以和网络供应商互相协调,让供应商的安全服务与电子信息档案的使用需要相匹配。另外,还要强调的是,外包同样也存在着风险,如果外包人员不符合合同的标准,那么后果也是很严重的。所以,为了预防人为因素给企业造成损失,那么,那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
电子档案管理风险点范文4
随着人类社会的快速进步,计算机技术得到了迅猛发展,涌现了大量的电子出版物、电子邮件、电子文件,它们逐步把以纸质为介质的文件进行了取代。所以,档案工作发展的必然趋势就是档案网络化、电子化。电子档案的主要优点在于:具有巨大的信息存储量、快捷的传递方式、独立的信息存储空间、方便的操作手段、便于长期保存,它所需的空间比较小、信息资源能够实现共享、复制档案的过程中不容易丢失信息,表现形式也是多种多样,使档案更加形象、全面、生动,复用性非常良好,它是数字化信息技术的产物。但是它也有一定的缺陷:具有较强的设备依赖性、较大的信息不安全性、载体的易修改性、非直读性、载体与实用技术缺乏稳定性、较强的背景信息和元数据的依赖性,逻辑结构与物理结构存在复杂性,以及载体与信息存在相互分离性等。
二、档案风险预防的手段
档案工作开展的一个重要步骤及基础性环节就是细致深入的分析研究风险预防的有效方案。对存在的风险进行提前性的防范,这是最为经济、最为有效的风险规避风险手段,在还没有出现风险的时候就加以遏制,提前进行预防,防患于未然,可以降风险的代价为最低。第一,保证审批工作的可靠与严格,审批需要逐级别的进行,针对信息内容加以保存和管理,并对工作权限加以认定;第二,严格的权限限制必须建立起来,只有在权限的范围内各个级别的工作人员才能进行工作,使用档案;第三,以使用的规范为准则,确认使用权限,为了防止信息泄露,有必要对备份的文件实施技术处理,对信息的整理复制备份要竭力避免出现。
三、档案风险避免的手段
(一)引进最先进的科学技术。在工作的时候计算机要将多种措施同时结合起来,而引进先进技术是风险规避的最佳选择,先进技术可以提高电子信息档案的安全可靠性。在现代操作系统中比较经常运用的、很重要的方法就是密码设置。第一,提升加密技术,对档案信息进行分层次、分级别的加密处理;第二,实施数据加密处理应选择最佳的软件,制定适合的档案软件,并对用户密码的设置、访问的授权、安全的级别等予以保证,使档案及信息的安全性得到有效保证。
(二)及时发现和处理是风险防范的首要措施。数据安全性的重点是档案信息的管理工作,而在使用电子信息档案的时候出现的风险问题,要及时发现和处理。有关企业针对在维修计算机过程中的风险,需要加大力度,重点关注,有效的防范和控制可能出现的风险,并实施主动的、有效的方案。
四、档案风险分散的手段
电子档案管理风险点范文5
关键词:电子文件 电子档案 管理
中图分类号:TP39 文献标识码:A 文章编号:1007-3973(2012)001-055-02
随着信息技术快速发展,电子文件与电子档案大量产生。由于电子文件的某些性质与传统文件有着很大区别,对电子文件归档后产生的电子档案管理也有很大影响,因此有必要对电子文件真实与完整性进行分析。以下将结合笔者工作经验来阐述电子文件真实与完整风险管理。
1 电子文件及电子档案
1.1 电子文件与电子档案
电子文件(Electronic Records)是在数字设备及环境中生成,以数码形式存储于磁带、磁盘、光盘等载体,依赖计算机等数字设备阅读、处理,并可在通信网络上传送的文件。①
1.2 电子文件对档案管理的影响
文件归档立卷工作是档案工作流程的起点,也是文书工作和档案工作的结合点,文件形成后,由文书部门收集立卷后,交档案部门管理,一般一年归档一次。而电子文件随时产生,随时更改,存储在计算机磁盘或光盘中。因此,它对计算机有很强的依赖性。如果归档,必须以磁盘或光盘形式移交,归档范围也不能只是办理完毕具有保存价值的文件,还应包括该文件读取软件甚至操作系统。
2 电子文件真实与完整风险
电子文件管理中最致命的问题、最根本的风险就是真实性、完整性受到破坏,这是需要管理者动用一切办法加以防范的,以下是真实性与完整性这两种主要风险。
2.1 电子文件的真实风险
电子文件若真实性受损,就无法客观地反映原始事实,也就会失去利用价值。目前,这样的实例很多,比如,加拿大调查委员会对加拿大在索马里的驻军情况举行了听证会。调查委员会要求查看国防行动中心一个数据库中文件运行记录。在查看该文件运行记录时,委员会发现了许多异常情况,如空白信件、漏号或重号等。调查委员会认为这些记录不可靠,不能用于当时进行调查,也不能向未来研究人员提供利用。电子文件不真实具体表现包括:(1)文件是伪造的,即用户身份不真实;(2)无法证明电子文件未经改动,即无法排除文件不真实的可能性。主要原因在于系统没有生成、获取文件的背景信息。
2.2 电子文件的完整风险
电子文件完整性风险主要表现在应该归档保存的电子文件数量残缺不全或是文件构成要素不完整。完整性是电子文件价值的重要保障,残缺不全文件留给后人是支离破碎的社会记忆,会对电子文件利用带来很大障碍,也会严重影响电子文件应有价值。在电子环境下,介质脆弱,技术过时以及系统特性都会影响电子文件完整性。
3 影响电子文件真实与完整风险的因素分析
一般说来,影响 电子文件真实与完整风险主要有:(1)管理风险电子文件在形成、传输、接收、处理、保管、管理、利用等各个阶段,都与机构管理密不可分。管理机制不完善,或由于人的主观性、难以规范性和不确定性,都可能会威胁到文件的真实与完整。例如由于文件管理知识缺乏,可能使文件重要构成要素和文件系列没有保存齐全;操作失误;主观或无意的内容或形式改变;网络攻击或电子欺诈行为对文件造成的非法变更与摧毁;人为因素引起保管环境恶变而对电子文件载体产生破坏;管理规范缺乏和人为疏忽造成数据缺乏备份、备份媒体选择不当和没有异地备份等;以及本章第一节中探讨影响电子文件真实与完整的其他人为因素等,都是由于管理不当导致的风险。(2)信息技术风险电子文件形成和存在依赖于信息技术和设备,信息技术的不稳定也会使电子文件真实与完整面临风险。基础设施风险。基础设施包括硬件、系统软件、网络及机房等。缺乏信息技术基础设施应具有的基本条件,如硬件软件性能欠缺稳定性、安全性、容错性、可靠性与可维护性等,都会对电子文件真实与完整构成威胁;系统空间容量不足;备份过程、数据传输过程欠缺安全保护措施及准确性;系统功能对电子文件真实完整性需求的满足程度不够;机房的交流电源、备用电源设施及安全保护措施不当等等,都有可能导致电子文件信息变更与丢失。数据管理风险。电子文件数据本身具有极大不稳定性,这与电子文件内容与载体可分离性、载体不固定性以及技术寿命有限等因素相关。为保证文件内容持久可读,必须对电子文件定期迁移。在迁移过程中,文件信息有丢失和受损的风险。许多部门由于忽视了数据的不稳定性,未对其采取相应保护措施,由此造成的损失无法弥补。(3)固有风险在对电子文件管理中,总会有一些不可抗拒因素导致文件真实完整性受损。由这些不可抗因素引起的风险,称为固有风险。例如不可抵抗的自然灾害(如火灾、水灾、地震等)与意外灾祸(如失窃、鼠灾等),恶劣环境(如强光、不适宜的温湿度、灰尘、磁场等)带来的影响等,都会导致文件损毁。电子文件整个生命周期各阶段(形成、传输、捕获、存储、处理、保存与利用等等)中,任何一个环节出现问题,都可能严重影响电子文件的真实与完整。
4 电子文件真实与完整的风险管理策略
4.1 对电子文件管理流程加以优化
文件管理流程是指文件生命周期中施加于文件一系列相关管理活动有序组合。电子文件管理流程不是对手工管理流程的复制和模拟,而应根据电子文件技术特点,利用计算机系统高效处理数据、一次输入多次输出、可并行作业等优势,构建更为科学高效新流程,具体落实全程管理和前端控制。相比手工管理流程,电子文件管理流程内容,以及组成流程各项管理活动开展时间、承担者相互关系都有变化。在内容上,有些管理活动需要增加,如确定文件存储格式、确定文件存储位置等;有些管理活动被简化,如实体整理、分发;另外一些则变得复杂,如鉴定工作中增加了技术鉴定内容,录入范围扩大等。在电子文件管理活动开展时间上,有些活动提前,如归档、鉴定、分类、录入等提前到文件形成阶段就开始;与此同时,著录、鉴定等延伸到整个文件生命周期。
在电子文件档案工作管理人员中,除了档案人员、文件形成者之外,信息技术人员、计算机系统人员成为电子文件管理队伍新成员。信息技术人员负责技术鉴定、迁移、备份等技术管理工作;如果设计和使用得当,文件系统可以完成和参与许多公务性、重复性的工作任务,如文件分发、鉴定、归档、录入、跟踪、统计等,使之自动化。在文件管理之间相互关系上,手工条件基本上是依次开展、顺序衔接、相互独立管理,而在电子环境中则逐渐变得同时开展、相互交叉、部分内容合成,从而使得电子文件管理流程具备并行化、非线性化、集成化等特征,如很多文件管理都可能自动记录到录入数据库中,从而导致录入同其他文件管理的集成。各单位应综合考察业务、技术、制度、标准、人员、文化等多个要素,通过合并、削减、前置、并行、自动化等手段,优化设计电子文件管理流程,并将电子文件管理流程的优化纳入机构业务流程整体优化之中。
4.2 以电子文件管理软件为中心实施管理
电子文件技术特点和随之而来的管理问题都直接或间接地起源于系统,而最后解决途径也都要归结到系统设计上。在电子文件管理体系中,管理系统(主要是软件)处于中心位置,没有系统管理对电子文件而言是不可想象的。设计合理的电子文件管理系统是相关管理制度、标准、方法的执行者,是电子文件管理活动重要的承担者,是全程管理、前端控制和流程优化的根本保证。承担电子文件管理功能的系统-主要由两部分组成:形成电子文件业务系统和独立电子文件管理系统。业务系统负责生成合格的电子文件并将之交付给电子文件管理系统,电子文件管理系统负责适时获取、采集电子文件并保证其长期真实、完整、可读、可用。这两个系统之间应该有数据接口,以保障数据顺畅、无损传递。当然,有些业务系统包括功能相对齐备的文件、档案管理模块,不过一般只能管理本系统产生的电子文件,而专业的电子文件管理系统则能综合管理多种电子文件。近年来电子文件管理软件的功能需求一直是国际关注热点,对于文件系统开发的参与也被档案部门看作是解决电子文件管理难题一条重要措施。独立的电子文件管理系统应该具备一般功能包括获取(归档)、分类、鉴定与处置、录入(数据管理)、存储与保护、检索与利用、安全与存取权限控制、日志、审计、报表设计及制作等。
4.3 采用基于职能的管理方法
职能是机构对于社会承担的主要职责,它包括完成一定目标的多项工作。有时多个部门联合执行某项职能,有时不同部门在职能中交叉。机构承担的职能相对稳定,而组织结构和部门设置则相对灵活多变。文件是机构履行职能记录,职能类别是判断文件类别的依据,职能重要程度是决定文件重要程度的依据,按照职能分类体系组织文件,可以充分反映文件的来源联系,说明其来龙去脉。职能分类法、职能鉴定法以及以职能为基础组织文件信息提供利用,是档案管理中极富特色的专业方法,为多个国家所采纳,并被国际标准IS015489确认,在电子文件管理中也应该采用这些管理方法。职能分析也是电子文件管理系统设计过程所必须开展的工作内容。以上要点的阐述都是在方法层面上展开的。管理好电子文件,仅有科学方法是不够的,还要构建覆盖观念、制度、组织、方法、手段在内的全面管理体系。
5 结论
因此,我们必须在对电子文件管理流程加以优化、以电子文件管理软件为中心实施管理、采用基于职能的管理方法等思想指导下,积极、慎重地应用较为先进与成熟的信息技术手段,监视电子文件生命周期全过程,抑制风险因子,通过监控、记录和审计与电子文件有关的一切活动,防止其不被修改、替代或破坏。同时,对电子文件生命周期每一阶段、每一环节,都要建立相应管理措施加以防范和制约,形成一个不间断的连续管理系统,以确保电子文件真实与完整。
注释:
① 出自国家标准《电子文件归档与管理规范》(GB/T18894―2002)[S].
参考文献:
[1] 丁栋轩,刘海平.文书档案管理基础[M].科学普及出版社,2007.
电子档案管理风险点范文6
档案信息安全保障体系的建设取得了一定的成绩,但同时存在许多问题,我们必须及时加以纠正和改进。档案信息安全保障体系的建设不是一蹴而就的,是一个复杂的社会工程。首先要纳入国家信息安全保障体系和电子政务信息安全保障体系的总体格局中,其次学习国内外保障体系建设的经验,结合档案信息资源的自身特点,将档案信息安全保障体系建设落到实处。档案信息安全保障存在的问题
1.对档案信息安全保护和保障概念混淆
信息安全是一个发展的概念,从通信保密、信息保护发展到信息保障,或者说是从保密、保护发展到保障。每个阶段的安全属性也是不断扩展的,保密阶段为保密性:保护阶段为保密性、完整性和可用性;保障阶段为保密性、完整性、可用性、真实性和不可否认性,甚至在国际标准《信息安全管理体系规范》ISO/IEC17799:2005中,又增加了可追溯性和可控性。信息安全属性也是信息安全的目标。保障阶段应采取相应的措施达到“七性”。
信息安全保障的提出最早源自美国。1996年美国国防部(DoD)在国防部令S-3600,1对信息安全保障作了如下定义:“保护和防御信息及信息系统,确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能,并提供信息系统的恢复功能。”除安全属性不断丰富外,安全保障与安全保护主要区别是主动防御和动态保护。而与之对应的信息保护是静态保护(安全措施基本不变)和被动保护(发生安全事故后再采取防护措施)。
然而,目前大部分档案信息安全保障仍只达到安全保护水平。将安全保护和安全保障概念混淆,造成保障阶段的能力也停留在保护水平,不能从主动防御和动态保护来保障档案信息安全。在具体操作上。仍以身份认证、数据备份、安装防火墙、杀毒软件和入侵检测等被动保护措施为主。在日益复杂的档案信息系统和网络环境下,档案信息得不到应有的保障。
2.偏重技术,忽视管理
在美国国防部对安全保障的定义中,“保护、检测、反应和恢复”不仅体现动态保护,还体现安全管理,安全保障也是一个管理过程。
然而长期以来,人们对档案信息安全偏重于依靠技术。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的,尤其是对内网用户的管理。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则。在档案信息安全领域也同样适用。据有关部门统计。在所有的信息安全事件中,属于管理方面的原因比重高达70%以上,而这些安全问题是可以通过科学的信息安全管理来避免的。因此,安全管理已成为保障档案信息安全的重要措施。
目前,国际上实现信息安全管理的有效手段是在信息安全等级保护制度下,进行信息安全风险评估。“早在20世纪70年代初期美国政府就提出了风险评估的要求。2002年颁布的《2002联邦信息安全管理法》对政务信息安全风险评估提出了更加具体的要求。”欧洲等其他信息化发达国家也非常重视开展信息安全风险评估工作,将开展信息安全风险评估工作作为提高信息安全保障水平的重要手段。国外风险评估标准主要有:BS7799、ISO/1EC 17799、OCTAVE、NIST SP800―30、AS/NZ54360、SSE―CMM等。
3.缺失安全评估体系
目前,我国档案信息安全保障体系的建设处于各自为政状态,没有将基于等级保护制度下的档案信息安全风险评估提到议事日程上来。由此造成档案信息系统建立并采取安全措施后,仍不能明确自己的网络和应用系统是否达到安全要求?还有哪些安全漏洞?可能造成多大危害?应该怎样解决?系统升级或调整后又存在哪些安全风险?如何规划档案信息安全保障体系建设?作为档案信息系统的拥有者、档案信息系统安全构建者和档案信息系统安全的监管者,必须有统一的风险评估标准,才可以做到档案信息安全与否谁也不能说了算,而应该按照统一的风险评估标准来评价是否安全。应采取什么措施。
档案信息安全保障状况需进行风险评估
2006年3月7日,酝酿已久的《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(简称《意见》)正式对外公布。《意见》要求。各信息化和信息安全主管部门要从抓试点开始,逐步探索组织实施和管理的经验,用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提升网络和信息系统安全保障能力。
2005年9月,国务院信息化工作办公室专门组织成立了“电子政务信息安全工作组”,并已编制了《电子政务信息安全等级保护实施指南(试行)》,其中提出将风险评估贯穿等级保护工作的整个流程。所以,作为电子政务系统中保存和管理信息的档案信息系统,与电子政务一脉相承,进行风险评估是迟早的事。对档案信息安全保障进行风险评估主要有如下优势。
1.将档案信息安全保障体系纳入国家信息保障体系
国家已制定了风险评估标准GB/T 20948―2007《信息安全风险评估规范》,并将于2007年11月1日正式实施。作为我国信息资源重要组成部分的档案信息,必须积极响应国家信息安全政策和纳入国家信息安全保障体系的总体格局。档案信息安全风险评估可在此标准的基础上,结合档案信息自身特点,先开始在综合档案馆和电信、银行、税务、电力等大型档案信息管理系统中试验,在此基础上再逐步推广,达到国家要求“2006年后三年内在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作”基本目标。
2.规范档案信息安全保障体系建设
在档案信息化过程中。我们已经制定了GB/T17678.1―1999《CA D电子文件光盘存储、归档与档案管理要求。第一部分:电子文件归档与档案管理》、GB/T18894―2002《电子文件归档与管理规范》、GB/T20163―2006《中国档案机读目录格式》、DA/T 22―2000《归档文件整理规则》和DMT 3l一2005《纸质档案数字化技术规范》等国家标准和行业标准,然而与档案信息安全相关的标准尚未出台,造成目前档案信息安全保障体系的建设处于各自为政状态。档案信息风险评估的开展。虽然可以参照国际和国家标准,但最终还必须有针对性强的行业标准。为了改变目前的现状,档案行政管理部门应重视针对档案信息安全保障政策和标准的建设,抓住国家推广信息安全风险评估的机会。从风险评估作为切入点,制定档案信息风险评估和其他安全相关标准,规范档案信息安全保障的建设。由于对档案信息风险评估是以信息安全保障要求为前提的,所以只要进行风险评估就可以纠正信息保护和保障的混淆,并确认是否达到相应的保障要求。
3.贯彻安全技术和管理并重,保障档案信息安全
等级保护和风险评估是信息安全管理的核心内容,是信息安全管理的具体体现。国家提倡在等级保护制度下进行风险评估,就是在对信息系统划分等级后,采用风险评估测评系统是否达到相应等级的安全要求,这样可以改变以往只建设不测评的现状。同时,风险评估还要求贯穿信息系统的整个生命周期,即在信息系统的分析、设计、实现和运行维护的整个生命周期内,都将进行定期或不定期的风险评估,也体现信息安全保障的动态安全和主动防御。以往在我们档案信息安全保障的建设中也强调信息安全管理机制的构建,而风险评估就是很好的体现。风险评估的进行过程中。有相应的安全策略,按照“谁主管谁负责、谁运行谁负责”的要求,对在岗的每一位员工也有相应的安全职责,这样也提高了员工的安全意识。
4.完善档案信息安奎保障体系
对于已建、在建或将建的档案信息系统,以往没有进行风险评估的,应积极开展这项工作,在没有正式出台专门档案信息风险评估标准前,可参照国内国际标准进行,或者参与到电子政务信息的等级保护和风险评估中去。当然风险评估并不是信息安全保障的唯一手段(还包括等级保护、应急响应和灾难恢复等),但它是档案信息安全保障不可或缺的一个重要环节。通过风险评估,可完善目前还没有达到保障要求的档案信息系统安全保障。另外,对于新建设的档案信息系统在设计阶段就要融入风险评估,这样可以防患于未然。
5.监督和检查档案信息安全保障建设
