信息安全风险管理范例6篇

前言：中文期刊网精心挑选了信息安全风险管理范文供你参考和学习，希望我们的参考范文能激发你的文章创作灵感，欢迎阅读。

信息安全风险管理范文1

【 关键词 】 企业信息；信息安全；风险管理；框架探究

1 引言

人类社会在不断发展，信息化逐渐融入人们生活。信息资源对于现代企业来讲，是每时每刻都存在的运转载体，各种重要数据、企业的知识产权等这些都是企业的内部信息，除这些信息外，其他相关方面的数据也被企业所利用，例如合作伙伴、客户、员工等资料，尤其是一些服务性企业，比如网商、快递公司、金融公司、通信公司、航空公司等，这些企业更需要以信息系统作为支撑，信息资源成为企业不可或缺的重要组成部分。

2 新形势下我国信息安全面临的问题

2.1 风险意识在主观上的淡薄

在我国信息安全上面，思想认识面临高风险的形势，大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面，没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏，规范安全风险和安全法律法规对员工的培训缺乏，很多信息安全事故的发生都是因为安全意识的薄弱造成的。

2.2 缺乏信息安全管理系统的思想

大部分企业仍是将传统的管理方法用在安全管理模式中，这种出现问题再去想弥补的方法是静态的管理，不能在提前进行信息安全风险评估上做更有效的信息系统管理。

2.3 信息安全不仅仅是技术部门的事

多数企业认为信息安全的责任和义务都是IT部门的，造成信息技术部门无法和企业内部其他部门互动，进而形成孤立的局面。但是，信息安全的实现需要各个部门的全员行动，特别是规范标准以及规章制度的贯彻落实，更牵涉到企业的每一名员工，全员行动的要求更是不能缺少。

2.4 存在重视安全技术而轻视安全管理的情况

现今为止，仍有很多企业仅仅依赖产品安全，认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统，但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作，不能单从技术方面着手。

2.5 现代管理手段与理论欠缺

日益庞大的现代化信息规模与越来越复杂的网络结构，让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足，企业应该结合实际情况和需要，把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导，以此达到信息安全的目的。

3 企业信息安全风险管理的框架探究

企业信息安全风险管理的框架包括两个部分，一是企业信息安全风险管理的过程，二是企业信息安全风险管理的实施。其中，实施是过程的保障，整合各种资源要通过实施才能达到；过程是实施的前提，对过程的清楚有利于建立企业信息安全风险管理的统一理解，以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。

信息安全风险管理是动态、持续性过程，信息安全通过潜在的风险识别、分析，同时进行计划、实施、监督、改善，然后再进入到下一个循环里，通过持续不断的循环活动进行有计划、持续的控制，不断改进。

参照戴明的PDCA质量管理模式，把安全项目实施划分为四个阶段，分别是准备和策划、执行和部署、监控和检查、评价和改进，实施阶段有几个工作步骤：（1）准备和策划工作阶段，首先调研信息安全风险管理现状，接着进行风险评估，然后编制信息安全风险管理方案；（2）执行和部署工作阶段，进行部署安排，按计划执行，接着进行安全培训；（3）监控和检查工作阶段，做好企业安全现状检查，预测未来的变化；（4）评价和改进工作阶段，制定改善措施，响应紧急事件。

4 企业信息安全风险管理的实施

在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素，企业的信息安全风险管理能力同时也受着这四个因素制约，所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。

企业在开始尝试安全风险管理实施之前，很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略，就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导，将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟，则可以采取试点的形式，把安全风险管理实施到单个业务单元中，直到通过试运行在框架中显示有效以后，再考虑将其他业务单元导入至整个企业框架中。

框架实践需要以最优实践的经验为基准，必须有利于企业确定安全现状，同时按照需要的安全方向进行改进，企业的安全风险管理能力通过不断的提高，就能逐渐努力向着安全的目标前进。

5 结束语

进入信息化时代，企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下，企业建立信息安全风险管理机制，利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程，在风险评估的前提下，要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督，这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里，但愿本文能引来更多这一领域探究，从而做出保障企业信息安全的贡献。

参考文献

[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011，21（40）：42-46.

[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究，2014，34（2）：36-55.

[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012，08（11）：81-85.

信息安全风险管理范文2

开放、互联的信息技术与信息安全就像一把双刃剑。一方面，企业需要借助信息技术或信息系统集中信息并开放共享；另一方面，企业的核心信息资产又在不断外泄，引发无数信息安全问题。一谈到信息安全，首先想到的是网络安全，比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。但从广义上来讲，随着信息化建设的不断深入，企业的信息资产对经营的贡献比重越来越大。尤其在信息访问越加便捷的前提下，根据市场竞争的需要，企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等，企业的信息资产也越来越暴露在更多的威胁之中。信息的三个安全特性，即完整性、保密性和可用性。（1）信息完整性风险管理。一方面，要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等；另一方面，也常为人忽视的是加工过程本身的科学性，需要防范因不恰当的加工方式而导致的数据失效或结果错误。（2）信息保密性风险管理。主要是指要保障没有被授权的用户无法使用信息系统，访问相应的资源。防止该类用户访问、通过非法手段攻击破坏企业信息资产。（3）信息可用性风险管理。主要是指保障被授权用户可以顺利、快速访问信息资产，保障信息系统稳定性和可用性。以上三个特性，同时也是信息安全风险管理的主要内容，管理过程包括风险识别、风险评估和风险控制三个步骤。

2企业信息安全风险识别

由于涉及企业的核心信息资产，所以相应的信息安全风险点分布在企业管理的各个环节和层面。但是由于种种原因，目前国内企业对信息安全风险管理的认识仍不到位。总体来说，有以下主要问题，也是常见的信息安全风险管理的风险点。（1）信息安全组织和制度保障不足。没有有效的信息安全管理组织机构，就无法有效地制定、执行安全管理策略，更无法进行有效的信息安全协作。信息安全管理制度通常都有，但很少有单位能够严格执行，信息安全的政策制定也常常不符合标准，导致可操作性比较差或者达不到控制的目的。（2）信息安全相关人员意识不足。信息安全虽然已经被很多企业提到战略高度，但更多停留在口头上和管理层。大部分企业人员比较缺乏信息安全意识，安全事件报告不及时；对各自岗位相关的信息资产职责了解不清，对信息系统的错误操作导致信息泄密的事件屡有发生；部门单位还存在因人员流动导致的信息资产不连续等问题。（3）传输、存储信息资产的设备与网络存在安全隐患。部分企业存在网络有安全漏洞、存储设备老旧、数据资产缺乏备份机制等常见问题，一旦受到网络入侵、病毒攻击，或者发生硬件及性能问题，会导致信息资产大量泄漏或损坏。（4）访问控制及用户权限管理存在漏洞。在信息系统的实施阶段，为了便于用户测试或其他目的，部分用户权往往限过大。随着系统正式上线及应用，相应权限又由于种种原因没有调整，对信息安全也留下了比较大的隐患。（5）软件系统及业务持续性风险。因为国产化和自主开发的趋势逐渐确立，大量企业选择自行开发软件系统，由于软件开发技术而导致软件本身存在一定漏洞，相应的开发质量存在隐患，连带的如运维、业务持续性风险均应相应考虑。

3企业信息安全风险评估和控制

考虑到每个企业均有自身特点，面临的信息安全风险点也不同。按照通常的信息安全风险管理理论，在完成上节所述的风险识别之后，需要进行详细的风险评估和风险控制。信息安全风险评估是指确认风险大小程度的过程，主要是要借用适当的风险评估工具和模型，包括定量的或者定性的方法，对信息安全风险点造成的影响进行评估，以确定风险的大小和控制方式。其主要目的是为了确定风险的大小并量化，从而可以采取适当的控制目标和控制方式开展风险控制工作。信息安全风险控制的作用体现在对组织信息安全的保障上，其有效性体现在当企业面临信息安全风险时对风险控制的有效程度，换句话说，在信息安全风险评估的基础上，考验控制力度的有效性就是损失的程度，损失的越少越有效。反之，则控制无效。另一方面，信息安全风险控制也是需要成本的，控制力度大小与成本通常成正比关系，而且在达到一定程度之后，控制力度增长比例较小可能带来成本大幅增加。因此，信息安全风险控制的总体目标，是以最小的投入将信息安全面临的风险控制在组织可接受的范围内。

4结语

信息安全风险管理范文3

【关键词】信息安全；风险管理；城域网

网络安全是网络时代的永恒话题，宽带城域网的网络安全是一项非常艰巨的任务，它总是伴随网络技术的发展而不断变化。要充分考虑网络的整体安全性能，考虑设备容量及防攻击的性能，有效实施设备相关安全特性，同时又要透过复杂的技术细节，把复杂的网络简单化，把握宽带城域网的安全实质关。只有建立全面的安全防护体系，才能向社会提供一个安全、高速、易用、智能化的网络。

1、IP城域网的安全问题

IP城域网中，网络的各个层次承担了不同的能，具有不同的特点，通过分析各层的功能及特点得出对应的安全问题。要保证整网的安全就必须证各个层次上的安全。核心层是网络的核心，要负责整个城域网网络据包的快速交换、转发并且完成与骨干网通信。核层具有节点数量少、业务容量大的特点，一旦核心出现故障，将不能为整个城域网提供服务，故在核层要求网络结构相对稳定、业务可靠性、安全性要高。其存在的安全问题有：由于核心节点和链路故而导致业务中断；由于数据量大而造成网络阻塞的题；路由的安全问题；核心层设备自身受攻击的问题其常见的攻击有：（1）源路由攻击，报文发送方通在IP报文的Option域中指定该报文的路由，使报发往一些受保护的网络；（2）拒绝服务攻击。危在于受攻击后，网络可用带宽急剧下降，导致无法其它用户提供正常的网络服务，SYNFlood攻击是型的拒绝服务攻击等。汇聚层提供流量控制和业务管理的功能，也是证城域网中承载网和业务安全的基本屏障，更是保城域网安全性能的关键。汇聚层面临的安全问主要是路由安全、各种异常流量、用户业务的安全，及用户访问的控制。接入层是面向用户的外层网络，负责给用户提安全高速的多业务服务，其主要面临的安全问题是些基于二层协议的用户攻击行为和广播风暴等。

2、信息安全风险管理内容和过程

信息安全风险管理是以风险为主线进行信息安全的管理，它的实施目标就是要依据安全标准和信息系统的安全需求，对信息、信息载体、信息环境进行安全管理以达到安全目标。它贯穿于整个信息系统生命周期，包括对象确立、风险评估、风险控制、审核批准、监控与审查和沟通与咨询六个方面。其中对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤，监控与审查、沟通与咨询则贯穿于这四个基本步骤之中。对象确立根据要保护系统的业务目标和特性，确定风险管理对象。风险分析针对确立的风险管理对象所面临的风险进行识别评价。风险控制依据风险分析的结果平衡安全风险与安全效益，选择合适的安全措施。审核批准包括审核和批准两个部分。这四个步骤贯穿于信息系统的整个生命周期，当受保护系统的业务目标和特性发生变化或面临新风险时，重新进入上述四个步骤，形成新的一次循环，使所保护的系统在自身和环境的变化中能不断对应新的安全需求和风险。监控与审核对上述四步骤实行监控和审核。沟通和咨询则为上述四步骤的相关人员提供沟通和咨询，确保系统安全目标的一致及安全措施有效实行。

3、IP城域网安全管理

针对IP城域网中网络各层可能存在的安全隐患，本文结合某广电IP城域网针对网络的每一层给出一些安全管理意见。

（1）设备选择。核心层中硬件设备的选择很重要，硬件设备的性能将直接影响到核心层网络的安全。由于核心层网络数据流量大，必须采用高速无阻塞的路由器、交换机；设备应当符合国家标准规定的防雷击、防静电，并能够在正常的机房温度、湿度等条件下长期稳定地运行，这点汇聚层和接入层也应该同时具备。

（2）冗余策略。从结构安全上来看，主要安全问题就是单点和单链路故障，要避免网络的单点单链故障而导致业务中断就必须要做好网络软、硬件、传输介质及路由冗余。如采用至少两台路由器或交换机互连，以便在有一台出现故障时能够自动切换到另外一台设备而保证设备转发不中断。启用多生成树协议（MSTP），应用时将备用链路控于阻塞（blocking）状态，一旦主链路通信中断，能在很短时间内恢复。

（3）防火墙。核心交换机、路由器配备强大攻击防范能力的高速防火墙，可采用硬件防火墙，用于防病毒、防攻击，以保证网内安全。同时提供有效的认证措施，拒绝并记录非法的人为入侵。采用硬件防火墙独立于其它硬件，可单独肩负网络攻击带来的压力。此外还可利用地址转换（NAT）技术，对外屏蔽内部网络的主机地址。

（4）路由管理。选择合适的路由协议非常重要，路由规划科学与否直接影响到整个城域网的可靠性及效率。路由协议有域内路由和域间路由两种基本类型。域间路由协议主要有边界网关协议（BGP）和外部网关协议（EGP）等；域内路由协议主要有开放式最短路由优先协议（OSPF）、中间系统路由选择协议（IS-IS）和路由信息协议（RIP）/RIP2等。建议采用开放式最短路由优先协议（OSPF），它的最大特点就是绝对的无环路，同时还具备快速收敛、链路通告、带宽开销少、延展开放的优点。如在同一城域网的路由设计上全网采用OSPF协议，建议其内部划分两个自治域，所有的骨干层路由器同属一个自治域，汇聚层和接入层同属另一自治域，可避免因汇聚层路由波动对骨干路由造成影响，同时也减少了路由协议对CPU资源消耗和路由信息传播所占用的网络带宽；核心路由器与出口防火墙之间建议采用静态路由互连，既安全又能简化路由表。

（5）流量过滤及流量攻击防范。在核心路由器上制定细致的访问控制列表（ACL），对流向引擎板卡的异常流量进行报文过滤，避免如网络风暴、PINGDDoS攻击、TCPDDoS攻击等对主控板造成CPU资源耗尽、网络流量过载，进而导致业务控制和协议计算发生中断的严重后果。充分利用核心路由的控制功能，当主控板发现来自接口板的总流量超过某个特定阈值时，即启动接口板上的CAR队列，将送往主控板的流量进行限制，从而保护主控板在流量过载的情况下正常工作。对于源路由攻击可采用关键数据身份认证与授权、访问权限控制、加密保存、加密传输等措施进行防范。对于像SYNFlood之类的拒绝服务攻击可通过以下方法进行防范：路由器上调整包括限制SYN半开数据包的流量和个数，并设定相应的内核参数，使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包，还可以通过加固TCP/IP协议栈防范，只有完成TCP三次握手过程的数据包才可进入该网段。

结束语

信息安全风险管理的原则是“最小安全成本，最大安全效益”。最可行的方案就是将安全事件对系统造成的损失和安全措施所需的安全成本适度量化并以数字表示，从而直观的对安全损失和安全费用进行比较，为安全决策提供有利的理论和方法指导。随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。

【参考文献】

[1]吴世忠.信息安全风险管理的动态与趋势[J].信息安全与通信保密，2007（02）.

信息安全风险管理范文4

查找信息资产存在的漏洞，结合现有控制措施，分析这些威胁被利用的可能性和造成的影响，根据可能性和影响评估风险的大小，提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在2003年9月被提上日程（简称27号文），提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神，进一步识别信息系统存在的风险，并对其进行控制，很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目，有其自身的特点。

2信息安全风险评估项目的过程管理

可以从五个方面解释信息安全风险评估项目的生命周期，即数据收集、计划准备、数据分析、项目验收、报告撰写，其中一三五是风险评估的主要实施阶段。

2.1计划准备阶段

（1）制定项目章程。在信息安全风险评估项目中，应尽早确认并任命项目经理，最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程，而该章程则具有授权的作用，即它能够使得经理能够运用组织资源来进行项目的实施。显而易见，项目经理是被授权的一方，必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源，他们能够参与章程的编制。

（2）确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能，例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等，甚至一些人为的因素也是重要的参考。

（3）明确风险评估成果。在信息安全风险评估项目中，应该在项目开始之前，与客户将项目提交的成果及要求确定下来。明确风险评估成果之后，在项目执行过程中，该目标也应该作为项目验收的标准。

（4）制定项目实施方案。项目实施方案是项目活动实施的具体流程，主要用来为项目实施提供技术指导。

（5）制定项目管理计划。如果想要计划实施过程一切顺利，或者说对定义等计划行动的过程需要记录的话，就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余，相反应该极其精炼，但是精炼并不意味着简单，相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。

（6）组建项目团队。一个优秀的项目团队是完成项目所必不可少的，是一种必须的人力资源。在项目开始时，一般而言，由项目经理来决定优秀团队的组成，并且在组建团队时应该注意谈判技巧。

（7）召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作，是一个项目的启动阶段，在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。

（8）风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训，以便项目能顺利实施。

2.2数据收集阶段

主要包括收集资料、现场技术评估、现场管理评估三项任务。

（1）收集资料。数据收集阶段最开始的步骤肯定是收集资料，简而言之，收集资料就是采取一切可行的方法，尽可能详细地获得和项目相关的一些信息，例如客户的行为习惯、客户业务相关的文档，甚至信息安全系统、信息化流程等信息都要尽量详细化。

（2）现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。

（3）现场管理评估。现场管理评估是最后一个步骤，但是却非常重要，它不仅关系着此次项目运行成功与否，还关系到以后项目效率的改进，现场评估需要对项目进展的流程进行综合分析，找出不足之处，寻出与优秀的项目管理之间的差距，归纳总结，从而完善管理程序。

2.3数据分析阶段

收集数据阶段已经收集了很多的数据存量，想要发现数据的内在规律，从而发现有用的东西，就必须对数据进行详细分析，只有仔细分析数据，才能够发现项目的风险所在，从而确定风险的大小，找出其资产、弱点、风险。

2.4报告撰写阶段

对收集到的数据进行了详细分析，得到初步的结论以后，就到了报告撰写阶段，即在数据分析的基础上，制作一份报告，论述项目的风险问题。

（1）撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来，让管理层清楚地了解当前信息系统存在的风险。

（2）撰写整改报告。整改报告则是根据风险评估的结果，提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。

2.5项目验收阶段

在完成了以上的步骤以后，理论上就可以对项目进行验收了，项目验收即对前期风险评估成果的检验，一般包括三项内容，即报告的评审、组织会议讨论验收事宜以及内部项目总结。

（1）报告评审报告评审就是对风险评估报告及整改报告进行评审。

（2）召开项目验收会即对项目的成果进行汇报。

（3）内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾，还是一个经验总结的过程，回顾过去，把握现在，争取在以后的项目中不再犯同样的错误。

3信息安全风险评估项目的重点领域管理

信息安全问题影响深远，其风险评估应根据项目的特点及具体过程，且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。

3.1项目沟通管理

为了达到项目目标，项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持；其次，为了获得客户的支持与配合，提高项目满意度，项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望，首先应该识别干系人，识别他们的需求与期望，制定沟通计划，在项目实施过程中管理干系人的需求与期望。

（1）识别干系人。很显然，与项目的相关程度不同，不同的人对项目信息安全风险具有不同的影响，作为客户方与项目实施方，其公司企业的信息安全风险是不一样的，一般而言客户方具有最大的影响力，公司方则次之，干系人对项目的态度也是影响项目信息安全风险的重要因素，态度一般分为无关、支持和反对三个。

（2）了解干系人的需求与期望。应该在充分了解项目背景的基础上，运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书，甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的，一般而言会分成很多的情况，比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求，然后通过换位思考、沟通交流等手段，进一步确认干系人的需求与期望。

（3）制定沟通计划。信息安全风险评估项目需要沟通，所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划，而应该详细地分析相关的影响因素，重点关注利益相关者的沟通情况，从而降低影响，提高效率。

（4）管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理，最重要的是要明确期望与需求，进行类别的划分。可分为A、B、C三类：A类：必须做（need），这一类如不做，将难以通过验收；B类：应该做（want），这一类如不做，会影响验收效果；C类：可以做（wish），这一类是可做可不做的，做了客户会更加满意，不做也不会影响验收。其次，在管理干系人的需求与期望时，应该遵循80/20规则，即完成20%的任务实现80%的价值，这部分任务必须作为重点。另外，可能还有20%的任务花费80%的成本，在资源及时间允许的情况下处理此类需求与期望。再次，在管理干系人的需求与期望时也可以根据干系人的职权（权力）进行管理。①在第一象限中的干系人权力高，但对项目关注程度低，采用令其满意的管理策略。②在第二象限中的干系人权力高，且对项目关注程度高，要对其重点管理，优先满足其需要与期望。③第三象限的人员对项目关注程度高，但权力较低，采用随时告知的策略，尽量不要影响其个人利益。④第四象限的人权力低，且对项目不关注，要监督他们对项目的反应，不引起负面影响。最后，为了满足干系人的需求与期望，需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。

3.2项目范围管理

范围是一个空间的范畴，一个项目管理的范围规定了一个项目的权限范围，规定了项目可以做哪些事情，而哪些事情是不能做的，实际上是对必要工作的坚持和对不必要工作的摒弃。

（1）明确风险评估范围。项目计划准备时就要考虑风险评估范围，在这一阶段就应该定义项目范围的广泛性以及纵深等内容，并且考虑客户的需求，从而明确项目管理范围。项目范围的确定不是一方所能够决定的，相反这是一个博弈的过程，应该照顾各方的利益，制定出一个符合各方利益的项目管理范围。

（2）明确风险评估成果。应该在项目开始之前，与客户将项目提交的成果及要求确定下来。一是在项目执行过程中，以此为目标；二是设定一个验收项目的标准。

（3）创建工作分解结构。顾名思义，创建工作分解结构即将解构分解，即把项目的最后结果和其工作流程明细化，从而使得每一步变得简单，更加容易操作。在信息安全风险评估项目中，第一层一般就放置项目成果，而第二层则更加侧重中间成果。显而易见，分解工作结构并不是一件简单的事情，也不是只有一种方法，各层次都是可以相互变化的。

（4）风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程：首先不能明确拒绝，然后要分析客户变更的原因及目的，快速反应变更所需要的人工及预算对时间和质量的影响，然后再做出决定。

（5）风险评估成果核实。风险评估成果核实过程应该严谨而且细心，因为这是一个正式验收项目的过程，需要由客户和项目的执行人一起认真核实项目的最终结果。

（6）取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果，以保证一切均已正确无误且令人满意地完成。

3.3项目时间管理

时间管理至关重要，因为优秀的时间管理保证项目能够不延期交付。

（1）定义活动。定义活动从字面上理解就是一个识别的过程，定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。

（2）排列活动顺序。活动顺序涉及到的是一个排列的问题，指的是一种依赖关系，即识别和记录项目活动的依赖关系，是一种逻辑的过程。一般而言，这里所指的依赖关系指的是信息安全风险评估项目中，各个活动之间所具有的特性，如强制性、选择性和外部依赖性。确定完活动之间的依赖关系，就可以对他们进行排序了，可以采用网络图的方法来表达他们之间的顺序，常有三种关系，即完成-开始，开始-开始，结束-结束。

（3）估算活动持续时间。估算活动持续时间是一个时间上的范畴，指的是估计资源运用和消耗，以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意，应该具有严格的依据。工时估算时，常采用三点估算法。即估算工时=（最乐观时间+4×最可能时间+最悲观时间）/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析，从而确定活动的顺序，并且在时间和空间上确定一个相对准确的点，估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情，而是极其复杂的过程，在这期间需要一遍又一遍分析，从而确定一个合适的时间跨度，并且对项目结果有一个合适的预期。即使制订了进度计划，也不是一成不变的，而是要根据相关审查部门的意见适当地修改计划，从而使得计划在时间和资源应用上更加合理。只有审查通过以后，这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂，很多因素无论是内部的还是外部的，都对项目有很大的影响，并且鉴于有限的项目组成员，所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程，这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序：一般分为四个步骤，即先要分析一个项目所散发的状态信息；然后如果需要调整进度，就要调整影响进度的相关参数；再次分析以后，要确定一个项目是否在原定的轨道上；如果进度脱离了轨道，就要进行相应的管理。

3.4项目成本管理

成本管理包括估算成本、制定预算、控制成本三项任务。

（1）估算成本。对成本的估算需要囊括整个项目的进程，时间跨度和空间跨度上均要全面。成本估算是在某特定时点，根据已知信息所做出的成本预测。信息安全风险评估项目的主要成本是人工成本及实施直接成本，因为人工成本占了所有成本的一大部分，所以精确地估算人工成本是成本估算最基础的一面。估算人工成本有个前提，即进度计划是准确的，从而对团队成员的人工估算做到精确。项目成本即使估算出来了，也不一定是准确的，需要时时修正，因为越到了项目的后期，需要估计的越少，影响估算准确性的因素也越少，所以成本估算需要不断进行。

（2）制定预算。制定预算也是一个估算的过程，是对一个项目的所有方面进行一个全面的评估，从而为以后资金的拨付制订了基础和基准。只有制定预算，才能够根据预算的需求来划拨资金，并且影响到了项目的实施全过程和成果评估部分。

（3）控制成本。成本的控制一般而言指的是成本不应该超出预算，控制成本是一个动态的过程，是监督项目状态，从而获得有用信息以更新项目预算。项目成本控制包括：找出影响项目成本的因素，并作相应的修改；保证修改项目参数能够成功；在修改成功以后，要随时动态地监督；控制成本，使得成本控制在预算的范围之内，甚至应该精确到每一项开支；分析成本与预算成本基准之间的差距；对照资金支出，监督工作绩效；严格禁止不相关的支出，使得每一项成本都合情合理；向有关干系人汇报项目进展和成本控制的工作；即使项目超支了，也要尽量减少成本。

3.5人力资源管理

人力资源管理在一个项目执行时包括很多方面的内容，例如管理组织一个实施团队、人员分工等。

（1）制定人力资源计划。制定人力资源计划是在项目实施之前对实施项目的团队、人员、职务、报酬等方面的规划，并且对各个人和团队的责任进行详细划分。人力资源计划包含项目角色与职责记录、分成的各个部门等。一些信息安全风险评估项目执行时间比较长，因此需要更加有效的团队，这就需要对人员进行培训以及制定团队建设策略等。风险评估项目的责任分配并不复杂，可采用责任分配矩阵（RAM），这个矩阵能够显示工作包或活动与项目团队成员之间的联系。并且根据需求的不同，制定不同层次的矩阵。

（2）组建项目团队。组建项目团队实际上是对人力资源使用和分配的过程，需要了解人力资源的各种特性，从而组建最合适的管理团队，在组建团队时需要注意：项目经理所要做的是积极地与人力资源人员进行交流，充分掌握各方面的信息，从而获得最合适和最有效率的人才。但是有时候项目经理并不能总是如愿地获得自己想要的人力资源，而是会受到如经济等其他项目对资源的占用等因素的影响，从而制约了项目的实施，作为替代，项目经理可能不可避免地使用不合适的人力资源。

（3）管理项目团队。管理项目团队是选出来运营项目的人所组成的团队，他们具有多样化的目标，例如继续学习，提高团队成员的专业技能，增强团队的执行能力从而保证项目结果的按时交付；以最低的成本完成最高质量的项目；按时完成项目，团队成员之间相互协作，增加团队效率，丰富团队成员的知识，增强其跨学科运作能力，提高团队的凝聚力，无论整体上还是个人上都有效率的提升等。项目经理在期间应该全权负责项目团队的管理运作，增加项目绩效，在团队出现问题时，分析导致问题的原因，然后解决问题。团队建设一般要经过5个阶段：①形成阶段，这个阶段是团队形成的最初阶段，团队成员只是互相认识，并没有相应的合作。②震荡阶段，指的是团队已经开始运作，但是成员之间需要磨合的阶段。③规范阶段，过了磨合期以后，团队成员彼此之间逐渐适应了彼此的节奏，能够进行初步合作了，团队开始有成为一个有效整体的趋向。④成熟阶段，这一阶段团队成员之间已经能够精诚合作，互补余缺，相互学习，团队效率较高。⑤解散阶段，即当项目完成以后，各成员完成了职责，从而脱离团队。因为各种各样的原因，例如缺乏充足的资金、进度安排不合理、团队成员之间缺乏配合等，会造成项目环境的冲突。如果项目经理能有效管理，则意见分歧能够转变为团队的多样化管理，不仅能够提高团队创造力还有利于做出更好的决策。如果管理不当，团队之间的分歧没有得到解决，就可能会加大团队成员之间的鸿沟，从而对项目的实施产生负面的影响。要建设高效的项目团队，项目经理需要获得高层管理者的支持，获得团队成员的承诺，采用适当的奖励和认可机制，创建团队认同感，有效管理冲突，团队成员间增进信任和开放式沟通，特别是要有良好的团队领导力。项目团队管理的一些工具与技术包括：①人际关系技能。通过了解项目团队成员的感情来预测其行动，了解其后顾之忧，并尽力帮助解决问题，项目管理团队可大大减少麻烦并促进合作。②培训。旨在提高项目团队成员能力的全部活动，培训可以是正式或非正式的。应该按人力资源计划中的安排来实施预定的培训。③制定管理规范，对项目团队成员的可接受行为做出明确规定。尽早制定并遵守明确的规则，可减少误解，提高生产力。规则一旦建立，全体项目团队成员都必须遵守。④认可与奖励。如果想要提高项目团队的效率，使得每个人更加尽心和更加富有责任感，就应在团队建设过程中引进相应的激励机制，在制定项目计划时就应该考虑到团队成员的奖惩问题。在管理项目团队的过程中，团队成员的奖励不是随意而发的，而是通过项目绩效评价，以正式或非正式的方式做出奖励决定。只有优良行为才能得到奖励。

3.6项目风险管理

项目风险管理旨在降低风险，或者把风险控制在可控范围之内。其目标是尽力使得项目运行向着有利的方面转化，对消极负面的一部分则注意防范。信息安全风险评估项目不属于特别大的项目，所以一般分为识别风险、评价风险、规划风险应对、监控风险四个过程。

（1）识别风险。识别风险是风险管理的前提，是一个信息处理的过程，在这个过程中判断分析什么样的风险会影响项目。可采用核对表的方式进行风险识别。

（2）评价风险。对于信息安全风险评估项目，评价风险只需要定性评价即可。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素来评估已识别风险的优先级。

（3）规划风险应对。规划风险应对是风险管理最重要的步骤，其规划的是项目的目标及降低风险的步骤。对于消极风险，常有回避、转移、减轻、接受四种方式；对于积极风险，常有开拓、分享、提高、接受四种方式。

（4）监控风险。监控风险是风险管理的最后一步，也是第一步，因为它是贯穿在整个项目之中，是一个制定风险应对计划、监控已知风险、加强管理以解决风险以及发现新风险的过程。

4结语

信息安全风险管理范文5

信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还关系到整个银行业的安全和国家金融体系的稳定，因此国家金融监管部门对银行信息科技风险管理日益重视，对银行信息科技风险管理提出了明确要求，各商业银行也普遍提髙了对信息科技风险管理的关注程度。

1.加强信息科技风险管理是金融监管部门高度重视的重要问题

中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出，根据近几年国际上出现的信息系统故障事件分析，如果银行信息系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2〜3天以上不能恢复，将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月，银监会颁发了《银行业金融机构信息系统安全保障问责方案》，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。同时，中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作，并相继对各主要商业银行进行了现场专项检查；国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容，着重从信息安全的角度出发，站在维护国家金融稳定和国家安全的髙度，分析当前我国银行业信息科技工作面临的主要风险，并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施，对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义，充分体现出了我国政府对银行业信息科技风险管理的尚度重视。

2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求

在2004年正式公布的新《巴塞尔资本协议》中，重新修订了银行风险的分类和定义，强调银行在进行风险管理的时候，不仅要重视传统的信用风险、市场风险、流动性风险，而且要将防范操作风险放在一个重要的地位，并将信息科技风险明确划归操作风险的范畴，从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。

3.加强信息科技风险管理是银行提高IT治理水平的需要

根据IT治理模型，IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构，而且是其中的一个重要方面。随着各家银行信息化建设的深入，对信息科技风险的认识也在逐步加深，从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理，信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后，商业银行已普遍认识到信息科技方面一旦发生风险事件，不仅会影响业务的正常办理，还可能会对银行的声誉和市值产生负面影响，因此更加重视信息科技风险管理，对加强信息科技风险管理提出了更髙的要求。

二、加强信息科技风险管理的相应举措

根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南，信息科技风险管理应关注IT治理、软件生命周期管理（即项目开发与变更）、IT服务交付与支持(即系统运行维护）、信息安全、业务连续性管理等五大领域。在上述领域，各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司（以下简称“工商银行”）为例进行介绍。

多年来，工商银行坚持“科技兴行'“科技引领”发展战略，建立了集约化的科技组织体系，并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起，工商银行正式将信息科技风险纳入了全行风险管理体系，作为操作风险管理的重要内容，并在信息科技风险管理方面开展了大量工作。

1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组，由行长担任组长，主管副行长任副组长，信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员，负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时，工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门，建立了一支专业的风险防护队伍，为加强信息科技风险管理提供了组织保障。

2008年，国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价，认为工商银行构建了较完整的信息科技治理结构，构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。

2.项目开发管理

针对由于版本质量造成的应用研发风险，工商银行采取了一系列措施，严格保障应用系统研发质量。一是不断改进研发和测试管理流程，加强需求管理、项目方案审查、研发过程管理和项目质量控制；二是及时优化调整应用版本、测试和投产策略，针对版本投产比较频繁等情况，明确了“版本集中投产”的原则，切实降低因版本投产和生产变更带来的风险隐患；三是与业务部门密切配合，力卩强沟通和协调，实现风险共担。

3.运行维护和操作管理

生产运行风险是信息科技风险的突出表现，并且根据实际情况统计，大约有50%的生产运行风险是由管理操作原因引起的。为此，工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想，并持续强化运行管理操作的各项措施，降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC)，对主机和开放平台等各类应用系统进行实时监控，实现生产操作、监控的自动化；二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统，逐步提髙生产运行管理的自动化程度；三是建立了完备的应急管理体系，明确了应急预案和流程，确保出现紧急事件情况下能够进行妥善处理，将事件影响降至最低。

4.信息安全管理

信息安全管理的核心是要建立健全信息安全的内部控制体系，通过技术和管理手段，确保银行信息系统和数据的机密性、完整性和可用性。为此，工商银行建立了一支专门的信息安全防护队伍，及时分析和解决存在的各类信息安全隐患。同时，积极落实信息安全体系规范和信息安全等级保护措施，部署了入侵检测、漏洞扫描等一系列信息安全防护工具，实施了客户端安全管理。由于采取了及时有效的防御措施，假冒网站、网络攻击等事件虽然时有发生，伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间，工商银行成功抵御了针对网上银行系统的恶意攻击，保障了电子银行业务正常开展，维护了企业声誉。

5.业务连续性管理

多年来，工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设，自行建立了国内同业领先的完善的技术灾备体系。2003年以后，工商银行建立了核心业务异地灾难备份系统，实施了同城磁盘镜像，成为国内同业第一家同时具备同城和异地灾备系统的银行，为保障信息系统的连续性运行奠定了技术基础。与此同时，工商银行依靠自身力量制定了《信息系统连续性运作计划（ITCP)》，并从2005年开始，每年都进行一次全行业务级灾难恢复应急演练，模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下，将全行核心业务切换到北京的灾备中心的技术和业务处理，有效保障了灾备系统的有效性。

三、加强信息科技风险管理需要思考的若干问题

目前，商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。

1.要关注信息科技风险计量和相关标准规范体系建设

对于银行来说，操作风险本身就是一种比较难以控制的风险，目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本，进而控制操作风险。伹据调查，60%以上的银行未从2007年开始对操作风险实行量化管理，大多数银行的预期实施时间是2010年〜2012年。可见，银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外，还与日趋复杂的信息系统软硬件环境直接相关，因此要对其进行科学、准确的度量和评估，存在更大难度。从全球范围来看，尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验，伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此，国内银行业需要首先考虑建立一套量化的指标体系，科学衡量银行的信息科技风险。同时，建议相关主管部门牵头在信息科技管理领域建立相应的标准规范，以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。

2.正确认识灾难备份体系建设的内涵

建立完备的灾备体系对银行的重要意义毋庸置疑，伹灾备体系建设应遵循什么样的标准和原则，是否所有银行系统都遵循同样的标准建设灾备系统，是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下，银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素，参考相关国际标准n，综合评定划分灾备等级，确定业务恢复时间（RTO)、业务丢失时间（RPO)等关键指标，在此基础上，遵循成本效益的原则，按照相应的标准开展灾备建设。目前，国外现代化商业银行普遍采用此种做法，首先确定系统的灾备等级，并相应实施不同的灾备策略，重点对关键设施和系统实施髙等级的灾备保护措施。

因此，建议国内相关行业主管部门积极引导各商业银行根据实际情况，采取分级实施、逐步推进的原则，借鉴国外银行的先进经验，优先确保关键设施和重要业务系统的连续性运作，在实现灾备体系建设目标的同时，也相应降低建设和维护的成本。

3.信息科技风险管理需要业务部门的关注和共同参与

与应用产品创新工作需要科技部门和业务部门共同完成类似，虽然信息科技风险管理更多关注的是IT领域，伹其中相当一部分内容与业务部门息息相关。

在业务连续性管理方面，在科技部门建成了灾备系统的基础上，需要业务部门制定业务层面的应急计划，指导业务人员在信息系统中断和恢复时进行业务的应急处理，从而与科技部门协同开展应急恢复工作。

信息安全风险管理范文6

一、档案管理数字化是信息时代档案管理的必然选择

计算机出现的短短半个世纪就将人类从电子时代带入到了数字化的信息时代，同时拉近了人与人之间的距离。档案管理者将信息技术充分利用到档案管理的日常工作中，将档案从实体档案的利用转化为数字化形式的信息档案。通过利用计算机设备将档案存储在基于计算机网络的数据库之中，人们可以实现档案的全数字化、信息化操作，档案管理工作的流程已经从传统的全手工式操作转变成了“计算机（档案的交互查询与显示终端）――网络（档案的传输通道）――数据库（档案的存储位置）”的更为先进的信息时代模式。尤其是在档案管理面向全社会开放以后，来自全球的档案需求者都可以通过互联网与档案管理机构的服务器进行交互、查询。如果没有档案的数字化与信息化，以全手工的方式应对如此巨大的查询量是无法想象的。

二、档案管理数字化使信息安全面临风险

档案管理机构在开通了互联网接入的同时就已经将自己置身于整个复杂网络之中了，全球化的互联网就像是一个巨大的局域网，在这个巨大的局域网中每一个IP地址都可以对另外的任何一个IP地址发起访问，这样的好处是档案的查询、分享与异地远程处理变得十分容易，人们不再需要亲自来到档案管理机构就可以在家里、单位，甚至在路上都可以使用包括电脑在内的但不仅限于电脑的任何智能化终端设备对档案信息进行数字化查询。档案管理机构为社会大众带来便捷的同时，也给自己带来了一个负面效应。那就是，在一个开放的互联网中，既然每一个人都可以自由访问，那么黑客也可以。只不过这些黑客的访问手段属于一种非常化的访问，他们不满足于对档案的查询与浏览，他们还要通过技术手段获得对整个档案的控制权，这就使得档案管理构机中的所有档案立刻置身于极大的危险之中。黑客只须一条简单的命令就可以将档案管理工作者辛辛苦苦工作一年甚至数年的工作毁于一旦，或者是被恶意篡改。在黑客们获取了系统的控制权之后，他们可以利用掌握的权限轻而易举地将整个档案管理机构内部的网络摧毁使之瘫痪。某些秘密档案还会面临被公之于众的风险。

三、档案管理数字化中信息安全风险的防范对策

打造既安全又开放的面向互联网的档案信息化工程是可行的，具体的实现就是要将档案管理工作置于安全、可控的状态之下。具体就要从下述几个方面进行防控：

第一，规范案信息者、传递者与接受者的行为。

信息在整个互联网的传播模式为：者->传递者->接受者。我们从整个信息传播的模式中可以看到只要我们规范了者、传递者与接受者的行为，那么，档案信息的基本安全就可以得到保障。

首先，规范档案信息者的行为。

档案信息的绝大多数是由档案管理机构自主发起，因此，为了规范者的行为就要在源头上对档案管理机构内部进行档案工作的规范化，所有需要的档案必须符合上级要求、符合密级原则、符合人民的需要、符合时代的主旋律。档案管理工作亦应扭转过去的类似于保密局的工作，改变那种传统的重藏轻用的方针政策为开放的理念。对于涉及到具体的单位、个人等的档案则需要在征得该单位或个人及其家属同意的情况下才可以，以免损害单位或个人的隐私权。

其次，规范档案信息传递者的行为。

档案信息传递者即在档的具体过程中负责传递工作的各级档案管理工作人员。这些人员的责任心、组织性、纪律性、原则性是保证档案在此环节传递的可靠性的关键。因此，任何档案传递机构都应从合格的人选中挑选那些诚实、可靠、了解计算机基本操作、对自己的道德要求较高的人员担任传递者。

最后，还要规范档案信息接受者的行为。

每一份档案在的源头上都必须附加上尊重知识产权、禁止未经授权的肆意修改与非常传播等警示语，以起到对于接受者的规范、教育、知情等方面的宣传义务，既可使得接受者在得到档案以后能够在合法的范围内加以有效利用，又使得接受者了解到非法使用对自身的危害性。这样就可以使得绝大多数档案受众能够在法律的规范下使用档案中的内容。

第二，使用先进的技术防范手段严把信息安全关。

有了规范可就以规范那些知法、守法、懂法的文明用户，但是，无论是在社会上，还是在互联网上总有那么一小撮别有用心者，他们不仅肆无忌惮，而且胆大妄为，因此，任何存在着档案管理信息化的单位都必须在技术上进行信息安全的风险防控。对于档案管理单位内部的不对外披露的未解密档案必须进行加密处理，严格防止信息的泄露，具体的加密手段可以视单位内部的专业技术人员的技术水平而定，但是，无论采用任何一种加密方法，做为管理者必须铭记的一点就是，加密的密钥绝不能是是固定的字符，因为任何固定的字符只要随意一复制、一粘贴，就可以在一秒钟之内由一个人传给另一个人，乃至无数人，这样就失去了加密的意义了，因此，目前几乎所有的单位内部都在使用动态加密且不可见密钥法。这种加密的密钥只能使用特殊的设备在特定的环境下使用，一般的用户即使得到了密钥与文件也无法将文件打开，这样就极大地确保了档案信息的最大化安全。此外，还可以使用诸如数字签名法、认证技术法、智能卡加密法、防火墙法等加密方法。加密方法没有止境，永远在加密与破解的斗争中发展着，对于档案管理部门而言，最好的加密就是动态密钥与动态特殊环境加密法。

三、结语