一、电子档案管理中的风险
CooperD.F和ChapmanC.B对风险给出了较权威的定义:“风险是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务的损失,自然破坏或损伤的可能性”。电子档案管理中的风险主要是指电子档案文件在通过网络进行传输的过程中很容易被网络服务影响,出现伪造、泄密、窃听以及篡改等问题。此外,电子档案的信息接收与归档过程中还可能面临计算机病毒与网络黑客等多方面的威胁,所以电子档案管理中风险重重,电子档案的安全难以得到有效保障。
二、风险管理
通过对风险控制等相关内容的学习,笔者认为,电子档案风险管理的程序设计主要包括风险识别、风险评估和风险应对三个部分。
(一)风险识别。
风险识别是进行风险评估的基础和前提,主要指“寻找”和“分类”风险因素这两项内容。我们希望通过风险识别对电子档案风险源、分布、原因、关联、后果有一个理性认知,如果把可能出现的各种风险列出在清单上,就能达到较好的识别效果。电子档案风险从性质上划分,主要有:
1.电子档案真实性风险。电子档案的真实性是指档案所包含的信息在传输、被访问等处理后保持不变,状态与最初形成时的一致。电子档案的真实性是其行政有效性以及法律证据性的基础,是电子档案反映历史情况,构成社会价值,能够作为社会记忆长期保存的前提。然而由于电子档案的信息在形成和使用中很容易不留痕迹地被更改,而且在软硬件平台升级时迁移电子档案也可能导致档案中的某些信息发生变化或丢失,因此电子档案面临真实性风险。
2.电子档案完整性风险。电子档案的完整性风险主要是指应该归档保存的电子档案数量不全以及单份电子档案的构成要素不全,这就使利用电子档案出现了障碍,也影响了电子档案本应该有的价值。
3.电子档案可读性风险。电子档案可读性风险简单地说就是指电子档案不可读,即文件经过存储、传输、压缩、转存载体转换、迁移等处理后打不开,或者打开之后是乱码或部分信息显示不出来等。
(二)风险评估。
风险评估是风险应对的前提,主要包括区分电子档案管理过程中各种风险的发生概率、发生后的危害程度,从而找到合理的控制防范方法。Kaplan和Garrick提出了三元组完备集风险理论,即。其中,表示风险,表示第个不利事件,表示发生的概率,表示的结果,是一种损失指标;角标是指是一个完备集。集合中的元素只是风险的一个答案,而整个集合才是全部风险。根据这一理论,电子档案管理的风险评估可以按照这些步骤进行:首先,构建电子档案风险要素表,即把风险识别出来的风险因素列出表格清单。然后,确定所列出的各种风险发生的概率值。第三,评价风险程度,定量分析电子档案管理过程中可能遇到的各种风险,确定对应风险后果值集。最后,进行综合风险评价,划分出几个风险等级。
(三)风险应对。
风险应对包括“防范”与“控制”两方面内容,它直接体现风险管理的目标。风险规避通常有三种方法:通过应用制度来规避(允许电子档案管理人员制定某些特定的制度),通过培训和教育来规避(使电子档案管理人员了解管理制度),以及通过应用技术来规避(如设置密码)。风险转移可以通过重新考虑如何提供服务,修改配置模式,外包给其他机构、购买保险,或者与提供商签署服务合同来实现。这使档案管理部门可以将那些与复杂系统管理相关的风险转移到处理这些风险比较有经验的另一个机构中。风险缓解的措施总体上可以分成两类:一类是事前措施,即在风险发生前为降低损失程度所采取的措施,它有时同时也会降低风险发生的可能性;一类是事后措施,即在风险发生后为减少损失所采取的措施,主要是指处理紧急情况,从而阻止损失程度加重。事实上,进行风险转移并不能从根本上规避电子档案风险。在电子档案管理过程中,应该从风险产生的源头上就避免风险的发生,或者在风险来临时,采取相应的措施缓解风险造成的损失,具体可做到如下几点:
1.以人为本,培养档案管理人员的风险意识,提升业务能力,更新管理知识,升华管理思想,使电子档案管理人员在工作中增强风险意识,减少失误,提高遵守制度的意识,避免在管理过程中发生风险。
【关键词】云计算;档案信息管理;系统风险
对于云计算来说,其主要是在网格计算的前提下,运用互联网的传输功能,把数据处理的过程由个人计算机和服务器上向互联网中的计算机集群当中进行转移,通过对集群中的大量异构的计算机CPU周期与磁盘存储的空间进行计算,将存储与计算看做是一种服务给予用户。在业界把“云计算”看做是个人计算机和互联网变革以后的第三次的IT浪潮。
1云计算环境下档案信息管理系统的管理风险
就管理风险来说,其主要指的是国家把档案信息的管理推送至云服务只会所出现的相应组织,管理风险与云服务的提供商在商业活动种的发展此起彼伏或者是退出变化所导致的管理风险。准入和退出机制。虽然云提供商运用所有办法对确保数据本身的安全性以及访问连续性进行证明,然而所涉及的敏感数据,特别是和我国安全相关量的数据,所有国家都是非常小心的。档案信息的管理系统作用在部门内的服务器时,好像能控制安全。将其向“云”进行推送只会,就要考虑终止服务之后,不能泄露数据,同时,所有数据都体现出完整性,还能够向新服务的提供商进行迁移。因此,非常需要工作人员从体制和机制等不同方面考量服务提供商的设置标准。云计算业务具有很强的高弹性和大规模与分布化特性,应用人员在安全问题上非常敏感,如果该敏感遇到“档案”,就会使得人们深入地思考风险问题。加强战略思维的应用,站在长远以及根本的立场上去观察和分析与思考,在档案事业的思考过程中,要具有一定的方向性和规律性,特别是紧密跟踪‘物联网’和‘云计算’与‘海计算’的信息技术,并对档案工作的信息化发展前景进行分析,以此来确保档案信息不会由于偶然和恶意因素遭受破坏和更改与泄露,确保云计算背景下,档案信息的管理系统能够持续性地运行,这是对风险进行分析的最终目的。
2云计算环境下档案信息管理系统的技术风险
所谓技术风险,其主要指的是因为云计算技术并不够成熟和不完善,导致在运行过程中会出现一定的技术障碍。就基础设施来说,也就是服务云服务的提供商,其负责的主要是用户的基础设施,例如服务器和存储与网络以及管理工具等,然而云计算的基础设施具有比较高的可靠性和物理安全性与网络安全性以及信息存储的安全性,这是云计算的职责范畴,主要涉及虚拟机入侵检测和完整性的保护等。运用云计算的用户需要对虚拟化的基础设施的安全问题加强重视,例如操作系统和应用程序安全性等多方面。
2.1出现数据失真的风险
数据失真主要有,非法入侵所造成的数据篡改以及因为灾难所造成的数据丢失。因为“云计算”特点,导致数据存储会出现在不一样的物理地址中,也就是所有用户数据受到“云服务”的影响并未独立存储区,同时,是用明文形式对其进行存储,导致数据本身的危险性非常强。当黑客入侵之后,就会造成数据被篡改以及不可抗力导致的数据丢失,这势必会对于证据的档案信息真实性有很大的挑战。除去云服务的提供商以及别有用心的人员由于篡改和破坏所导致的数据失真问题,其他危害都是因为网络行为所导致的。
2.2出现服务中断的风险
服务中断主要指的是在云服务的过程中所出现的,因为不可抗力和人为因素导致的中心处理器和存储设备以及网络故障。云计算背景下,所有用户的数据存储和处理与保护都需要在“云”当中进行完成,“云”架构安全性不只是一台服务器与档案信息的管理系统进行挂接如此简单。因为“云”具有庞大性,当出现事故之后,就会造成很大的影响。就现阶段发生的影响比较大的事故来说,例如黑客入侵和误操作与设计缺陷以及设备故障,还有自然灾害等,其是云服务发生中断的重要因素。尽管先进性的技术早已能够化解绝大多数风险,甚至很多云计算服务的中心早已具备了比较完善的应急响应系统,然而当服务中断之后,就会导致很大的损失出现。总体而言,不管是哪一种云服务提供商,其在系统设计的过程中都会结合灾难备份与灾难恢复的问题,灾难备份主要是备份数据和数据的处理系统与网络系统以及基础设施,还有技术支持水平的过程;后者则是指把信息系统由灾难导致的故障和瘫痪状态向正常的运行状态进行恢复,还要对其所支持的业务能力由灾难所导致的不正常状态向可接受的状态进行转移。然而因为电子文件的复杂性,在系统当中随时都会发生大量信息流,当出现某一时刻的断电现象,就会使得数据作废,更有甚者,因为并没有对计算系统当中的故障有所了解,也就是不能有效地对当时的操作进行完成。
2.3敏感信息出现泄漏风险
敏感信息发生泄露风险,不只是因为服务提供商的因素,系统设置也会导致云服务提供商对用户本身的隐私数据造成泄露,但是大多数将服务还是推给云使用人员,在这一过程中,总是会错误地认为“云”就是“安全”,并没有对自身的隐私数据制定任何的安全措施和手段。尽管云当中存在的防火墙可以保护恶意的攻击所造成的风险,然而该架构模式还是会导致关键性数据发生泄露的可能,在延续性的社会记忆档案馆中,所有技术的引入都不会让档案馆忽视比较基本的档案信息管理系统中的安全问题。
3结束语
综上所述,近年来,我国进入了云技术发展的热潮。其在分布式的系统和网络计算基础上所形成,云计算环境下的档案信息管理系统迎来了新的发展机遇,然而还是存在一系列风险,对于相关人员来说,要加强对于风险的研究,深入了解这一背景下档案信息管理存在的问题,有助于我国云计算环境下档案信息管理工作的有效进展。
参考文献
[1]邓亚文.云计算环境下的备品备件多信息管理优化控制系统研究[D].西南石油大学,2016.
关键词:档案保护;档案安全;全过程管理;风险控制;风险控制指标;隐患
档案安全是对档案实体和信息采取防范措施,避免受到自然灾害、人为事故和突发事件的破坏,减少档案在管理过程中的损坏,使档案处于安全状态,确保不发生档案丢失和损毁,以及信息泄密事件。明确档案安全职责,控制安全风险,消除安全隐患,维护档案管理全过程的安全,是档案部门的基本任务和第一要求,也是档案工作者的基本职责。
1档案全过程管理及其安全风险隐患
1.1档案全过程管理
实施档案工作全过程管理,是新时期档案工作新的理念,其目标在于对档案的收集、整理归档、保管、利用,以及迁移等工作状态,采取标准化的过程管理,确保档案管理工作业态的科学化与规范化。档案全过程管理一般有三个阶段:一是档案的前端管理;二是档案的库房保管;三是档案的后程监管.档案全过程管理,与过去通常的档案管理相比,主要有以下三个方面的变化:(1)档案工作环境的扩展。档案安全保护的工作视野不仅关注于档案在库房内的安全,同时也密切关注档案在库外活动,特别是脱离了档案适宜环境,即库外运行状态及其影响破坏作用。(2)档案工作业态的延伸。档案安全管理活动是全方位地覆盖档案的各个工作业态,对档案的“收、管、用”环节中的档案收集、整理归档、编研、保管保护、开发利用、展览陈列、移交转移等,都给予高度关注,确保不发生任何安全事故。(3)档案工作目标的提升。档案的绝对安全,不仅要确保档案在工作活动中不出现档案的损坏、损毁和丢失等事故或事件,同时还要求消除档案工作中存在的、潜在的不安全因素,及时化解档案工作层面的风险隐患和不利因素,使档案始终处在一种安全的、无害的适宜环境中。
1.2档案全过程管理中的隐患和风险
档案全过程管理活动涉及的工作环节多,制约因素多,可能出现的状况和产生的变化也多,这些制约因素和影响情况,会弱化档案管理工作,降低档案安全保障的效率。档案全过程管理中易出现的档案风险和事故隐患,潜伏在档案利用、档案保管及档案日常管理的多个方面,这些管理隐患和风险因子主要有:(1)档案接收征集工作中,未能依据档案标准与规范的要求,严格执行档案的相关管理规章制度,造成工作的失误和疏忽,从而造成档案的破坏和损坏。(2)档案处在不适宜保管条件下,使得档案的自然老化加剧,特别是不适宜的温湿度、光、空气污染物及害虫、霉菌等因素的影响,会造成档案出现纸张的变黄发脆、字迹变色褪色、胶片霉烂、磁带粘连变质,以及光盘的腐蚀等现象。(3)档案利用过程是一个多样的复杂过程,这个阶段的破坏程度差异很大,有时会出现档案的缺页和破裂,有时会出现档案字迹的褪变和信息的失真,有时会出现档案秩序的错乱,甚至于出现档案的丢失和彻底损毁。(4)档案管理疏忽,工作人员大意马虎,管理不善,监管不力,也会造成档案安全漏洞很多,档案破坏和损失的安全隐患不少,如档案人员私自有偿向国外研究人员提供档案数据。(5)备份修复时出会现不当的损害,有的档案已经破损,有的出现生虫、发霉情况且未得到及时修复;以及修复过程中的方法与措施不妥当、不合适、不安全,也会对档案安全造成威胁;有的对电子文件既无备份,也无过硬的保护、保密措施。
2档案全过程安全管理的方式与途径
档案全过程安全管理是指在档案的收集、整理归档、保管、利用以及迁移等管理过程中不发生破坏性事件或事故,化解和消除管理活动中存在的安全风险和隐患,使保管和利用的档案没有危险,不受威胁,不出事故。档案管理部门主要有档案馆和档案室两种形式,其全过程管理表现为两种明显不同的工作状态:一种是库房内的相对稳定的环境,保管条件适宜,档案受损、破坏的概率比较低;另一种是处在动态的库外工作状态,环境条件不稳定,在动态过程中(一些过程变化还比较频繁)容易受到不利因素或有害因子的破坏,如图2所示。在确保档案绝对安全的条件下,根据这两种不同的环境和工作状态需要进行相应的安全管理。
2.1档案前端控制的安全管理
2.1.1档案接收时的安全保护
接收的档案需要加强管理与保护,以利于后期档案的利用与保存。一是制定档案接收进馆质量标准和检查验收制度,保证接收进馆的档案符合安全要求。二是档案部门按有关规定和标准进行档案检查和验收,对新接收的档案,一般应进行消毒灭菌处理,做到先消毒、后入库。三是检查合格后,连同案卷目录、卷内文件目录和检索工具,一并接收入馆。
2.1.2档案征集时的安全保护
档案收集是档案安全管理的一个重要环节,确保收集的档案完好无损是档案安全的基本要求。一是建立档案征集的安全管理制度。二是征集档案进馆前,要严密包装,妥善运输,专人护送,保证档案安全。三是征集来的档案要及时归档,有关部门应及时向档案管理部门移交。
2.1.3整理档案时的安全保护
一是应当做到分类准确、编排有序、目录清楚、填写规范、装订整齐、格式统一。档案的目录、内容、填写要求等,符合规范,利于长久安全保存。二是档案整理归档时,应当按照档案安全要求逐卷逐件进行,慎重处理档案原件。三是加强档案整理中的保护,清除有破坏作用的文件装订物、添加物等;对有些档案进行舒展平整、表面去污和修裱等保护性处理;规范档案装入盒的操作;单独对有潜在危害的档案立卷。四是防范人为灾害、突发事件,以及不当操作造成档案的丢失、破坏或损毁。档案文件在整理完毕后,应当及时归档。
2.2档案库房保管的安全管理
档案库房的安全管理工作,主要是通过档案库房的安全工作来实施的。主要有两方面的工作。
2.2.1配备档案安全的设备设施
档案库房安全管理的基础性条件,是具备必要和必需的档案安全设备设施。主要包括:安装库房的安全监控系统,配备库房的消防设备,配置档案的保护与管理维护设备,建立和完善档案数字信息安全设施。
2.2.2加强库房保管中的安全措施
强化档案保管的工作效率,需要建立相应的管理制度,保障库房安全管理工作的有效开展。主要包括:建立健全档案库房安全管理制度;注重保管中的档案实体与信息安全;加强档案规范化管理,严格执行规章制度,建立岗位责任制,做到责任到人。
2.3库外后程监管的安全管理
2.3.1档案利用中的安全管理
注重利用中的档案安全,确保档案不丢失、不损坏,档案信息不失密泄密。一是做好档案利用登记,限定用户利用范围,严格审批手续。严格控制档案原件的利用,对档案复制件的使用,也应履行相关手续。建立完整的登记、借用、归还等手续。二是使用单位对摘录、复制的档案要严格登记,妥善保管,不得散存在个人手中,不得扩散和转让。严禁擅自摘抄、复制档案,因工作需要从档案中取证的,必须按查阅档案审批权限经审查批准后才能复制(或拍摄)。三是在档案利用场所安装摄像监视器,严防利用者在档案上涂改、圈画、抽取、折叠、裁剪、撤换。用户利用档案时,必须爱惜档案,不准向无关人员泄露档案内容。四是收回档案时,仔细翻阅检查被利用的案卷和摘抄的内容。
2.3.2档案编研时的安全保护
一是应当依据档案法规,遵循档案保护的标准与技术规范,遵守档案利用与安全的相关规章制度。二是规范管理,避免使用不当或过度造成损伤及损毁。三是从保护档案、方便利用的原则出发,更多采取档案的数字形式、复制件形式,尽量避免档案原件的重复使用,减少利用损伤。
2.3.3档案展览中的安全管理
档案展览活动范围广、接触对象多、档案展览形式多样,增加了档案受损和破坏的概率。一是档案展览场所应配备安全设施和保护设备,防止档案被盗、被损坏、被破坏情况发生。二是监管展览中的档案安全,防止档案展览过程中人为损伤、展览环境变化、用户不当操作等因素对档案的破坏。三是制订档案展览中灾害防护和突发事件应急处置方案,确保档案安全。
2.3.4档案外借(转递)中的安全管理
档案馆(室)要检查与控制借出的档案,履行手续,规范操作,保证安全。一是出借给单位或个人的档案复制件、摘抄材料,必须加盖档案馆(室)公章。二是利用单位或个人借用的档案,要严格登记,妥为保管,不得扩散和转让。三是不允许利用单位或个人长期保存,用毕一律退回。此外,转递档案时,应当依据安全保密要求,履行审批手续,依章规范操作,防止出现档案丢失或损坏的情况发生。
2.3.5档案移交的安全管理
档案室应依法定期将具有长远保存价值的档案向档案馆移交。一是做好交接前的准备工作,对所有保存档案进行一次全面清理,做到账物相符。二是对借出的档案要及时催还,一时归还不了的要问明原因,整理好档案借阅查询登记簿,并在档案借阅查询登记簿上注明原因及催还情况。三是按档案移交要求编制移交清单,有特殊情况需要说明的附于清单后。
2.3.6档案转移运输中的安全管理
一是档案转移运输时,使用牢固、干燥的包装材料和装载形式对被送档案进行包装,并进行档案安全检查,防止转运过程中档案的损失。二是档案转运中包装箱应符合档案安全要求,全程注意档案的完好与完整,避免发生档案损坏、被盗、丢失事件。三是档案远距离运输转移,应考虑天气变化,防范暴雨、冰雪或大风等恶劣天气,以及突发事件可能对档案造成的损失和危害。
3档案安全风险控制指标及其实施方式
3.1风险控制方式
确保档案安全,需要消除安全事故隐患,化解安全风险。全过程管理中档案安全的风险控制,作为常态化的风险控制,是档案安全重要性和长期性的体现,是档案安全体系建设中的重要内容。档案安全的风险控制指标是一种对档案安全事故发生和发展能够作出基本判别的评估指标。借助量化的风险控制指标,能区分档案安全风险隐患,确定事故的破坏程度,预判危害的发展态势,达到减少灾害发生的概率和控制风险的目的。
3.2风险控制指标的制定与作用
设计全过程档案安全管理的风险控制指标,需要依据国家档案安全战略、本单位所属系统的发展需求、面临的安全工作形势和现实情况,从降低档案安全风险的要求出发,认真研究制定考核依据、考核内容、办法及评分标准、考核成绩及否决条款等内容。全过程档案安全管理的风险控制指标可以设定成三级指标,其内容涉及档案的安全防护与风险控制,针对档案的实体管理与信息安全。档案安全风险控制指标,主要涉及全过程管理中安全防护、隐患消除、风险控制,以及数字信息安全等内容。档案安全风险控制指标的主要内容与工作目标详见表1。档案馆(室)风险控制指标的核心内容,是档案保管和档案利用的安全。风险控制指标包括档案安全隐患和潜在风险的工作环节、人员和场所。控制风险的范围包括库房基础设施、配置的设备设施,也包括档案前端与后端管理,以及档案减灾处突和档案抢救修复等内容。设计风险控制指标需要以档案总体安全为目标,从时间周期、保护措施、控制风险效果等方面,加强档案安全管理,并通过档案安全状态的实时监控,及时分析档案安全态势及发展状况,调整与评估档案风险控制指标的实施效果。风险控制指标的作用,是档案行政管理部门指导和监督档案馆(室)开展档案安全工作的依据,成为衡量各级单位档案安全工作开展情况的评估标准;也是各级各类档案馆(室)进行档案安全工作自查、实施自我监督的工作标准。
3.3方案实施与结果评定
关键词:房地产;档案管理;风险
在房地产档案管理工作中,风险是不可避免的,如果没有及时采取应对措施,将会制约着房地产企业的发展。因此需要对房地产档案管理风险进行全面的分析,了解档案管理可能出现的各个风险因素。了解到这些风险因素,并且制定出科学合理的档案管理风险措施,有效的避免风险的发生,解决风险带来的一系列问题,提高档案管理的效率,提升档案管理水平,确保档案管理工作能够稳定的进展。
1 房地产档案管理风险相关问题
1.1 信息化风险问题
互联网的迅速发展,完善了档案管理模式,提高了档案管理的有效性,但通过信息化的方式,进行档案管理会带来一定的风险,比如计算机病毒、黑客侵犯、数据不准确以及管理等方面,这些因素的危害性较大,病毒黑客会导致档案信息泄漏,使得档案信息被他人切取,给企业造成了很大的损失,因此这些因素使得房地产档案管理工作存在一定的信息化风险。
1.2 投资风险问题
投资风险也是影响房地产档案管理工作的一项重要的因素,房地产企业一般考虑到运行过程中可能发生的因素,就会采取异地档案备份,但是在这种情况下,如果进行异地档案备份,就会投入很多的成本,包括人员方面以及设备方面等,投资风险就会慢慢凸显出来。在投资的过程中,如果得到的回报与投资无法实现协调平衡,就会很容易产生投资风险。比如在实行网络档案建设的过程中,会引入大量的计算机、扫描仪等等设备,加大了资金的投入,在进行投资时,管理不到位,投资风险就会不可避免。
1.3 知识产权风险问题
现今阶段,房地产档案管理在信息化建设下就是为了能够达到资源共享。但是涉及到资源共享,在某种程度上很有可能会诱发到知识产权问题上,资源分享的过程中,无法对资源信息进行有效的保护,会使得资源信息出现篡改以及丢失的情况,房地产档案管理互联网制度还并不完善,与档案有关数据信息在分享参考时,知识产权风险问题就会产生。
1.4 人员素质有待提高
互联网信息化的发展,对于档案管理人员提出了更高的要求,但部分档案管理人员缺乏档案管理知识,信息观察力也不足,无法及时将档案进行归总,信息技术的应用不广泛,不具备信息技术操作能力,当前在房地产企业中,既能够掌握房地产业务又能够运用互联网技术的人员少之有少,很多档案管理人员在实际的过程中经常会出现失误,档案管理不到位,给房地产企业带来了不利的影响。
1.5 缺乏档案管理重视
在房地产企业中很多对档案管理并不重视,普遍认为房地产档案的管理工作即文件复制粘贴,进行简单的统计,并不是房地产登记所重要的工作,也无法对登记产生一定的利润效益,只要确保档案不会丢失以及信息不窃密等即可,这样的思想意识严重的影响了档案管理工作的进展。因此部分房地产企业对档案管理缺乏认识,从而出现了各种风险,给档案管理工作产生了不好的因素,影响了企业的发展。
1.6 档案管理技术手段较为落后
在市场经济体制下,房地产档案管理离不开互联网信息系统,但部分房地产企业档案管理部门在信息系统开发方面还存着不足,无法实现规范化、科学化,由于技术方面认识不足,还有一些资金方面的局限,导致互联网自动化技术比较滞后,无法对信息系统的各个功能进行更新,还有计算机设备也没有及时的更换,使得信息系统在房地产档案管理方面得不到很好的发挥,还有部分房地产企业没有专门的档案管理部门,无法将档案管理工作落实到位,依旧延续着传统的纸质档案激励,没有运用先进的技术手段,限制了档案管理工作的进展。
2 房地产档案管理风险的应对策略
2.1 房产档案抵御风险的能力
房地产企业应加强房产档案管理,最大限度的避免风险的产生,应对档案管理人员加强认识,为他们讲解风险的危害性。在进行异地备份的情况下加强管理,合理的运用档案数字化处理,新档案在归总时需进行电子化的处理,如果需要进行纸质记录档案,与此同时也应采取电子档案,将电子档案进行备份,防止丢失以及泄漏,档案采取一式三份的形式,这样的情况下,一份档案丢失还有其它的备份,一定程度上避免了风险源的产生。
2.2 完善信息c资料检索体系
为了使房地产企业档案资料的完整性,应对其进行全面的核对,对档案的内容要认真的核对,确保档案的内容与现实所要记录的内容一致,如果发现档案内容存在问题,不符合实际的情况,应及时的采取调整,按照一定的程序对档案采取分类编目,创建案卷号、文号等多方面目录,设置可靠的检索资源,方便于用户能够迅速的查找。另外不断的扩大检索范围,完善检索的条件,使得用户能够及时的查找到房地产信息,但在这个过程中需要对档案采取防护措施,避免丢失。
2.3 健全档案管理体系
房地产档案信息至关重要,应不断的健全档案管理体系,保证档案管理工作的有序进行,确保档案的准确性与有效性,房地长档案管理过程划分为三方面,收集信息、整理信息以及信息归档,需要重视这三方面的流程,为档案的信息共享与传递创在良好的条件,在这个过程中需要不断的对档案进行更新,定期对档案进行核实与监督,对从中所发现的问题,比如信息不一致、信息空缺以及信息丢失等问题应及时的解决,保证档案信息的完整性,使得档案管理工作更加规范化。
2.4 提高工作人员的素质
房地产企业应加强人员的管理,提高热人员的档案管理知识,提高信息观察力,及时将档案进行归总,对人员进行技术方面的培训,使其能够精通互联网信息技术,提高人员的职责意识。强调应要求人员学会使用计算机上技术对房地产登记信息统计,合理的对房地产资源进行整合,从中能够挖掘出重要的信息资源,认识到档案管理的重要性,企业应加强对人员的培训力度,可以实施奖励的措施,通过人员的业绩,为他们实施奖励,提高人员工作的积极性,增强他们的归属感,更好的对档案进行管理,从而能够使档案管理工作有序的进行。
2.5 做好房地产档案的风险评估工作
在房地产档案管理中,应对风险采取一定的评估,从而掌握风险产生的成因以及风险的危害性,从而能够针对性的运用应对方法来解决这些风险,对档案存在的某一个特定的风险进行分析,对其所产生的概率进行研究,然后再决定运用哪一种方法解决这一风险比较有效,久而久之,就能够避免这种风险产生。在进行风险评估工作的过程中,需要结合实际情况来进行,最好请这方面的专家来进行风险评,有效的减小风险带来的危害。
3 结语
房地产档案管理工作至关重要,房地产企业应明确档案管理的重要性,及时的对档案管理风险进行分析,并且采取合理的措施,提高房产档案抵御风险的能力,完善信息与资料检索体系,健全档案管理体系,提高工作人员的素质,做好房地产档案的风险评估工作,有效的避免档案管理风险,使得档案管理工作更加规范与科学,提升档案管理水平,实现档案管理有效性,促进房地产企业的稳定发展。
参考文献
关键词:电子信息;档案管理;风险分析
如今社会中,各行各业都开不开电子信息技术,纸质记录管理渐渐被取而代之,电子信息档案管理,随之因运而生。电子档案信息的安全是指保护该档案、保护该档案的核心内容、数据文件,不受到破环、丢失和窃取。与传统纸质记录比较,电子信息档案管理显得更加方便。但是在带来巨大快捷的同时,电子信息档案管理也存在着很大的风险隐患。
一、电子信息档案管理中存在的风险
可是就我国目前来说,电子档案系统的构建才刚刚开始属于萌芽阶段,自身存在着很多缺陷,电子信息档案管理的风险重在于对其的预防措施太单薄,很难去规避风险,不知道该如何加强信息保护,问题往往出现在电子信息管理人员缺乏科学技术,该管理人员对于电子信息的保护意识不够清晰,没有加大管理力度。管理中缺乏信息反馈。电子档案信息的风险主要来源于网络黑客或其它网络病毒,一旦受到攻击和传染,那么电子档案信息的安全将无从谈起,这种风险无法得到及时有效的信息反馈,导致就算经历了恶意网络攻击传染后,也并没有及时加强管理补救措施,并未对电子信息档案系统定期及时更新升级,导致系统老化,容易被袭击。在传统的管理方式落后的状态下,新的管理模式仍然还尚未研究、补救、总结、反馈,使得风险系数大大提升。未及时缓解突然风险。在电子信息档案的管理中会存在很多方面的因素,导致原本简单的风险防御系统失效,电子信息档案的管理本身就自带不安全性,而在面临突然情况时,如果稍有疏忽那简单的防御就会彻底崩盘,许多企业在选择了电子信息档案管理的同时,也做好了风险转移的准备,而往往也有大多数企业管理人员未能及时采取措施,未能及时发现风险、未能解决风险[1]。
二、电子信息档案管理中应对风险的对策
(一)设置访问权限,减少泄漏风险。诸多企业都存在着蓄意或者非蓄意的人为疏失,有关企业部门并未严格执行人员个体确认,因为档案工作管理人员,都曾或多或少的接触过不同层次的档案实体,该工作人员包括,企业人员异动、岗位调换、退休、离职等因素,都很有可能造成电子信息档案泄漏的风险。该风险需要靠企业落实到个人,对其个人设置访问权限以及在有效期内个人可以对某部分区域的电脑进行管控和掌握使用权,这样可大大减少人为泄漏的风险。所谓的电子信息档案泄漏风险,除了人为泄漏因素外、还包括病毒泄漏。各个企业不光要大力宣导信息安全的观念,更是要投入科学技术防护,安全观念提醒我们,防毒措施以及相关资料备份的重要性。网络这个大载体中可以无形间夹带着病毒侵入电脑中,造成电子档案信息系统的感染,导致电子信息资料可能会被某病毒摧毁或者泄漏。与此同时,档案部门应该建立更好的防毒环境。将重要资料尽可能备份在光碟中,让备份可以工作法智能化。从而以保证电子信息档案的安全。(二)维护信息档案,规范操作流程。在各个企业档案部门向外提供档案资料的同时,尽可能的采用电子邮件或者网页浏览的方式进行传递操作,在信息档案发送前应进行强力扫描杀毒,该内容使用过滤方式循环阻隔其它普通网页的侵入,以此来保证信息档案的安全,监督保持杀毒扫描前后原件数量是否一致,维护发送信息档案的原件未受到恶意损坏或丢失,并组织确保已经发送后的系统网页攻击事件的出现,以及被他人侵权或盗用其他用途的可能。在当下科技发展如此飞快的社会,电子信息档案的操作也需要不断的更新学习,不光防控防病毒这一单方面,在信息系统维护上也要加大学习力度,不能一直停止在一个阶段,维系着已经过时的病毒库,新的病毒体已经出现,就需要档案部门操作人员及时更新,研究对策,不能持续“以不变应万变”的思想,应该多方面掌握信息安全的资料,重点关注,就电子信息档案的管理人员而言,最重要的就是对电子信息档案的每个环节能有严格把控、缜密的的分析、迅速的决定。而多年来,档案工作都普遍存在着“轻管、重用”的问题[2]。(三)完善培训计划,统筹管理风险。控制风险作为损失缩小的最佳方法,加强培训防御措施不但能够有效的控制风险,更能降低风险的可能性。学习引进最先进的防御系统,不被外界其它网络网页肆意侵略,确保电子信息档案的安全性能,学习对于电子信息技术进行加密处理。档案部门人员可以再通过学习培训制定实施应变计划、灾难恢复计划、以及各个电子信息档案所相关资产的重新布置等计划。管理中的黄金定律就是预防胜于治理,通过培训做到把风险预防放到首位,当风险真的出现时,采取有效的措施进行风险缓解和风险转移,尽可能降低各种风险所带来的危害,这才是最为关键的[3]。
三、结论
1 房地产档案管理过程中的风险
1.1 房产信息安全性风险
21世纪,人们已经进入一个全新的时代,经济水平稳步提升,科学技术不断发展,而计算机技术的革新以及互联网络的普及,使得电脑已经成为人们生活中的常用工具;近年来,移动互联网的发展更为迅猛,手机等移动终端的更新换代也十分频繁,这也充分展现了当前通信技术的蓬勃发展趋势。计算机在人们的生活工作当中更多的是承担数据处理与存储的责任,在房产档案管理过程中,就是利用计算机这一特性,将大量信息通过计算机程序的特殊处理后再向用户提供,从而保证为使用者提供最优质的用户体验。
然而,计算机技术在为房产档案管理提供便利的同时,也为房产信息带来了安全隐患。在这个信息化的时代,相关部门在对房产档案进行管理时,将大量的信息输入到电脑等存储设备中,虽然计算机网络安全性在不断提高,但是网络黑客和网络病毒侵入计算机的现象仍然不在少数,网络隔离一旦被打破,很有可能造成信息外流等问题,房产信息的安全性难以得到保证。另外,计算机等存储设备都有一定的使用寿命,存储空间需要不但扩展,存储信息也需要定期拷贝,其本身也随时可能出现故障,导致信息受到损失而必须进行二次收集整理。
1.2 档案保存过程中的突发风险
虽然说房地产档案的形式多种多样,但其主要以文字记录和纸质档案为主,因此,其抵抗风险的能力较弱,房地产档案的保存成为重中之重。突发风险主要是指一些自然现象,如台风、沙尘暴、山体滑坡、地震等,这些自然灾害不仅给人们的生活带来困扰,阻碍房产建筑的施工,也给房产档案的管理带来了较大风险。房产档案可以说是一种历史参考文献,其对房产建筑情况的记录以及房产纠纷问题的解决提供重要依据,而有关部门对纸质文献的管理,虽然在一定程度上采取了防范风险的措施,但一旦遭遇自然灾害等突发状况,相关部门可以说是无能为力。由于我国房地产的发展较为迅猛,房地产档案的管理与房地产建筑市场本身的发展步伐不相匹配,在考虑经济成本的条件下,房产档案风险防范措施仅限于防盗、防潮等最基本的方式,应对突发风险的能力几乎为零。
1.3 房产档案的技术风险
当前市场经济发展趋势不断加快,大数据时代的到来让人们每天都处在一个变化莫测的环境中,因此人们必须能够及时获取有效的信息,跟上时代的发展步伐,计算机技术与通信技术在这一过程中发挥了重要作用。在房产档案管理过程中,计算机不仅能够顺利完成数据处理这一工作,而且其可处理的数据类型几乎不受限制,文字、声音、画面都可以通过计算机程序的处理,对其完成精确的解析。前文已经提到过,计算机技术主要承担着数据处理的任务,计算机以其特有的系统优势,能够高效地对复杂信息进行解析和处理。随着网络的产生,计算机逐渐形成互联模式,集信息传递与信息处理为一体。
针对纸质档案管理难的问题,房产档案信息化管理已经成为一大趋势,前文已经探讨了计算机系统下的信息安全风险,本段主要针对信息化管理过程中的技术风险进行分析。房地产档案的信息化管理是基于计算机网络技术,而当今科技发展日新月异,计算机网络技术在应用时存在很大的安全隐患,加之操作人员自身水平的限制,在操作不当的情况下,技术优势很容易演变成技术风险。计算机的操作是人工进行,因此,在进行房地产信息录入时,很有可能因为操作人员工作失误而发生信息错误,比如误碰设备按键、错误运行软件等问题,加之计算机等设备需供电运行,一旦在信息录入和整理时出现停电状况,其所造成的损失是不可估量的。
2 房产档案管理风险的控制措施
2.1 房产档案信息化管理
房产档案的管理作为一种行政管理手段,首先是人员的管理,因此,在对房地产档案管理的过程中,必须明确领导人地位,达成统一意见,加强房产档案的信息安全建设。无论任何管理过程,领导都是一个团体的核心人物,只有在领导的指挥下共同努力,才能真正完善管理体系。针对信息安全问题,必须不断更新存储设备,定期进行信息拷贝和上传,建立完善的信息管理体系,加强人员管理,避免信息外流。
2.2 防范突发风险
针对档案管理过程中的突发风险,最为有效的方式同样是将纸质档案进行信息化管理,利用计算机技术对纸质档案进行扫描存储,建立部门档案系统。当然,这并不意味着要放弃文字记录和纸质档案,只是纸质档案的管理成本相对较高,不仅需要较大的存放空间,而且需要较多的人力管理,同时在纸质档案管理过程中需要注意配备驱虫设施。
2.3 更新信息管理技术
技术风险第一是来源于管理人员自身技术水平的限制以及风险意识的不足,第二是计算机等存储设备更新速度快、淘汰频率高,因此,防范技术风险的首要举措就是提高管理人员的风险防范意识,对管理人员进行技术培训,其次是进行设备的定期更新,不断增强信息存储设备本身的去安全性。只有管理人员的风险防范意识提高,才能保证尽量减少在对信息操作时出现错误,从源头对档案管理风险进行控制。
商业银行档案外包是指银行在档案管理人员、存储设备不足或管理成本不经济条件下,整合利用外部优质专业化档案管理资源,将银行档案委托外包单位管理,从而达到降低档案保管成本,提高管理效率的一种档案管理模式。
档案外包商应具有以下特征:
第一,是一种实体性管理机构;
第二,是一种社会化、集约化和专业化程度高的档案管理机构;
第三,有较大的规模,服务对象也较多;
第四,对其保管的文件只有保管权,而无所有权;
第五,是介于文件形成者与档案馆之间的一个中间性机构,它要对双方负责,作为一个过渡性的、中间性的档案管理机构,文件中心首先要尊重文件形成者的利益和要求,同时又要担负起为档案馆积累档案的重任;
第六,可以承担文件管理咨询与培训的职能。
一、银行档案外包的背景
二战后,美国大量的文件需要归档保存,文件中心应运而生。1950年,美国《联邦文件法》以法令形式肯定了文件中心这种新型管理机构。把使用次数不多,但又必须保管一段时期的文件集中存放在造价较低的专门库房里,受到人们的认可。
从某种意义上讲,商业银行就是“经营风险”的金融机构,以“经营风险”为其盈利的根本手段。商业银行是否愿意承担风险,是否能够妥善控制和管理风险,将决定商业银行的经营成败。随着业务发展和竞争加剧,商业银行面临的风险也呈现出复杂多变的特征,对这些风险进行识别、分析、计量、监测并采取科学的控制手段和方法,是商业银行保持稳健经营的根本所在。健全的风险管理体系在银行可持续发展过程中具有重要的战略地位,具备领先的风险管理能力和水平,成为商业银行最重要的核心竞争力。利用先进的风险管理技术,最大限度地减少银行档案外包可能造成的损失,是商业银行档案外包风险管理目的。
二、商业银行档案外包的风险管理重点
风险是一个常用而宽泛的词汇,频繁出现在经济、政治、社会等领域。就银行风险的定义主要有以下三种:
一是风险是未来结果的不确定性(或称变化);
二是风险是损失的可能性;
三是风险是未来结果对期望的偏离,即波动性。风险是一个明确的事前概念,反映的是损失前事物的发展状态。
从风险的定义上可以看到,风险是对未来结果的不确定性,是可能存在的损失,银行档案做为银行经营活动的历史记录,是传承银行社会记忆,再现银行历史面貌的凭证,为银行经营、管理提供信息支持,并为银行业务相伴产生的法律风险提供原始的凭证依据,其重要性不言而喻。因此,防范银行档案外包过程中可能产生的风险,是确保银行档案外包安全的首要工作,银行档案外包风险管理的重点是:
(一)档案外包风险的评估
商业银行在制定档案外包政策时,应当评估以下风险要素:
1.外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险因素;
2.影响外包活动的外部因素,因外包供应商的过错而造成的服务中断或撤销而引发的风险;
3.银行对外包活动的风险管控能力;
4.外包供应商的技术能力、业务策略和业务规模、业务连续性及破产风险,风险控制能力及外包服务的集中度;
(二)外包供应商的尽职调查
1.外包供应商的主体资质、经营管理能力、经营声誉、行业地位;
2.财务稳健性、技术实力和服务质量、对银行业的熟悉程度;
3.对银行托管档案客户信息的安全性;
4.外包供应商对突发事件的应对能力;
5.外包供应商的关联关系;
(三)外包合同的审查要素
1.外包合同中的服务内容、范围、标准、期限;
2.外包服务的业务连续性安排;
3.外包服务的保密性和安全性的安排;
4.外包服务的结算、支付方式;
5.外包服务的审计和检查;
6.外包争端的解决机制;
7.外包合同或?f议变更或终止的过渡安排、违约责任;
8.外包供应商的应急管理;
三、商业银行档案外包的风险评价标准
商业银行档案在外包后,定期对档案外包商进行风险评估,做到早发现早预防。将银行档案外包风险纳入银行日常管理并持续监控、评价,就能及时发现档案外包风险,并在发现风险后及时采取有效处置措施,将损失减少到最低程度。
日常工作中可采用平衡计分卡方式设计评分标准,可按月、季、半年、年度要求进行档案外包业务检查,检查内容包括:
(一)外包供应商的评估:
1.资质:是否符合专业资质;
2.财务:收费是否合理,程序是否完善;
3.日常经营:是否出现异常;
4.及时性:是否能及时办理档案的收、取、查阅流程,在办理过程中有无差错发生;
5.差错性:资料能否及时、准准、无差错地领取、归还,不存在遗失情况;
6.沟通性:沟通是否顺畅,是否对银行服务需要的反应能迅速、及时、有效完成;
7.保密性:无违反保密原则,业务合作期间能保护好银行信息及银行商业秘密;
8.监督检查:是否能积极配合商业银行开展外包监督工作,及时报送外包工作情况;
9.违规性:是否存在违规行为,是否存在隐瞒事实,阻挡、抗拒检查、伪造、隐匿、篡改、毁灭违规证据行为。
(二)外包人员的评估
1.人员:有符合要求的档案管理人员,能够高效完成各项工作;
2.外包?I务人员能够妥善保管商业银行委托保管的各类客户资料、档案资料;
3.服从银行管理,无主观故意,通过内外勾结、恶意操作等措施规避银行风险控制措施;
4.无擅自向客户做出不实承诺行为,向客户提供虚假资料或误导性宣传;
5.无假借银行名义进行客户约谈行为,无冒用银行商誉的行为;
6.无利用职务之便,窃取客户资料等进行违反职业操守及银行管理规定的其他行为;
(三)突发事件的应急预案及演练
1.是否事先制定建立档案外包风险突发事件应急预案和机制,确保档案外包业务活动的正常经营;
2.是否建立替代方案,寻求合同项下的保险安排等措施;
3.是否定期组织外包商开展演练,建立外包业务连续性计划,确保业务活动的正常经营;
四、商业银行档案外包的前景及展望
如今,风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。把风险管理与电子文件联系起来是每一个与电子文件打交道的人,特别是文件、档案管理者无法回避的视角和观念。电子档案归档主要用磁带和光盘。电子档案的特点:信息的非人工识读性;信息存储的高密度性;信息与载体之间的可分离性;多种信息媒体的继承性;系统依赖性。电子文件主要包括文本文件、命令文件、图像文件、数据文件。电子档案的形成、存储和管理与传统的纸质档案所用的技术方法不同,档案管理员必须对此有深刻认识才能做好电子档案的管理工作。同时,电子文件天生就有的载体、信息、特别是生存环境的不稳定性,使其很容易被删除、篡改、伪造、泄密,造成灾难性后果。而且人们对计算机的依赖性越强,其带来的社会危害就越大。加强电子文件管理,应当成为信息化安全,乃至社会安全的一项重要内容。
一、风险产生的原因
当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的。其次,缺乏关键的风险评估环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,大部分管理部门的各种措施只是进行简单的跟风或对安全产品与技术进行简单地堆叠,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
传统的电子文件安全管理,虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全,自然安全管理工作就不系统。另一方面,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的总结与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。这种方法很难应对日益复杂、严峻的电子文件安全问题。
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,通过安全措施来控制风险,使残余风险降低到可接受的范围。实际上,绝对安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。然而,当前,很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。
信息技术以及信息产业的飞速发展,给档案管理信息化建设带来了机会,同时也给其带来了巨大的冲击和新的挑战。信息系统自身所处的网络环境的特点以及信息系统自身的局限性会导致信息系统的发展过程中会受到一些因素的影响。而且,在使用的过程中也会遇到一些认为破坏或者是木马等方面的破坏。所以,档案管理信息化的过程中会遇到一些信息安全隐患,这严重影响信息的安全可靠性。但是,随着时代的快速发展,人们在不断的探索和研究防止信息系统遭受到破坏的措施,而且在杀毒软件和入侵检测技术方面获得了很大的成就。虽然这些检测手段的使用在一定程度上可以防止恶意程序对信息系统的破坏,但是并没有从根本上解决档案信息系统的安全问题。因为随着信息技术的发展,信息系统受到的威胁也在逐渐向着多样化的趋势发展变化,而且更加的隐蔽化,对于信息系统的破坏性越来越大。随着信息技术的广泛使用,信息安全的内涵也在不断的丰富,已经不再是最开始的单单对信息保密,而是向着保证信息的完整性、准确性方向发展,使档案信息变得更加的实用而且具有不可否认性。进而实现多方面的防控实施技术。
二、档案管理信息化中安全风险评估的作用
人们在进行档案信息管理的过程中受到认识能力以及实践能力的限制,不能够保证信息管理的完全安全性,所以档案信息管理系统在一定程度上存在着脆弱性,这种情况导致在使用档案信息的过程中面临着一些人为或者是自然条件的破坏,所以档案信息管理存在安全风险具有必然性。因此,对档案信息管理进行安全风险评估具有重要的意义,信息安全建设的前提是,基于对综合成本以及效益的考虑,采取有效的安全方法对风险进行控制,保证残余风险降低在最小的程度。因为,人们追求实际的信息系统的安全,是指对信息系统实施了风险控制之后,接受残余风险的存在,但是残余风险应该控制在最小的程度。所以,要保证档案信息系统的安全可靠性,就应该实施全面、系统的安全风险评估,将安全风险评估的思想以及观念贯穿到整个信息管理的过程中。通常情况下,信息安全风险主要指的是在整个信息管理的过程中,信息的安全属性所面临的危害发生的可能性。产生这种可能性的原因是系统脆弱性、人为因素或者是其他的因素造成的威胁。用来衡量安全事件发生的概率以及造成的影响的指标主要有两种。然而,危害的程度并不只取决于安全事件发展的概率,还与其造成的后果的严重性的大小有着直接的关系。安全风险评估具有很多的特点。首先,它具有决策支持性,这个特点在整个安全风险评估周期中都存在,只是内容不相同,因为安全评估的真正目的是供给安全管理支持以及服务的。在系统生命周期中都存在着安全隐患,所以整个生命周期中都离不开安全风险评估。其次,比较分析性,这个特点主要体现在对安全管理和运营的不同的方案能够进行有效的比较以及分析;能够对不同背景情况下使用的科学技术以及资金投入进行比较分析;还能够对产生的结果进行有效的比较分析。最后,前提假设性,对档案信息进行管理的过程中所使用的风险评估会涉及到各种评估数据,这些数据能够被分为两种。其中一种数据的功能是对档案信息实际情况的描述,通过这些数据就可以了解整个档案管理信息中的情况;另一种数据是指预测数据,主要是根据系统各种假设前提条件确定的,因为在信息管理的整个过程中,都要对一些未知的情况进行事先的预测,然后做出必要的假设,得出相关的预测数据,再根据这些预测数据对系统进行风险评估。
三、档案管理不同阶段
进行不同的风险评估信息系统的开发涉及到很多的模型,而且随着科学技术的快速发展,各种模型都在不断的升级。从最早期的线性模型到螺旋式模型再到后来的并发式的模型,这些系统模型的开发都是为了满足不同的系统需求。然而,风险评估却存在于整个信息系统的生命周期中,但是由于信息系统的生命周期中有很多的阶段,而且每一个阶段活动的内容都有所差别,因此信息管理的安全目标以及对安全风险评估的要求也是不同的。
(一)对于分析阶段的风险评估。其真正的目的是为了实现规划中的档案信息系统安全风险的获得,这样才能够根据获得的信息来满足安全建设的具体需求。分析阶段的风险评估的重点是抓住系统初期的安全风险评估,从而有效的满足对安全性的需求,然后从宏观的角度来分析和评估档案信息管理系统中可能存在的危险因素。
(二)设计阶段的安全风险评估。这个阶段涉及到的安全目标比较多,所以能够有效的确定安全目标具有重要的意义。应该采取有效的措施,通过安全风险评估,保证档案信息管理系统中安全目标的明确。
(三)集成实现阶段。这个阶段的主要目的是要验证系统安全要求的实现效果与符合性是否一致,所以,应该通过有效的风险评估对其进行验证。需要注意的是,在进行资产评估的时候,如果在分析阶段以及设计阶段已经对资产进行了评估,那么在这个阶段就不需要再重新做资产评估的工作,防止重复性工作的发生。所以,可以直接用前两个阶段得出的资产评估的结果,但是如果在分析阶段和设计阶段都没有进行资产评估,则需要在此阶段先进行这项工作。威胁评估依然着重威胁环境,而且要对真实环境中的具体威胁进行有效的分析。除此之外,还应该对档案信息管理系统进行实际环境的脆弱性的有效分析,重点放在信息的运行环境以及管理环境中的脆弱性的分析。
(四)运行维护阶段。对档案管理系统不断的进行有效的风险评估,从而确保系统的安全、可靠性,这样才能够保证档案管理系统在整个生命周期中都处于安全的环境。
四、档案信息安全风险评估存在的不足
我国在档案信息安全风险评估方面已经取得了很大的成就,积累了一些宝贵的经验。但是,由于我国档案信息安全风险评估工作起步晚,还存在一些不足之处,主要表现在以下几点。
(一)管理层对于信息安全风险评估缺乏一定的重视,而且缺少一些专业评估技术人员。当前评估技术人员的专业技能不高也是现阶段存在的问题。所以,应该对评估人员进行定期的培训,提高他们的专业技能,保证风险评估工作有效的进行,同时还应该采取有效的措施来提高工作人员对于风险评估的重视,是档案管理信息化环境处于安全的运行环境中。
(二)风险评估的工作流程还不够完善,而且一些风险技术标准也需要进一步的更新。档案信息化管理的风险评估,不仅仅是一个管理的过程,也是一个技术性的过程,所以应该根据实际情况来科学合理地制定工作流程和技术标准。如果所有的环境和情况都套用一种工作流程和一个技术标准,就会导致不匹配现象的出现,不仅影响风险评估的效果,而且在一定程度上还影响信息系统的安全性。
(三)评估工具的发展比较滞后,随着科学技术的快速发展,信息安全漏洞会逐渐显露出来,所以对信息系统的威胁逐渐增加。应该采用先进的评估工具对其进行风险评估,从而满足档案管理信息化的需求。
五、结语
