信息安全风险管理提倡的是一种适度安全，即风险是绝对的，安全就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度;同时也强调树立风险意识，并通过风险的大小来度量信息的安全性，将“信息”提升到“资产”的高度来进行安全管理。然而，传统电子文件安全管理对此认识却存在偏差。

1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识，总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而，从理论上讲，风险是绝对的，安全是相对的;风险是永恒的，安全是暂时的。而电子文件安全管理工作从本质上来讲，也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度，在实践中追求各安全属性的绝对安全，并不能达到最佳安全效果，也是不切实际的。同样，从信息安全保密的实践历史来讲，安全保密是一个动态过程，安全事件是一种随机事件，很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价，造成严重浪费。因此，档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失，档案永不泄密，电子文件万无一失”，那是永远不可能的!

2、风险意识薄弱，对安全风险认识存在偏差。一些安全管理人员风险意识淡薄，信息安全知识不足，却津津乐道“太平盛世”，双耳不闻“盛世危言”，甚至认为，谈风险是“杞人忧天”，说安全是“天下本无事，庸人自扰之”，根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。

3、忽视了对“资产”评估鉴定。从目前情况看，文件、档案管理部门虽都认识到电子文件的重要性，但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助，并没有将电子文件提升到“资产”高度来管理，就更谈不上对“资产”进行评估鉴定。然而，从安全管理角度讲，一个组织系统内的资产在没有被评估鉴定前，是不可能成功实施安全管理并进行维护的。④

(三)管理环节不完善

信息安全风险管理强调对信息系统生命周期的全过程管理，包括一个完整的风险管理环节：风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看，当前电子文件安全管理存在明显的薄弱环节。首先，安全管理计划缺乏依据。现有的电子文件安全管理计划的制订，绝大多数是凭借个人经验或者参照其他管理部门计划来制定的，而不是依据风险应对、风险监控实际情况来制订的，具有很大的盲目性。其次，缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估，电子文件的安全管理就会成为无源之水、无本之木，缺乏决策行动的依据与方向，由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”，但大多是“人云亦云”，进行简单的跟风或对安全产品与技术进行简单地堆叠，没有针对性。对于引起本组织电子文件风险的因素没有深入探究，甚至谈不上什么了解，对于所采取的应对措施更谈不上什么研究，对其用途更是“知其然，不知其所以然”，最终在风险来临之时，不能有效地控制风险。最后，安全监控力度有限。电子文件是动态存在的，其安全现状也是随时在变化的。在采取安全措施后，还必须强化电子文件全生命周期的风险监控，实时监视残余风险、识别新风险，执行风险应对计划，以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限，绝大部分是局限于电子文件载体的温湿度控制，而不是对整个生命周期的残余风险、新风险的监控。

(四)缺乏系统性和动态性

信息安全风险管理基于系统、全面、科学的安全风险评估，强调对信息的全过程、动态控制，对信息进行系统化安全管理，使安全风险发生的概率和结果降低到可接受的范围，从而实现系统安全的动态平衡。传统的电子文件安全管理，一方面，绝大多数是针对电子文件载体本身的安全管理，采取的是往往单一的安全管理措施，对于电子文件的安全管理容易出现“头痛医头，脚痛医脚”的弊病，最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息，但具体实践中由于没有科学界定电子文件安全管理范围，其背景、结构信息也就难以收集齐全，自然安全管理工作就不系统。另一方面，忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程，对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲，电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理，更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的，传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的，这很难在电子文件安全管理上取得实质性效果。此外，值得注意的是，传统的电子文件安全管理大多是静态地管理，更多的是实践经验的总结与应用，一般将文件按其形成过程分成若干阶段，分析各阶段潜在的风险因素，从而制定相应的对策。从表面上看，这种方法也适合电子文件安全管理，但毕竟是以静态的眼光来分析风险，各个阶段的安全管理工作缺乏必要和有机的联系，没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑，很难应对日益复杂、严峻的电子文件安全问题。

(五)忽视了对安全风险、成本和效率的权衡

信息安全风险管理宗旨之一，就是在综合成本和效率的前提下，找到安全风险、安全成本与效率之间平衡点，通过安全措施来控制风险，使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示：

 

 

安全风险、安全成本与效率关系示意图