您当前所在位置:

浅谈从风险管理的视角电子文件安全管理问题

2013-01-11

从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。

三、结论

传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。

注释:

1、吴世忠:《信息风险管理动态与动态与趋向》,《计算机安全》2007年第4期。

2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。

3、 陈国云:《档案信息建设的风险管理》,《档案管理》2008年第1期。

4、柳纯录:《信息系统项目管理师教程》,北京:清华大学出版社,2005:582。

5、王强:《电子档案风险管理研究》,《优秀硕士论文》2007年8月。

精品学习网 档案学栏目