档案安全风险评估刍议

档案安全风险评估刍议（精选10篇）

档案安全风险评估刍议 第1篇

有效性:EC以电子形式取代了纸张, 其信息的有效性直接关系到个人、企业或国家经济利益和声誉。我们要杜绝网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒产生的潜在威胁, 以保证贸易数据在确定的时刻、地点是有效的。

机密性:EC作为贸易的一种手段, 其信息直接代表着个人、企业或国家的商业机密。预防非法的信息存取和信息在传输过程中被非法窃取极为重要。

完整性:EC在数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易信息缺失。因此, 要预防交易额对信息的随意生成、修改和删除, 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

可靠性:EC可直接关系到贸易双方的商业交易, 如何确定要进行交易的贸易方正是进行交易所期望的贸易方, 这一问题则是保证EC顺利进行的关键。在无纸化的EC方式下, 通过手写签名和印章进行贸易方的鉴别已不可能, 因此, 要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

电子商务信息的安全技术

电子商务安全服务包括:鉴别服务、访问控制服务、机密性服务和不可否认服务等。鉴别服务是对贸易方身份的鉴别, 为身份的真实性提供保证;访问控制服务通过授权对使用资源的方式进行控制, 防止非授权使用资源或控制资源, 有助于贸易信息的机密性、完整性和可控性;机密性服务的目标为EC参与者信息在存储、处理和传输过程中提供机密性保证, 防止信息被泄露给非授权信息获得者;不可否认服务针对合法用户的威胁, 为交易双方提供不可否认的证据, 解决因否认产生的争议问题。

EC使用的安全技术包括:数据加密、电子数字签名、电子安全证书、电子信封和双重数字签名等。

数据加密技术:该技术是EC采取的基本安全措施, 贸易方可根据需要在信息交换阶段使用。加密技术分为两类, 即对称加密和非对称加密。

在对称加密方法中, 采用相同的加密算法并只交换共享的专用密钥 (加密和解密都使用相同的密钥) 。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露, 机密性和报文完整性就可以通过这种加密法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。

在非对称加密体系中, 密钥被分解为一对, 即公开密钥或专用密钥。公开密钥 (加密密钥) 通过非保密方式向他人公开, 而专用密钥 (解密密钥) 加以保存。公开密钥用于对机密性的加密, 专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握, 公开密钥可广泛发布, 但它只对应于生成该密钥的贸易方。贸易甲方生成一对密钥, 公布公开密钥;贸易方乙得到该公开密钥, 使用该密钥对机密信息进行加密, 然后发送给贸易甲方;贸易甲方再用自己保存的专用密钥对加密后的信息进行解密。贸易方只能用其专用密钥解密由其公开密钥加密后的任何信息。

电子数字签名:数字签名是非对称加密技术的一类应用。其主要方式是:报文发送方从报文文本中生成一个128位的散列值 (或报文摘要) , 并用自己的专用密钥对这个散列值进行加密, 形成发送方的数字签名;然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值 (或报文摘要) , 接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同, 那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可否认性。

电子安全证书:为了保证公开密钥的持有者是真实的;并在大规模网络环境下公开密钥的产生、分发和管理。第三方证书签发机构 (CA, Certificate Authority) 提供身份验证, 由一个或多个用户信任的组织实体构成。CA核实某个用户的真实身份以后, 签发一份报文给该用户, 以此作为网上证明身份的依据。这个报文称为电子证书, 包括:唯一标识证书所有者 (即贸易方) 的名称、唯一标识证书签发者的名称、证书所有者的公开密钥、证书签发者的数字签名、证书的有效期及证书的序列号等。常用的证书有:持卡人证书、商家证书、支付网关证书、银行证书和发卡机构证书等。

电子信封:电子信封是为解决传送更换密钥问题而产生的技术, 它结合了对称加密和非对称加密技术的各自优点。发送者使用随机产生的对称密钥加密数据, 然后将生成的密文和密钥本身一起用接收者的公开密钥加密 (称为电子信封) 并发送;接收者先用自己的专用密钥解密电子信封, 得到对称密钥, 然后使用对称密钥解密数据。这样, 保证每次传送数据都可有发送方选定不同的对称密钥。

双重数字签名:双重签名技术是持卡人将发给商家的信息 (报文1) 和发给第三方的信息 (报文2) 分别生成报文摘要1和报文摘要2, 合在一起生成报文摘要3, 并签名;然后, 将报文1、报文摘要2和报文摘要3发送给商家, 将报文2、报文摘要1和报文摘要3发送给第三方;接收者根据收到的报文生成报文摘要, 再与收到的报文摘要合在一起, 比较结合后的报文摘要和收到的报文摘要3, 确定持卡人的身份和信息是否被修改过。双重签名解决了三方参加电子贸易过程中的安全通信问题。

防火墙技术:网络防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包, 按照一定的安全策略来实施检查, 决定网络之间通信的权限, 并监视网络的运行状态。防火墙系统的实现技术主要分为分组过滤 (Packet Filter) 和代理服务 (Proxy Service) 两种。目前比较完善的防火墙系统通常结合使用这两种技术。

安全电子交易:安全电子交易 (SET, Secure Electronic Transaction) 是一个通过开放网络 (包括Internet) 进行安全资金支付的技术标准, 由VISA和Master Card组织共同制定, 已获得IETF标准认可。

SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET主要由3个文件组成, 分别是SET业务描述、SET程序员指南和SET协议描述。SET规范涉及的范围:加密算法的应用 (例如RSA和DES) ;证书信息和对象格式;购买信息和对象格式;确认信息和对象格式;划帐信息和对象格式;对话实体之间消息的传输协议。SET 1.0版已经公布并可应用于任何银行支付服务。

电子商务信息安全技术风险分析与管理措施

电子商务信息安全的风险管理 (Risk Management) 是对电子商务系统的安全风险进行识别、衡量和分析, 并在此基础上尽可能地以最低成本和代价实现尽可能大的安全保障的科学管理方法。其分类有四种:第一种风险识别:其目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。第二种风险分析:风险分析的目的是确定每种风险对企业影响的大小, 一般是对已识别出来的电子商务风险进行量化估计。第三种风险应对 (风险控制) :电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略, 从硬件、软件两方面加强电子商务网络基础设施建设。第四种风险监控:制定规划, 实施保护措施, 在保护措施实施的每一个阶段都要进行监控和跟踪。

在电子商务交易过程中, 利用信息安全技术建立一套完整的风险控制体系, 将电子商务的风险减少到最小是十分必要的。在此, 首先要确定通信中贸易伙伴的真实性;常用的处理技术是身份认证, 依赖某个可信赖的机构 (CA) 发放证书, 双方交换信息之前通过CA获取对方的证书, 并以此识别对方;安全电子交易 (SET) 规范为在Internet上进行安全的电子商务提供了一个开放的标准。其次要保证电子单证的秘密性, 防范电子单证的内容被第三方读取, 常用处理技术是数据加密和解密, 包括对称密钥加密技术和非对称密钥加密技术, 单证传输的安全性依赖于使用的算法和密钥长度。

摘要：本文概述了电子商务信息安全的要素、技术, 针对电子商务交易过程中的信息安全风险进行了分析, 并提出相应管理措施。

关键词：电子商务,信息安全,风险管理

参考文献

[1]张爱菊著:《电子商务安全技术》, 清华大学出版社, 2006年

乡镇档案安全风险隐患自查报告 第2篇

一、狠抓保密责任落实。

以涉密人员、涉密载体、涉密计算机保密管理为重点，不断加强保密工作领导，强化保密管理，加强督促检查，狠抓各项保密措施和保密责任制的落实。按照《规则》要求，进行全面自查，结合本单位工作实际，认真填写《机关、单位保密自查自评标准》并进行打分，共涉及自查内容八大项、实有项目32小项，考评结果符合要求。签订涉密设备安全使用管理责任书。自我市机构编制网络平台与党委机要内网建立连接并投入使用起，为做好涉密设备使用和管理，防止失泄密，我办严格按照《黑龙江省党委系统电子政务内网普通密码使用管理办法（试行）》内容执行，坚持谁使用、谁负责的原则，各科室所有涉密设备使用人员按职务和使用频率分别确定第一责任人、第二责任人、第三责任人，签订了涉密设备安全使用管理责任书，所有责任人严格遵守涉密设备管理要求，做到了管理科学规范。

二、建立机构编制专网管理制度。

为提高机构编制网络平台使用人员的安全保密意识，加强平台操作规范性和安全性，黑河市编委办特制定了《黑河市机构编制专网管理制度》，严格规范我办全体职工及联动部门平台操作人员，要求平台操作人员不得将登录口令及密码通过任何形式告知他人，每台接入专网的带有存储、记忆功能的设备均视为涉密设备，禁止私自将已经接入过专网的涉密设备改作它用等，严格要求，加强督促检查。

三、建立长效机制，形成工作常态化。

刍议电力安全生产管理中风险管理 第3篇

关键词：风险管理;电力安全生产;管理

一.风险管理概述

风险管理是以工程、系统、企业等为对象，分别实施危险源辨识、风险分析、风险评估、风险控制，从而达到控制风险、预防事故、保障安全的目的。风险管理的应用最早出现在20世纪30年代，并从50年代开始，发展了风险分析和风险控制的相关理论，到现在经过70多年的历程，形成了很多理论、方法和应用技术。目前，以安全性评价为主要形式的风险管理已在机械、化工、石化、冶金、电力等工业部门得到了广泛的应用，并逐渐走上了规范化、法制化轨道。

安全管理的实质是风险管理。企业安全生产中总是客观存在着人的不安全行为、物的不安全状态和环境的不安全因素，这些危险因素暴露在具体的生产活动中就形成了风险，一旦风险失控就可能导致安全事故的发生。在电力系统推进风险管理，要充分借鉴以往安全性评价、风险分析与控制等工作经验，建立相应的工作标准和工作机制，注重识别各种风险因素，采取结合实际的控制措施和方法，防范安全事故的发生。

二.在电力安全生产管理中应用风险管理的重要意义

把风险管理应用到电力企业安全生产管理当中具有以下重要的意义：首先在电力企业安全生产管理中应用风险管理能够有效的提升安全生产管理工作的科学性、系统性、针对性。其次，通过对电力生产过程进行风险识别、风险分析、风险预测，更好的找出电力生产当中存在的影响电力安全生产的风险，给电力企业安全生产电力提供牢固的保障，从而促进电力企业安全生产管理工作的顺利开展。此外，把风险管理应用到电力生产管理当中，还有利于电力企业安全生产管理部门根据本电力公司的实际电力生产情况，制定完善的安全生产保障体系以及安全生产监督体系，从而能够有效的促进电力企业的安全生产。

三.风险管理在电力安全生产管理中的具体应用

（一）风险管理在电力安全生产管理中的应用流程

1.正确识别电力生产安全风险。在电力生产过程中，会受到自然因素、人为因素的影响，因此不可避免的会面临着自然条件的风险、人为工作的风险以及项目质量的风险。为了能够预防这些风险，以免发生更大的风险事故，必须首先对这些风险进行识别，可以使用多种方法手段系统、连续的认识分析电力企业在生产过程中可能会面临的各种风险以及风险事故发生的原因、风险的种类。

2.正确评估电力生产过程中的风险。风险评估是组织确定电力生产信息安全需求的一个重要途径，因此经过对电力生产过程中的风险进行识别之后，要从宏观的角度对电力生产面临的风险因素作出初步的判断，对面临的风险性质以及原因进行初步的分析和判断，并运用技术评估手段对其进行准确的评估，评估和衡量电力生产所面临风险发生的概率以及损失的程度和范围。在对电力生产过程中的风险进行评估的时候，首先必须明确风险评估的具体内容，然后才能采用相应的评估手段进行评估。

3.针对电力生产过程中的风险制定风险应对计划。在电力企业安全生产管理当中，一般都需要分析公司以往的安全事故，并把各类安全事故制定为危险源，然后制定相应的风险预防计划。这种风险管理是从发展的角度来看待安全风险的，能够对各类风险危险源进行全面的评估，从而可以从源头上以防电力生产安全事故的发生。

（二）通过风险管理制定管理制度

风险管理是一个动态的过程，不但需要对电力生产过程进行监督、管理，还要对电力企业的设备状况、电力产品质量等进行管理和监督。在电力企业安全生产管理当中，要根据电力生产各个环节的实际情况，制定技术管理和监督管理制度，对风险进行分级，以保证电力企业各个生产环节工作的安全稳定运行。

（三）全面系统应用风险管理

在电力生产安全管理的各个领域内都需要全面系统的落实风险管理。要对电力企业职工进行系统的教育培训，提高职工的安全风险意识、风险辨识以及风险控制能力。要成立风险评估小组，集小组集体的力量对风险进行评估。要采用全面的风险管理手段，结合风险级别的不同，采取有差异化的管理手段。要将风险管理的所有环节应用到电力安全生产的风险管理当中，落实相关责任制度，从而有效预防和控制风险，促进电力企业安全生产。

四.结语

综上所述，电力企业安全生产中的风险管理主要是对风险的量度、评估和应变策略。风险管理在电力安全生产管理中的具体应用主要包括以下几个方面：对电力生产进行风险识别、风险评估，针对电力生产过程中的风险制定风险应对计划和科学的电力生产风险规避策略。把风险管理应用到电力安全生产管理当中，能够提高风险管理的水平，降低电力生产管理当中的风险。

参考文献：

[1]张建生.探讨风险管理在电力安全生产管理中的运用[J].科技创业家.2014，（05）：220.

档案安全风险评估动力源探析 第4篇

关键词：风险评估,动力源,内生动力,外在动力,运行机理

开展档案安全风险评估的动力是什么?这是推进档案安全风险评估必须要明确的逻辑前提,因为它决定着档案安全风险评估的科学理念和设计方法实质作用的发挥[1]44,是档案安全风险评估的关键性问题,它就像机器的发动机,生命的心脏。

一、良性评估动力推动档案安全风险评估

根据管理动力原则,良性的档案安全风险评估动力必须是动力源和动力机制有效发挥,具体说来具有如下的特性。

1.良性评估动力的正向性。从动力方向性特征来看,动力是具有方向的空间矢量,事物运动与发展的方向和速度是正向动力与负向动力综合作用的结果[2]118。如果动力作用方向杂乱无章,甚至相互抵消,就不能汇聚成有效方向上的强大集体能量。良性的评估动力就是要使评估动力源被现实地引发起来,并诱导、限定组织所有成员朝着有助于实现档案安全风险评估目标,作有序的、合乎管理要求的定向行为活动,而所有组织成员个体这种行为活动的系统整合,就能汇成一股强大的行为能量流,推动档案安全风险评估目标顺利达成。

2.良性评估动力的加和性。从动力加和性特征来看,在事物的运动与发展过程中,作用于事物之上的有多种动力,包括内生动力、外生动力、直接动力、间接动力、根本动力、辅助动力等。事物的运动与发展状态是这些动力综合作用的结果[2]119。良性的评估动力是组织和个人内部需求与外部推动相结合的双重动力,即组织系统的内在利益需求和价值观念是档案安全风险评估的内生动力,而制度、舆论、权力等要素则是档案安全风险评估的外在动力。

3.良性评估动力的动态性。从动力动态性特征来看,各种动力不是一成不变的,动力的大小会随着时间的变化而变化。内生动力与外生动力表现出不同的动态性品质[2]119。良性评估动力不是一成不变的,它应当是一个动态的过程,随着客观环境的变化和社会的发展而不断的变化。良性评估动力的内生动力是关于时间的增函数,而外生动力则是关于时间的减函数。即组织系统的内在利益需求和价值观念等档案安全风险评估的内生动力会随着时间的增加而增强,正向推动档案安全风险评估的开展。而制度、舆论、权力等档案安全风险评估外在动力会逐渐内化为内生动力,其作用会随着其内化的过程,而逐渐的递减。

4.良性评估动力的持续性。在档案安全风险管理看来,档案安全状况是一个“稳定—不稳定—稳定—不稳定”循环往复的过程。因此,档案安全风险评估不是一劳永逸的,而是动态的、长期的过程,应具有持续性。档案安全风险评估处于动态和不确定性的发展当中,各种动力源会随势而动,甚至会失去积极性,良性的评估动力具有持续性,能不断地推进并形成新的动力源,以保持档案安全风险评估持续性的恒久动力。

二、动力来源构成

自然体要运动,就必须要有动力源。动力,从物理学角度解释,指的是机械类动力,即可使机械运转做功的力量,如:水力、风力、电力、热力、畜力等。从管理学角度解释,动力指的是管理类动力,即推动事物运动与发展的力量[3]575。本文所述的动力即属于管理类动力。管理的动力源,是指管理活动中所有可能导致管理活动进行的来自于组织系统内部和外部的种种需求。因此,档案安全风险评估动力系统从动力源上分析包括内生动力和外在动力。

1. 档案安全风险评估动力系统的内生动力。档案安全风险评估,是对档案实体和档案信息资源所面临的威胁及其造成的影响的可能性进行的评估,是确定档案安全需求的一个重要途径,能够及时找出档案安全管理中的隐患或薄弱环节,及时加以消除和弥补,最大可能地规避和降低风险,保障档案的安全[4]56。

档案安全风险评估动力系统的内在本源性动力是组织系统的内在需求和价值观念。马克思指出:“人们奋斗所争取的一切,都同他们的利益有关。”[5]82这个利益,就是需要的体现。马斯洛的需要层次理论把需要分为物质和精神两方面,组织系统的内在需求也是如此。物质需求的驱动主要体现在工作本身所带来的工资收入,对发生档案安全事故的相关责任人员,一旦被给予降级、撤职或开除的处分就意味者在一定程度上物质需要的满足得不到保障,因此,物质需求的驱动使得档案工作人员从自身利益考虑,主观上不敢轻易违反,客观上寻求确保档案安全的方法、手段,从而推动档案安全风险评估工作的开展。精神需求的驱动主要体现在较高层次的精神需要,即正确的价值观念,主要来自档案部门、档案工作者保障档案安全的职责、使命。即:档案安全,是档案工作的生命线和底线,是档案部门的基本任务和第一要务[6]15。其产生的动力能量完全超出物质需求的驱动,其一经产生和巩固,就趋向于不断地上升并终生不懈追求,从而能够提供强烈、持久、不断上升的精神动力,驱动档案安全风险评估工作的开展。但同时,档案部门、档案工作者保障档案安全的职责、使命形成和实现的过程不是自发、盲目的,而是一个长期、复杂的过程。因此要形成强大、稳固的精神动力还需要注重精神动力的开发,不断地挖掘、发展、增强档案部门、档案工作者的精神动力,从而有效地发挥精神动力对档案安全风险评估工作的推动作用。

2.档案安全风险评估动力系统的外在动力。制度、舆论、权力等要素从外部作用于档案部门,为档案安全风险评估提供外部动力。

制度通过其激励和约束功能的发挥,对档案安全风险评估的行为起到推动和规范作用。档案安全风险评估制度从正面引导的角度出发,将外在的强制力转化为档案部门内在的驱动机制,激发档案部门和档案人员积极主动地配合评估工作,使得档案安全风险评估以一种科学、公正、合理的形式进行。并且通过制定一系列的评估规则,最大限度地规范了档案安全风险评估的具体行为,保障档案安全风险评估的有序进行。档案安全风险评估工作尚处于起步阶段,专门的档案风险评估的制度还未建立,相关的规定零散地体现在有关的档案法律法规中,例如:《档案法》中明确规定“一切……都有保护档案的义务”、“……维护档案完整与安全”、“应当……配置必要的设施,确保档案的安全”[7]。《档案管理违法违纪行为处分规定》中明确规定“由于……导致档案安全事故发生的”“,档案安全事故发生后……对有关责任人员,给予记过或者记大过处分;情节较重的,给予降级或者撤职处分;情节严重的,给予开除处分”[8]等等。

舆论是档案安全风险评估的重要外部动力之一。舆论通过其正向的导向作用以及强大的监督功能推动档案安全风险评估工作的开展。舆论所表达的是具有公开性、评价性和倾向性的社会群体意见,在客观上对档案部门、档案工作者产生了一定的心理压力、道德压力和社会影响,从而形成一种无形的督促、制约力量。新闻媒体对档案安全事故发生的原因、造成的损失进行客观的报道,加大档案安全事故的曝光率,引起社会的关注,提高全民的档案安全和防灾减灾的意识,加强了社会各界对档案安全事故的社会监督,从而推动档案安全风险评估工作的开展。例如,在汶川大地震中,新闻媒体对在这次地震中档案遭受的惨重损失进行的报道,引起社会各界,特别是档案部门、档案工作者的强烈震撼,激发了人们强烈地保障档案安全的情感和欲望,促使档案安全风险评估提上日程。

权力是一种特殊的影响力,是一种促使人们为实现预定目标而行动的力量。权力要素通过权力合法性、权力威慑力和影响力等,作用于档案部门,把零散的、无秩序、无管理的力量化零为整,发挥权力的整体作用。档案安全风险评估过程必然离不开权力的驱动。档案安全风险评估的推行离不开人力、物力、财力的支持。档案部门领导通过物质、资金、人力、荣誉等权力资源作用于档案工作者,确定档案安全风险评估各项任务的分配与责任的归属,由于权力非平等性的本质特征驱使档案工作者对领导命令的服从,从而有效完成档案安全风险评估任务,保障档案的安全。

三、动力源间关系及其运行机理分析

档案安全风险评估的运行是内生动力与外在动力共同作用的结果。内生动力和外在动力相互关联、相互冲突,相互交错,共同组成一个合力系统,共同作用档案安全风险评估。充足的内生动力能有效促进外在动力发挥作用,当内生动力不足时,外在动力的推动则显得尤为重要。充足的外在动力则能强化内生动力,使之形成持续稳定的内在动力,积极作用于档案安全风险评估的有效开展。那么如何综合运用各种动力,促使档案安全风险评估的良性运行?

组织系统的内在需求和价值观念构成了档案安全风险评估动力系统的内在本源性动力。物质动力是由物质利益需求而产生的动力。人要生存和发展,离开物质利益就无从谈起。物质利益是维系和推动档案安全风险评估发展的极为重要的基本动力。物质动力是基础,但当分配关系处于基本合理的状态下,精神动力就起决定作用了。精神动力是由多种精神要素构成的,如理想、信念、世界观、价值观、人生观等等。精神动力的作用很强大,但不可以孤立地发挥作用,如果失去了物质动力的支持,精神动力就难以发挥作用,就是一时发挥了作用,也难以持久。因此,物质动力与精神动力两者互相补充、互相促进,二者不可偏废。

而制度、舆论、权力等要素从外部作用于组织系统,为档案安全风险评估提供外部动力。制度具有权威性、强制性、稳定性和惩戒性等刚性特征,激励和约束着档案安全风险评估行为,是档案安全风险评估工作的硬动力。舆论为档案安全风险评估提供了一种柔性规范环境,是档案安全风险评估工作的软动力。权力作为能够影响和控制他人行为、控制事物发展的最有效的力量,将档案安全风险评估确定为组织的目标,并且能够采取手段和方法使组织成员接受、服从并实现这一目标。

档案安全风险评估刍议 第5篇

一、xx区档案馆基本情况

xx区档案馆成立于xxxx年x月，由原xx区档案馆和xx县档案馆合并成立，馆藏档案资料x卷(件、册)，其中建国前档案x卷，录音录像档案xx盘，照片档案x张，磁盘xx张，光盘xx张。区档案馆建成于xxxx年，建筑面积x平方米，其中库房面积x平方米。

二、档案安全保管情况

(一)提高认识，加强领导

xx区档案局(馆)始终把安全工作作为重要工作来抓。xx区档案局馆成立了档案安全保密工作领导小组，局长担任组长，各分管领导为副组长，各科室负责人为成员，建立健全了全局馆安全保密工作组织体系和责任体系。采取多渠道广泛宣传档案安全保密工作的重要性和必要性。每年都把档案安全保密工作作为重要工作进行安排，每次局馆会议都强调抓好安全保密工作，定期开展档案安全保密工作检查，每年举办一次消防安全知识培训，选派人员参加区保密培训，不断提升局馆干部安全保密意识。全局馆形成了安全保密是档案工作之本，确保档案安全无泄密，是档案工作的首要责任的认识。xx区档案局馆始终保持无安全事故发生。

(二)加大硬件投入，确保档案安全。档案库房建设、消防、防盗等硬件设备是档案安全的基础。近年来，xx区档案局馆加大了对档案安全工作的硬件投入，从源头上保证档案安全。消防设施齐全，配备了消防栓、灭火器，做到定期检查灭火设备，及时更新，并建立了消防安全工作台帐;改造了馆内电路，提升用电容量和负荷，确保用电安全;区档案馆馆内配备了视频监控系统，馆外有区政府大院监控系统，并有保安日夜巡逻，安全防盗措施得力。区档案馆库房全部配备档案密集架存放保管档案，并配备防磁柜等专用具保管特殊载体档案，并配备了温湿度记录仪、空调、除湿机等设备，定期更换防虫防霉药，档案保管设施齐全。加强档案网络安全基础设施建设，区档案馆建立了馆内局域网、政务因特网、全市档案三套网络，实行物理隔离。

(三)积极推进档案馆基础卡设。xx区档案馆建于xxxx年，建筑面积x平方米、其中库房面积x平方米，现xx区档案馆面积尚达不到全区档案工作发展需要。近年来，xx区档案局馆积极争取新馆建设，在区委、区政府关心重视下，区档案馆新馆建设先后列入了“xx区跨越发展三年行动纲要”、区委、区政府工作报告、全区xx规划，现正在推进前期准备工作，拟建设xx平方米的xx区档案馆新馆。

(四)加强制度建设，确保档案安全。xx区档案馆各项安全制度健全，主要有档案库房安全保管制度、库房管理规定、划控制度、xx区档案工作应急预案等，经过不断的修订，在实际工作中发挥了巨大的作用。近年来，随着信息化的发展，档案安全工作中出现的新情况、新问题越来越多，我们先后制定了移动存储使用管理制度、档案信息网上发布制度等，实行档案电子数据异地备份制度，隔年将电子档案数据送至哈尔滨档案局进行备份保存。结合政府信息公开工作，制定了相应的规定，确保档案信息的安全。在制度建设中强调了“安全第一、预防为主”的方针，明确了档案安全“一把手”负责制以及每名工作人员的职责，同时经常进行检查，保证各项制度落到实处。

(五)强化管理，落实各项规章制度，确保档案安全。

在加强软、硬件建设的同时，xx区档案局馆坚持“安全第一、预防为主”，认真贯彻落实各项规章制度。在防盗、防火等方面，除安装灭火系统、监控系统外，实行xx小时值班制和节假日值班制。加强业务建设，档案整理按规范要求进行，档案馆保存的档案和档案案卷目录与实际排架、卷内目录与卷内文件保持一致，近年来还加强了对电子档案的管理工作，做到了电子档案与纸质档案同步归档，确保电子档案的安全。

三、重点档案的抢救与保护情况

档案安全风险评估刍议 第6篇

风险管理与档案安全之间的关系

“安全”的基本内涵是没有危险、没有损失、没有威胁。“风险”主要内涵为危险、伤害以及遭受损失的可能性, 二者之间具有极为密切的关系。但是, 风险并非意味着不安全。“风险”重点强调“可能性”, 其具体含义为可能引起或者不会引起安全问题, 风险不是绝对的。“风险”同时具有威胁与机会的双重含义, 其中的威胁是消极的, 而机会则是积极的。此处的威胁不同于传统含义的威胁, 其关键点在于如何平衡安全、成本和效率, 如何将威胁转换为机会。在医院的档案管理中, 尽管电子档案更加便捷、易于管理, 但其所存在的风险远远大于纸质档案的风险, 可是, 不能由于这种风险的存在就不再采纳电子档案。

风险管理的基本内容为对可能遇到的风险情况全过程进行计划、识别、评估、应对、监控等。对风险大小的正确识别, 必须依靠准确的风险评估。进行评估后, 再采取对应而适当的控制方式, 对目标风险进行有效控制, 根据实际情况制定针对性的信息安全管理方式, 才可以确保将安全风险发生率降低到可控水平范围内。风险管理是安全管理的核心内容, 贯穿于安全管理的始终。风险管理具有双重意义, 既可指导安全管理, 又能应用于安全工作实践。只有在正确地了解和认识到存在的安全风险后, 才可以更加全面地、准确地理解风险管理, 才可以从安全风险的角度出发制定出合理而完善的决策, 正确开展安全体系建设以及安全管理投资等。以风险管理的视角对安全管理进行透视, 必须始终坚持将风险管理贯穿于安全管理体系。建成的风险管理安全管理体系并不表示可以完全消除安全风险, 但这种体系的完全实施, 将可以确保安全风险尽量减少到最低水平, 最终实现安全风险、安全成本与安全效率之间的有效平衡。

档案安全风险评估的必要性和作用

医院的档案管理与其他行业领域的档案管理工作一样, 存在着较大的安全隐患问题, 这些安全隐患成为诱发档案安全事故的潜在威胁。加之档案管理工作人员的基本素质与业务素养存在着较大的差异, 其认识上表现为不一致性。 (1) 不少档案管理部门以及档案管理人员尚未形成风险管理意识。工作人员期望实现档案的绝对安全, 但实际上绝对安全是不存在的。即便是对隐患进行认真排查或对风险进行有效控制, 都只能实现档案的相对安全, 随着环境的变化, 其安全问题依然存在。和档案资料安全的相对性相比, 档案资料的风险却表现为绝对性, 不管采用何种方法进行控制预防, 风险始终一直存在。正是由于上述关系, 档案管理部门以及工作人员必须牢固树立对档案安全以及风险管理和控制的正确意识, 始终紧绷安全这根弦, 一直致力于档案安全管理。 (2) 部分档案管理工作人员的风险意识比较淡薄, 其麻痹思想严重。在工作过程中, 存在侥幸心理, 自己认为不会出问题。 (3) 部分档案管理人员没有对档案工作的重要性引起足够的重视。档案资料具有保密性、完整性、实用性以及真实性, 其业务内容相对复杂。因此, 要始终坚持形成档案安全风险评估机制, 且努力将这一机制认真贯彻实施。

开展档案安全风险评估, 能够帮助档案管理工作人员对档案管理中存在的全隐患和问题进行及时的排查, 排查后, 才能确保对安全隐患进行排除。及时进行安全隐患的排查, 虽然不能彻底避免安全事故, 但可以有效降低安全事故的发生率。开展安全风险评估, 有助于档案工作人员在提升档案资料安全性的同时进一步熟悉基本情况, 做到心中有数。进行安全风险评估, 能够促进档案管理工作人员根据相应的规定制定出具有针对性的档案管理评估标准, 进一步提升档案管理的水平。

从风险管理角度透视档案安全风险评估实践

具体说来, 要尤其注意下列几个方面: (1) 要进一步提升档案安全制度建设水平[1]。制度建设是确保工作顺利推进的重要保障, 档案管理工作更加需要完善的制度建设。档案管理的核心内容就是确保档案资料的安全, 因此, 在推进档案管理的制度建设过程中, 要紧密结合医院的实际情况, 紧密对照档案资料管理的基本要求, 制定成完善、科学、操作性强的安全管理制度。这些制度, 必须要经过实践的检验, 及时进行修订, 且必须考虑到环境的变化而进行改变。制度建成后, 要认真进行监督, 确保其有效执行落实。在具体的档案安全管理制度中, 主要有档案管理制度、档案查阅制度、档案保存制度等。其具体内容要尽量细化, 体现可操作性和可量化性, 为工作人员推进档案安全管理提供实践指导。 (2) 要进一步提升档案安全设施建设水平[2]。在推进制度建设的基础上, 要进一步加强硬件建设。档案资料不同于普通资料, 一般情况下具有唯一性, 一旦丢失损坏, 弥补将非常困难。要对既有的档案室以及档案库进行加固, 有效防止档案盗窃问题, 在关键位置安装好监控设施, 对进出人员进行监控, 确保接触档案资料的人员在可控范围内。确保空调、除湿器以及冷冻设备正常运行, 做好光线处理, 防止光污染。严格执行值班制度, 可以进行24 h轮班制, 交接班时, 要做好交接手续。档案室以及档案库内部, 要完善防潮、防虫、防火设施, 杜绝意外损坏。对于新建的档案室和档案库, 要积极引进现代化设备, 如指纹锁、门禁系统等。有条件的, 可以建成专业化的档案馆。 (3) 要进一步提升档案安全隐患排查水平。对于入库的档案资料, 必须先进行冷冻处理, 确保彻底杀死虫卵。定期进行安全隐患排查, 安排两轮工作人员先后进行检查, 对于档案室发现的虫卵以及鼠害等, 及时采取针对性措施。检查过程中, 要确保空调、除湿器等设备有效运行, 及时进行设备维护。要对检查人员定期进行专业化培训指导, 积极借鉴先进经验, 切实增强档案管理工作人员的责任意识和专业水平, 将档案安全隐患处置在萌芽状态。

参考文献

[1]周国康.浅谈加强档案安全保障建设的基本途径[J].甘肃科技, 2012, 28 (11) :114-116.

档案安全风险评估刍议 第7篇

经过近几年来的发展, 档案馆的信息安全风险评估工作取得了成效, 初步解决了信息安全管理靠经验开展及盲目投资的问题, 为信息安全等级管理提供了很好的支持。但当前的信息安全风险评估工作仍然存在一些不完善之处, 制约其进一步的发展。如何正确认识信息安全风险评估工作, 更好地发挥信息安全风险评估的作用。根据多年基层信息工作的经历, 对档案馆开展信息安全风险评估工作的情况进行了调查与研究, 分析了目前存在的问题, 并提出改进建议。

2 档案馆信息安全风险评估存在的主要问题

2.1 对信息安全风险评估宣传不到位、认识不足、重视不够

档案信息管理与信息安全关系密切重大, 但当前尚有不够重视, 主要表现在:开展信息安全风险评估的档案馆往往只是通过举办一些风险评估讲座, 进行风险评估理论、方法、技术和工具等专用知识的宣传, 多数单位的信息安全风险评估宣传工作仍处于起步阶段;档案馆对信息安全风险评估的作用没有清楚的认识, 往往把信息安全风险评估与信息安全混在一起, 没有把信息安全风险评估工作作为信息安全管理工作的第一步来抓;档案馆受人力、物力、财力等限制, 没有像重视信息安全工作一样, 重视信息系统安全的前期工作信息安全风险评估;没有把信息安全风险评估纳入信息安全系统的框架中。

2.2 现有的信息安全风险评估指标分析体系和工作流程设计有欠缺

目前, 档案馆信息安全风险评估制订的指标过多, 工作流程复杂。档案馆在开展风险评估时一般是根据上级机关的风险评估模板对应开展, 由于上下级之间系统建设有部分不同, 很多风险评估的指标难以对应。能对应上的指标由于档案馆的信息安全等级不同, 也难以照搬照套上级行的风险评估指标和工作流程。档案馆在实际操作中往往采取变通或简化方式进行, 信息安全风险评估失去了严肃性、科学性, 造成评估的成果失真, 效果差。

2.3 信息安全风险评估缺少专业技术和管理人才

从相关岗位配置看, 绝大部分档案馆没有设置信息安全风险评估岗位, 也没有专业评估人员。 (1) 目前该岗位人员主要由信息人员担当, 而绝大多数档案馆没有对信息人员很好地组织培训。信息安全风险评估是一项技术含量非常高的专业行为, 信息人员难以担当从事信息安全风险评估专业人才的角色。 (2) 信息安全风险评估基本上是由信息部门负责组织和实施, 但信息安全风险评估是一项综合性工作, 不仅涉及到全行的业务信息系统, 还涉及到全行各个方面的人力、物力、财力, 仅靠信息部门进行组织协调, 难以完成全面的信息安全风险评估工作。 (3) 信息部门既是信息系统的建设者和管理者, 又是安全风险的评估者, 使得评估的结果不具备说服力。

3 档案馆信息安全风险评估的建议

3.1 加强宣传, 提高对信息安全风险评估的认识

采用传统的安全管理方式容易造成很大的浪费, 还难以提高风险管理的水平。因此, 必须站在构建更高层次的风险管理角度, 加大对风险管理体系建设宣传力度, 使每一位员工充分认识到做好信息安全风险评估是防范信息风险的最基础性工作。

3.2 加强制度建设

首先, 应建立健全信息安全风险评估制度, 保证风险评估工作开展有据可依。其次, 健全信息安全风险评估制度, 明确评估者、建设者、使用者和管理者之间的关系及各自职责。再次, 细化信息安全风险评估制度, 使信息系统安全风险评估在信息系统的规划、研发、建设、运行、维护、监控及退出的整个生命周期都能有效地开展。

3.3 加强规划, 科学制订评估标准

档案馆应结合自身信息化建设的特点, 将风险评估的工作流程、评估内容、评估方法和风险判断准则制订出统一的标准, 为确立信息系统的安全等级提供判断标准。这需要参照国家有关标准, 对档案馆信息系统的信息资产、面临的威胁、自身的脆弱性和已有的安全措施进行分类和等级划分, 并为这些要素各自不同的等级提供赋值方法。另外, 还可以结合可操作性和灵活性的原则, 提供风险等级计算方法, 让评估者将风险评估与等级保护工作有机地结合起来, 完善等级安全保护。

3.4 加强人员培训, 提高评估人员的专业技能

(1) 通过整合内部人力资源, 加大培训力度, 制订辖内统一的培训规划, 编写培训教材, 通过学习弥补知识缺陷, 提高技术水平。 (2) 实行互补型培训, 将评估技术按专业进行分类, 组织不同的技术人员分别进行培训, 在较短的时间内培养出一支技术互补型的团队。 (3) 合理使用社会资源, 通过聘请富有经验的专家、学者, 组成第三方评估机构。由第三方评估机构对一个基层单位进行评估, 组织辖内的评估人员积极投身其中, 通过学习和交流, 不断积累评估工作经验, 提高实际评估技术能力。 (4) 对技术人员进行系统的认证培训, 实行职业资格准入制度。

4 结论

档案馆信息安全关系重大, 涉及的威胁多、风险大, 这需要做好日常的风险评估工作, 以防微杜渐。当前的档案信息风险评估尚有一些不足, 值得改进与提升, 以更好保证档案馆信息安全。

摘要：通过对目前档案信息安全风险评估现状的研究, 指出了当前档案信息安全风险存在的主要问题, 提出了加强档案信息安全风险防范的合理化建议, 为相关工作提供指导与参考。

关键词：档案馆信息安全,风险评估,现状,问题与对策

参考文献

[1]王周伟, 邬展霞.西方盈余信息风险评估模型研究述评[J].审计与经济研究, 2007 (4) :73-78.

[2]袁猷江.武警总队信息安全风险评估研究[D].南昌:南昌大学, 2012.

[3]刘静, 张学军.基于故障树分析的档案信息风险评估方法的研究[J].软件, 2013 (1) :72-74.

[4]李志伟.信息系统风险评估及风险管理对策研究[D].北京:北京交通大学, 2010.

浅议档案风险及安全管理 第8篇

一、档案风险的划分

风险, 新华字典中的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”风险管理领域对风险管理的定义没有达成一致, 但是对风险的“确定性和损失”特点基本达成共识。可见, 风险是一个相对性的词汇, 也意味着风险的发生具有不确定性, 风险的发生是否造成危害或损失也具有不确定性。具体到档案风险, 依据不同的划分标准有不同的种类。笔者尝试从以下的三个角度对其进行分类。

1. 按引发档案风险的因素划分, 可分为档案自然风险和档案人为风险。

档案自然风险是指人力不能或难以支配和操纵的各种自然灾害发生所造成的风险, 如雷电、水灾、火灾、霜冻、台风、地震等会直接威胁到档案的安全。档案人为风险是人的各种失误或故意破坏行为所造成的档案风险, 如内部管理不善:因为档案部门内部缺乏档案风险意识和安全知识、专门的管理机构和人员、相关的法律规范等引发的档案风险;业务操作不当:在档案的形成、保管和利用过程中, 由于文档人员业务能力、技术条件和管理水平等因素造成操作不当甚至错误操作而引发的档案风险;人为蓄意破坏:因为战争、社会动乱、利益冲突等各种原因而故意篡改、销毁、盗窃档案或破坏档案保管场所等行为引发的档案风险。

2. 从档案的构成划分, 可分为档案实体风险和档案信息风险。

档案由档案实体和档案信息构成。在某种意义上, 档案风险不仅包括档案实体风险, 也包括档案信息风险。档案实体风险也就是档案载体的风险, 一方面是来自载体本身的风险, 如纸张、光盘、磁带等自身的老化;另一方面是来自保管环境的风险, 如温湿度、光线、尘土等环境因素都会破坏载体的固定结构而缩短寿命, 甚至损坏载体上的数据、信息等。

档案信息风险, 可根据载体和信息的存在方式分成两种情况:当档案信息附着在载体上时, 载体的安全很大程度上决定了信息的安全, 载体的损坏也会引起信息内容的丢失, 如纸张褪色、光盘的断裂等;当档案信息与载体处于相对分离的状态时, 档案信息存在信息真实性、完整性、凭证性和保密性等风险。

3. 从档案工作流程划分, 可分为收集中的风险、整理中的风险、鉴定中的风险、保管中的风险和利用中的风险。

从档案的业务流程来看, 档案的风险主要存在于档案工作的各个环节中。在档案的收集、整理和鉴定中, 由于我国特殊的档案管理模式, 如果基层文书人员业务不熟、专业素质欠佳、责任心不强, 仅仅根据单位自身需要而收集, 没有严格按照文件价值进行鉴定, 为服务本单位或部门而延迟移交等, 必然造成档案的质量不高、数量减少、征集进馆困难等风险。在档案保管中, 档案风险主要表现为档案库房建设的滞后、档案基础设备的落后。随着档案的大量产生, 库房狭小、档案架破旧等都无法满足档案接收、保管的要求, 同时基础设施如防水、防火、防尘、防雷电等设施的缺乏也威胁着档案的完整和安全。在档案利用的过程中, 档案风险主要是指档案的泄密。随着社会档案意识的增强, 利用者对民生档案的需求日益增长, 在房产档案、婚姻档案和病历档案的利用中, 一旦出现个人隐私、商业秘密等泄密问题, 档案部门可能需要承担相应法律责任。

二、档案安全管理存在的问题

风险管理是研究风险发生规律和风险控制技术的一门新兴管理学科。各种组织通过风险识别、风险估测、风险评价等管理活动优化组合各种风险管理技术, 对风险实施提前监控、有效应对和妥善处理, 期望达到以最少的成本获得最大安全保障的目的。从这一视角来审视我国档案安全管理的现状, 我国档案安全管理存在很多问题。

1. 认识上缺乏科学性。

风险管理, 首先需要正确认识安全和风险的关系, 树立科学的安全观和风险观。从理论上讲, 风险是绝对的, 安全是相对的;风险是永恒的, 安全是暂时的。然而, 我国当前的档案安全管理, 存在严重的安全知识不足、风险意识淡薄等问题。在社会档案需求不断扩大和档案分等级开放利用的矛盾中, 文档工作人员通常从追求绝对安全的角度出发而排斥档案的开放利用, 甚至对一些规定开放利用的档案出于保险起见的考虑, 也拒绝主动对外提供开放。这种对绝对安全的盲目追求和对风险处理的态度显然是不科学的。与此同时, 由于档案性质的特殊, 档案部门的保密要求比较高, 因为缺乏对安全和风险的科学认识, 整个组织从上至下都处于高度戒备状态, 而没有形成张弛有度的风险管理氛围。

2. 管理上缺乏连续性。

风险管理是一个系统的工程, 一个完整的风险管理应该包括系统的风险管理环节:制定风险计划、风险识别、风险评估、风险控制、风险监控和风险报告。首先, 档案安全管理计划缺乏整体规划。现有的档案安全管理计划, 绝大多数是凭借个人经验或者参照其他管理部门的计划来制定的, 并没有针对档案部门自身的实际情况, 具有很大的盲目性。其次, 档案的安全管理模式相对比较静态, 对新产生的风险缺乏有效的监测和识别, 进而无法从源头上进行有效控制。再次, 在风险的评估环节上, 档案安全管理没能对所有牵涉到的资产运用定性和定量的方法从重要性、风险性等各个层面进行精确的评估, 没有能为风险控制提供决策依据。总体而言, 整个档案安全管理没能环环相扣, 缺乏整体性和连续性。

3. 内容上缺乏系统性。

风险管理是一个全面、动态、系统的管理, 涵盖了档案各层次的各类风险。整体来看, 当前档案安全管理比较混乱, 缺乏系统性和层次性。从引发风险的原因来看, 侧重对人为因素的研究, 如1998年洪水、2008年地震等自然灾害发生后, 人们才又开始关注突发事件情况下档案的安全管理;从档案的构成来看, 侧重对档案载体的安全管理, 直到电子文件、档案信息化、数字化和网络化建设出现后, 才逐步重视档案信息的安全问题;从档案业务流程来看, 侧重保管和利用过程中的档案保密, 比较忽视对档案收集、整理和鉴定等各环节中风险的研究等。

三、档案安全管理的对策

基于风险管理的安全管理, 是将风险管理始终贯穿于整个安全管理中, 通过各种技术和管理措施对风险发生前、发生时和发生后各种状况进行控制, 达到降低风险概率, 减小风险损失至最低限度, 获得最大安全的目的。

1. 改善档案风险管理的环境。

针对档案安全管理的现状, 从风险意识和档案风险管理机构两方面入手改善风险管理环境具有必要性和可行性。首先, 需要明确安全和风险的关系, 杜绝对安全问题的忽视, 提高档案风险意识。通过安全教育的宣传、培训、档案事故演习等丰富多样的形式让全体人员正确认识档案风险的客观性、不确定性和危害性, 加深他们对档案风险和安全管理的认识, 并将这种意识融入、转化到日常的具体行为中, 达到“知”、“言”和“行”的统一。其次, 建立健全专门的档案风险管理组织机构, 配备专职领导分管档案安全管理。建立由馆长为总负责人的人人有责、层层负责的档案安全管理体系, 并根据机构的实际情况明确各自的安全管理目标和职责。同时, 特殊情况特殊处理, 如对待档案信息化、数字化和网络化等建设过程中的安全问题, 成立专门的攻关小组进行高难度问题的攻克;对待突发事件成立临时的安全管理小组来完成档案的安全管理工作。

2. 建立健全档案安全管理的制度。

威胁档案安全的风险因素来自各个层面和各个领域, 因此需要构建一个涵盖宏观、中观和微观的全面的制度体系, 也即国家、地方和档案部门从三个不同的层面建立健全档案安全法律法规体系。如, 当前档案安全管理的条款分布在《保密法》、《国家安全法》、《档案法》等中间, 并没有专门的档案安全管理制度, 需要建立一套档案安全管理制度, 明确规定安全管理职责、管理要求、管理目标、管理内容等。对于档案安全管理单位而言, 除了需要建立健全管辖范围内的制度外, 还需要系统学习和吸收上级部门出台的档案安全管理相关的制度, 对所有制度进行全面系统的整理, 清除旧的因素, 识别和利用其中有效的部分。同时, 全面梳理业务、管理和技术活动的过程, 处理它们在制度要求上的交叉和重复内容, 构建一套系统、透明的档案安全管理制度, 为安全管理的实施提供保障作用。

3. 构建全面的档案风险管理体系。

风险管理是针对风险发生前、发生时和发生后的一整套系统的管理。基于此, 档案风险管理体系包括档案风险计划的制定、风险识别、风险评估、风险控制、风险报告。风险计划的制定是整个风险管理计划的首要环节, 是整体协调和控制风险管理的过程。档案风险的识别是在档案风险发生之前, 采用各种方法从宏观与微观、内部与外部等各个层面对档案风险进行一定深度和广度的监测和识别, 明确可能出现何种风险。基于此, 风险评估则是对档案风险发生的频率、性质和概率等进行分析, 并估量风险损失的程度。通过档案的风险识别、分析之后, 需要根据不同档案风险的种类、特征等, 采取一定的措施控制风险, 减少或避免风险对档案的影响或危害。在完成风险的识别、评估及控制活动之后, 管理部门需要对此次的风险管理活动进行报告和总结, 对风险计划的执行情况、风险评估的水平、风险控制的成效等进行讨论, 通过总结经验, 不断完善档案风险管理体系以进一步提高档案安全管理的水平。

4. 提高档案安全管理的技术水平。

技术因素不是档案安全管理水平的决定性因素, 但是依靠和运用现代科学技术的力量能更便捷、更高效地进行档案安全管理。提高档案安全管理的技术水平有两层含义:一是加大投入, 完善档案安全管理软硬件的技术配备, 如档案库房的自动报警系统、智能的温湿控制系统等, 降低风险发生的概率。二是将现代技术运用到档案安全管理的过程中, 完善管理的环节, 提高管理的效率, 如利用数据库技术、网络技术和访问权控制技术实现档案信息的远程服务, 减少对档案原件的利用, 减少风险发生的机会;在风险的评估中, 有效利用计算机技术、合适的数学模型和科学的计算方法以提高风险评估的精度。总之, 有效利用技术手段, 平衡成本与效果, 是实现以最低的成本达到预期管理效果的途径之一。

5. 提高档案安全管理人员的素质。

人在管理要素中具有决定性的作用, 并且档案工作是一项服务性的工作, 因此档案安全管理必须高度重视人的因素, 提高档案安全管理人员的素质。通过组织培训、鼓励自学等形式提高档案安全管理人员各方面的素质;通过计算机学习提高计算机操作水平, 避免因操作失误而造成数据丢失或删除;通过法制教育提高全员的安全保密意识和法律意识, 增强管理人员的责任感等。在提高全员素质的同时, 培养一批专业的档案安全管理人才, 挑选熟悉业务、责任心强、保密意识强、有经验懂技术的档案管理人员, 让其负责档案安全管理的工作, 形成专人负责、全员配合的档案安全管理模式。

随着社会的发展和技术的进步, 影响档案安全的因素越来越复杂。档案安全管理是一项长期而艰巨的工程, 涉及意识、管理、技术、法律、制度、人员等各个方面, 因此做好档案安全管理不仅需要档案人员坚持不懈地努力, 也需要全社会共同的关注和支持。

摘要：本文将风险管理的理论和方法运用到档案安全工作领域, 立足不同的角度和标准对档案风险进行了划分, 指出当前档案安全管理中存在的问题, 并在此基础上提出了档案安全管理的策略。

关键词：档案风险,安全管理,风险管理

参考文献

[1]陈国云.风险管理视角探讨电子文件安全问题[J].北京档案, 2008 (6) .

[2]黄宪.商业银行风险管理体系及构建[J].中国软科学, 2004 (11) .

[3]周琼凤.论档案安全管理[J].电力档案, 2005 (3) .

[4]李红旗.风险管理是档案工作亟待解决课题[J].档案管理, 2006 (3) .

档案安全风险评估刍议 第9篇

一、档案信息化建设面临的信息安全问题

目前, 档案信息化建设普遍开展, 数字档案馆建设已纳入档案信息化建设轨道。借鉴相关网络信息服务平台建设的经验, 运用先进的网络信息组织与管理方法, 构建数字档案信息服务平台是提高数字档案建设质量和水平的明智之举。档案信息化建设主要包括:基础设施建设、档案信息资源建设、应用系统建设、标准规范建设等方面的内容。其中, 基础设施建设主要指档案信息网络系统和档案数字化设备。它是档案信息传输、交换和资源共享的基础条件, 只有建设先进的档案信息网络, 才能充分发挥档案信息化的整体效益。应用系统建设主要包括档案信息的收集、档案信息的管理、档案信息的利用、档案信息的安全等方面内容, 关系到档案信息化建设的速度与质量, 集中体现了档案信息建设的效益和档案信息服务的效果。

信息技术及信息产业的高速发展, 给档案工作带来了机遇, 同时也带来新的挑战。信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、人为破坏等各方面的威胁。由于这个原因, 人们在不断地探索和研究防止信息系统威胁的手段和方法, 并且迅速在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而, 这并没有从根本上解决信息系统的安全问题, 来自计算机网络的威胁更加多样化和隐蔽化, 黑客、病毒等攻击事件也越来越多。因此, 随着信息技术的发展与应用, 信息安全的内涵也在不断的延伸, 从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性, 进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。

二、风险评估在解决信息安全问题中的作用

人们的认识能力和实践能力是有局限性的, 因此, 档案管理信息系统存在脆弱性是不可避免的。档案信息系统的价值及其存在的脆弱性, 使档案信息在现实环境中总要面临各种人为或自然的威胁, 存在安全风险也是必然的。信息安全建设的宗旨之一, 就是在综合考虑成本与效益的前提下, 通过安全措施来控制风险, 使残余风险降低到可接受的程度。由于人们追求的安全的信息系统, 实际是指信息系统在实施了风险评估并做出风险控制后, 仍然存在的残余风险可被接受的信息系统。因此, 要追求信息系统的安全, 就不能脱离全面、完整的信息系统的安全评估, 必须运用风险评估的思想和规范, 对信息系统开展安全风险评估。

信息安全风险是指信息在整个生命周期中安全属性所面临的危害发生的可能性, 这是由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。危害不仅仅取决子某种灾害性事故的发生概率, 还与事故所造成的后果大小有关。信息安全风险评估具有以下特点: (1) 决策支持性。所有的安全风险评估都是为了安全管理提供支持和服务的, 不管它发生在系统生命周期的任何时期, 只是它们支持的管理决策阶段和内容不同而已。 (2) 比较分析性。对信息安全管理和运营的各种安全方案进行比较, 对各种情况下的技术、经济投入和结果进行分析。 (3) 前提假设性。在风险评估中所使用的各种评估数据有两种, 有一些是系统既定实际情况的描述数据, 而有一些是根据系统各种假设前提条件确定的预测数据, 不管是发生在系统生命周期的任何时段, 人们都必须对尚未确定下来的各种情况做出必要的假设, 然后确定出相应的预测数据, 根据他们做出系统风险评估。

三、风险评估应贯穿于档案信息系统建设的整个生命周期

高校档案管理信息安全的风险分析 第10篇

关键词：高校档案管理,信息安全,风险

在当前的网络信息的发展潮流之下, 大部分高校的档案管理也都向着现代化和信息化的方向前进, 原来单纯的人工管理模式已经朝着数字化的模式发展, 高校的档案也得到了更广泛的应用, 但是这种新的应用模式使得其中的风险矛盾逐渐突出, 如果发生的一些安全问题得不到解决, 就可能产生很大的信息资源方面的损失, 安全风险管理的加强非常必要。

一、高校档案管理信息安全的风险类型分析

(一) 制度风险与外来风险。

在如今的高校档案管理信息化的改善中, 还缺少比较完善的法律法规对其进行保护和约束, 也就是说高校档案管理的数字化方面的安全性得不到一个很好的保障, 有时只能使用与计算机相关的管理条例来进行监管, 这种对档案管理信息安全的维护缺乏专业性和针对性, 这种管理现状为很多的不法人员带来了可以进行破坏的机会, 他们为了达到自身的利益或者目的, 会对高校中的档案信息进行资源窃取以及网络信息的攻击, 甚至将其进行破坏, 这种行为对于高校的档案信息的管理是非常不利的, 使得信息安全无从保证。另外, 除了这种制度方面的不健全之外, 来自外界的风险也对高校档案管理的信息安全产生着影响, 比如计算机病毒以及非法访问等黑客的攻击行为, 病毒是现代网络领域中最大的危害内容之一, 与网络信息相关的所有路径以及终端都会受到来自病毒的威胁, 而且病毒的种类还在不断地增加, 一些专门的杀毒软件不能第一时间进行杀毒设置, 这种高难度的管理问题会造成高校档案的丢失, 非法的访问则有可能会造成档案信息的篡改, 属于比较严重的安全风险问题。

(二) 管理风险以及信息安全评估风险。

对于档案管理人员而言, 保密意识不够, 责任感薄弱, 会对档案管理的安全带来不良效果, 不少高校对档案管理工作缺少充分的关注, 对于档案资料的保密性认识也不足。在当前档案管理信息化的进程中, 管理者在信息技术的专业程度上并不达标, 在工作中不能严格按照规定进行合理的操作, 比如有的管理人员可能会因为工作的疏忽将高校内部网络的档案管理账号以及密码泄露出去, 而且机房管理也不严格, 给外界不法分子的侵入提供了机会。并且, 高校的信息安全评估发展也比较落后, 存在比较多的安全管理风险, 高校档案管理部门对于安全评估方面的工作重要性认识不足, 安全风险评估的具体操作流程以及技术支持都需要进一步改善。

二、高校档案管理信息安全的风险解决措施

(一) 健全信息安全制度, 提升档案信息的物理安全。

高校档案部门应以国家档案局所公示的信息化建设准则为指导, 以自身实际情况为依据, 然后与计算机相关法规的要求制定同高校档案管理工作相适应的规章制度。这样做可以很大程度上使高校档案管理工作得到安全性与稳定性的发展, 对当前存在的相关档案管理安全问题进行分析, 国家应及时制定有关的法律, 让高校的档案管理信息化建设更加合理规范。在当前的高校档案管理信息安全的发展中, 应该做好相关的基础性工作, 尽量降低信息风险所造成的损失, 比如在信息管理设备的购入时应该采用不同型号与厂家的设备类型, 这样可以达到优势互补的效果, 而且在档案信息的管理中为了避免某网段的安全风险影响网络的全面运行, 对子网设置使用分级、分段的物理隔离, 这样可以增强安全管理的强度。

(二) 做好档案信息安全风险的评估工作。

增强高校档案信息调研力度, 对高校档案管理的构成进行分析确认, 针对组织战略、业务类型、流程等所形成系统的基础性建设及档案安全需求等, 进行调研与评断。对档案信息资产的识别也是其中重要工作内容之一, 可以将相关规范作为工作开展的参考, 与高校档案管理中的实际工作程序内容相结合, 识别当前建立的信息管理体系, 比如硬件、信息采集、筛选等方面的工作, 对其中资产的重要作用以及相关业务的信息进行综合性的探究, 最后主要是根据其中蕴含的价值对档案信息资产进行不同程度、层次的标识, 还应该根据所呈现的资产详单对面临的安全隐患与风险进行详尽的探讨, 按照严重程度对风险进行分类标识与处理工作。

三、结束语

高校档案管理在发展中也应该逐渐地去适应现代信息技术的前进趋势, 对原有的档案管理方式进行改变, 信息化建设是其转变的主要方向, 在变化的过程中可以增强高校档案管理的技术优势, 同时管理部门也必须做好信息安全方面的管理, 做好档案管理的风险评估工作, 加强管理队伍的完善, 提升信息安全管理的水平, 确保高校档案管理的不断完善和进步。

参考文献

[1]程安琪.新时期高校档案管理信息安全风险分析[J].黑龙江史志, 2014 (15) :84-85.

[2]刘凝芳.浅谈高校档案信息安全的有效管理机制[J].科技创业月刊, 2011 (03) :99-100.