浅谈电子文件信息安全风险管理

浅谈电子文件信息安全风险管理

苟乃迪

青岛市城阳区红岛街道卫生监督与疾病控制工作站  山东青岛  266000 

摘要：电子文件信息安全是保护电子文件信息在传输、存储和利用等过程中，不会遭到非法泄漏、更改、损坏，或被非法系统识别、控制、利用。保障电子文件信息价值不受损害、确保信息遭受最少的风险损失并获得最高的安全收益。

关键词：电子文件；信息安全风险；管理策略

引言

风险管理往往应用于金融、经济管理领域，是科学的管理理论和方法，旨在预防和降低经济损失，获取高额经济收益。正因为电子文件中具有多个安全风险因素，所以引入风险管理模式，是对保障电子文件信息安全的有利补充，能有效提升电子文件管理水平。

一、电子文件信息安全的风险因素分析

（一）质量要求风险因素

电子文件本身的特性使得其在管理过程中形成了特有的电子文件质量要求。“电子文件质量目标包括真实性、准确性、完整性、可读性、可用性、保密性、关联性、及时性、一致性等。”可见，如此严格的电子文件质量必然有所缺失，其风险会因要求复杂而产生变异和强化，电子文件信息安全的风险程度也会加大。

（二）技术风险因素

一是系统的安全隐患风险。计算机操作系统的设计一般着眼于增强数据处理的能力与效果，对于系统安全性要求仅仅只是一个附带的考量，导致操作系统容易产生较多的安全漏洞。而网络系统遭非法破坏更是由于互联网的安全自身缺少设防，使得木马病毒、恶意代码的入侵、用户数据被窃取、信息泄露、信息篡改、信息假冒等各种安全事件发生。二是电子文件长期存取存在风险。因为电子文件的长期保存与使用受到由硬件、软件和操作系统等组成的数字环境的严格控制。电子文件存储载体与传统纸质载体相比，对环境有更高的要求，但是载体的使用寿命却较短。目前常见的载体包括磁带、磁盘、光盘、硬盘等，易受日照、灰尘、强磁场、高温、潮湿等环境影响，发生变形、老化、霉变等情况。同时，在电子文件形成过程中，不同软件产生的大量非标准格式或是格式杂乱的文件，存储格式的不兼容也为信息共享和长期保存造成了障碍与风险。

二、电子文件信息安全风险防范措施

（一）增强风险意识

增强电子文件信息安全风险意识，最重要的是机构内部的高层人员要正确认识和高度重视电子文件，主动克服对信息技术的不安与不适应心理，学习使用计算机等现代信息设备开展工作，对正确认识电子文件起到带头作用。同时，要采取各种方法传播风险管理的知识，加强风险管理意识。通过宣传让工作人员认识到，真实、完整、准确、可用的电子文件是保障信息化建设的关键性基础资源，相比传统载体类型的文件管理，作为新型载体的电子文件保存的风险更大，其形成、传输、利用越来越便利时，管理的风险也在增加。

（二）构建信息安全技术支持

信息安全技术对保障电子文件信息内容的原始性、真实性、可用性和安全性，有着至关重要的作用。除了防写只读、防火墙、身份认证和密钥加密等常规技术外，还要加大使用包括签署技术、生物识别技术、操作系统安全内核技术等更多安全技术。同时，针对不同的信息内容分别设置安全级别。例如，对于机密信息，应采用加密技术、PKI技术或者生物识别技术，保障数据的机密性、完整性；对业务信息系统可以通过防火墙、访问控制等安全措施来保护。此外，还必须加强对重要信息的数据备份工作，如果整个系统发生瘫痪，必须能够提供一个简单、高效的方法来还原整个系统中的参数、数据信息等。最后，还必须重视并选择拥有自主知识产权的安全技术，加强安全技术产品的研制工作和技术创新。

（三）加强管理体系全面建设

电子文件信息安全管理是专业性、技术性、综合性都很强的工作。一是要加强领导、统一思想，建立健全相应的管理机构，并纳入机构常规管理工作中。二是建立岗位责任制，严格划分人员责任权限。明确专门的分管领导，设置专门人员负责处理日常风险管理事务，以确保风险管理机制长效运作。并加强多部门的共同协作，包括行政部门、文件形成部门、档案管理部门、信息技术部门及具体工作人员，均须明确他们在管理活动中的职责。三是制定电子文件信息安全风险全过程管理模式，明确管理战略目标，划定风险管理的工作重点和要求，对日常操作维护、文档管理等进行统一管理，并定期分析风险管理的实施进程，及时解决问题。四是针对特殊情况应成立专项小组进行处理，比如成立专门的攻关小组对待档案信息化建设中的高难度安全问题；成立应急安全管理小组处理突发事件，健全各项应急措施和应急制度，提高系统抗攻击、抗灾害能力。

（四）完善管理制度，细化工作环节

管理制度是对整个文书档案管理工作的标准化规定，对整个工作环节的统筹规划。完善文书档案管理工作，必须制定管理制度和工作细则，明确规定文书档案管理工作每一步环节中的操作标准。比如，如何分配工作器械、软硬件设施如何配备等，主要解决的是文书档案管理各环节的协调工作。另外，在采用信息化手段进行文书档案管理工作时要确保信息的安全性和保密性，确保信息不会泄露。除此之外，要完善管理工作的奖惩机制和问责机制，实现事事有人做，事事有人负责，提升文书管理工作的有效性。细化工作环节，应该做好以下四个方面，一是转变观念，做到事事有人负责，使每一位工作人员都有事可做，并且有明确的工作安排；二是转变作风，管理人员靠前指挥，使每一项工作都有领导人员进行指挥安排，统筹兼顾，确保工作人员不会自乱阵脚；三是完善工作，事事有标准，工作人员应该在标准规定下行事，增强文书档案管理工作的规范性和约束力；四是严格奖惩，事事有考核，考核要真实有效，从实际出发。总之，完善管理制度，细化工作环节是完善文书档案管理工作的制度保障，只有在标准化制度下，文书档案管理工作才更加具有权威性。

结束语

电子文件管理已经成为当今档案信息化建设的重要内容。在此，希望各级文件管理工作者、档案学者和相关机构，在日后更加重视电子文件信息安全的风险管理，促进电子文件信息安全建设能够进一步完善、科学、规范并有所突破，促进我国档案信息化建设事业可持续发展。

参考文献

[1]冯惠玲等.电子文件风险管理[M].北京:中国人民大学出版社,2008.

[2]冯惠玲,赵国俊等.中国电子文件管理:问题与对策[M].北京:中国人民大学出版社,2009.

[3]冯惠玲,刘越男,等.电子文件管理国家战略[M].北京:中国人民大学出版社,2011.