風(fēng)險(xiǎn)評(píng)估的案例范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)風(fēng)險(xiǎn)評(píng)估的案例文章,供您閱讀參考。期待這些文章能為您帶來(lái)啟發(fā),助您在寫(xiě)作的道路上更上一層樓。
第1篇
【關(guān)鍵詞】信息系統(tǒng);安全;風(fēng)險(xiǎn)評(píng)估;管理
一、信息系統(tǒng)安全
何謂信息系統(tǒng),依據(jù)美國(guó)國(guó)家信息系統(tǒng)安全詞匯表的定義,信息系統(tǒng)是指用于收集、處理、存儲(chǔ)、傳輸、顯示、傳播和清除信息的所有設(shè)施、組織、人員等部件的總和。在這個(gè)定義中,我們不難看出,信息系統(tǒng)應(yīng)該是一種結(jié)合了人力因素、硬件設(shè)備、軟件系統(tǒng)等多方面元素的一種集合。信息系統(tǒng)的安全,主要就是圍繞著信息系統(tǒng)的功能,即數(shù)據(jù)的處理、存儲(chǔ)、傳輸?shù)葍?nèi)容來(lái)展開(kāi)。當(dāng)前信息系統(tǒng)存在的安全隱患就是數(shù)據(jù)被篡改、被竊取、系統(tǒng)運(yùn)行被破壞這幾種情形。信息系統(tǒng)的安全以數(shù)據(jù)為核心,但是其內(nèi)容又并不局限于數(shù)據(jù),理論上信息系統(tǒng)的安全包括四個(gè)方面的內(nèi)容,即實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全四個(gè)方面。這其中的每一個(gè)方面對(duì)信息系統(tǒng)的安全評(píng)價(jià)角度都是不同的,不同角度的安全評(píng)價(jià)決定了我們?cè)趯?duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)所選取的方式和角度也必然是不同的。
二、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法
根據(jù)信息系統(tǒng)的構(gòu)建和組成,我們對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估主要采用以下幾種方法:(1)事件樹(shù)分析:這是一種利用邏輯進(jìn)行演繹推理的方法,它的作用發(fā)揮方式是以某一個(gè)給定的事件為依據(jù)。根據(jù)這個(gè)事件展開(kāi)分析,尋找出可能出現(xiàn)的各種具有影響力的后果,通過(guò)多角度、多層面的推理演繹,實(shí)習(xí)對(duì)風(fēng)險(xiǎn)的預(yù)估。(2)層次分析法:是一種多指標(biāo)綜合評(píng)價(jià)方法。這種評(píng)價(jià)方法的關(guān)鍵在于尋找不同因素直接存在的聯(lián)系,這種聯(lián)系可能表現(xiàn)為相互制約,也可能表現(xiàn)為一種形態(tài)上的隸屬關(guān)系。無(wú)論是那一種關(guān)系,都需要按照一定的標(biāo)準(zhǔn),采用數(shù)學(xué)方法對(duì)不同的因素進(jìn)行層次上的排序。然后根據(jù)排序的結(jié)果來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行預(yù)估。(3)BP神經(jīng)網(wǎng)絡(luò):是一種按誤差逆向傳播算法訓(xùn)練的多層前饋網(wǎng)絡(luò),具有自學(xué)習(xí)能力,能夠?qū)崿F(xiàn)輸入和輸出之間的復(fù)雜非線性關(guān)信息系統(tǒng)的風(fēng)險(xiǎn)管理系。缺點(diǎn)是風(fēng)險(xiǎn)因素的權(quán)值確定較難,優(yōu)點(diǎn)是有自學(xué)能力,問(wèn)題抽象化,適用于事故預(yù)測(cè)和方案擇優(yōu)。(4)故障樹(shù)分析:這是一種較為形象的風(fēng)險(xiǎn)預(yù)測(cè)方法,即首先對(duì)具有潛在危險(xiǎn)的各種因素進(jìn)行初始的分析,根據(jù)這些因素繪畫(huà)出故障樹(shù),利用故障樹(shù)來(lái)發(fā)現(xiàn)不同因素之間存在的復(fù)雜聯(lián)系,找出事件發(fā)生之間的聯(lián)系。(5)風(fēng)險(xiǎn)評(píng)審技術(shù)方法:通過(guò)模擬實(shí)際系統(tǒng)研制時(shí)間、費(fèi)用及性能分布,針對(duì)不同條件對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè),需多次訪問(wèn),數(shù)據(jù)準(zhǔn)確性要求高。
三、信息系統(tǒng)的風(fēng)險(xiǎn)管理
無(wú)論是對(duì)信息系統(tǒng)安全還是風(fēng)險(xiǎn)評(píng)估方法,我們的目的都是希望其最終能夠服務(wù)于信息系統(tǒng)的風(fēng)險(xiǎn)管理工作。信息系統(tǒng)的風(fēng)險(xiǎn)管理,我們從以下幾個(gè)方面來(lái)進(jìn)行分析:第一,信息系統(tǒng)的動(dòng)態(tài)風(fēng)險(xiǎn)態(tài)勢(shì)評(píng)估。信息系統(tǒng)的風(fēng)險(xiǎn)管理,是一項(xiàng)動(dòng)靜結(jié)合的工作。由于當(dāng)前網(wǎng)絡(luò)環(huán)境是處于不斷運(yùn)動(dòng)的狀態(tài),所以動(dòng)態(tài)管理對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)管理具有重要的意義。信息系統(tǒng)面臨的風(fēng)險(xiǎn)雖然具有突發(fā)性,但是我們通過(guò)對(duì)某一段時(shí)間的態(tài)勢(shì)值比較分析能夠做出一定的判斷,當(dāng)一段時(shí)間內(nèi)的態(tài)勢(shì)值與正常范圍內(nèi)的態(tài)勢(shì)值有差異的時(shí)候,我們應(yīng)該加強(qiáng)系統(tǒng)信息的風(fēng)險(xiǎn)預(yù)警。通過(guò)這種動(dòng)態(tài)的評(píng)估,管理人員能夠在數(shù)據(jù)參考的基礎(chǔ)上做出一些應(yīng)對(duì)。第二,ART-BP神經(jīng)網(wǎng)絡(luò)的模糊專家系統(tǒng)風(fēng)險(xiǎn)管理。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)信息技術(shù)的進(jìn)一步普及,信息系統(tǒng)在未來(lái)仍然會(huì)以規(guī)模化的趨勢(shì)覆蓋我們的日常生活,信息系統(tǒng)對(duì)人類生活產(chǎn)生的重要影響將越來(lái)越突出,風(fēng)險(xiǎn)管理的水平必須進(jìn)一步提升和加強(qiáng)。ART-BP神經(jīng)網(wǎng)絡(luò)的基本工作原理是:網(wǎng)絡(luò)接收外面環(huán)境的輸入狀況,對(duì)網(wǎng)絡(luò)已經(jīng)存儲(chǔ)的模式和新來(lái)的網(wǎng)絡(luò)樣本進(jìn)行比較和權(quán)衡,通過(guò)一定的程序?qū)Χ叩南嗨贫冗M(jìn)行計(jì)算,利用閾值檢查已有的網(wǎng)絡(luò)存儲(chǔ)模式和輸入的樣本,并且對(duì)連接權(quán)重進(jìn)行調(diào)整,實(shí)現(xiàn)最大的相似度。第三,加強(qiáng)風(fēng)險(xiǎn)管理中的人力因素管理。信息系統(tǒng)是由人力、硬軟件設(shè)備共同發(fā)揮作用而組成的一個(gè)管理系統(tǒng)。信息系統(tǒng)各種不安全因素的出現(xiàn),最大的始作俑者也是人類,人力因素在整個(gè)信息系統(tǒng)的安全管理中有著重要的作用。信息系統(tǒng)的風(fēng)險(xiǎn)管理,必須加強(qiáng)對(duì)人力因素的控制和管理,人力因素在整個(gè)系統(tǒng)風(fēng)險(xiǎn)管理中作用的發(fā)揮的是首要的。加強(qiáng)人力因素的管理,首先我們要提高從業(yè)人員的素質(zhì),這種素質(zhì)不僅僅是專業(yè)的信息技術(shù)素質(zhì),而且包括一個(gè)人的品行、工作態(tài)度等多方面素質(zhì)的綜合。其次加強(qiáng)那個(gè)人力因素管理,還應(yīng)該通過(guò)制度來(lái)予以明確的規(guī)定,用明文的制度來(lái)規(guī)范具體的操作行為和操作流程,加強(qiáng)風(fēng)險(xiǎn)預(yù)警意識(shí)的培養(yǎng),是實(shí)現(xiàn)風(fēng)險(xiǎn)管理的另一個(gè)重要途徑。
參考文獻(xiàn)
[1]劉翠翠,王云.淺析網(wǎng)絡(luò)信息安全挑戰(zhàn)及其應(yīng)對(duì)措施[J].電腦知識(shí)與技術(shù).2008:36
第2篇
【關(guān)鍵詞】風(fēng)險(xiǎn);評(píng)估;企業(yè);信息管理
1.企業(yè)信息安全評(píng)估的內(nèi)容
企業(yè)在運(yùn)行中會(huì)產(chǎn)生大量的運(yùn)營(yíng)數(shù)據(jù),這些數(shù)據(jù)既有日常辦公方面的數(shù)據(jù),也有涉及企業(yè)生產(chǎn)和研發(fā)方面的數(shù)據(jù)。隨著企業(yè)規(guī)模的擴(kuò)大,對(duì)這些信息的管理大都是建立在一定的信息管理系統(tǒng)基礎(chǔ)上的,如ERP資源管理系統(tǒng)、MES系統(tǒng)等。這些管理系統(tǒng)管理的內(nèi)容包含了企業(yè)運(yùn)行中的各類信息,就涉及到如何保障系統(tǒng)運(yùn)行中信息安全的問(wèn)題。不同的信息管理模式會(huì)伴隨不同的信息泄露風(fēng)險(xiǎn),因此需要對(duì)企業(yè)的信息管理風(fēng)險(xiǎn)程度進(jìn)行評(píng)估,在此基礎(chǔ)上尋找彌補(bǔ)信息安全隱患的策略。對(duì)企業(yè)信息安全的評(píng)估主要有以下幾個(gè)方面的內(nèi)容。
1.1 評(píng)估企業(yè)的管理制度
企業(yè)管理制度是企業(yè)有序運(yùn)行的基礎(chǔ),企業(yè)的信息安全也和此密切相關(guān)。很多企業(yè)信息外泄的案例都和企業(yè)管理制度漏洞直接聯(lián)系。因此在評(píng)估企業(yè)信息安全時(shí)企業(yè)的管理制度是必要的環(huán)節(jié)之一。在這個(gè)層面上評(píng)估企業(yè)信息安全主要是評(píng)估以下幾類基本的管理制度。①企業(yè)信息系統(tǒng)的使用制度;②企業(yè)信息系統(tǒng)的維護(hù)制度;③企業(yè)信息系統(tǒng)操作人員培訓(xùn)制度;④系統(tǒng)設(shè)備和文件管理制度。
1.2 企業(yè)信息系統(tǒng)計(jì)算機(jī)安全評(píng)估
實(shí)踐表明大量的企業(yè)信息外泄都和計(jì)算機(jī)系統(tǒng)的安全漏洞有關(guān)系,因此對(duì)企業(yè)信息系統(tǒng)的安全評(píng)估是必不可少的環(huán)節(jié)。這類問(wèn)題的評(píng)估需要專業(yè)計(jì)算機(jī)人員來(lái)進(jìn)行,彌補(bǔ)系統(tǒng)安全漏洞是保障企業(yè)信息安全的重要手段。定期或不定期的對(duì)企業(yè)信息系統(tǒng)的運(yùn)行日志和統(tǒng)計(jì)資料進(jìn)行檢查是一種行之有效的方法。
2.企業(yè)信息安全風(fēng)險(xiǎn)定量評(píng)估方法
對(duì)上述幾類評(píng)估內(nèi)容的定量估計(jì)是衡量企業(yè)信息安全的量化手段,其衡量得出的數(shù)值就是企業(yè)信息安全的風(fēng)險(xiǎn)值或安全程度指標(biāo)。企業(yè)信息安全的定量風(fēng)險(xiǎn)評(píng)估考慮因素主要有三個(gè):資產(chǎn)價(jià)值、威脅和脆弱性。在定量評(píng)估中這三類因素都需要用定量數(shù)據(jù)采集的方式來(lái)進(jìn)行合成計(jì)算,安全風(fēng)險(xiǎn)的數(shù)學(xué)表達(dá)式為:。其中為風(fēng)險(xiǎn)指標(biāo),表示企業(yè)資產(chǎn)指標(biāo),為代表威脅,為脆弱性指標(biāo)。上述三類因素的基礎(chǔ)數(shù)據(jù)都需要從實(shí)踐中通過(guò)調(diào)研和測(cè)試來(lái)獲得。
2.1 企業(yè)信息安全估價(jià)的描述方法
企業(yè)的資產(chǎn)既包括有形的資產(chǎn),也包括無(wú)形的資源,表現(xiàn)形式也從機(jī)械設(shè)備到軟件文檔等多種多樣。企業(yè)信息安全又有其特殊性。企業(yè)信息安全的安全屬性估價(jià)需要從資產(chǎn)的保密性、完整性和可用性三個(gè)方面來(lái)展開(kāi)評(píng)估。由于企業(yè)各類資產(chǎn)的形式各異,資產(chǎn)的安全級(jí)別無(wú)法用通用的量化標(biāo)準(zhǔn)來(lái)記性評(píng)估,因此采用的方法為定性的CIA模糊集合方式來(lái)描述,如“資產(chǎn)安全級(jí)別”={“很高”、“高”、“中等”、“低”、“較低”}等模糊語(yǔ)言來(lái)描述,對(duì)應(yīng)的論域?yàn)椋?、4、3、2、1}。企業(yè)信息安全安全的保密性、完整性和可用性三個(gè)方面的屬性都可以用上述模糊語(yǔ)言來(lái)定性描述,綜合上述三類安全屬性的公式為:。上式中分別為企業(yè)信息安全的保密性、完整性和可用性的賦值,取值為1,2…5,為綜合評(píng)定指標(biāo)。筆者這里提供一些評(píng)價(jià)指標(biāo)的選取標(biāo)準(zhǔn):
(1)信息保密性的評(píng)定標(biāo)準(zhǔn)
①很高:這類級(jí)別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,信息泄漏將嚴(yán)重影響企業(yè)的利益;②高:這類級(jí)別的企業(yè)信息泄露會(huì)對(duì)到企業(yè)經(jīng)濟(jì)效益造成明顯損害;③中等:企業(yè)的一般性的經(jīng)營(yíng)、決策信息,泄露對(duì)企業(yè)不利;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門(mén)的局部信息;⑤較低:企業(yè)可對(duì)外界公布的信息類型。
(2)信息完整性的評(píng)定標(biāo)準(zhǔn)
①很高:這類級(jí)別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,其完整性直接決定企業(yè)的業(yè)務(wù)完整性,一旦缺失就無(wú)法彌補(bǔ);②高:這類信息修改必須經(jīng)過(guò)高層授權(quán),一旦缺失將嚴(yán)重影響業(yè)務(wù),一旦缺失彌補(bǔ)難度很大;③中等:企業(yè)的一般性的經(jīng)營(yíng)、決策信息,其修改需授權(quán),缺失后可彌補(bǔ);④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門(mén)的局部信息,缺失后對(duì)企業(yè)運(yùn)行影響較小,易于彌補(bǔ);⑤較低:企業(yè)可對(duì)外界公布的信息類型,缺失后對(duì)企業(yè)運(yùn)行無(wú)明顯影響。
(3)信息可用性的評(píng)定標(biāo)準(zhǔn)
①很高:這類信息具有最重要的實(shí)用性,企業(yè)的運(yùn)作必須依照運(yùn)行的信息類型;②高:這類信息的可用性價(jià)值較高,企業(yè)運(yùn)作對(duì)其依賴性較高;③中等:這類信息屬于可部分不可用的類型,部分不可用不影響企業(yè)的正常運(yùn)作;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門(mén)的局部信息,信息不可用不會(huì)造成明顯影響;⑤較低:這類信息使用性不高,信息不可用的影響可以忽略。
2.2 企業(yè)信息安全威脅程度的量化方法
企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的,既可能來(lái)自于系統(tǒng)的用戶(合法用戶或非法入侵)操作,也可能來(lái)自于系統(tǒng)的物理組件的損壞。這兩類威脅中最大也最常見(jiàn)的是系統(tǒng)用戶在操作方面的失誤、非法用戶利用系統(tǒng)漏洞來(lái)竊取企業(yè)機(jī)密信息,以及計(jì)算機(jī)病毒對(duì)信息系統(tǒng)的侵襲等。但這些事件都不易量化,在做風(fēng)險(xiǎn)評(píng)估時(shí)需要依賴專家經(jīng)驗(yàn),對(duì)各種潛在的威脅因素給出一定的概率值,對(duì)各類威脅因素可按照和上節(jié)類似的方法,用形如:“威脅程度”={“很高”、“高”、“中等”、“低”、“較低”}等模糊集合來(lái)表達(dá),對(duì)應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評(píng)定標(biāo)準(zhǔn)如下:①很高:風(fēng)險(xiǎn)事件發(fā)生的頻率很高,或?qū)ζ髽I(yè)信息安全具有明顯的威脅,但又很難避免的情形;②高:風(fēng)險(xiǎn)事件發(fā)生的可能性較大或有發(fā)生先例;③中等:風(fēng)險(xiǎn)事件有可能發(fā)生,但尚未實(shí)際發(fā)生過(guò)的情形;④較低:風(fēng)險(xiǎn)事件發(fā)生的可能性較小,通常情況下不會(huì)發(fā)生;⑤很低:幾乎不可能發(fā)生的風(fēng)險(xiǎn)事件類型;
2.3 信息系統(tǒng)脆弱性的量化方法
信息系統(tǒng)脆弱性的評(píng)估和系統(tǒng)面臨的威脅是緊密相關(guān)的,所有的實(shí)際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來(lái)發(fā)揮破壞性作用的,因此信息系統(tǒng)的脆弱性和威脅存點(diǎn)對(duì)點(diǎn)或單點(diǎn)對(duì)多點(diǎn)的關(guān)系。為便于計(jì)算,也采用和衡量系統(tǒng)威脅程度時(shí)相同的表示方法,“系統(tǒng)脆弱性”={“很高”、“高”、“中等”、“低”、“較低”},對(duì)應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評(píng)定標(biāo)準(zhǔn)為:①很高:這類評(píng)定往往要基于企業(yè)信息系統(tǒng)存在明顯而易于攻擊的技術(shù)漏洞或者是管理規(guī)范上的缺陷,極易被非法使用的情形;②高:企業(yè)信息系統(tǒng)存在一定的技術(shù)漏洞或管理規(guī)范上的缺陷,容易被攻擊和利用;③中等:企業(yè)信息系統(tǒng)存在不易被發(fā)現(xiàn)(下轉(zhuǎn)第125頁(yè))(上接第121頁(yè))的技術(shù)漏洞,或必須經(jīng)過(guò)人為非法操作才能被攻擊的管理規(guī)范上的漏洞;④低:企業(yè)信息系統(tǒng)不存在明顯的技術(shù)漏洞,或企業(yè)信息管理制度較為完善,不易被攻擊利用;⑤較低:企業(yè)信息系統(tǒng)技術(shù)較為完善,管理制度也較為合理,被攻擊點(diǎn)可能性很小。
2.4 信息安全的風(fēng)險(xiǎn)計(jì)算
按照風(fēng)險(xiǎn)的定義,風(fēng)險(xiǎn)包括風(fēng)險(xiǎn)事件發(fā)生的可能性和相應(yīng)的后果。在企業(yè)信息系統(tǒng)中,各組成部分發(fā)生風(fēng)險(xiǎn)事件后的后果是不一樣的,其嚴(yán)重程度也存在差異。因此在風(fēng)險(xiǎn)計(jì)算時(shí)需要明確兩個(gè)方面的內(nèi)容,一是風(fēng)險(xiǎn)的計(jì)算方式,二是對(duì)風(fēng)險(xiǎn)計(jì)算量化數(shù)值的評(píng)價(jià)。各因素風(fēng)險(xiǎn)值的計(jì)算按:來(lái)計(jì)算,即按資產(chǎn)價(jià)值、資產(chǎn)脆弱性和資產(chǎn)面臨的威脅性的乘積來(lái)衡量某種信息資產(chǎn)的風(fēng)險(xiǎn)值。上述幾類因素的取值按照評(píng)價(jià)論域中的取值來(lái)作為乘積因子。在計(jì)算出風(fēng)險(xiǎn)值之后,還需要建立起以風(fēng)險(xiǎn)值為基礎(chǔ)的風(fēng)險(xiǎn)評(píng)價(jià)體系。
由前文的分析可見(jiàn),風(fēng)險(xiǎn)的定量估計(jì)是一個(gè)由三類風(fēng)險(xiǎn)因素的線性乘積得出的。每一類信息的最高等級(jí)論域數(shù)值為5,最低為1,因此組合情況下風(fēng)險(xiǎn)值的最高值為125,最低值為1。由此可建立其與之對(duì)應(yīng)的風(fēng)險(xiǎn)定量評(píng)價(jià)體系。筆者建議采用與之對(duì)應(yīng)的5級(jí)評(píng)定方式:①很高:風(fēng)險(xiǎn)值估計(jì)范圍在100~125之間,表明企業(yè)信息系統(tǒng)存在很高的安全風(fēng)險(xiǎn),發(fā)生信息泄露的可能性非常高;②高:風(fēng)險(xiǎn)估計(jì)值在75~100之間,表明企業(yè)信息系統(tǒng)存在較大的安全風(fēng)險(xiǎn),發(fā)生信息泄露的可能性較大;③中等:風(fēng)險(xiǎn)估計(jì)值在50~75之間,企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)一般,經(jīng)過(guò)審查后能夠避免風(fēng)險(xiǎn)事件;④低:風(fēng)險(xiǎn)估計(jì)值在25~50之間,企業(yè)信息系統(tǒng)發(fā)生信息泄露的可能性很小;⑤很低:風(fēng)險(xiǎn)估計(jì)值在0~25之間,企業(yè)信息系統(tǒng)比較安全,但需要定期維護(hù)。
3.結(jié)語(yǔ)
企業(yè)信息系統(tǒng)安全管理關(guān)系到企業(yè)的內(nèi)部運(yùn)營(yíng)數(shù)據(jù)的安全,是需要引起高度重視的問(wèn)題。本文將企業(yè)信息安全評(píng)估中幾類常用的信息類型進(jìn)行了風(fēng)險(xiǎn)量化評(píng)估,給出了以線性乘積為基礎(chǔ)的風(fēng)險(xiǎn)量化方法,最后給出了分等級(jí)的企業(yè)信息安全綜合評(píng)定。
參考文獻(xiàn)
[1]沈昌樣.關(guān)于強(qiáng)化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.
[2]沈昌祥,馬東平,等.信息安全工程學(xué)導(dǎo)論[M].電子工業(yè)出版社,2009,9.
第3篇
在“三個(gè)體系”建設(shè)工作中,檔案安全體系是指檔案安全保障各個(gè)構(gòu)成要素有機(jī)的系統(tǒng)的相互聯(lián)系、相輔相成的總體,由檔案安全基礎(chǔ)設(shè)施、技術(shù)支撐、組織管理、法規(guī)標(biāo)準(zhǔn)等若干部分組成。檔案安全保障體系建設(shè)的任務(wù)非常繁重,涉及眾多方面,而擺在我們面前的一個(gè)緊迫問(wèn)題,顯然涉及如何從理論和實(shí)踐的角度把檔案安全體系建設(shè)的各項(xiàng)任務(wù)落到實(shí)處。在今年中國(guó)檔案學(xué)會(huì)相繼召開(kāi)的“三個(gè)體系建設(shè)高層論壇”和“2010中國(guó)檔案工作者年會(huì)”上,筆者曾就此作過(guò)一些探討,筆者以為,不妨把風(fēng)險(xiǎn)評(píng)估作為一個(gè)切入點(diǎn)和著力點(diǎn),帶動(dòng)檔案安全體系建設(shè)各項(xiàng)任務(wù)的全面落實(shí)。
檔案安全風(fēng)險(xiǎn)評(píng)估機(jī)制的建立
應(yīng)對(duì)危機(jī)、化解風(fēng)險(xiǎn),首先要能夠充分意識(shí)到危機(jī)和風(fēng)險(xiǎn)的存在。在檔案安全體系建設(shè)過(guò)程中,引入風(fēng)險(xiǎn)評(píng)估機(jī)制,研究制定檔案安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系及其實(shí)施辦法,并且抓緊開(kāi)展相關(guān)試點(diǎn),適時(shí)在全國(guó)各級(jí)檔案部門(mén)全面推開(kāi),對(duì)于推動(dòng)檔案安全體系的科學(xué)健康構(gòu)建無(wú)疑具有重要意義。
我國(guó)有句俗話,叫做“風(fēng)起于青萍之末”,說(shuō)的是凡事均有先兆。海恩法則認(rèn)為:每一起嚴(yán)重事故的背后,必然有29次輕微事故和300起未遂先兆以及1000起事故隱患。人們對(duì)導(dǎo)致事故發(fā)生的隱患、征兆往往容易忽略,甚至發(fā)現(xiàn)后沒(méi)有引起足夠的重視,這是導(dǎo)致意想不到的安全事故發(fā)生的重要原因。
如何緊密跟蹤初起之“風(fēng)”,及時(shí)發(fā)現(xiàn)檔案管理中可能存在的安全隱患呢?我們應(yīng)當(dāng)及早研究和建立檔案安全風(fēng)險(xiǎn)評(píng)估機(jī)制,通過(guò)對(duì)檔案安全狀況開(kāi)展風(fēng)險(xiǎn)評(píng)估,指導(dǎo)各單位立足于防患未然,采取更加具有針對(duì)性的安全防范措施,預(yù)防安全事故發(fā)生,并為處置安全事故提供科學(xué)依據(jù)。
一個(gè)檔案部門(mén)如果發(fā)生安全事故,問(wèn)題往往出在管理工作的某個(gè)薄弱環(huán)節(jié)。短板理論認(rèn)為:“一只木桶可以裝多少水,取決于木桶上最短的那塊板。”也就是說(shuō),一只木桶再高再大,如果有一塊板不夠高,最終也只能由最短的那塊板決定木桶裝水的多少。也就是我們經(jīng)常所說(shuō)的主要矛盾,只有明白事務(wù)的薄弱環(huán)節(jié),抓住問(wèn)題的關(guān)鍵所在,抓住問(wèn)題的主要矛盾,才能抓住解決問(wèn)題的關(guān)鍵,以獲得最大限度的成功。對(duì)檔案館可能存在的安全風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的、規(guī)范的、科學(xué)的評(píng)估,就是為了及時(shí)查找各個(gè)環(huán)節(jié)可能存在的漏洞或隱患,弄清楚本單位安全管理的“短板?所在,有針對(duì)性地及時(shí)把各種漏洞予以堵塞,把隱患消滅在萌芽狀態(tài)。
有些短板,可能不是一大塊,而只是一個(gè)小窄條,但其危害同樣是致命的。因此,千萬(wàn)不要小看一些似乎不打緊的不安全因素。“千里之堤,潰于蟻穴”,以及著名的“蝴蝶效應(yīng)”,說(shuō)的都是這個(gè)道理。殊不知,“蝴蝶在熱帶輕輕扇動(dòng)一下翅膀,遙遠(yuǎn)的國(guó)家就可能造成一場(chǎng)颶風(fēng)。”指的是在一個(gè)動(dòng)力系統(tǒng)中,初始條件下微小的變化能帶動(dòng)整個(gè)系統(tǒng)的長(zhǎng)期的巨大的連鎖反應(yīng)。檔案安全管理過(guò)程中存在的任何細(xì)微隱患,如果不加以及時(shí)察覺(jué)并及時(shí)消減,也有可能演變成大的漏洞,甚至直接導(dǎo)致災(zāi)難性后果。安全隱患,無(wú)論大小,必須一律加以解決,將其消滅在萌芽狀態(tài)。
檔案安全風(fēng)險(xiǎn)評(píng)估工作相關(guān)要求
所謂檔案安全風(fēng)險(xiǎn)評(píng)估(RiskAssessment),就是對(duì)檔案實(shí)體和檔案信息資源所面臨的威脅及其可能造成的影響的可能性的評(píng)估。檔案安全風(fēng)險(xiǎn)評(píng)估,是檔案部門(mén)風(fēng)險(xiǎn)管理的基礎(chǔ),是確定檔案安全需求的一個(gè)重要途徑,屬于檔案安全保障體系策劃的過(guò)程。
檔案安全風(fēng)險(xiǎn)評(píng)估工作的目標(biāo)是,通過(guò)檔案安全風(fēng)險(xiǎn)評(píng)估結(jié)果,找出檔案安全管理中的薄弱環(huán)節(jié),以此為基礎(chǔ),及時(shí)采取必要措施,并對(duì)各種要素加以調(diào)節(jié),以便最大可能地規(guī)避和降低風(fēng)險(xiǎn),使檔案盡可能地保持穩(wěn)定狀態(tài),而對(duì)已經(jīng)處于不安全或不穩(wěn)定狀態(tài)下的檔案使之達(dá)到新的穩(wěn)定狀態(tài)。
檔案安全風(fēng)險(xiǎn)評(píng)估工作的主要任務(wù)包括:識(shí)別檔案面臨的各種風(fēng)險(xiǎn);評(píng)估風(fēng)險(xiǎn)概率和可能帶來(lái)的不利影響;確定風(fēng)險(xiǎn)控制和消減的優(yōu)先等級(jí);提出和推薦風(fēng)險(xiǎn)防控與消減對(duì)策;等等。
識(shí)別檔案面臨的各種風(fēng)險(xiǎn),了解檔案安全威脅源。近些年來(lái),我國(guó)一些檔案部門(mén)遭受了地震、洪水、泥石流等自然災(zāi)害的直接破壞,一些檔案部門(mén)經(jīng)受了的沖擊,一些檔案部門(mén)暴露了基礎(chǔ)設(shè)施不完善、管理制度不健全、安防手段不得力等管理上的漏洞也承受了相應(yīng)的后果。2009年3月德國(guó)科隆市檔案館坍塌,源于城市建設(shè)中的地鐵施工;2005年11月民族文化宮圖書(shū)和經(jīng)卷被水浸泡,源于基礎(chǔ)設(shè)施老化失修導(dǎo)致的水管爆裂。可見(jiàn),很多因素都有可能對(duì)檔案安全帶來(lái)直接或間接的風(fēng)險(xiǎn)而構(gòu)成檔案安全的威脅源。
評(píng)估風(fēng)險(xiǎn)概率和可能帶來(lái)的不利影響。在檔案部門(mén)可能遇到的安全風(fēng)險(xiǎn)中,有一些屬于系統(tǒng)性的風(fēng)險(xiǎn),而另一些屬于偶然性的風(fēng)險(xiǎn)。有一些屬于地域性的風(fēng)險(xiǎn),如沿海地區(qū)可能遇到的臺(tái)風(fēng)影響;還有一些屬于周期性的風(fēng)險(xiǎn),如長(zhǎng)年發(fā)生在我國(guó)南方一些地區(qū)的洪澇災(zāi)害風(fēng)險(xiǎn)等。要根據(jù)不同風(fēng)險(xiǎn)的類型和特點(diǎn),確定風(fēng)險(xiǎn)控制和消減的優(yōu)先等級(jí)和措施強(qiáng)度,并提出和推薦相應(yīng)的風(fēng)險(xiǎn)防控與消減對(duì)策。
總之,在檔案安全風(fēng)險(xiǎn)評(píng)估過(guò)程中,需要注意確定所保管檔案的內(nèi)在價(jià)值;要梳理檔案面臨的潛在威脅源有哪些,導(dǎo)致威脅的問(wèn)題所在,威脅發(fā)生的可能性有多大;現(xiàn)有保管條件環(huán)境存在哪些弱點(diǎn)而可能易于遭受威脅攻擊,程度如何;一旦威脅事件發(fā)生,檔案會(huì)遭受怎樣的損失,或者面臨怎樣的不利影響等。
檔案安全風(fēng)險(xiǎn)評(píng)估的方法有基線評(píng)估法、詳細(xì)評(píng)估法、組合評(píng)估法等。在檔案安全風(fēng)險(xiǎn)評(píng)估的實(shí)際工作中,我們可以采用通常使用的一種比較簡(jiǎn)單的評(píng)估,方法,即基線評(píng)估法。采用基線風(fēng)險(xiǎn)評(píng)估(Baseline Rrisk Assessment),檔案館可以根據(jù)自己的實(shí)際情況,對(duì)檔案保管系統(tǒng)進(jìn)行安全基線檢查,(即拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較,找出其中的差距),得出基本的安全需求,通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。所謂安全基線,就是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿足基本的安全需求,能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。
檔案安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系構(gòu)建
檔案安全基線評(píng)估途徑的采用,關(guān)鍵在于安全基線的選擇,也就是有必要
建立一個(gè)系統(tǒng)的、可操作性較強(qiáng)的檔案安全要求指標(biāo)體系。檔案安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系基本框架的搭建,要統(tǒng)籌考慮檔案實(shí)體安全、信息安全等各個(gè)方面。
近年來(lái),國(guó)家檔案行政管理部門(mén)對(duì)各省級(jí)國(guó)家檔案館和中央國(guó)家機(jī)關(guān)檔案部門(mén)開(kāi)展了檔案安全專項(xiàng)督察工作,重點(diǎn)檢查相關(guān)部門(mén)檔案安全基礎(chǔ)設(shè)施是否完備,檔案安全防護(hù)設(shè)施是否齊全,檔案安全規(guī)章制度是否健全,檔案安全日常管理是否到位。盡管該項(xiàng)工作還僅僅是初步的、定性的、粗放的,但無(wú)疑是檔案安全風(fēng)險(xiǎn)評(píng)估工作的濫觴,是一項(xiàng)有益的探索。我們現(xiàn)在的任務(wù)是,怎樣把這項(xiàng)工作做得更加定量化、更加精細(xì)化、更加科學(xué)化、更加規(guī)范化。這就需要在調(diào)查研究的基礎(chǔ)上建立一套系統(tǒng)全面、導(dǎo)向明確、易于評(píng)估、具有可操作性的要求、規(guī)范和約束性指標(biāo),作為我們開(kāi)展檔案安全風(fēng)險(xiǎn)評(píng)估的基線。檔案安全基線風(fēng)險(xiǎn)評(píng)估,需要的資源少,周期短,操作簡(jiǎn)單,可以直接而簡(jiǎn)單地實(shí)現(xiàn)基本的安全水平,并且滿足檔案館履行功能的基本要求。
在制定檔案安全基線相關(guān)要求時(shí),要重點(diǎn)關(guān)注檔案安全管理的環(huán)境條件、規(guī)章制度、安全措施、應(yīng)急和搶救機(jī)制、日常管理等主要方面。既要關(guān)注與檔案實(shí)體安全直接相關(guān)的要求,也要關(guān)注與檔案信息安全保密密切相關(guān)的規(guī)范。要通過(guò)對(duì)潛在的各種安全威脅源的精心梳理和相關(guān)需求分析,抓住關(guān)鍵和重點(diǎn),不能“披頭散發(fā)”,無(wú)所不包。與此同時(shí),要遴選和鎖定一些必要的剛性指標(biāo),如防火等級(jí),抗震等級(jí),溫濕度范圍,照度,空氣質(zhì)量,容災(zāi)等級(jí),等等,便于規(guī)范掌握和量化操作。
事實(shí)上,選擇安全基線可依據(jù)和利用的資源非常豐富,如《檔案法》及其實(shí)施辦法,保密法等。在檔案實(shí)體安全方面,有諸如《檔案館建筑設(shè)計(jì)規(guī)范》、《檔案館建設(shè)標(biāo)準(zhǔn)》、《檔案庫(kù)房技術(shù)管理暫行規(guī)定》、《檔案館防治災(zāi)害工作指南》,等等。在檔案信息安全方面,比如《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》、《信息安全風(fēng)險(xiǎn)管理指南》、《終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》、《基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南》,等等。
