2�、風險意識薄弱,對安全風險認識存在偏差����。一些安全管理人員風險意識淡薄�����,信息安全知識不足,卻津津樂道“太平盛世”,雙耳不聞“盛世危言”����,甚至認為�����,談風險是“杞人憂天”�,說安全是“天下本無事,庸人自擾之”�,根本沒有從風險管理的角度來度量電子文件的安全性���。這些都嚴重影響了正確認識安全形勢和樹立科學的電子文件安全風險觀���。
3�、忽視了對“資產”評估鑒定����。從目前情況看,文件����、檔案管理部門雖都認識到電子文件的重要性���,但絕大多數部門只是將電子文件作為日常辦公的一種輔助幫助���,并沒有將電子文件提升到“資產”高度來管理�����,就更談不上對“資產”進行評估鑒定。然而��,從安全管理角度講����,一個組織系統內的資產在沒有被評估鑒定前�,是不可能成功實施安全管理并進行維護的��。④
?����。ㄈ┕芾憝h節不完善
信息安全風險管理強調對信息系統生命周期的全過程管理����,包括一個完整的風險管理環節:風險計劃的制訂、風險識別��、風險評估��、風險應對���、風險監控�����。從這個視角來看,當前電子文件安全管理存在明顯的薄弱環節。首先,安全管理計劃缺乏依據?����,F有的電子文件安全管理計劃的制訂�,絕大多數是憑借個人經驗或者參照其他管理部門計劃來制定的,而不是依據風險應對����、風險監控實際情況來制訂的����,具有很大的盲目性���。其次��,缺乏關鍵的風險評估環節�����。風險評估是電子文件安全管理的基礎和關鍵環節�����。沒有風險評估�����,電子文件的安全管理就會成為無源之水、無本之木���,缺乏決策行動的依據與方向,由此而引發的安全管理措施就具有很大的盲目性。雖然大部分管理部門強調采取各種措施來確保電子文件“萬無一失”�����,但大多是“人云亦云”�,進行簡單的跟風或對安全產品與技術進行簡單地堆疊,沒有針對性。對于引起本組織電子文件風險的因素沒有深入探究�,甚至談不上什么了解��,對于所采取的應對措施更談不上什么研究,對其用途更是“知其然,不知其所以然”��,最終在風險來臨之時����,不能有效地控制風險。最后,安全監控力度有限。電子文件是動態存在的,其安全現狀也是隨時在變化的�����。在采取安全措施后�,還必須強化電子文件全生命周期的風險監控���,實時監視殘余風險、識別新風險���,執行風險應對計劃,以及評估這些工作的有效性��。然而現有的電子文件安全監控力度十分有限�����,絕大部分是局限于電子文件載體的溫濕度控制�,而不是對整個生命周期的殘余風險�����、新風險的監控�����。
(四)缺乏系統性和動態性
信息安全風險管理基于系統、全面����、科學的安全風險評估���,強調對信息的全過程�����、動態控制,對信息進行系統化安全管理��,使安全風險發生的概率和結果降低到可接受的范圍�,從而實現系統安全的動態平衡。傳統的電子文件安全管理�,一方面�,絕大多數是針對電子文件載體本身的安全管理��,采取的是往往單一的安全管理措施,對于電子文件的安全管理容易出現“頭痛醫頭�,腳痛醫腳”的弊病�,最終還是不能避免電子文件風險的發生����。⑤雖然在理論上我們強調要收集全電子文件相關的背景、結構信息��,但具體實踐中由于沒有科學界定電子文件安全管理范圍�,其背景、結構信息也就難以收集齊全�����,自然安全管理工作就不系統�����。另一方面�����,忽視整個電子文件保管環境的安全管理。電子文件保護的過程是一個復雜的過程��,對于其自身及其所依賴信息環境的保護是一個系統性工程��。從風險管理的角度講��,電子文件的安全管理不僅要對電子文件自身所面臨的風險進行管理,更重要的是對其依賴的信息系統風險進行綜合管理����。而這點是傳統電子文件管理所被忽視的�����,傳統的安全管理大都是從電子文件本身風險因素出發而制定安全措施的���,這很難在電子文件安全管理上取得實質性效果����。此外�����,值得注意的是,傳統的電子文件安全管理大多是靜態地管理�,更多的是實踐經驗的總結與應用��,一般將文件按其形成過程分成若干階段,分析各階段潛在的風險因素��,從而制定相應的對策�。從表面上看,這種方法也適合電子文件安全管理����,但畢竟是以靜態的眼光來分析風險��,各個階段的安全管理工作缺乏必要和有機的聯系,沒有將各階段的安全工作��、工序和風險因素統一起來進行綜合考慮����,很難應對日益復雜、嚴峻的電子文件安全問題。
?�。ㄎ澹┖鲆暳藢Π踩L險����、成本和效率的權衡
信息安全風險管理宗旨之一,就是在綜合成本和效率的前提下,找到安全風險���、安全成本與效率之間平衡點���,通過安全措施來控制風險�����,使殘余風險降低到可接受的范圍�。安全風險���、安全成本與效率的關系如下圖所示:
安全風險�、安全成本與效率關系示意圖
從圖中我們可以看出,只有當安全風險與安全成本控制達到平衡點時,安全效率才能達到最佳效果���。實際上,絕對的安全是沒有的,電子文件的安全管理也不是“越安全越好”。不同部門不同種類的電子文件���,對于安全的需求是不同的;同一份電子文件其安全保密性超出安全保密的管理需求不但沒有必要��,而且還會造成資金上的浪費��。正如一扇門配幾把鎖取決于門內放的東西的重要程度�����,鎖越多,門的安全成本也就越高�����,而門的使用效率就越低�����。然而,當前的電子文件管理重安全���,卻忽視了對安全、成本和效益的綜合權衡�����。很多文件�、檔案管理部門在沒有對本部門安全現狀和安全需求進行認真分析的基礎上,為了追求安全就不惜成本盲目地追求新的安全產品與技術���,結果采用了一大批新安全產品與技術��,卻收效甚微,造成資金的嚴重浪費����。此外���,由于我國一直以來強調以縱深防御體系設計作為安全管理的核心��,這種防御體系強化安全管理的縱向層次和深度,側重安全管理的宏觀指導����,但在指導安全管理的具體實踐方面����,缺乏科學依據和方法��,無法對電子文件的安全風險進行度量���,自然就無法權衡電子文件的安全����、成本和效益���,結果在實際的電子文件安全管理工作中��,安全投入成了一個無底洞,安全管理成本經常是遠遠高于電子文件所帶來的效益�����,最終安全管理失去原有的意義�。
三、結論
傳統的電子文件安全管理基本上還處于在一個局部的�、靜態的����、少數人負責的�����、突擊式�、事后糾正的管理方式��,導致的結果是不能從根本上避免降低各類風險�����,也不可能降低電子文件安全事故導致的綜合損失。而基于風險管理的電子文件安全管理體系是一個系統化���、程序化和文件化的管理體系,基于系統����、全面�、動態���、科學的安全風險評估�����,體現預防控制為主的思想,強調遵守國家有關信息安全原則前提下合理選擇控制方式以保護電子文件,使電子文件安全風險的發生概率和結果降低到可接受的水平��。這種管理體系更加適合于電子文件的安全管理��,因此���,文件�����、檔案管理部門應盡快建立自身的電子文件風險管理體系�����。
注釋:
1、吳世忠:《信息風險管理動態與動態與趨向》,《計算機安全》2007年第4期����。
2�����、馮惠玲:《論電子文件的風險管理》,《檔案學通訊》2005年第3期����。
3�����、 陳國云:《檔案信息建設的風險管理》����,《檔案管理》2008年第1期。
4��、柳純錄:《信息系統項目管理師教程》�,北京:清華大學出版社,2005:582�。
5���、王強:《電子檔案風險管理研究》�,《優秀碩士論文》2007年8月����。
?
