如何做好电子档案的风险控制

赵俊霞

风险控制是依据风险评估的结果，选择和实施合适的安全措施。风险控制的最终目的是要减弱或者避免各种威胁对电子档案所造成的风险，最终达到电子档案管理中人、机、环境的和谐。

一、电子档案风险控制措施

当通过风险评估确定在电子档案管理过程中存在构成风险的威胁时，就要采取系统的安全措施来控制风险。一般来说，在风险控制时能够采取的控制措施有以下四种：应用安全措施消除或者减少漏洞的遗留且不可控制的威胁（规避）将风险转移到其他区域，或者全部转移到外部（转移）减少漏洞会被利用的影响（缓解），并承认因为没有控制或者缓解措施而造成的风险（承认）。

1.风险规避，即试图防止弱点被威胁利用的风险控制措施。这是一种更可取的方法，因为它寻求避免存在其整体中的风险，而不是在意识到这个风险后再处理它。规避是通过制止威胁，排除电子档案管理中的弱点，限制对于电子档案的访问，并加强安全保护措施来实现的。风险规避有三种普通的方法：通过应用制度、培训和教育，以及应用技术来规避。比如，通过应用制度来规避，它允许档案管理人员颁布某些特定的制度。如果一个机构需要更严密地控制密码的使用，那么就应马上执行一项要求所有 IT 系统使用密码的制度。需要注意的是，仅有制度是不够的，高效的管理人员应始终能够将制度的变化与培训教育、应用技术结合起来。

2.风险转移。即试图将威胁转移到其他资产、其他过程或其他机构中的控制措施。它可以通过重新考虑如何提供服务、修改配置模式、外包给其他机构、购买保险或者与提供商签署服务合同来实现。这使得组织可将那些与复杂系统管理相关的风险转移到处理这些风险有经验的另外一个机构中。特定的合同协定的好处是提供商对灾难恢复负责，并且自始至终遵守服务级别协定，负责保证服务器和网站的可用性。但是，外包并非不存在风险。电子档案的所有者、IT 管理人员以及信息管理团队要保证外包合同的灾难恢复要求能够满足，并且在进行恢复工作前，可将之结合在一起。如果外包人员没有满足合同条款的要求，那么结果要比预期的要糟糕得多。

3.风险缓解。减少风险的后果或影响，通过制定实施应变计划、灾难恢复计划、电子档案相关资产重新配置等手段来减小电子档案及相关资产价值本身或风险的后果或影响。风险缓解措施大体上分两类：一类是事前措施，即在损失发生前为减少损失程度所采取的一系列措施；一类是事后措施，即在损失发生后为减少损失所采取的一系列措施。在损失发生前的缓解措施，有时也会减少损失发生的可能性。损失发生后的缓解措施主要集中于紧急情况的处理方面，以此来阻止损失范围的扩大。

4.风险承认

如果说风险缓解是试图减少因为弱点的暴露而造成影响的一种控制措施，那么，风险承认与之恰恰相反，是选择对所暴露的弱点不采取任何保护措施，并且承认弱点暴露所产生的结果。风险承认方法只有在机构已经确定了风险等级，已经评估了攻击的可能性，已经估计了发生攻击所可能造成的毁坏程度，已经进行了一次彻底的成本效益分析，已经评估了使用适当类型可能性的控制措施，已经确定一些特殊功能、服务、信息或者资产的保护开销是无效的情况下才能使用。该种风险控制是基于对其替代产品已进行了检查，并且断定保护一个资产的成本不能证明安全的资金开销是应该的一种假设的基础之上的风险控制。值得注意的是，如果机构中每个已被识别的弱点通过承认得以控制，那么就反映出一个机构没有能力进行安全行动，并且总体上对安全是漠不关心的。同样，对管理人员而言，如果他们不对信息进行保护，攻击者就会觉得通过攻击从这里获得有价值的信息的想法也是可以接受的。这种方法所造成的风险远远超过了其所获得的价值。

二、电子档案风险控制策略

从上述四种电子档案风险控制措施看，转移和承认两种措施并不能从实质上规避电子档案风险。在电子档案管理中应从风险产生的源头上就避免风险的发生，或者采取相应的措施在风险来临时，缓解风险所造成的损失。要规避风险的发生或者缓解风险所造成的损失，笔者认为在电子档案风险控制中要做到以下几点：第一是人本策略。人的因素是整个电子档案风险管理过程中最为关键的因素。以人为本，培养档案管理人员的风险意识，提高业务能力，更新管理知识，提升管理思想，使电子档案管理人员在工作中减少失误，增强风险意识，提高遵守制度的意识，避免在管理过程中所发生的风险。第二是制度策略。建立一套合理而健全的管理制度是管理好管理者的重要保障。组织内部电子档案管理制度的建立，往往比购买设备、提高技术还重要。国内外电子档案管理的实践经验表明，大多数的威胁来自组織内部，对内部威胁的防范比对外部威胁的防范更为困难。防范内部的威胁，管理制度（行政的和法律的）就显得尤为重要。第三是技术策略。在规避或缓解电子档案风险中，采用安全、可靠、通过检验的信息安全技术，是风险控制的有效手段。这些技术包括：一是物理安全技术，包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。二是网络安全技术，包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN 等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。三是数据加密技术，包括加密算法、适用范围、密钥管理和交换等。四是数据备份技术，包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。五是病毒防护技术，包括防病毒软件的安装、配置、对软盘、移动硬盘、闪存等移动存储设备使用和网络下载等规定。六是系统安全技术，包括互联网访问技术、数据库系统安全技术、邮件系统安全技术、应用服务器系统安全技术、个人桌面系统安全技术、其他业务相关系统安全技术以及系统补丁的更新测试、安装等。七是身份认证及授权技术，包括认证及授权机制、方式、审计记录以及口令管理方式、口令设置规则、口令适应规则等。八是事故处理、紧急响应技术，包括响应小组、联系方式、事故处理计划、控制过程等。九是灾难恢复技术，包括负责人员、恢复机制、方式、归档管理、硬件、软件等。