風(fēng)險評估的案例范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)風(fēng)險評估的案例文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
【關(guān)鍵詞】信息系統(tǒng);安全;風(fēng)險評估;管理
一、信息系統(tǒng)安全
何謂信息系統(tǒng),依據(jù)美國國家信息系統(tǒng)安全詞匯表的定義,信息系統(tǒng)是指用于收集、處理、存儲、傳輸、顯示、傳播和清除信息的所有設(shè)施、組織、人員等部件的總和。在這個定義中,我們不難看出,信息系統(tǒng)應(yīng)該是一種結(jié)合了人力因素、硬件設(shè)備、軟件系統(tǒng)等多方面元素的一種集合。信息系統(tǒng)的安全,主要就是圍繞著信息系統(tǒng)的功能,即數(shù)據(jù)的處理、存儲、傳輸?shù)葍?nèi)容來展開。當(dāng)前信息系統(tǒng)存在的安全隱患就是數(shù)據(jù)被篡改、被竊取、系統(tǒng)運行被破壞這幾種情形。信息系統(tǒng)的安全以數(shù)據(jù)為核心,但是其內(nèi)容又并不局限于數(shù)據(jù),理論上信息系統(tǒng)的安全包括四個方面的內(nèi)容,即實體安全、運行安全、數(shù)據(jù)安全和管理安全四個方面。這其中的每一個方面對信息系統(tǒng)的安全評價角度都是不同的,不同角度的安全評價決定了我們在對信息系統(tǒng)進行風(fēng)險評估時所選取的方式和角度也必然是不同的。
二、信息系統(tǒng)風(fēng)險評估方法
根據(jù)信息系統(tǒng)的構(gòu)建和組成,我們對信息系統(tǒng)的風(fēng)險評估主要采用以下幾種方法:(1)事件樹分析:這是一種利用邏輯進行演繹推理的方法,它的作用發(fā)揮方式是以某一個給定的事件為依據(jù)。根據(jù)這個事件展開分析,尋找出可能出現(xiàn)的各種具有影響力的后果,通過多角度、多層面的推理演繹,實習(xí)對風(fēng)險的預(yù)估。(2)層次分析法:是一種多指標(biāo)綜合評價方法。這種評價方法的關(guān)鍵在于尋找不同因素直接存在的聯(lián)系,這種聯(lián)系可能表現(xiàn)為相互制約,也可能表現(xiàn)為一種形態(tài)上的隸屬關(guān)系。無論是那一種關(guān)系,都需要按照一定的標(biāo)準(zhǔn),采用數(shù)學(xué)方法對不同的因素進行層次上的排序。然后根據(jù)排序的結(jié)果來對風(fēng)險進行預(yù)估。(3)BP神經(jīng)網(wǎng)絡(luò):是一種按誤差逆向傳播算法訓(xùn)練的多層前饋網(wǎng)絡(luò),具有自學(xué)習(xí)能力,能夠?qū)崿F(xiàn)輸入和輸出之間的復(fù)雜非線性關(guān)信息系統(tǒng)的風(fēng)險管理系。缺點是風(fēng)險因素的權(quán)值確定較難,優(yōu)點是有自學(xué)能力,問題抽象化,適用于事故預(yù)測和方案擇優(yōu)。(4)故障樹分析:這是一種較為形象的風(fēng)險預(yù)測方法,即首先對具有潛在危險的各種因素進行初始的分析,根據(jù)這些因素繪畫出故障樹,利用故障樹來發(fā)現(xiàn)不同因素之間存在的復(fù)雜聯(lián)系,找出事件發(fā)生之間的聯(lián)系。(5)風(fēng)險評審技術(shù)方法:通過模擬實際系統(tǒng)研制時間、費用及性能分布,針對不同條件對信息系統(tǒng)的風(fēng)險進行預(yù)測,需多次訪問,數(shù)據(jù)準(zhǔn)確性要求高。
三、信息系統(tǒng)的風(fēng)險管理
無論是對信息系統(tǒng)安全還是風(fēng)險評估方法,我們的目的都是希望其最終能夠服務(wù)于信息系統(tǒng)的風(fēng)險管理工作。信息系統(tǒng)的風(fēng)險管理,我們從以下幾個方面來進行分析:第一,信息系統(tǒng)的動態(tài)風(fēng)險態(tài)勢評估。信息系統(tǒng)的風(fēng)險管理,是一項動靜結(jié)合的工作。由于當(dāng)前網(wǎng)絡(luò)環(huán)境是處于不斷運動的狀態(tài),所以動態(tài)管理對信息系統(tǒng)的風(fēng)險管理具有重要的意義。信息系統(tǒng)面臨的風(fēng)險雖然具有突發(fā)性,但是我們通過對某一段時間的態(tài)勢值比較分析能夠做出一定的判斷,當(dāng)一段時間內(nèi)的態(tài)勢值與正常范圍內(nèi)的態(tài)勢值有差異的時候,我們應(yīng)該加強系統(tǒng)信息的風(fēng)險預(yù)警。通過這種動態(tài)的評估,管理人員能夠在數(shù)據(jù)參考的基礎(chǔ)上做出一些應(yīng)對。第二,ART-BP神經(jīng)網(wǎng)絡(luò)的模糊專家系統(tǒng)風(fēng)險管理。隨著計算機技術(shù)和網(wǎng)絡(luò)信息技術(shù)的進一步普及,信息系統(tǒng)在未來仍然會以規(guī)模化的趨勢覆蓋我們的日常生活,信息系統(tǒng)對人類生活產(chǎn)生的重要影響將越來越突出,風(fēng)險管理的水平必須進一步提升和加強。ART-BP神經(jīng)網(wǎng)絡(luò)的基本工作原理是:網(wǎng)絡(luò)接收外面環(huán)境的輸入狀況,對網(wǎng)絡(luò)已經(jīng)存儲的模式和新來的網(wǎng)絡(luò)樣本進行比較和權(quán)衡,通過一定的程序?qū)Χ叩南嗨贫冗M行計算,利用閾值檢查已有的網(wǎng)絡(luò)存儲模式和輸入的樣本,并且對連接權(quán)重進行調(diào)整,實現(xiàn)最大的相似度。第三,加強風(fēng)險管理中的人力因素管理。信息系統(tǒng)是由人力、硬軟件設(shè)備共同發(fā)揮作用而組成的一個管理系統(tǒng)。信息系統(tǒng)各種不安全因素的出現(xiàn),最大的始作俑者也是人類,人力因素在整個信息系統(tǒng)的安全管理中有著重要的作用。信息系統(tǒng)的風(fēng)險管理,必須加強對人力因素的控制和管理,人力因素在整個系統(tǒng)風(fēng)險管理中作用的發(fā)揮的是首要的。加強人力因素的管理,首先我們要提高從業(yè)人員的素質(zhì),這種素質(zhì)不僅僅是專業(yè)的信息技術(shù)素質(zhì),而且包括一個人的品行、工作態(tài)度等多方面素質(zhì)的綜合。其次加強那個人力因素管理,還應(yīng)該通過制度來予以明確的規(guī)定,用明文的制度來規(guī)范具體的操作行為和操作流程,加強風(fēng)險預(yù)警意識的培養(yǎng),是實現(xiàn)風(fēng)險管理的另一個重要途徑。
參考文獻
[1]劉翠翠,王云.淺析網(wǎng)絡(luò)信息安全挑戰(zhàn)及其應(yīng)對措施[J].電腦知識與技術(shù).2008:36
第2篇
【關(guān)鍵詞】風(fēng)險;評估;企業(yè);信息管理
1.企業(yè)信息安全評估的內(nèi)容
企業(yè)在運行中會產(chǎn)生大量的運營數(shù)據(jù),這些數(shù)據(jù)既有日常辦公方面的數(shù)據(jù),也有涉及企業(yè)生產(chǎn)和研發(fā)方面的數(shù)據(jù)。隨著企業(yè)規(guī)模的擴大,對這些信息的管理大都是建立在一定的信息管理系統(tǒng)基礎(chǔ)上的,如ERP資源管理系統(tǒng)、MES系統(tǒng)等。這些管理系統(tǒng)管理的內(nèi)容包含了企業(yè)運行中的各類信息,就涉及到如何保障系統(tǒng)運行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風(fēng)險,因此需要對企業(yè)的信息管理風(fēng)險程度進行評估,在此基礎(chǔ)上尋找彌補信息安全隱患的策略。對企業(yè)信息安全的評估主要有以下幾個方面的內(nèi)容。
1.1 評估企業(yè)的管理制度
企業(yè)管理制度是企業(yè)有序運行的基礎(chǔ),企業(yè)的信息安全也和此密切相關(guān)。很多企業(yè)信息外泄的案例都和企業(yè)管理制度漏洞直接聯(lián)系。因此在評估企業(yè)信息安全時企業(yè)的管理制度是必要的環(huán)節(jié)之一。在這個層面上評估企業(yè)信息安全主要是評估以下幾類基本的管理制度。①企業(yè)信息系統(tǒng)的使用制度;②企業(yè)信息系統(tǒng)的維護制度;③企業(yè)信息系統(tǒng)操作人員培訓(xùn)制度;④系統(tǒng)設(shè)備和文件管理制度。
1.2 企業(yè)信息系統(tǒng)計算機安全評估
實踐表明大量的企業(yè)信息外泄都和計算機系統(tǒng)的安全漏洞有關(guān)系,因此對企業(yè)信息系統(tǒng)的安全評估是必不可少的環(huán)節(jié)。這類問題的評估需要專業(yè)計算機人員來進行,彌補系統(tǒng)安全漏洞是保障企業(yè)信息安全的重要手段。定期或不定期的對企業(yè)信息系統(tǒng)的運行日志和統(tǒng)計資料進行檢查是一種行之有效的方法。
2.企業(yè)信息安全風(fēng)險定量評估方法
對上述幾類評估內(nèi)容的定量估計是衡量企業(yè)信息安全的量化手段,其衡量得出的數(shù)值就是企業(yè)信息安全的風(fēng)險值或安全程度指標(biāo)。企業(yè)信息安全的定量風(fēng)險評估考慮因素主要有三個:資產(chǎn)價值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數(shù)據(jù)采集的方式來進行合成計算,安全風(fēng)險的數(shù)學(xué)表達(dá)式為:。其中為風(fēng)險指標(biāo),表示企業(yè)資產(chǎn)指標(biāo),為代表威脅,為脆弱性指標(biāo)。上述三類因素的基礎(chǔ)數(shù)據(jù)都需要從實踐中通過調(diào)研和測試來獲得。
2.1 企業(yè)信息安全估價的描述方法
企業(yè)的資產(chǎn)既包括有形的資產(chǎn),也包括無形的資源,表現(xiàn)形式也從機械設(shè)備到軟件文檔等多種多樣。企業(yè)信息安全又有其特殊性。企業(yè)信息安全的安全屬性估價需要從資產(chǎn)的保密性、完整性和可用性三個方面來展開評估。由于企業(yè)各類資產(chǎn)的形式各異,資產(chǎn)的安全級別無法用通用的量化標(biāo)準(zhǔn)來記性評估,因此采用的方法為定性的CIA模糊集合方式來描述,如“資產(chǎn)安全級別”={“很高”、“高”、“中等”、“低”、“較低”}等模糊語言來描述,對應(yīng)的論域為{5、4、3、2、1}。企業(yè)信息安全安全的保密性、完整性和可用性三個方面的屬性都可以用上述模糊語言來定性描述,綜合上述三類安全屬性的公式為:。上式中分別為企業(yè)信息安全的保密性、完整性和可用性的賦值,取值為1,2…5,為綜合評定指標(biāo)。筆者這里提供一些評價指標(biāo)的選取標(biāo)準(zhǔn):
(1)信息保密性的評定標(biāo)準(zhǔn)
①很高:這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,信息泄漏將嚴(yán)重影響企業(yè)的利益;②高:這類級別的企業(yè)信息泄露會對到企業(yè)經(jīng)濟效益造成明顯損害;③中等:企業(yè)的一般性的經(jīng)營、決策信息,泄露對企業(yè)不利;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息;⑤較低:企業(yè)可對外界公布的信息類型。
(2)信息完整性的評定標(biāo)準(zhǔn)
①很高:這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,其完整性直接決定企業(yè)的業(yè)務(wù)完整性,一旦缺失就無法彌補;②高:這類信息修改必須經(jīng)過高層授權(quán),一旦缺失將嚴(yán)重影響業(yè)務(wù),一旦缺失彌補難度很大;③中等:企業(yè)的一般性的經(jīng)營、決策信息,其修改需授權(quán),缺失后可彌補;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息,缺失后對企業(yè)運行影響較小,易于彌補;⑤較低:企業(yè)可對外界公布的信息類型,缺失后對企業(yè)運行無明顯影響。
(3)信息可用性的評定標(biāo)準(zhǔn)
①很高:這類信息具有最重要的實用性,企業(yè)的運作必須依照運行的信息類型;②高:這類信息的可用性價值較高,企業(yè)運作對其依賴性較高;③中等:這類信息屬于可部分不可用的類型,部分不可用不影響企業(yè)的正常運作;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息,信息不可用不會造成明顯影響;⑤較低:這類信息使用性不高,信息不可用的影響可以忽略。
2.2 企業(yè)信息安全威脅程度的量化方法
企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的,既可能來自于系統(tǒng)的用戶(合法用戶或非法入侵)操作,也可能來自于系統(tǒng)的物理組件的損壞。這兩類威脅中最大也最常見的是系統(tǒng)用戶在操作方面的失誤、非法用戶利用系統(tǒng)漏洞來竊取企業(yè)機密信息,以及計算機病毒對信息系統(tǒng)的侵襲等。但這些事件都不易量化,在做風(fēng)險評估時需要依賴專家經(jīng)驗,對各種潛在的威脅因素給出一定的概率值,對各類威脅因素可按照和上節(jié)類似的方法,用形如:“威脅程度”={“很高”、“高”、“中等”、“低”、“較低”}等模糊集合來表達(dá),對應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評定標(biāo)準(zhǔn)如下:①很高:風(fēng)險事件發(fā)生的頻率很高,或?qū)ζ髽I(yè)信息安全具有明顯的威脅,但又很難避免的情形;②高:風(fēng)險事件發(fā)生的可能性較大或有發(fā)生先例;③中等:風(fēng)險事件有可能發(fā)生,但尚未實際發(fā)生過的情形;④較低:風(fēng)險事件發(fā)生的可能性較小,通常情況下不會發(fā)生;⑤很低:幾乎不可能發(fā)生的風(fēng)險事件類型;
2.3 信息系統(tǒng)脆弱性的量化方法
信息系統(tǒng)脆弱性的評估和系統(tǒng)面臨的威脅是緊密相關(guān)的,所有的實際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來發(fā)揮破壞性作用的,因此信息系統(tǒng)的脆弱性和威脅存點對點或單點對多點的關(guān)系。為便于計算,也采用和衡量系統(tǒng)威脅程度時相同的表示方法,“系統(tǒng)脆弱性”={“很高”、“高”、“中等”、“低”、“較低”},對應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評定標(biāo)準(zhǔn)為:①很高:這類評定往往要基于企業(yè)信息系統(tǒng)存在明顯而易于攻擊的技術(shù)漏洞或者是管理規(guī)范上的缺陷,極易被非法使用的情形;②高:企業(yè)信息系統(tǒng)存在一定的技術(shù)漏洞或管理規(guī)范上的缺陷,容易被攻擊和利用;③中等:企業(yè)信息系統(tǒng)存在不易被發(fā)現(xiàn)(下轉(zhuǎn)第125頁)(上接第121頁)的技術(shù)漏洞,或必須經(jīng)過人為非法操作才能被攻擊的管理規(guī)范上的漏洞;④低:企業(yè)信息系統(tǒng)不存在明顯的技術(shù)漏洞,或企業(yè)信息管理制度較為完善,不易被攻擊利用;⑤較低:企業(yè)信息系統(tǒng)技術(shù)較為完善,管理制度也較為合理,被攻擊點可能性很小。
2.4 信息安全的風(fēng)險計算
按照風(fēng)險的定義,風(fēng)險包括風(fēng)險事件發(fā)生的可能性和相應(yīng)的后果。在企業(yè)信息系統(tǒng)中,各組成部分發(fā)生風(fēng)險事件后的后果是不一樣的,其嚴(yán)重程度也存在差異。因此在風(fēng)險計算時需要明確兩個方面的內(nèi)容,一是風(fēng)險的計算方式,二是對風(fēng)險計算量化數(shù)值的評價。各因素風(fēng)險值的計算按:來計算,即按資產(chǎn)價值、資產(chǎn)脆弱性和資產(chǎn)面臨的威脅性的乘積來衡量某種信息資產(chǎn)的風(fēng)險值。上述幾類因素的取值按照評價論域中的取值來作為乘積因子。在計算出風(fēng)險值之后,還需要建立起以風(fēng)險值為基礎(chǔ)的風(fēng)險評價體系。
由前文的分析可見,風(fēng)險的定量估計是一個由三類風(fēng)險因素的線性乘積得出的。每一類信息的最高等級論域數(shù)值為5,最低為1,因此組合情況下風(fēng)險值的最高值為125,最低值為1。由此可建立其與之對應(yīng)的風(fēng)險定量評價體系。筆者建議采用與之對應(yīng)的5級評定方式:①很高:風(fēng)險值估計范圍在100~125之間,表明企業(yè)信息系統(tǒng)存在很高的安全風(fēng)險,發(fā)生信息泄露的可能性非常高;②高:風(fēng)險估計值在75~100之間,表明企業(yè)信息系統(tǒng)存在較大的安全風(fēng)險,發(fā)生信息泄露的可能性較大;③中等:風(fēng)險估計值在50~75之間,企業(yè)信息系統(tǒng)的安全風(fēng)險一般,經(jīng)過審查后能夠避免風(fēng)險事件;④低:風(fēng)險估計值在25~50之間,企業(yè)信息系統(tǒng)發(fā)生信息泄露的可能性很小;⑤很低:風(fēng)險估計值在0~25之間,企業(yè)信息系統(tǒng)比較安全,但需要定期維護。
3.結(jié)語
企業(yè)信息系統(tǒng)安全管理關(guān)系到企業(yè)的內(nèi)部運營數(shù)據(jù)的安全,是需要引起高度重視的問題。本文將企業(yè)信息安全評估中幾類常用的信息類型進行了風(fēng)險量化評估,給出了以線性乘積為基礎(chǔ)的風(fēng)險量化方法,最后給出了分等級的企業(yè)信息安全綜合評定。
參考文獻
[1]沈昌樣.關(guān)于強化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.
[2]沈昌祥,馬東平,等.信息安全工程學(xué)導(dǎo)論[M].電子工業(yè)出版社,2009,9.
第3篇
在“三個體系”建設(shè)工作中,檔案安全體系是指檔案安全保障各個構(gòu)成要素有機的系統(tǒng)的相互聯(lián)系、相輔相成的總體,由檔案安全基礎(chǔ)設(shè)施、技術(shù)支撐、組織管理、法規(guī)標(biāo)準(zhǔn)等若干部分組成。檔案安全保障體系建設(shè)的任務(wù)非常繁重,涉及眾多方面,而擺在我們面前的一個緊迫問題,顯然涉及如何從理論和實踐的角度把檔案安全體系建設(shè)的各項任務(wù)落到實處。在今年中國檔案學(xué)會相繼召開的“三個體系建設(shè)高層論壇”和“2010中國檔案工作者年會”上,筆者曾就此作過一些探討,筆者以為,不妨把風(fēng)險評估作為一個切入點和著力點,帶動檔案安全體系建設(shè)各項任務(wù)的全面落實。
檔案安全風(fēng)險評估機制的建立
應(yīng)對危機、化解風(fēng)險,首先要能夠充分意識到危機和風(fēng)險的存在。在檔案安全體系建設(shè)過程中,引入風(fēng)險評估機制,研究制定檔案安全風(fēng)險評估指標(biāo)體系及其實施辦法,并且抓緊開展相關(guān)試點,適時在全國各級檔案部門全面推開,對于推動檔案安全體系的科學(xué)健康構(gòu)建無疑具有重要意義。
我國有句俗話,叫做“風(fēng)起于青萍之末”,說的是凡事均有先兆。海恩法則認(rèn)為:每一起嚴(yán)重事故的背后,必然有29次輕微事故和300起未遂先兆以及1000起事故隱患。人們對導(dǎo)致事故發(fā)生的隱患、征兆往往容易忽略,甚至發(fā)現(xiàn)后沒有引起足夠的重視,這是導(dǎo)致意想不到的安全事故發(fā)生的重要原因。
如何緊密跟蹤初起之“風(fēng)”,及時發(fā)現(xiàn)檔案管理中可能存在的安全隱患呢?我們應(yīng)當(dāng)及早研究和建立檔案安全風(fēng)險評估機制,通過對檔案安全狀況開展風(fēng)險評估,指導(dǎo)各單位立足于防患未然,采取更加具有針對性的安全防范措施,預(yù)防安全事故發(fā)生,并為處置安全事故提供科學(xué)依據(jù)。
一個檔案部門如果發(fā)生安全事故,問題往往出在管理工作的某個薄弱環(huán)節(jié)。短板理論認(rèn)為:“一只木桶可以裝多少水,取決于木桶上最短的那塊板。”也就是說,一只木桶再高再大,如果有一塊板不夠高,最終也只能由最短的那塊板決定木桶裝水的多少。也就是我們經(jīng)常所說的主要矛盾,只有明白事務(wù)的薄弱環(huán)節(jié),抓住問題的關(guān)鍵所在,抓住問題的主要矛盾,才能抓住解決問題的關(guān)鍵,以獲得最大限度的成功。對檔案館可能存在的安全風(fēng)險進行系統(tǒng)的、規(guī)范的、科學(xué)的評估,就是為了及時查找各個環(huán)節(jié)可能存在的漏洞或隱患,弄清楚本單位安全管理的“短板?所在,有針對性地及時把各種漏洞予以堵塞,把隱患消滅在萌芽狀態(tài)。
有些短板,可能不是一大塊,而只是一個小窄條,但其危害同樣是致命的。因此,千萬不要小看一些似乎不打緊的不安全因素。“千里之堤,潰于蟻穴”,以及著名的“蝴蝶效應(yīng)”,說的都是這個道理。殊不知,“蝴蝶在熱帶輕輕扇動一下翅膀,遙遠(yuǎn)的國家就可能造成一場颶風(fēng)。”指的是在一個動力系統(tǒng)中,初始條件下微小的變化能帶動整個系統(tǒng)的長期的巨大的連鎖反應(yīng)。檔案安全管理過程中存在的任何細(xì)微隱患,如果不加以及時察覺并及時消減,也有可能演變成大的漏洞,甚至直接導(dǎo)致災(zāi)難性后果。安全隱患,無論大小,必須一律加以解決,將其消滅在萌芽狀態(tài)。
檔案安全風(fēng)險評估工作相關(guān)要求
所謂檔案安全風(fēng)險評估(RiskAssessment),就是對檔案實體和檔案信息資源所面臨的威脅及其可能造成的影響的可能性的評估。檔案安全風(fēng)險評估,是檔案部門風(fēng)險管理的基礎(chǔ),是確定檔案安全需求的一個重要途徑,屬于檔案安全保障體系策劃的過程。
檔案安全風(fēng)險評估工作的目標(biāo)是,通過檔案安全風(fēng)險評估結(jié)果,找出檔案安全管理中的薄弱環(huán)節(jié),以此為基礎(chǔ),及時采取必要措施,并對各種要素加以調(diào)節(jié),以便最大可能地規(guī)避和降低風(fēng)險,使檔案盡可能地保持穩(wěn)定狀態(tài),而對已經(jīng)處于不安全或不穩(wěn)定狀態(tài)下的檔案使之達(dá)到新的穩(wěn)定狀態(tài)。
檔案安全風(fēng)險評估工作的主要任務(wù)包括:識別檔案面臨的各種風(fēng)險;評估風(fēng)險概率和可能帶來的不利影響;確定風(fēng)險控制和消減的優(yōu)先等級;提出和推薦風(fēng)險防控與消減對策;等等。
識別檔案面臨的各種風(fēng)險,了解檔案安全威脅源。近些年來,我國一些檔案部門遭受了地震、洪水、泥石流等自然災(zāi)害的直接破壞,一些檔案部門經(jīng)受了的沖擊,一些檔案部門暴露了基礎(chǔ)設(shè)施不完善、管理制度不健全、安防手段不得力等管理上的漏洞也承受了相應(yīng)的后果。2009年3月德國科隆市檔案館坍塌,源于城市建設(shè)中的地鐵施工;2005年11月民族文化宮圖書和經(jīng)卷被水浸泡,源于基礎(chǔ)設(shè)施老化失修導(dǎo)致的水管爆裂。可見,很多因素都有可能對檔案安全帶來直接或間接的風(fēng)險而構(gòu)成檔案安全的威脅源。
評估風(fēng)險概率和可能帶來的不利影響。在檔案部門可能遇到的安全風(fēng)險中,有一些屬于系統(tǒng)性的風(fēng)險,而另一些屬于偶然性的風(fēng)險。有一些屬于地域性的風(fēng)險,如沿海地區(qū)可能遇到的臺風(fēng)影響;還有一些屬于周期性的風(fēng)險,如長年發(fā)生在我國南方一些地區(qū)的洪澇災(zāi)害風(fēng)險等。要根據(jù)不同風(fēng)險的類型和特點,確定風(fēng)險控制和消減的優(yōu)先等級和措施強度,并提出和推薦相應(yīng)的風(fēng)險防控與消減對策。
總之,在檔案安全風(fēng)險評估過程中,需要注意確定所保管檔案的內(nèi)在價值;要梳理檔案面臨的潛在威脅源有哪些,導(dǎo)致威脅的問題所在,威脅發(fā)生的可能性有多大;現(xiàn)有保管條件環(huán)境存在哪些弱點而可能易于遭受威脅攻擊,程度如何;一旦威脅事件發(fā)生,檔案會遭受怎樣的損失,或者面臨怎樣的不利影響等。
檔案安全風(fēng)險評估的方法有基線評估法、詳細(xì)評估法、組合評估法等。在檔案安全風(fēng)險評估的實際工作中,我們可以采用通常使用的一種比較簡單的評估,方法,即基線評估法。采用基線風(fēng)險評估(Baseline Rrisk Assessment),檔案館可以根據(jù)自己的實際情況,對檔案保管系統(tǒng)進行安全基線檢查,(即拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較,找出其中的差距),得出基本的安全需求,通過選擇并實施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險。所謂安全基線,就是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿足基本的安全需求,能使系統(tǒng)達(dá)到一定的安全防護水平。
檔案安全風(fēng)險評估指標(biāo)體系構(gòu)建
檔案安全基線評估途徑的采用,關(guān)鍵在于安全基線的選擇,也就是有必要
建立一個系統(tǒng)的、可操作性較強的檔案安全要求指標(biāo)體系。檔案安全風(fēng)險評估指標(biāo)體系基本框架的搭建,要統(tǒng)籌考慮檔案實體安全、信息安全等各個方面。
近年來,國家檔案行政管理部門對各省級國家檔案館和中央國家機關(guān)檔案部門開展了檔案安全專項督察工作,重點檢查相關(guān)部門檔案安全基礎(chǔ)設(shè)施是否完備,檔案安全防護設(shè)施是否齊全,檔案安全規(guī)章制度是否健全,檔案安全日常管理是否到位。盡管該項工作還僅僅是初步的、定性的、粗放的,但無疑是檔案安全風(fēng)險評估工作的濫觴,是一項有益的探索。我們現(xiàn)在的任務(wù)是,怎樣把這項工作做得更加定量化、更加精細(xì)化、更加科學(xué)化、更加規(guī)范化。這就需要在調(diào)查研究的基礎(chǔ)上建立一套系統(tǒng)全面、導(dǎo)向明確、易于評估、具有可操作性的要求、規(guī)范和約束性指標(biāo),作為我們開展檔案安全風(fēng)險評估的基線。檔案安全基線風(fēng)險評估,需要的資源少,周期短,操作簡單,可以直接而簡單地實現(xiàn)基本的安全水平,并且滿足檔案館履行功能的基本要求。
在制定檔案安全基線相關(guān)要求時,要重點關(guān)注檔案安全管理的環(huán)境條件、規(guī)章制度、安全措施、應(yīng)急和搶救機制、日常管理等主要方面。既要關(guān)注與檔案實體安全直接相關(guān)的要求,也要關(guān)注與檔案信息安全保密密切相關(guān)的規(guī)范。要通過對潛在的各種安全威脅源的精心梳理和相關(guān)需求分析,抓住關(guān)鍵和重點,不能“披頭散發(fā)”,無所不包。與此同時,要遴選和鎖定一些必要的剛性指標(biāo),如防火等級,抗震等級,溫濕度范圍,照度,空氣質(zhì)量,容災(zāi)等級,等等,便于規(guī)范掌握和量化操作。
事實上,選擇安全基線可依據(jù)和利用的資源非常豐富,如《檔案法》及其實施辦法,保密法等。在檔案實體安全方面,有諸如《檔案館建筑設(shè)計規(guī)范》、《檔案館建設(shè)標(biāo)準(zhǔn)》、《檔案庫房技術(shù)管理暫行規(guī)定》、《檔案館防治災(zāi)害工作指南》,等等。在檔案信息安全方面,比如《電子信息系統(tǒng)機房設(shè)計規(guī)范》、《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》、《信息安全應(yīng)急響應(yīng)計劃規(guī)范》、《信息安全風(fēng)險管理指南》、《終端計算機系統(tǒng)安全等級技術(shù)要求》、《基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南》,等等。
