戴 旸,汪维刚

(1.安徽大学管理学院,合肥 230039;2.桐城师范高等专科学校理工系,安徽桐城 231402)

随着信息技术的迅猛发展,国家机关、社会组织及个人对信息技术的依赖越来越大,生产生活中产生的电子文件的数量也与日俱增。这些电子文件,真实地记录和反映了机关、企事业单位以及个人从事的工作、学习和活动,具有重要的凭证性和参考价值。保障电子文件的信息安全,是电子文件管理活动中的重要命题。海量电子文件,大部分来源于电子政务和电子商务等活动,其中尤以电子政务中产生的电子文件的信息安全更为重要。本文将主要围绕电子政务环境下电子文件信息安全的问题与对策,展开研究和探讨。

一、电子政务及电子文件信息安全

(一)电子政务及其信息安全

电子政务是指政府部门在现代信息技术、网络技术的支持下,转变管理和服务职能,利用网络实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分割的制约,向全社会提供高效、优质、规范、透明和全方位的服务。电子政务发展至今,已日渐成熟和完善,但其安全问题却始终不容小觑。管理人员安全意识的缺乏、管理手段的落后、政务系统本身的漏洞和缺陷等,都会影响到电子文件信息的完整保存和安全使用。虚假有害信息有增无减,过时冗余信息喧宾夺主等都使得电子政务面临着安全威胁。

(二)当前电子文件信息安全保护政策的局限性

电子文件的信息安全理论与实践研究发展至今,不过十余年的时间,就能形成如此系统、完备的理论体系并付诸于实践,确实值得肯定与鼓励,但不得不承认的是其中还存在一定的局限性。当前的电子文件信息安全研究多集中于原因分析,目前已基本达成共识。所制定的政策虽涉及管理制度、技术保障、人才队伍建设等方面,但大多较为肤浅,并未做深入的阐释。一些措施理论性很强,但实践起来却很困难,时间和金钱上的成本很高,如同纸上谈兵,没有具体的操作程序可以执行。工作人员在操作过程中,随意性很大,这无疑会给电子文件带来危害。

二、电子政务背景下电子文件的风险管理

(一)电子文件风险管理概述

风险管理贯穿于信息系统的整个生命周期,具体包括对系统中安全风险的识别、评估和控制。首先,电子文件风险管理思想将电子政务活动中产生的电子文件看成是国家机关正常运作和管理不可或缺的重要资源,国家机关和个人有责任采取有效措施,使这些信息资源免受威胁,或将这些威胁降至最低,以维护和保障电子政务的正常运作,而这一有效措施就是坚持电子文件的风险管理。其次,电子文件风险管理思想认为风险管理是电子文件管理活动不可分割的重要组成部分,而绝非简单的附加,实施风险管理对于提升电子文件管理效果和水平具有重要实践价值。电子文件管理人员有责任借助风险管理,获取创新的灵感,以完善和加强电子文件管理。再次,同传统的文档管理一样,电子文件风险管理应坚持以防为主,即积极主动地防范,加强对风险的前期监控,进而针对性地进行处理和控制。最后,电子文件风险管理研究是应用性和实践性很强的研究,仅仅停留在方法论层面是不够的。要选择适当的案例进行实证分析,坚持定性与定量研究相结合,分析具体文件风险,在风险评估的基础上进行总结和分析,进而提出多种解决方案,突出风险管理的实用性,从个别到一般,从实践上升到理论,形成正确普适的理论体系,进而指导实践。

(二)电子政务背景下电子文件风险管理步骤

电子政务背景下电子文件风险管理的最终目的是及时发现并分析电子政务活动中存在的电子文件安全风险,对可能出现的风险进行控制,以保证电子政务活动顺利、有序地进行下去。总的来说,电子政务背景下电子文件风险管理主要包括四个步骤,依次是风险识别、风险评估、风险应对以及风险监控。

1.电子文件的风险识别

电子文件的风险识别首先是风险认知,即对电子文件所面临的各种风险采取有效的方法进行系统地考察、了解和认知,并总结和判断风险的种类、性质及可能发生的后果,以便政府工作人员和文件管理人员增强风险的识别和感知能力。针对电子政务活动中产生的大量电子文件,风险管理系统应依据全程管理原则,从电子文件生成之初,即对其价值和相关信息进行识别。同时,风险管理还要分析各种风险事件存在和可能发生的原因,并了解潜在风险的状况,为风险管理后续阶段的展开做好准备。

2.电子文件的风险评估

电子文件风险评估是科学计量和评价电子文件管理系统安全性的过程。这个过程充分运用了定量分析的方法,对文件中所存储信息的保密性、完整性和可用性等安全属性进行科学判定,进而测算出电子文件及相关资产的脆弱性、潜在的威胁及潜在威胁发生的可能性,最后还要评估种种威胁通过系统漏洞对电子文件及相关资产进行破坏所造成后果的严重性。

电子文件的风险评估是其风险管理工作最根本的依据。在电子政务活动中,对电子文件进行风险识别之后,应依据文件的生成单位、生成事由及存在状态类判定其价值,辨明其真伪,分析和识别管理系统中存在的漏洞以及系统外可能发生的威胁,并进行实时监控。同时,本着效益原则,核定风险管理的成本,依据文件价值和管理成本来确定风险管理等级。

3.电子文件的风险应对

电子文件风险应对的目的是最大限度地减少因文化管理失当而造成的损失。电子文件在经过风险识别、分析评估之后,就需要采取措施处理风险,因此风险应对阶段是整个风险管理过程中实践性较强的阶段,直接影响到风险管理的效果。具体来说,风险应对要加强电子政务活动中各种易造成风险的因素的管理,合理规避风险的发生,及时弥补风险后果并阻止其扩散。

4.电子文件的风险监控

电子文件风险监控的目的是将微观的、具体的风险管理上升到宏观的、普适的风险管理,加强对整个风险管理活动的跟踪、评估和反馈,以保证电子文件风险管理能够有效有序地开展。同时,对于电子政务活动中出现的突发事件,也能及时发现,并妥善解决,避免情况的恶化。

除了以上四个主要步骤外,电子文件的风险管理部门还应该认真总结风险管理经验,及时报告风险管理结果,保证电子政务活动的高效、顺利开展。

(三)电子文件风险管理保障

电子文件的风险管理得以顺利展开并产生效果,除了严格执行风险管理的主要步骤外,相关的保障措施也同样必不可少,笔者试择要叙述如下:

1.加强制度建设,制定战略目标

在电子文件的风险管理中,应该建立健全电子文件风险管理制度,加强电子文件风险管理机制的组织建设。应选定一位主要领导专门负责电子文件风险管理,安排专门的工作人员负责处理风险管理的日常事务,保证电子文件风险管理日常事务的正常运行,确保风险管理机制的长效运作。同时,制定切实可行的电子文件风险管理战略目标,定期研究分析风险管理的实施进程,及时解决风险管理中存在的问题,划定风险管理的工作重点和要求,有重点、有计划、分步骤地展开电子文件风险管理。

2.多部门联动,加强合作

电子政务背景下电子文件风险管理工作的有效开展需要多部门的共同协作。政府部门、文件形成部门、档案部门及具体工作人员应明晰各自在管理活动中所承担的责任,以强烈的责任感和使命感对待电子文件的风险管理,积极构建风险管理运行机制,优化电子文件风险管理流程。

3.开展风险教育,提高风险意识

在过去一段时间里,电子文件的信息安全未能很好地得到保障,重要原因就在于风险意识不强。当前,各部门在日常管理中,要积极加强电子文件风险教育工作,教育的对象既包括政府工作人员、电子文件管理人员及档案人员,还应该包括电子政务的用户。各部门还要通过多种方式宣传电子文件风险管理的基本知识。

三、结束语

电子文件信息安全管理关系到电子政务建设的质量和效果,是电子政务建设的关键所在。风险管理是一个从理论到实践,再从实践到理论的过程,将风险管理引入电子文件信息安全建设,有助于加强电子文件信息安全,推动电子政务的建设。而电子文件的风险管理也在不断地循环往复中得以逐步完善,进一步推动电子政务建设和电子文件信息安全建设的进步和完善。

[1]张宁.电子文件风险管理:识别与应对 [J].电子政务,2010(6).

[2]潘荣坤.电子政务系统的信息安全问题及其对策研究[J].电子政务,2010(6).

[3]孟祥宏.电子政务信息安全互动策略研究[J].档案学通讯,2010(2).

[4]张永明.电子文件管理原则实践研究 [J].中州大学学报,2009(3).

[5]向立文.电子文件风险管理机制的构建 [J].档案学通讯,2009(2).

[6]王萍.电子档案安全保护措施的局限性及对策分析[J].档案学研究,2007(5).

[7]徐拥军.电子文件风险管理的必要性与可行性[J].档案学通讯,2005(6).

[8]冯惠玲.论电子文件的风险管理[J].档案学通讯,2005(3).