电子文件形成阶段长久保存风险分析及应对策略
2014-11-11赵豪迈潘莎
赵豪迈+潘莎
根据文件生命周期理论,电子文件从形成、流转、归档(永久保存)或者销毁、为用户提供检索利用服务的整个过程中,任何一个环节出现管理差错,都会对电子文件的长久保存构成威胁。其中电子文件的形成阶段相比较文件生命周期理论中的其他阶段来说,尤其具有非常重要的作用。因此,立足于电子政务环境下电子文件的形成阶段,对威胁其长久保存的各种风险因素进行分析,通过规避并消除这些风险,为电子文件营造一个良好的形成环境,使其能够形成符合长久保存质量要求的各类电子文件,是非常必要的。笔者在此拟对电子文件形成阶段的风险进行具体分析,并提出应对策略。
一、电子文件形成阶段风险分析
电子文件在形成过程中,存在着方方面面的风险,这些风险的来源,有来自领导决策层在传达文件内容的时候,也有文件制作者起草文件的时候,亦有文件审核人员或机构对文件进行审核的时候,在贯穿文件形成的整体过程中,每一个环节,都有可能造成电子文件质量方面的缺损,如文件制作者弄虚作假、审核责任人没有认真审核文件内容的真实性等等,这些风险因素造成了文件在形成过程中的不真实、不准确、不完整、不可读、不可用、不及时、失密、不一致的风险后果,而电子文件若想长久保存,必须满足真实、准确、完整、可读、可用、及时、保密、一致的质量要求,文件形成过程中存在的风险因素,所造成的风险后果,必然威胁着电子文件的长久保存目的。
从文件整个生命周期来看,电子文件形成阶段的风险,直接影响了其后续阶段即流转、保存阶段的文件使用情况及保存状态。对于电子文件而言,其生命周期前期的风险对于后期的影响更大更直接一些。而在实际情况中,电子文件的阶段性是比较模糊的,很有可能文件在形成之后就开始进行有效的保存。这就导致电子文件前方的风险会迅速传导至文件后方,即文件形成阶段的一些性状和问题直接“遗传”给了保存阶段,电子文件在形成阶段的风险因素所造成的后果——有文件的不真实、不准确、不完整、不可读、不可用等等质量缺损。这些风险后果和文件长久保存的质量目标完全相反,势必会威胁文件长久保存的目的。电子文件形成阶段风险与长久保存的关系如下图1所示:
二、电子文件形成阶段风险应对策略
根据以上文件形成过程中的系统性风险,我们要加以防范,分清轻重缓急,以使得利用有效的人力财力物力资源,来达到规避、消除风险的目的。
电子文件形成阶段的风险应对是通过对各种风险因素的管理,规避风险事故的发生,以确保电子文件形成过程中的真实性、准确性、完整性、可读性、可用性等。从电子文件形成阶段的风险识别结果来看,威胁电子文件质量的风险因素分布广泛。不仅有人员因素、还有基于电子政务特殊要求的网络平台因素及应用系统因素。故而电子政务环境下文件风险应对策略的研究应是一项综合性、全方位的系统工程,只有建立从外部用户到内部形成人员,从技术、管理到制度等多方位的风险应对体系,才能有效的防范和控制风险,进而达到长久保存的目的。
(一)电子文件风险应对体系的理论模型
根据风险识别得出的结论,引发电子文件风险的因素多种多样,无论是哪个类别的风险,都来自多个层次、多个领域。为了有效防范和控制风险,提高其管理质量,必须构筑起全方位的应对体系,关系到电子文件形成人员、应用系统、硬件设备、网络环境、规章制度、外部用户等多个方面。以风险识别的结果为依据,我们构造出其应对体系的理论模型,如下图2所示。整个应对体系包括两大领域、两类手段、两个关键点和三种策略。
(二)应对领域
按照应对措施涉及的范围,可以将电子文件风险应对体系划分为两大领域:外部领域和内部领域。
1.外部领域
外部领域的风险应对体系指的是政府机构所处的社会环境领域,风险应对包括两个方面:一是网络环境方面,由于电子政务是一个多级、多个政府网络协调工作的大型网络,因此,整个网络极易受到来自各个不同网络的安全威胁。比如网络系统传播导致的系统不稳定。风险应对主要就是基于这些安全威胁来说的,主要采用的是技术方法,即防火墙安全技术、网络扫描技术等;二是外部用户方面,外部用户通过网络平台非法入侵政府机构系统内部,对文件进行恶意删改,或采用解密软件对涉密文件进行解密读取,对于外部用户风险因素的防范主要采取用户身份认证技术、网络漏洞扫描技术等应对措施。通过这些外部领域的风险应对,旨在为政府机构内部人员在形成文件时,提供一个安全可靠的外部环境。因此,外部领域的风险应对是应对体系的保障。
2.内部领域
内部领域的电子文件风险应对体系在政府机构内部运作,主要应对的是文件相关形成人员、机构内部其他人员、规章制度、硬件设备及应用系统类风险因素。它不仅包括每一个文件形成成员的风险应对,以及制定规章制度、网络维护和系统管理等方面人员的风险应对,还包括硬件设备的维护、应用系统漏洞修复、采用身份认证技术等系统平台的风险应对。内部层次的风险应对是应对体系的核心。
(三)应对手段
电子文件的风险应对是一个错综复杂、涵盖面广的系统工程,不仅需要技术支撑,更需要相关人员对其进行有效的管理。技术和管理是相互穿插、互相影响的两种方法,只有这两大类专业手段携手合作,才能共同实现风险应对的目的。
1.技术手段
在电子政务环境下,从技术管理的角度应对电子政务中文件形成阶段的风险,或者说应对可能对文件长久保存造成威胁的风险因素,无疑是风险应对的主要内容。比如,备份是重要的电子文件风险应对办法,它可以保证文件在丢失或者遭到恶意篡改之后能够及时的得以“恢复原貌”进而不影响政务活动继续开展的目的;又如用户身份认证技术可以有效的阻止非法用户对文件的访问,进而保证了文件的真实、完整、保密等特性。
技术手段包括技术产品和技术应用两种,技术产品方面如安全可靠的电子政务系统,电脑、主机类硬件设施以及相关载体质量符合要求等;技术应用方面如入侵检测技术、身份认证技术、加密解密技术、防火墙、数字签名技术等。endprint
2.管理手段
在对电子文件进行有效维护过程中,更加倡导的是“三分技术、七分管理”。一般认为引导技术应用、保障技术应用成果的非技术力量往往比技术应用本身更加有效。技术应用要依靠管理手段才能发挥出应有的功能,比如网络安全管理人员定期对系统进行杀毒,如果网络安全管理员不按规定操作,无论杀毒软件多么新颖、系统平台多么稳定都不能杜绝风险。因此,在政府电子文件的管理过程中,管理因素比技术因素更为重要。如果说技术对于文件风险的防范与控制是电子文件风险应对的基础,那么管理手段对于文件风险的防范与控制则是电子文件风险应对的支柱。
电子政务环境下,电子文件进行有效管理的手段包括:相关人员对政务系统、相关软硬件平台的定期维护及检查、政府机构制定的文件管理规章制度及操作规范、对机构内部文件形成人员的生成流程规范、政府机构人员的职责权限规定等等。
(四)应对关键点
电子政务环境下,电子文件在形成阶段要加强两个方面的风险应对,一个是“人”的方面,由于文件形成阶段的特殊性,文件相关形成人员在文件的形成过程中扮演主导作用,不仅有形成人员,还包括机构内部其他人员、外部用户等等,都会对电子文件的形成造成非常重要的影响,因此,加强对来自“人”的风险的应对是必须的,不仅要针对外部非法用户制定防护措施,更要加强内部人员的管理、监督。尤其是文件形成人员。还有一个是“文”的方面,即文件本身的风险,导致文件风险的来源有政务系统、相关软硬件平台、网络环境以及人为操作,都是造成文件风险的“元凶”,这就需要电子政务系统能够真实准确的记录电子文件形成的全过程,而且必须严密监察系统漏洞、黑客攻击、非法访问等风险因素,并通过数字签名、身份认证、加密技术等技术手段来确保电子文件内容的真实性。这不仅对系统所应具有的功能的详细阐述,更是对相关管理人员提出了更高的操作要求。因此,对文件自身风险的应对也是一个主要方面,要确保文件符合质量要求。因此,在形成阶段应对电子文件风险,无论是从哪个领域,采用哪种手段,“人”和“文”始终都是其出发点和最终落脚点,是风险应对具体的实现手段。
(五)应对策略
在电子政务环境下,对风险进行管理的基本目标是以最小的费用支出,来达到最大限度的消除、转移、分散电子文件风险的目的,以实现电子文件长久保存、保障民众获取政务信息及维护社会记忆的目的。根据风险管理的基本原理,电子文件风险应对又可以分为以下三种情况:
1.损失发生前的风险应对策略——以规避或减少风险事故的发生机会为主要措施;
2.损失发生过程中的风险应对策略——使风险事故的发展规模尽可能得到控制并缩小,尽可能减少因风险事故造成的损失;
3.损失发生后的风险应对策略——基于成本考虑,尽可能的使损失恢复到发生前的正常状态。
目前,这三种情况在我国政府机构内部都是存在的。一般认为,在实际损失发生前,就对有可能造成损失的风险因素加以防范、规避,是最简单也是所需花费最小的一种情况。越往后,其所花费的成本就越高,越难恢复。因此,在电子文件形成阶段就开始对有可能造成损失的风险因素提前加以防范,是必要的。
本文站在电子政务的全局视角,着眼于电子文件的形成阶段,研究文件形成过程中面临的各类风险,通过对电子文件形成阶段风险识别及关键性风险的分析,初步构建了一个覆盖内、外部领域,通过管理和技术手段来应对风险的全方位、基于形成阶段的风险应对体系。
教育部人文社科项目“数字档案长期保存机制研究”(项目编号:09YJC870017);国家社科基金项目“数字档案集中管理策略与模式研究”(项目编号:09BTQ030)
(作者单位:陕西师范大学出版总社 陕西师范大学政治经济学院)endprint