郭 宁

（滨州市滨城区档案馆，山东 滨州 256600）

传统模式下，档案馆采取的是纸质管理模式，这种管理模式效率低，从档案信息资料的采集，到分析处理，再到储存、管理、后期利用，其效率均不够高[1]。而在网络信息快速发展的背景下，各大档案馆均致力于数字化档案馆的建设。而在数字化档案馆建设过程中，会面临档案信息安全问题，为了使档案信息安全风险问题得到有效预防控制，则有必要做好数字化档案馆的信息安全风险评估工作。由此可见，本文围绕“数字化档案馆信息安全风险评估”进行分析探讨价值意义显著。

1 档案资源的确定

数字化档案馆信息安全风险评估是一项系统化的工作，相关工作人员需保持严谨的工作态度，规范评估流程，并严格执行评估流程。在该工作流程中，档案资源（以下简称为“资源”）的确定是首要工作。并且，在数字档案馆组织目标实现过程中，资源为物质基础部分[2]。信息安全风险层面上的威胁，主要针对资源而存在。通过对相关资源的确定，能够为数字化档案馆信息安全风险潜在的威胁及脆弱性的识别，提供必要的条件。倘若此环节的工作未能落实到位，则会使后续评估工作的效率及质量受到影响。在此环节，主要的工作包括：1）对数字化档案馆具备哪些信息资源；2）对相关资源的价值进行确定；3）分析研究相关资源的价值对数字化档案馆目标的执行及完成之间的关联性等。需认识到的是，在数字化档案馆中，其资源范围广泛，比如：纸质文件、服务、软件资源、信息资源以及人员等，均属于资源的范畴。此外，在资源评估工作开展过程中，需以关键业务作为切入点，然后井然有序地将全部关键资源覆盖，确保资源评估工作的完整性及规范性。

2 威胁及脆弱性的识别

基于数字化档案馆信息安全风险评估工作开展期间，需认识到的是，其资源风险，根本原因在于资源潜在脆弱性的特点[3]。同时，从客观层面分析，相关脆弱性要素，在未能有效预防控制的基础上，又会使数字化档案馆目标的执行及实现受到较大程度的威胁。因此，在其信息安全风险评估过程中，需对潜在的威胁、脆弱性进行详细识别。例如：“威胁数字化档案馆信息安全的威胁性有哪些？”、“相关脆弱性易被哪些人群利用？”等等。在对相关威胁及脆弱性问题加以明确的基础上，才能够确保评估工作具有参考对象。需认识到的是，在数字化档案馆信息安全风险评估工作开展过程中，需认识到对其资源造成威胁，并引发脆弱性问题的主要因素有：人、事、物等；针对这些威胁及脆弱性问题，可采取加强相关人员管理、引进现代化科学技术等方式，使威胁及脆弱性问题得到有效防控，进而保证档案信息的安全性。

3 目前防控措施的识别

在数字化档案馆构建完成之后，在信息安全防控工作开展期间，会制定并实施相关档案管理制度，并通过技术的引进及应用的方式，使信息安全得到一定程度的维护。而采取的维护措施是否有效，则需进行识别。所以，做好目前防控措施的识别工作是非常重要的。一方面，需对落实了哪些防控措施加以了解；另一方面，需对落实的措施的合理性、完整性、有效性等进行识别及判断。倘若落实的措施合理、有效，则能够在一定程度上降低数字化档案馆信息安全风险；反之，倘若落实的措施不合理、缺乏有效性，则其信息安全风险难以得到有效防控，进而会对数字化档案馆相关资源受到严重威胁。因此，总结起来，需确保数字化档案馆信息安全防控措施的有效性、合理性及完整性。

4 安全事件发生的可能性及损失的识别

在数字化档案馆信息安全管理工作开展过程中，需认识到的是，脆弱性及威胁的存在，并非绝对会发生风险。主要是因为，脆弱性是主观存在的，而威胁则是客观存在的。其中，对于潜在的威胁来说，具有转化成现实安全风险事件的可能性，也可能自行消除。对于损失来说，当威胁转变为安全风险事件的基础上，才会发生。所以，在对其防控措施进行识别前期，需重视对安全事件发生的可能性及损失进行识别。将安全事件发生的可能性及损失的严重程度、等级进行合理划分，然后采取有针对性的防控措施，以此有矢放地保障数字化档案馆信息的安全性。

5 风险大小的确定

上述工作顺利、有效完成的条件下，确定数字化档案馆信息安全风险的大小则较为简单。主要以安全风险事件出现的概率、引发的损失为依据，则可以对风险的大小进行确定[4]。风险大小的明确，可能为后续决策的制定及执行提供客观、科学的依据。

6 决策的确定及执行

决策的确定及执行，为数字化档案馆信息安全风险评估工作的最末环节，即完成一系列风险评估之后，制定决策，实施决策，使数字化档案馆信息安全得到有效保证。而决策的确定及执行的主要内容包括：1）决策的制定。在决策制定过程中，首先需结合潜在的风险是否能够接受进行评估，倘若不能接受，则需对降低或消除风险需作出哪些投入。风险决策的实施，根据风险大小的不同，所需成本也不同，因此需要对风险和成本之间进行合理权衡。并且，决策的制定不能一意孤行，需采纳相关部门管理人员及技术人员的建议及意见，确保决策制定的客观性及科学性。2）决策的执行。将决策制定好之后，执行非常关键。倘若光有决策，而不执行，则决策如同虚设，前面的一系列工作的成果也难以得到有效转化[5]。因此，在决策执行过程中，需严格按照制定的决策的计划方案实施，以此确保决策实施的规范性。与此同时，在数字化档案馆信息安全风险防范过程中，可能实施决策期间，还会有新的风险问题出现，所以及时改进决策方案也非常关键。总体而言，信息安全风险是一个动态变化的过程，所以决策的执行也需要具备一定的弹性，否则难以保障风险防控效果的综合效益。

7 结语

综上所述，基于数字化档案馆信息安全风险评估工作开展过程中，需明确风险评估工作流程，严格按照“档案资源的确定→威胁及脆弱性的识别→安全事件发生的可能性及损失的识别→风险大小的确定→决策的确定及执行”流程执行。与此同时，根据实践工作经验发现在数字化档案馆信息安全风险评估工作期间，其风险评估要素主要有三个：其一，为资源识别要素；其二，为威胁性识别要素；其三，为脆弱性识别要素。其中，在资源识别过程中，需重视对数字化档案馆当中的相关数据信息、软件、硬件、服务以及人员等资源的识别；在威胁性识别过程中，需重视对信息安全管理工作是否落实到位、信息安全技术人才是否完备、信息安全管理及技术人员工作是否负责等进行是被；在脆弱性识别过程中，则需重视黑客攻击威胁、计算机病毒威胁、环境威胁等。总之，需结合不同的风险因素，采取有针对性的解决措施，从而确保数字化档案馆信息安全风险得到全面、高效地防控。