您的位置:360文档中心› 从风险管理的视角探讨电子文件安全管理问题(标准版)

从风险管理的视角探讨电子文件安全管理问题(标准版)

合集下载

浅谈企业电子文件的风险管理

浅谈企业电子文件的风险管理
3 电 子 文 件 的信 息 安 全 问题 .
信 息 化 实 行 外 包 机 制 ,这在 一 定 程 度 上 也 促 进 了 信 息 建 设 外 包 公 司 的 发 展 、 大 。外 包 机 制 , 体 来 说 就 是 壮 具 企 业 将 其 部 分 信 息 系 统 的 开 发 、 设 、 护 等 方 面 专 业 建 维 性 要 求 较 强 的 信 息 业 务 工 作 ,委 托 给 第 i 方 专 业 信 息 机 构 承 担 的 活 动 。 包 机 制 对 于 一 些 人 员 较 少 、 统 较 外 系 存 , 要 公众 理性文 明对待 网络 , 需 要政府 及 时 、 需 更 准 确 做 好 信 息 公 开 的 基 本 工 作 , 提 高 自身 的反 应 能 力 ,
方 面 可 以把 一 些 信 息 技 术 要 求 较 高 的 T 作 转 托 给 第 三 方 信 息 服 务 商 去 处 理 ,另 一 方 面 企 业 也 可 以借 助 信 息 服 务 商 多年 的 I 理 经验 . 帮 助 企 业 尽 快 制 定 J一 T管 来 十 『
套 正 规 化 的适 合 本 企 业 运 行 的 I 营 管 理 体 系 。但 是 T运 如 果 企 业 长 期 把 信 息 建 设 交 予 第 三 方 并 依 赖 于 外 包 公
目前 , 国各 企 业 对 信 息 化 建 设 都 比 较 重 视 , 由 我 但
于 各 方 面 因 素 的 相 关 考 虑 , 大部 分 企 业 都 对 本 企 业 的
人 才 竞 争 , 于 今 后 如 何 解 决 人 才 短 缺 问 题 将 是 我 国 对
各 企业必须要思 考的问题 。
不 同 , 因 此 就 对 人 员 的 素 质 就 提 出 了 更 为 严 格 的 要

总结电子档案管理系统的数据安全性与权限控制的风险管理

总结电子档案管理系统的数据安全性与权限控制的风险管理

总结电子档案管理系统的数据安全性与权限控制的风险管理电子档案管理系统的数据安全性与权限控制需求是现代信息管理中至关重要的一个方面。

随着电子化办公的普及,电子档案管理系统在各个领域得到了广泛应用。

然而,随之而来的是对数据安全性与权限控制的风险管理需求与挑战。

本文将总结电子档案管理系统的数据安全性与权限控制的风险管理,并提供一些解决方案。

一、数据安全性的风险管理1. 数据泄露风险在电子档案管理系统中,数据泄露是最为严重的安全风险之一。

一旦敏感信息泄露,可能导致个人隐私泄露、商业机密外泄等问题。

为了降低数据泄露的风险,可以采取以下措施:- 强化数据加密:对敏感数据进行加密处理,确保未授权人员无法解密。

- 建立权限管理机制:对用户进行身份验证,并根据其职责和权限对其进行合理限制。

- 加强内部安全意识培训:提高员工对数据安全的认识,增强其保密意识和防范意识。

2. 数据丢失风险数据丢失可能是由于硬件故障、人为删除、病毒攻击等因素造成的。

为了管理数据丢失的风险,可以采取以下措施:- 定期备份数据:将数据备份到独立设备或云存储中,确保在数据丢失时能够及时恢复。

- 引入冗余机制:通过多台服务器或存储设备的冗余配置,确保即使一台设备发生故障,数据也能够可靠地存储和访问。

3. 数据篡改风险数据篡改可能导致信息不准确、不可信,对业务和决策产生重大影响。

为了管理数据篡改的风险,可以采取以下措施:- 强化访问控制:对数据的修改操作进行严格控制,确保只有经过授权的人员可以进行修改。

- 数据完整性校验:通过校验和、哈希算法等手段验证数据在传输和存储过程中是否发生篡改。

二、权限控制的风险管理1. 不当授权风险不当授权可能导致未经授权的人员获得高于其职责的权限,从而可能滥用、泄露或篡改数据。

为了管理不当授权的风险,可以采取以下措施:- 最小权限原则:将授权的权限限制在员工工作职责所需的最低程度。

- 定期审计权限:定期检查和审计用户的权限,及时发现和纠正不当授权的情况。

电子文件信息安全问题与对策

电子文件信息安全问题与对策

电子文件信息安全问题与对策在信息高速公路上,电子文件如同一辆辆装满珍贵货物的车辆,它们以光速穿梭于虚拟的网络世界。

然而,这些看似无形的数据流却承载着巨大的价值和风险。

正如古人云:“水能载舟,亦能覆舟”,电子文件在为我们带来便捷与高效的同时,也暴露出一系列信息安全问题。

这些问题如同潜藏在海底的暗礁,时刻威胁着信息传输的安全。

首先,我们不得不面对一个现实:黑客攻击如同海上的狂风暴雨,时刻可能席卷而来。

他们利用高超的技术手段,悄无声息地侵入系统,窃取、篡改甚至摧毁电子文件。

这种行为无异于海盗抢劫,给个人隐私和企业机密带来巨大损失。

此外,病毒和恶意软件也如影随形,它们像海洋中的寄生虫一样,潜伏在电子设备中,一旦时机成熟便爆发出来,造成灾难性的后果。

其次,内部管理不善也是导致电子文件信息安全问题的重要原因。

有时,员工因为疏忽大意或操作不当,就如同船员在航行中打瞌睡,导致船只偏离航线甚至触礁沉没。

他们可能误删重要文件,或者将敏感信息泄露给不法分子。

这种“后院起火”的情况往往比外部攻击更难以防范。

那么,我们该如何应对这些挑战呢?首先,加强技术防护是关键。

我们需要建立一道道坚固的防线,如同筑起一座座灯塔和防波堤,引导数据安全航行并抵御风浪侵袭。

这包括使用防火墙、加密技术和访问控制等手段来保护电子文件不被非法访问和篡改。

同时,定期更新软件和系统补丁也是防止漏洞被利用的有效方法。

其次,提高员工安全意识同样至关重要。

我们要让每个船员都明白自己的责任和义务,确保他们在航行中始终保持警惕。

通过培训和教育,让员工了解信息安全的重要性,掌握正确的操作规程和应急处理措施。

只有这样,才能从根本上减少因人为因素导致的安全事故。

最后,建立健全的应急响应机制也是必不可少的。

当事故发生时,我们需要迅速启动应急预案,如同船长在风暴来临之际果断采取措施稳住船只。

这包括数据备份、恢复计划和事故调查等环节,以确保在最短时间内恢复正常运营并总结经验教训。

电子文件管理问题与对策

电子文件管理问题与对策

电子文件管理问题与对策随着信息技术的不断发展,电子文件已经成为现代企业日常工作中不可或缺的一部分。

电子文件管理也面临着诸多问题,如数据安全、文件混乱、版本控制等。

本文将探讨电子文件管理所面临的问题,并提出相应的解决对策。

电子文件管理问题之一是数据安全。

随着网络技术的发展,电子文件的保存和传输已经变得非常容易,但同时也存在着信息泄露、病毒攻击等安全隐患。

尤其是一些敏感性文件,一旦泄露可能对企业造成严重的损失。

企业需要采取有效的措施保护电子文件的安全。

可以采用加密技术对电子文件进行加密,以防止未经授权的访问。

建立权限管理制度,对不同级别的员工设置不同的文件访问权限,确保文件只对需要知道的人开放。

定期进行数据备份和恢复演练,以确保即使发生意外,重要文件也能够及时恢复。

另一个常见的问题是电子文件的混乱。

随着时间的推移,企业可能会积累大量的电子文件,如果没有进行有效的整理和管理,这些文件很容易变得混乱不堪,影响工作效率。

需要建立起一套有效的电子文件分类和整理体系。

可以根据文件的类型、日期、部门等进行分类,然后设置统一的命名规范,以便员工能够清晰地辨识文件内容。

建立起文件检索系统,方便员工快速找到需要的文件。

对于一些过期或无用的文件,及时进行清理和归档,以避免文件过多导致混乱。

电子文件的版本控制也是一个常见的问题。

在协作办公的环境下,同一份文件可能会经过多人多次修改,很容易导致版本混乱。

确保每个人都在使用最新版本的文件成为了一项挑战。

为解决这一问题,可以采用版本控制工具,如Git、SVN等,帮助团队成员共享最新的文件版本,并记录每一次修改的内容。

通过版本控制工具,可以清晰地了解文件的修改历史,方便团队成员之间的协作。

随着移动办公的普及,越来越多的员工将工作文件存储在个人电脑、手机等移动设备上。

这就给电子文件管理带来了新的挑战。

一个常见的问题是移动设备数据丢失或被盗,导致企业重要文件泄露。

企业需要建立起移动设备管理制度,规范员工在移动设备上的文件存储和传输行为。

电子文件管理问题与对策

电子文件管理问题与对策

电子文件管理问题与对策在今天的数字化时代,电子文件已经成为办公室必不可少的一部分。

它们大大提高了工作效率,但与此同时也带来了一些管理上的问题。

文件的丢失、篡改、泄露等情况经常发生,给单位带来了一定的损失。

我们需要认真对待电子文件管理问题,并采取一些对策来加以解决。

一、电子文件管理问题1. 电子文件丢失:电子文件储存在电脑或服务器中,如果没有适当的备份措施,一旦设备出现故障,就有可能导致文件的丢失,对工作造成极大影响。

2. 文件篡改:电子文件的可编辑性使得它容易遭到篡改,而这种篡改又极难被察觉,从而可能导致文件的不真实性和不可信度。

3. 文件泄露:由于电子文件可以通过网络传输,一旦不慎泄露,就会给单位带来重大损失,甚至造成不可挽回的后果。

4. 文件管理混乱:电子文件的数量庞大,如果没有良好的管理机制,很容易出现管理混乱,导致无法根据需求及时找到需要的文件。

5. 安全性问题:电子文件的安全性一直是个问题,黑客攻击、病毒感染等都可能导致文件泄露或文件损坏。

二、解决对策1. 建立规范的文件管理制度:单位应当制定出详细的电子文件管理制度,包括文件的命名规范、存储位置、备份要求等,让所有员工都能按照规定进行管理。

2. 定期备份文件:单位需要建立定期的文件备份制度,将重要文件备份到其他设备或者云端服务器中,以应对由于设备故障等原因导致的文件丢失问题。

3. 文件加密技术:对于一些重要机密的文件,可以采用加密技术,对文件内容进行加密处理,以确保文件的安全性。

4. 职责分工:在单位内部需要对文件管理的职责进行明确的分工,对于文件的增删查改等操作要进行严格的权限控制,确保文件不会被未授权的人员操作。

5. 定期整理文件:单位需要定期对文件进行整理和清理,删除一些过时的文件,以减少文件的数量,同时也便于管理和查找。

6. 提高员工意识:单位需要加强对员工文件管理意识的培训,让他们认识到电子文件管理的重要性,以免出现文件泄露等问题。

试分析电子档案管理过程中的风险管理

试分析电子档案管理过程中的风险管理

试分析电子档案管理过程中的风险管理【摘要】电子档案管理在现代社会扮演着至关重要的角色,同时也存在着诸多风险和挑战。

本文首先介绍了电子档案管理的重要性以及风险管理的必要性。

接着从风险识别与评估、风险控制与预防、风险监控与应对措施、员工培训与意识提升、数据备份与恢复机制等方面进行了深入分析。

结合这些内容,强调了风险管理对电子档案管理的重要性并提出了未来发展方向的建议。

本文探讨了电子档案管理过程中的风险管理,旨在为相关机构提供有效的风险管理措施,以确保电子档案的安全性和可靠性。

【关键词】电子档案管理、风险管理、风险识别、风险评估、风险控制、风险预防、风险监控、应对措施、员工培训、意识提升、数据备份、恢复机制、重要性、发展方向、总结、展望。

1. 引言1.1 电子档案管理的重要性电子档案管理是组织或企业对电子信息资源进行有效管理的重要手段。

随着信息化建设的深入推进,电子档案管理已经成为组织的重要管理工作,对保障信息安全、提高管理效率、提升服务质量等方面发挥着重要作用。

电子档案管理可以帮助组织实现信息资源的规范化管理。

通过建立电子档案管理系统,可以对组织内产生的各类电子信息资源进行统一管理、归档和检索,确保信息的便捷获取和有效利用。

电子档案管理也有助于提高信息资源的保存和管理效率,减少重复工作,降低管理成本。

电子档案管理还对信息安全具有重要保障作用。

在传统的纸质档案管理中,信息容易受到灭失、篡改等风险,而电子档案管理可以通过技术手段对信息进行加密、备份等措施,提高信息的安全性和可靠性。

电子档案管理的重要性不言而喻。

只有充分认识到电子档案管理的重要性,加强相关管理工作,才能更好地保障信息资源的安全性和高效利用。

1.2 电子档案管理风险管理的必要性电子档案管理风险管理的必要性在当今数字化时代变得愈发重要。

随着信息技术的发展和普及,电子档案管理已经成为各行各业的基础工作之一。

随之而来的是各种潜在的风险和安全隐患,如数据泄露、数据丢失、数据篡改等问题,给组织带来了不小的挑战和压力。

文件中的安全管理与风险防范

文件中的安全管理与风险防范

文件中的安全管理与风险防范随着现代科技的快速发展,电子文件在各个领域的应用日益广泛。

然而,随之而来的是数据安全和信息风险的威胁。

因此,对于文件中的安全管理和风险防范变得尤为重要。

本文将从文件安全管理的必要性、文件安全管理的原则以及文件中的风险防范措施三个方面进行论述。

一、文件安全管理的必要性文件是组织和个人的重要资产,包含了大量的信息和数据。

保护文件的安全不仅涉及到组织和个人的利益,也关系到用户隐私的保护。

以下是文件安全管理的几个必要性:1.防止信息泄露:文件中可能包含敏感信息,如个人身份信息、银行账户信息等。

如果文件安全管理不到位,这些信息可能会被黑客或不法分子获取,从而导致信息泄露、利益损失甚至个人隐私被侵犯。

2.避免数据丢失:在电子化时代,数据丢失对于个人和组织来说是一场灾难。

不恰当的文件管理可能导致文件的丢失或者损坏,而这些文件可能是组织重要的业务数据或个人珍贵的回忆,对组织和个人都具有重大影响。

3.提高工作效率:合理的文件安全管理可以提高信息处理的效率。

通过规范的文件管理,可以快速定位、检索和共享文件,避免浪费时间在查找文件和处理文件安全问题上。

二、文件安全管理的原则为了保障文件的安全,需要遵循一些文件安全管理的原则,以提供合理的保护和监控。

以下是几个常见的文件安全管理原则:1.保密性:确保文件只能被授权人员访问。

可以通过权限控制、加密等手段实现文件的保密性。

2.完整性:确保文件的内容不被篡改、损坏或丢失。

实施文件完整性的措施包括备份、验证和检查文件的一致性。

3.可用性:确保文件随时可用。

通过备份、恢复计划和故障恢复策略等措施,提供文件的可用性。

4.审计跟踪:记录文件的访问、修改和传输情况。

审计跟踪可以帮助发现潜在的安全风险并提供法律证据。

三、文件中的风险防范措施在文件管理过程中,需要采取各种措施来预防文件中的风险。

以下是一些常见的风险防范措施:1.定期备份:定期备份文件是应对数据丢失的最基本且最重要的措施。

探讨电子档案安全管理与风险管理的现状及应对

探讨电子档案安全管理与风险管理的现状及应对

子档案是信 息技术 的产物 。它在大 大丰富 了档案 的表达形
式 , 便我们查 找 、 方 阅读的 同时 , 也把兼容 性 、 安全性 等更为 复杂的技术难 题和漏洞赋于在电子档案管理上 , 给电子档案 的更 改、 截获、 无法读取等带来更多的可能。 我也 曾遭 遇过类似 的问题 , 上世纪 2明显 。 他们认 为电子档案不会
出现什 么重大事故 的 , 因此 , 于对此 花过多的时间和精力 . 吝 不屑一顾 。无论是在工作计划还是工 作总结 中. 少提及甚 很
至不 提 及 电子 档 案 风 险管 理 方 面 的内 容 . 它 晾 在 一边 。 把 23 忽 视 了安 全 管 理 的成 本 .
Si c & T cn ̄ cne e e o h
Vs n io i
21 02年 9月 第 2 5期
科 技 视 界
图书与档案
探讨电子档案安全管理与风险管理的现状及应对
王元 宝 牛 景丽
( 中原 油 田采油 六厂档 案 室
【 摘
山东
东明
24 1 ) 7 5 1
要】 通过对风险管理与安全管理关 系的认 识, 让我们 更加 深入地 了解到 当前电子档案安全管理的现状 . 识到 用风 险 认
有的部门为 了避免电子档案出现安全风险 ,不惜花费大
量资金 , 采用一大批新 的安全产 品和技术 , 结果效果甚微 。实
际上 , 电子档案的安全管理不是“ 越安全越好 ” 不同部 门不 同 。 种类的电子档案 , 对于安全 的需求是不 同的; 同一份 电子档案 其安全保密性超出安全保密 的管理需求 不但没有必要 .而且
统风险 , 又出现了新 的风险 。如 : 由于管理失误造成的文件缺
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Enhance the initiative and predictability of work safety, take precautions, and comprehensively solve the problems of work safety.(安全管理)单位:___________________姓名:___________________日期:___________________从风险管理的视角探讨电子文件安全管理问题(标准版)从风险管理的视角探讨电子文件安全管理问题(标准版)导语:根据时代发展的要求,转变观念,开拓创新,统筹规划,增强对安全生产工作的主动性和预见性,做到未雨绸缪,综合解决安全生产问题。

文档可用作电子存档或实体印刷,使用时请详细阅读条款。

如今,风险管理已经是信息安全保障工作的一个主流范式。

信息安全防范工作越来越基于风险管理。

①把风险管理与电子文件联系起来绝不是理论研究上的攀拉与附会,而是每一个与电子文件打交道的人,特别是文件、档案管理者无法回避的视角和观念。

②基于上述两点考虑,笔者认为,从信息安全风险管理的视角来审视电子文件的安全管理问题是十分有意义,通过对风险管理与安全管理关系的认识,我们可以更加深入地了解到当前电子文件安全管理存在的问题,进一步认清电子文件安全管理工作存在的不足之处和改进方向。

一、风险管理与安全管理关系的认识在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。

而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。

在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。

”对安全的释义是“不受威胁,没有危险、危害、损失。

”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。

风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。

另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。

威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。

正如电子文件的网络化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速发展,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。

其次,要对风险管理与安全管理有深刻的认识。

风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以科学的管理方法实现最大安全保障的实践活动的总称。

③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。

应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。

安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。

基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。

二、从风险管理的视角探讨电子文件安全管理问题(一)缺乏科学的安全管理理论与方法指导信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。

从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。

虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。

(二)对安全管理的认识存在偏差信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。

然而,传统电子文件安全管理对此认识却存在偏差。

1、追求绝对的安全。

一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。

然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。

而电子文件安全管理工作从本质上来讲,也就是风险管理工作。

电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。

同样,从信息安全保密的实践历史来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。

祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。

因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!2、风险意识薄弱,对安全风险认识存在偏差。

一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。

这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。

3、忽视了对“资产”评估鉴定。

从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。

然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。

④(三)管理环节不完善信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。

从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。

首先,安全管理计划缺乏依据。

现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。

其次,缺乏关键的风险评估环节。

风险评估是电子文件安全管理的基础和关键环节。

没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。

虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。

对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。

最后,安全监控力度有限。

电子文件是动态存在的,其安全现状也是随时在变化的。

在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。

然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。

(四)缺乏系统性和动态性信息安全风险管理基于系统、全面、科学的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。

传统的电子文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。

⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全,自然安全管理工作就不系统。

另一方面,忽视整个电子文件保管环境的安全管理。

电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。

从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。

而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。

此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的总结与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。

从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。

(五)忽视了对安全风险、成本和效率的权衡信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。

安全风险、安全成本与效率的关系如下图所示:安全风险、安全成本与效率关系示意图从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。

相关文档
最新文档