安全风险评估信息化档案管理论文

一、档案管理信息化过程中存在的不足之处

信息技术以及信息产业的飞速发展，给档案管理信息化建设带来了机会，同时也给其带来了巨大的冲击和新的挑战。信息系统自身所处的网络环境的特点以及信息系统自身的局限性会导致信息系统的发展过程中会受到一些因素的影响。而且，在使用的过程中也会遇到一些认为破坏或者是木马等方面的破坏。所以，档案管理信息化的过程中会遇到一些信息安全隐患，这严重影响信息的安全可靠性。但是，随着时代的快速发展，人们在不断的探索和研究防止信息系统遭受到破坏的措施，而且在杀毒软件和入侵检测技术方面获得了很大的成就。虽然这些检测手段的使用在一定程度上可以防止恶意程序对信息系统的破坏，但是并没有从根本上解决档案信息系统的安全问题。因为随着信息技术的发展，信息系统受到的威胁也在逐渐向着多样化的趋势发展变化，而且更加的隐蔽化，对于信息系统的破坏性越来越大。随着信息技术的广泛使用，信息安全的内涵也在不断的丰富，已经不再是最开始的单单对信息保密，而是向着保证信息的完整性、准确性方向发展，使档案信息变得更加的实用而且具有不可否认性。进而实现多方面的防控实施技术。

二、档案管理信息化中安全风险评估的作用

人们在进行档案信息管理的过程中受到认识能力以及实践能力的限制，不能够保证信息管理的完全安全性，所以档案信息管理系统在一定程度上存在着脆弱性，这种情况导致在使用档案信息的过程中面临着一些人为或者是自然条件的破坏，所以档案信息管理存在安全风险具有必然性。因此，对档案信息管理进行安全风险评估具有重要的意义，信息安全建设的前提是，基于对综合成本以及效益的考虑，采取有效的安全方法对风险进行控制，保证残余风险降低在最小的程度。因为，人们追求实际的信息系统的安全，是指对信息系统实施了风险控制之后，接受残余风险的存在，但是残余风险应该控制在最小的程度。所以，要保证档案信息系统的安全可靠性，就应该实施全面、系统的安全风险评估，将安全风险评估的思想以及观念贯穿到整个信息管理的过程中。通常情况下，信息安全风险主要指的是在整个信息管理的过程中，信息的安全属性所面临的危害发生的可能性。产生这种可能性的原因是系统脆弱性、人为因素或者是其他的因素造成的威胁。用来衡量安全事件发生的概率以及造成的影响的指标主要有两种。然而，危害的程度并不只取决于安全事件发展的概率，还与其造成的后果的严重性的大小有着直接的关系。安全风险评估具有很多的特点。首先，它具有决策支持性，这个特点在整个安全风险评估周期中都存在，只是内容不相同，因为安全评估的真正目的是供给安全管理支持以及服务的。在系统生命周期中都存在着安全隐患，所以整个生命周期中都离不开安全风险评估。其次，比较分析性，这个特点主要体现在对安全管理和运营的不同的方案能够进行有效的比较以及分析；能够对不同背景情况下使用的科学技术以及资金投入进行比较分析；还能够对产生的结果进行有效的比较分析。最后，前提假设性，对档案信息进行管理的过程中所使用的风险评估会涉及到各种评估数据，这些数据能够被分为两种。其中一种数据的功能是对档案信息实际情况的描述，通过这些数据就可以了解整个档案管理信息中的情况；另一种数据是指预测数据，主要是根据系统各种假设前提条件确定的，因为在信息管理的整个过程中，都要对一些未知的情况进行事先的预测，然后做出必要的假设，得出相关的预测数据，再根据这些预测数据对系统进行风险评估。

三、档案管理不同阶段

进行不同的风险评估信息系统的开发涉及到很多的模型，而且随着科学技术的快速发展，各种模型都在不断的升级。从最早期的线性模型到螺旋式模型再到后来的并发式的模型，这些系统模型的开发都是为了满足不同的系统需求。然而，风险评估却存在于整个信息系统的生命周期中，但是由于信息系统的生命周期中有很多的阶段，而且每一个阶段活动的内容都有所差别，因此信息管理的安全目标以及对安全风险评估的要求也是不同的。

（一）对于分析阶段的风险评估。其真正的目的是为了实现规划中的档案信息系统安全风险的获得，这样才能够根据获得的信息来满足安全建设的具体需求。分析阶段的风险评估的重点是抓住系统初期的安全风险评估，从而有效的满足对安全性的需求，然后从宏观的角度来分析和评估档案信息管理系统中可能存在的危险因素。

（二）设计阶段的安全风险评估。这个阶段涉及到的安全目标比较多，所以能够有效的确定安全目标具有重要的意义。应该采取有效的措施，通过安全风险评估，保证档案信息管理系统中安全目标的明确。

（三）集成实现阶段。这个阶段的主要目的是要验证系统安全要求的实现效果与符合性是否一致，所以，应该通过有效的风险评估对其进行验证。需要注意的是，在进行资产评估的时候，如果在分析阶段以及设计阶段已经对资产进行了评估，那么在这个阶段就不需要再重新做资产评估的工作，防止重复性工作的发生。所以，可以直接用前两个阶段得出的资产评估的结果，但是如果在分析阶段和设计阶段都没有进行资产评估，则需要在此阶段先进行这项工作。威胁评估依然着重威胁环境，而且要对真实环境中的具体威胁进行有效的分析。除此之外，还应该对档案信息管理系统进行实际环境的脆弱性的有效分析，重点放在信息的运行环境以及管理环境中的脆弱性的分析。

（四）运行维护阶段。对档案管理系统不断的进行有效的风险评估，从而确保系统的安全、可靠性，这样才能够保证档案管理系统在整个生命周期中都处于安全的环境。

四、档案信息安全风险评估存在的不足

我国在档案信息安全风险评估方面已经取得了很大的成就，积累了一些宝贵的经验。但是，由于我国档案信息安全风险评估工作起步晚，还存在一些不足之处，主要表现在以下几点。

（一）管理层对于信息安全风险评估缺乏一定的重视，而且缺少一些专业评估技术人员。当前评估技术人员的专业技能不高也是现阶段存在的问题。所以，应该对评估人员进行定期的培训，提高他们的专业技能，保证风险评估工作有效的进行，同时还应该采取有效的措施来提高工作人员对于风险评估的重视，是档案管理信息化环境处于安全的运行环境中。

（二）风险评估的工作流程还不够完善，而且一些风险技术标准也需要进一步的更新。档案信息化管理的风险评估，不仅仅是一个管理的过程，也是一个技术性的过程，所以应该根据实际情况来科学合理地制定工作流程和技术标准。如果所有的环境和情况都套用一种工作流程和一个技术标准，就会导致不匹配现象的出现，不仅影响风险评估的效果，而且在一定程度上还影响信息系统的安全性。

（三）评估工具的发展比较滞后，随着科学技术的快速发展，信息安全漏洞会逐渐显露出来，所以对信息系统的威胁逐渐增加。应该采用先进的评估工具对其进行风险评估，从而满足档案管理信息化的需求。

五、结语

随着信息技术的飞速发展，应该摆脱传统的档案信息管理方式，采用档案管理信息化的建设。本文主要探讨了档案管理信息化的优势，并且介绍了档案信息安全风险评估的内容，提出了目前档案信息安全风险评估中的不足之处，希望对我国的档案信息化的发展提供一定的参考价值。

作者：潘晓露 单位：菏泽市城市综合开发办公室