戴 旸,汪維剛

(1.安徽大學(xué)管理學(xué)院,合肥 230039;2.桐城師范高等?？茖W(xué)校理工系,安徽桐城 231402)

隨著信息技術(shù)的迅猛發(fā)展,國家機(jī)關(guān)、社會組織及個人對信息技術(shù)的依賴越來越大,生產(chǎn)生活中產(chǎn)生的電子文件的數(shù)量也與日俱增。這些電子文件,真實(shí)地記錄和反映了機(jī)關(guān)、企事業(yè)單位以及個人從事的工作、學(xué)習(xí)和活動,具有重要的憑證性和參考價值。保障電子文件的信息安全,是電子文件管理活動中的重要命題。海量電子文件,大部分來源于電子政務(wù)和電子商務(wù)等活動,其中尤以電子政務(wù)中產(chǎn)生的電子文件的信息安全更為重要。本文將主要圍繞電子政務(wù)環(huán)境下電子文件信息安全的問題與對策,展開研究和探討。

一、電子政務(wù)及電子文件信息安全

(一)電子政務(wù)及其信息安全

電子政務(wù)是指政府部門在現(xiàn)代信息技術(shù)、網(wǎng)絡(luò)技術(shù)的支持下,轉(zhuǎn)變管理和服務(wù)職能,利用網(wǎng)絡(luò)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化,超越時間、空間和部門分割的制約,向全社會提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的服務(wù)。電子政務(wù)發(fā)展至今,已日漸成熟和完善,但其安全問題卻始終不容小覷。管理人員安全意識的缺乏、管理手段的落后、政務(wù)系統(tǒng)本身的漏洞和缺陷等,都會影響到電子文件信息的完整保存和安全使用。虛假有害信息有增無減,過時冗余信息喧賓奪主等都使得電子政務(wù)面臨著安全威脅。

(二)當(dāng)前電子文件信息安全保護(hù)政策的局限性

電子文件的信息安全理論與實(shí)踐研究發(fā)展至今,不過十余年的時間,就能形成如此系統(tǒng)、完備的理論體系并付諸于實(shí)踐,確實(shí)值得肯定與鼓勵,但不得不承認(rèn)的是其中還存在一定的局限性。當(dāng)前的電子文件信息安全研究多集中于原因分析,目前已基本達(dá)成共識。所制定的政策雖涉及管理制度、技術(shù)保障、人才隊(duì)伍建設(shè)等方面,但大多較為膚淺,并未做深入的闡釋。一些措施理論性很強(qiáng),但實(shí)踐起來卻很困難,時間和金錢上的成本很高,如同紙上談兵,沒有具體的操作程序可以執(zhí)行。工作人員在操作過程中,隨意性很大,這無疑會給電子文件帶來危害。

二、電子政務(wù)背景下電子文件的風(fēng)險管理

(一)電子文件風(fēng)險管理概述

風(fēng)險管理貫穿于信息系統(tǒng)的整個生命周期,具體包括對系統(tǒng)中安全風(fēng)險的識別、評估和控制。首先,電子文件風(fēng)險管理思想將電子政務(wù)活動中產(chǎn)生的電子文件看成是國家機(jī)關(guān)正常運(yùn)作和管理不可或缺的重要資源,國家機(jī)關(guān)和個人有責(zé)任采取有效措施,使這些信息資源免受威脅,或?qū)⑦@些威脅降至最低,以維護(hù)和保障電子政務(wù)的正常運(yùn)作,而這一有效措施就是堅(jiān)持電子文件的風(fēng)險管理。其次,電子文件風(fēng)險管理思想認(rèn)為風(fēng)險管理是電子文件管理活動不可分割的重要組成部分,而絕非簡單的附加,實(shí)施風(fēng)險管理對于提升電子文件管理效果和水平具有重要實(shí)踐價值。電子文件管理人員有責(zé)任借助風(fēng)險管理,獲取創(chuàng)新的靈感,以完善和加強(qiáng)電子文件管理。再次,同傳統(tǒng)的文檔管理一樣,電子文件風(fēng)險管理應(yīng)堅(jiān)持以防為主,即積極主動地防范,加強(qiáng)對風(fēng)險的前期監(jiān)控,進(jìn)而針對性地進(jìn)行處理和控制。最后,電子文件風(fēng)險管理研究是應(yīng)用性和實(shí)踐性很強(qiáng)的研究,僅僅停留在方法論層面是不夠的。要選擇適當(dāng)?shù)陌咐M(jìn)行實(shí)證分析,堅(jiān)持定性與定量研究相結(jié)合,分析具體文件風(fēng)險,在風(fēng)險評估的基礎(chǔ)上進(jìn)行總結(jié)和分析,進(jìn)而提出多種解決方案,突出風(fēng)險管理的實(shí)用性,從個別到一般,從實(shí)踐上升到理論,形成正確普適的理論體系,進(jìn)而指導(dǎo)實(shí)踐。

(二)電子政務(wù)背景下電子文件風(fēng)險管理步驟

電子政務(wù)背景下電子文件風(fēng)險管理的最終目的是及時發(fā)現(xiàn)并分析電子政務(wù)活動中存在的電子文件安全風(fēng)險,對可能出現(xiàn)的風(fēng)險進(jìn)行控制,以保證電子政務(wù)活動順利、有序地進(jìn)行下去?？偟膩碚f,電子政務(wù)背景下電子文件風(fēng)險管理主要包括四個步驟,依次是風(fēng)險識別、風(fēng)險評估、風(fēng)險應(yīng)對以及風(fēng)險監(jiān)控。

1.電子文件的風(fēng)險識別

電子文件的風(fēng)險識別首先是風(fēng)險認(rèn)知,即對電子文件所面臨的各種風(fēng)險采取有效的方法進(jìn)行系統(tǒng)地考察、了解和認(rèn)知,并總結(jié)和判斷風(fēng)險的種類、性質(zhì)及可能發(fā)生的后果,以便政府工作人員和文件管理人員增強(qiáng)風(fēng)險的識別和感知能力。針對電子政務(wù)活動中產(chǎn)生的大量電子文件,風(fēng)險管理系統(tǒng)應(yīng)依據(jù)全程管理原則,從電子文件生成之初,即對其價值和相關(guān)信息進(jìn)行識別。同時,風(fēng)險管理還要分析各種風(fēng)險事件存在和可能發(fā)生的原因,并了解潛在風(fēng)險的狀況,為風(fēng)險管理后續(xù)階段的展開做好準(zhǔn)備。

2.電子文件的風(fēng)險評估

電子文件風(fēng)險評估是科學(xué)計(jì)量和評價電子文件管理系統(tǒng)安全性的過程。這個過程充分運(yùn)用了定量分析的方法,對文件中所存儲信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)判定,進(jìn)而測算出電子文件及相關(guān)資產(chǎn)的脆弱性、潛在的威脅及潛在威脅發(fā)生的可能性,最后還要評估種種威脅通過系統(tǒng)漏洞對電子文件及相關(guān)資產(chǎn)進(jìn)行破壞所造成后果的嚴(yán)重性。

電子文件的風(fēng)險評估是其風(fēng)險管理工作最根本的依據(jù)。在電子政務(wù)活動中,對電子文件進(jìn)行風(fēng)險識別之后,應(yīng)依據(jù)文件的生成單位、生成事由及存在狀態(tài)類判定其價值,辨明其真?zhèn)?分析和識別管理系統(tǒng)中存在的漏洞以及系統(tǒng)外可能發(fā)生的威脅,并進(jìn)行實(shí)時監(jiān)控。同時,本著效益原則,核定風(fēng)險管理的成本,依據(jù)文件價值和管理成本來確定風(fēng)險管理等級。

3.電子文件的風(fēng)險應(yīng)對

電子文件風(fēng)險應(yīng)對的目的是最大限度地減少因文化管理失當(dāng)而造成的損失。電子文件在經(jīng)過風(fēng)險識別、分析評估之后,就需要采取措施處理風(fēng)險,因此風(fēng)險應(yīng)對階段是整個風(fēng)險管理過程中實(shí)踐性較強(qiáng)的階段,直接影響到風(fēng)險管理的效果。具體來說,風(fēng)險應(yīng)對要加強(qiáng)電子政務(wù)活動中各種易造成風(fēng)險的因素的管理,合理規(guī)避風(fēng)險的發(fā)生,及時彌補(bǔ)風(fēng)險后果并阻止其擴(kuò)散。

4.電子文件的風(fēng)險監(jiān)控

電子文件風(fēng)險監(jiān)控的目的是將微觀的、具體的風(fēng)險管理上升到宏觀的、普適的風(fēng)險管理,加強(qiáng)對整個風(fēng)險管理活動的跟蹤、評估和反饋,以保證電子文件風(fēng)險管理能夠有效有序地開展。同時,對于電子政務(wù)活動中出現(xiàn)的突發(fā)事件,也能及時發(fā)現(xiàn),并妥善解決,避免情況的惡化。

除了以上四個主要步驟外,電子文件的風(fēng)險管理部門還應(yīng)該認(rèn)真總結(jié)風(fēng)險管理經(jīng)驗(yàn),及時報(bào)告風(fēng)險管理結(jié)果,保證電子政務(wù)活動的高效、順利開展。

(三)電子文件風(fēng)險管理保障

電子文件的風(fēng)險管理得以順利展開并產(chǎn)生效果,除了嚴(yán)格執(zhí)行風(fēng)險管理的主要步驟外,相關(guān)的保障措施也同樣必不可少,筆者試擇要敘述如下:

1.加強(qiáng)制度建設(shè),制定戰(zhàn)略目標(biāo)

在電子文件的風(fēng)險管理中,應(yīng)該建立健全電子文件風(fēng)險管理制度,加強(qiáng)電子文件風(fēng)險管理機(jī)制的組織建設(shè)。應(yīng)選定一位主要領(lǐng)導(dǎo)專門負(fù)責(zé)電子文件風(fēng)險管理,安排專門的工作人員負(fù)責(zé)處理風(fēng)險管理的日常事務(wù),保證電子文件風(fēng)險管理日常事務(wù)的正常運(yùn)行,確保風(fēng)險管理機(jī)制的長效運(yùn)作。同時,制定切實(shí)可行的電子文件風(fēng)險管理戰(zhàn)略目標(biāo),定期研究分析風(fēng)險管理的實(shí)施進(jìn)程,及時解決風(fēng)險管理中存在的問題,劃定風(fēng)險管理的工作重點(diǎn)和要求,有重點(diǎn)、有計(jì)劃、分步驟地展開電子文件風(fēng)險管理。

2.多部門聯(lián)動,加強(qiáng)合作

電子政務(wù)背景下電子文件風(fēng)險管理工作的有效開展需要多部門的共同協(xié)作。政府部門、文件形成部門、檔案部門及具體工作人員應(yīng)明晰各自在管理活動中所承擔(dān)的責(zé)任,以強(qiáng)烈的責(zé)任感和使命感對待電子文件的風(fēng)險管理,積極構(gòu)建風(fēng)險管理運(yùn)行機(jī)制,優(yōu)化電子文件風(fēng)險管理流程。

3.開展風(fēng)險教育,提高風(fēng)險意識

在過去一段時間里,電子文件的信息安全未能很好地得到保障,重要原因就在于風(fēng)險意識不強(qiáng)。當(dāng)前,各部門在日常管理中,要積極加強(qiáng)電子文件風(fēng)險教育工作,教育的對象既包括政府工作人員、電子文件管理人員及檔案人員,還應(yīng)該包括電子政務(wù)的用戶。各部門還要通過多種方式宣傳電子文件風(fēng)險管理的基本知識。

三、結(jié)束語

電子文件信息安全管理關(guān)系到電子政務(wù)建設(shè)的質(zhì)量和效果,是電子政務(wù)建設(shè)的關(guān)鍵所在。風(fēng)險管理是一個從理論到實(shí)踐,再從實(shí)踐到理論的過程,將風(fēng)險管理引入電子文件信息安全建設(shè),有助于加強(qiáng)電子文件信息安全,推動電子政務(wù)的建設(shè)。而電子文件的風(fēng)險管理也在不斷地循環(huán)往復(fù)中得以逐步完善,進(jìn)一步推動電子政務(wù)建設(shè)和電子文件信息安全建設(shè)的進(jìn)步和完善。

[1]張寧.電子文件風(fēng)險管理:識別與應(yīng)對 [J].電子政務(wù),2010(6).

[2]潘榮坤.電子政務(wù)系統(tǒng)的信息安全問題及其對策研究[J].電子政務(wù),2010(6).

[3]孟祥宏.電子政務(wù)信息安全互動策略研究[J].檔案學(xué)通訊,2010(2).

[4]張永明.電子文件管理原則實(shí)踐研究 [J].中州大學(xué)學(xué)報(bào),2009(3).

[5]向立文.電子文件風(fēng)險管理機(jī)制的構(gòu)建 [J].檔案學(xué)通訊,2009(2).

[6]王萍.電子檔案安全保護(hù)措施的局限性及對策分析[J].檔案學(xué)研究,2007(5).

[7]徐擁軍.電子文件風(fēng)險管理的必要性與可行性[J].檔案學(xué)通訊,2005(6).

[8]馮惠玲.論電子文件的風(fēng)險管理[J].檔案學(xué)通訊,2005(3).