安全风险档案主要包括哪些内容

档案信息安全是基于技术的管理工程。从管理层面上讲，就是要确保档案信息的安全，必须在风险分析的基础上确立档案信息安全的策略、方针和目标，成立相应的管理机构，确立合理的管理机制，制定安全管理计划，分解安全管理职责，执行安全管理制度和管理标准，建立并实施完善的档案信息安全体系。因此，风险识别与风险评估是档案信息安全管理的基础，风险控制则是安全管理的最终目的。

（一）档案信息安全系统管理模式

新的风险在不断出现，档案信息系统的安全需求也会随之不断变化，因此安全管理应是动态的、不断改进的持续发展的过程。档案信息安全管理模型可选择PDCA模式，即计划（Plan）、执行（Do）、检查（Check）和行动（Action）的持续改进模式。采用PDCA管理模式，每一次的安全管理活动循环都是在已有的安全管理策略指导下进行，每次循环都会通过检查环节发现新的问题并采取行动予以改进，从而形成安全管理策略和活动的螺旋式提升。如图6-1。

图6-1　安全管理模型—PDCA持续改进模式

信息安全管理PDCA持续改进模式把PDCA管理模式与安全要求、风险分析有机地结合在一起，考虑了信息安全中的非技术因素，同时加强了信息安全管理，具有广泛的适用性。

（二）档案信息安全系统管理的具体实施

在档案信息安全管理模式中，档案信息安全管理中心是整个系统的核心，每一个环节都要定期地与档案信息安全管理中心进行安全信息交流，当档案信息安全管理中心认为有必要对其安全目标进行修改时，要及时向上级领导汇报，等待最终的定夺。

1.完善组织机构

有条件的档案部门可以成立档案信息安全管理中心，负责实施和监控整个档案信息安全管理活动。安全管理中的每一个环节都必须与安全管理中心进行信息交流，安全管理中心还具备评价数字档案信息安全管理体系运作情况的功能，可以对安全方针、安全制度和安全措施的实施结果进行调查，并分析这些安全举措对档案信息安全的影响，然后提出相应的改进方案。数字档案信息安全管理中心由部门领导、信息管理专家、信息技术专家和技术雄厚、人员稳定的开发队伍、有关的工作人员组成。

2.进行风险评估

根据最新的研究数据，在全部的计算机安全事件中，约有60%是人为因素造成，属于管理方面的失误比重高达70%以上，在这些安全问题中95%是可以通过科学的风险评估来避免的。

因此，档案部门必须清楚档案信息系统现有以及潜在的风险，充分评估风险可能带来的威胁和影响，这是档案信息化建设必须首先解决的问题，也是制定信息安全策略的基础与依据。进行风险评估，不只在明确风险，更重要的是为数字档案信息安全管理提供基础和依据。

风险评估是一项费时、需要人力支持以及相关专业或业务知识支持的工作。风险评估应遵循以下原则：

（1）安全、风险和成本均衡分析原则。即用最小的成本达到适度安全的需求。

（2）整体性原则。运用系统工程的原理进行网络信息安全的整体解决方案设计，以达到完整性的要求。

（3）可用性和易操作性原则。信息安全系统对于操作者应该是可用的，操作应该是简单易行的。

（4）适应性和灵活性原则。安全策略必须随着网络性能和安全需求的变化而变化，适应性强，易修改。

3.制定安全策略

制定档案信息的安全策略，要在完善配套、科学合理的有关数字档案信息安全的法制和标准体系下，通过有效的信息安全技术和安全管理遏制来自外部和内部的攻击，增强安全防护能力和隐患发现能力，确保数字档案信息资源内容和信息载体的安全，达到所需的安全级别，具体安全策略可分为内部建设安全策略和网间互联安全策略等，循序渐进逐步加以完善，最终形成功能强大的数字档案信息安全管理体系。

制定安全策略时不能脱离实际，过于理论化或限制性太强的安全策略可能导致工作人员的漠视。因此在安全策略制定时必须遵循以下原则：越符合现状越容易推行，越简单越容易操作，改动越小越容易被接受。档案信息安全策略需要根据信息技术发展、自身的安全需求进行不断的修改和更新，以保证档案信息安全不受新的信息安全风险的影响。

4.开展数字档案信息安全管理培训

开展数字档案信息安全培训是档案信息安全管理体系的重要环节之一，特别是各关键岗位的人员，对档案信息的安全起到重要作用。在实际工作中，大部分档案信息安全问题都是由人为因素造成的。人本身就是一个复杂的信息处理系统，还会受到自身生理因素和心理因素的影响，受到技术熟练程度、责任心和道德品质等多方面的影响。因此对于档案部门工作人员的培训不应是“一次性”的活动，需要定期对人员进行安全策略及安全技术的“应知、应会”培训，尤其是安全策略更改或面临新的安全风险、部署新的安全解决方案之后，更要对其加强培训，以保证安全策略的有效程度。

5.贯彻执行管理决策

管理决策的贯彻执行必须依靠人来完成，虽然档案信息安全保障体系的建设涉及档案部门方方面面的因素，但归根结底的因素是“人”。没有机构人员的认可、理解与支持，就没有实施数字档案信息安全管理保障体系的前提；没有档案部门的有力组织协调，则很难保证信息系统建设的顺利进行；没有相关实施人员的互相配合和出色工作，无法使信息系统中各模块的信息无缝集成；没有具体业务人员及时准确地收集各种基础信息，就没有信息系统的输出；没有资深咨询顾问的正确指导，信息系统实施就难免多走弯路，甚至有可能失败。

6.持续完善管理体系

首先，确定待评价系统的边界和范围，明确评价的目的，以系统整体为立足点，总体分析各方面的效益与成本，及其与系统各构成部分的关系；其次，确定待评价系统的状态与所处的阶段，如可行性分析、总体设计、系统开发与运行等各阶段；再次，选择适当的评价方法，如结果观察法、类比—对比法、专家评价法或评分法等，确定适当的评价指标；最后，收集有关数据、资料进行分析、计算，得出评价结果，并将评价结果书面化。根据评价结果进行不断完善，提高档案信息安全管理体系及具体实施过程的有效性和效率，以满足自身、用户和其他相关方日益增长和不断变化的需求与期望。

目前，建立信息安全管理体系的方法已经制定为国际标准《ISO/IEC 17799：2000信息安全管理实施细则》。我国在2005年6月颁布了相应的推荐性国家标准《信息技术 信息安全管理实用规则》（GB/T 19716-2005）、《信息技术 信息技术安全管理指南第1部分：信息技术安全概念和模型》（GB/T 19715.1-2005）、《信息技术 信息技术安全管理指南第2部分：管理和规划信息技术安全》（GB/ T 19715.2-2005），这些标准主要参照了国际标准ISO/IEC17799、ISO/IEC27001、 ISO/IECTR13335等。上述标准在管理策略、环境控制、组织结构、人员责任规范、操作程序以及技术手段上都提出了一系列指导性规范，各单位可参照上述国际和国家标准建立适合本单位的档案信息安全管理体系，保证档案信息的安全。