有关电子文件安全性问题和风险管理的探讨

3.3　有关电子文件安全性问题和风险管理的探讨

电子文件的信息安全问题一直受到学界的关注，早在1998年，国家确定的与计算机档案管理有联系的科研项目中，有1/3都与网络及信息安全有关⁽⁸²⁾。

学者们普遍认为电子文件载体、存储方式的特殊性，决定了电子文件始终存在着程度不同的安全隐患，当前电子文件存在着两类安全隐患，一方面是技术上的不安全性，如网上黑客攻击、恶意程序入侵等；另一方面是管理上的不安全性。刘家真详细分析了电子文件数据丢失的风险，指出数据在线风险包括硬件故障、系统故障、人为因素、灾祸等。离线数据丢失的原因除恶意破坏和灾祸外还有密码丢失、存储介质失效(media failure)或损坏等⁽⁸³⁾。对此，应采取的对策包括技术上的保密措施(如身份验证、数字签名、信息加密、防火墙)和防灾措施(如预防计算机病毒入侵、建立数据备份系统等)以及管理上的系列措施，如建立健全相关法规制度、建立安全管理制度、建立电子文件生命周期管理系统等⁽⁸⁴⁾。国家档案局提出解决电子文件安全问题的主要措施有:(1)建立电子文件安全管理制度；(2)完善电子文件流转跟踪登录管理；(3)在电子文件管理系统中建立有效的操作权限管理体系；(4)设置自动启动的电子文件操作日志，以备日后进行安全查考或真实性鉴定时作为依据⁽⁸⁵⁾。

我国有关风险管理理论的研究始于20世纪80年代后期，而电子文件风险管理概念的提出则是近几年的事情，尽管《电子证据——当代机构文件管理战略》((美)戴维·比尔曼著，王健等译，人民大学出版社)一书中提及了电子文件管理应导入风险的概念，但毕竟只是国外学术观点的介绍。刘笑宇、柳家英率先提出电子文件风险管理的观点，认为“电子文件管理的客观环境和条件的不确定性是风险的重要成因”，进而分析了电子文件的管理风险、利用风险和法律效力风险及其规避策略⁽⁸⁶⁾。

从现有的研究内容来看，学者们已经注意到了电子文件风险防范、风险管理以及检测、评估等问题对电子文件保管利用的影响。有学者将电子文件风险进行系统归类:(1)根据电子文件构成分为技术风险、管理风险、环境风险；(2)根据电子文件流程，存在生成风险、流转处理风险和文件归档保管风险；(3)根据文件连续运动的过程划分，有主体风险、客体风险、处理风险和证据风险。建议采取积极的风险防范策略，如识别风险、回避风险、转移风险、分散风险、控制风险和补救风险等有效控制电子文件风险的发生⁽⁸⁷⁾。

冯惠玲认为电子文件管理中最致命的问题，最根本的风险就是真实性、完整性和可读性受到破坏，并将电子文件及其管理本身的不确定性看作是基本风险，因而，防范和控制电子文件管理过程中的连带风险和间接风险就成为电子文件管理的重要内容。同时，风险管理并不是电子文件管理的附加内容，而是其中不可分割的组成部分，实施风险管理对于提升电子文件管理效果和水平具有重要的实践价值⁽⁸⁸⁾。在风险防范措施的探讨上，普遍认可全程管理、前端控制、元数据管理、相应技术支持以及法律规范的完善和人员素质的提高等是电子文件风险管理体系的重要内容和举措。