讀書筆記之一

1、電子文件風(fēng)險管理讀書筆記第一章：“電子文件風(fēng)險管理導(dǎo)論”，提供了全文的概念基礎(chǔ)和研究框架，提出來電子文件風(fēng)險、風(fēng)險因素、風(fēng)險事故的概念，梳理了電子文件風(fēng)險、風(fēng)險因素、的類別與具體表現(xiàn)，剖析了電子文件風(fēng)險復(fù)雜多變原因，提出來電子阿膠風(fēng)險管理的程序與方法。我們把遍布于電子文件流程之中的風(fēng)險劃分為8大類，23種，并列表顯示；把導(dǎo)致電子文件風(fēng)險的因素歸結(jié)為3大類15種以一副魚骨圖集中顯示，幫助讀者建立電子文件風(fēng)險及其致險因素的綜合概念。第二章：“電子文件風(fēng)險管理規(guī)劃與監(jiān)控”，將風(fēng)險管理流程中的第一步和最后一步合在一起進行研究主要出于這樣的考慮：這兩項工作都需要立足全程，二者之間具有很強的互動性，監(jiān)控是

2、動態(tài)的完善規(guī)劃的有效手段。提出電子文件風(fēng)險管理規(guī)劃的內(nèi)容框架和制定的技術(shù)工具，設(shè)計了電子文件風(fēng)險管理的“九部法”，作為管理活動的標準程序和實施步驟，還闡述了風(fēng)險監(jiān)控的內(nèi)容、方法和風(fēng)險預(yù)警與應(yīng)急舉措。第三章“電子文件風(fēng)險地識別”，按照文件生成、流轉(zhuǎn)和保存三個階段，全面、精確的識別了電子文件風(fēng)險、風(fēng)險因素、風(fēng)險事故的具體表現(xiàn)，提供了一份包括100多項風(fēng)險因素在內(nèi)的風(fēng)險分類清單，并深入剖析了各階段、各種類型文件風(fēng)險之間的復(fù)雜關(guān)系。第四章：“電子文件風(fēng)險評估”，是在風(fēng)險識別的基礎(chǔ)上對電子文件管理風(fēng)險進行量化分析。主要方法是借鑒并運用國際、國內(nèi)風(fēng)險評估的專門標準和工具，將電子文件管理中存在的各類風(fēng)險足一

3、劃分等級，據(jù)此決定調(diào)動多少資源，以何種代價、采取怎的措施去化解、控制風(fēng)險、實現(xiàn)適度成本下的適度安全。第五章：“電子文件風(fēng)險的應(yīng)對”，構(gòu)建了應(yīng)對領(lǐng)域電子文件風(fēng)險應(yīng)對政策和應(yīng)對手段三位一體的電子文件風(fēng)險防范三維模型，并從宏觀電子文件風(fēng)險中觀和微觀三個層面提出了應(yīng)對措施，形成了一個嚴密、系統(tǒng)、立體的電子文件風(fēng)險應(yīng)對體系。本書，作者精心挑選了51個電子文件風(fēng)險事件及應(yīng)對措施作為案例，以圖表，每一章莫均已小結(jié)的形式對全章內(nèi)容提綱挈領(lǐng)的歸納和提煉。這些都是為了增強書中內(nèi)容的表現(xiàn)力和可讀性。 第一章電子文件風(fēng)險管理導(dǎo)論1.1電子文件風(fēng)險的基本概念要了解信息系統(tǒng)中是否存在文件風(fēng)險，首先必須界定什么是文件風(fēng)險。

4、在有關(guān)風(fēng)險的定義中，有兩個關(guān)鍵詞：一是損失；另一是不確定性。在經(jīng)濟管理領(lǐng)域，損失(lOss)“是指非故意( unintentional)、非計劃(unplanned)、非預(yù)期(unex-pected)的經(jīng)濟價值(economic value)減少的事實”。 電子文件風(fēng)險是指電子文件質(zhì)量缺損及其引發(fā)其他損失的不確定性，是可能產(chǎn)生的預(yù)期結(jié)果與實際結(jié)果的負面差異。 電子文件 基本內(nèi)涵 質(zhì)量目標 準確性 電子文件的信息內(nèi)容符合客觀實際情況。 ( accuracy) 系統(tǒng)生成了一切必要的電子文件，并歸檔保存所 完整性 有具有歷史價值的電子文件，每一份電子文件的內(nèi)容、 邏輯結(jié)構(gòu)、背景信息是完整的，與主電子

5、文件有關(guān)的 ( completeness) 支持性、輔助性、工具性文件、鏈接文件以及相關(guān)參 數(shù)是齊全的。 可讀性 電子文件經(jīng)過存儲、傳輸、壓縮、加密、轉(zhuǎn)存、 載體轉(zhuǎn)換、系統(tǒng)遷移等處理后能夠通過現(xiàn)有的或?qū)?( readabiLity) 的軟硬件系統(tǒng)讀取。 可用性 用戶可以順利地查找、利用獲準利用的電子 ( usability) 文件。 保密性 系統(tǒng)可以有效阻止對涉密電子文件的非法接觸。 ( secrecy) 關(guān)聯(lián)性 系統(tǒng)能夠揭示并維護一組或一系列相關(guān)電子文 件之間的有機聯(lián)系，避免信息的離散、殘缺或無法 ( relationship) 理解。 及時性 電子文件的生成、流轉(zhuǎn)、處理、利用等符合時間

6、( timeliness) 要求，不出現(xiàn)時滯或跳躍現(xiàn)象。 電子文件在系統(tǒng)中始終作為統(tǒng)一的整體生成、流 轉(zhuǎn)、存取、利用I電子文件的某一組成部分發(fā)生合法 一致性 變動時，其他與之有關(guān)的一切組成部務(wù)及相關(guān)文件、 ( consistency) 參數(shù)都發(fā)生相應(yīng)的合法變動；不同載體上的相同版本 的同一電子文件內(nèi)容、邏輯結(jié)構(gòu)（非線性結(jié)構(gòu)除外）、 風(fēng)險因素、風(fēng)險事故、損失、風(fēng)險四者之間的關(guān)系示意圖風(fēng)險間接原因間接原因引發(fā)直接原因風(fēng)險事故導(dǎo)致基本損失具有不確定性風(fēng)險產(chǎn)生連帶損失1.2電子文件風(fēng)險特點：(1)客觀性(2)廣泛性(3)連帶性(4)繼承性(5)潛伏性(6)難以彌補性1.2.2電子文件風(fēng)險的種類1.3電

7、子文件風(fēng)險因素人員因素與其他因素之間的關(guān)系電子文件管理的風(fēng)險因素魚骨圖1.4電子文件風(fēng)險的成因1.4.1傳統(tǒng)文件風(fēng)險與電子文件風(fēng)險的疊加1.4.2文件生命周期全程風(fēng)險的疊加1.4.3業(yè)務(wù)信息系統(tǒng)與電子文件管理系統(tǒng)風(fēng)險的疊加1.4.4技術(shù)轉(zhuǎn)型風(fēng)險與制度轉(zhuǎn)型風(fēng)險的疊加1.5電子文件風(fēng)險管理的必要性與可行性電子文件風(fēng)險管理，是指通過識別和評估電子文件風(fēng)險，采用合理的技術(shù)、方法對電子文件風(fēng)險加以防范和控制，以最小的成本使電子文件風(fēng)險所致?lián)p失降到最低程度的管理活動。電子文件風(fēng)險管理的必要性1 信息系統(tǒng)中存在文件風(fēng)險信息系統(tǒng)中文件風(fēng)險是客觀存在的，而且分布非常廣泛，每一個技術(shù)或管理的漏洞都有可能導(dǎo)致文件質(zhì)

8、量的缺損；不少風(fēng)險在早期并不顯現(xiàn)，而一旦損失發(fā)生，波及受眾面多，其后果又難以彌補。2.文件是信息系統(tǒng)的血脈文件是記載組織各項活動歷史原貌的真實記錄，是組織履行職能活動的原始憑證。對于信息系統(tǒng)而言，電子文件承載著信息系統(tǒng)最基本的數(shù)據(jù)、信息。在某種意義上，信息系統(tǒng)的運行過程實質(zhì)上就是一個眾多電子文件生成、傳遞、利用、保存的過程。3.僅靠紙質(zhì)靠背和信息系統(tǒng)安全管理無法全面應(yīng)對電子文件風(fēng)險首先，越來越多的電子文件無法制作紙質(zhì)拷貝，比如視頻文件、音頻文件、多媒體文件、超文本文件、數(shù)據(jù)庫文件等。電子文件因而是某些組織活動唯一的記錄形式。其次，在信息系統(tǒng)的運行中廣泛應(yīng)用紙質(zhì)拷貝無法體現(xiàn)信息系統(tǒng)的效益。主要采

9、用雙軌制（電子文件、紙質(zhì)文件雙軌運行）、雙套制（電子文件、紙質(zhì)文件雙套保存）的管理方案。因此，僅靠紙質(zhì)拷貝和信息系統(tǒng)安全管理無法全面應(yīng)對電子文件風(fēng)險，只有建立完備的電子文件風(fēng)險管理體系，才能全面應(yīng)對風(fēng)險，降低損失的可能性，充分發(fā)揮信息化建設(shè)的效率和效益。4.電子文件質(zhì)量要求的復(fù)雜性嚴格性要求建立科學(xué)的風(fēng)險管理體系電子文件不是實體的、靜止的、孤立的、簡單的信息，而是虛擬的、動態(tài)的、聯(lián)系的、復(fù)雜的信息。電子文件的質(zhì)量要求，也不是靜止、孤立、簡單的，而是一套發(fā)展的、相互關(guān)聯(lián)的、復(fù)雜的要求體系。電子文件風(fēng)險管理的可行性風(fēng)險管理在各領(lǐng)域的成功應(yīng)用為電子文件風(fēng)險管理提供了重要的參考20世紀五六十年代以后風(fēng)

10、險管理開始廣泛應(yīng)用于金融、投資等經(jīng)濟領(lǐng)域，歐美、日本興起了風(fēng)險管理研究和風(fēng)險管理教育熱潮。20世紀80年代以后，風(fēng)險管理思想的應(yīng)用迅速擴大到人類社會的諸多領(lǐng)域。風(fēng)險管理思想在各相關(guān)領(lǐng)域的成功運用，為電子文件風(fēng)險管理研究與實踐提供了豐富的可資借鑒的經(jīng)驗和基礎(chǔ)。1 風(fēng)險管理已經(jīng)成為國際文件管理的新視角在全球安全意識、危機意識不斷增強的大背景下，風(fēng)險管理已經(jīng)成為國際文件管理的新視角，一些國際組織、研究團體和學(xué)者開始強調(diào)電子文件風(fēng)險管理，并開始研究有關(guān)方法，嘗試將風(fēng)險管理納入電子文件管理體系中。2 信息系統(tǒng)安全管理為電子文件風(fēng)險管理提供了直接的借鑒近些年，風(fēng)險管理思想也已經(jīng)廣泛應(yīng)用于信息技術(shù)領(lǐng)域。應(yīng)用

11、于電子文件風(fēng)險管理的技術(shù)方法包括電子簽名技術(shù)、信息加密技術(shù)、網(wǎng)絡(luò)防火墻技術(shù)等，管理理念包括安全管理是動態(tài)的、有限的，安全技術(shù)要和安全管理并行等。1.6電子文件風(fēng)險管理的基本原理電子文件風(fēng)險管理的基本方法事件驅(qū)動型優(yōu)點：1.易于找到風(fēng)險應(yīng)對的方法2.節(jié)省時間和資源3.更適用于某個已知風(fēng)險因素缺點：1.不具備系統(tǒng)性2.可能會拆散文件風(fēng)險管理的方法3.忽視一些交叉性的原因管理需求型優(yōu)點：1. 保持系統(tǒng)性、戰(zhàn)略性重點2. 有利于推動文件風(fēng)險管理方法的創(chuàng)新和多功能化3. 有利于系統(tǒng)識別文件管理風(fēng)險 缺點：1.比較費時費力2. 對某一已知風(fēng)險而言可能缺乏針對性3. 不容易融人機構(gòu)既有的風(fēng)險管理戰(zhàn)略中電子文

12、件風(fēng)險管理的工作內(nèi)容與技術(shù)本章小結(jié) 1電子文件風(fēng)險是指因電子文件管理不當造成損失的不確定性，是可能產(chǎn)生的預(yù)期結(jié)果與實際結(jié)果的負面差異。決定電子文件風(fēng)險后果（即損失）發(fā)生的頻率、大小的各種主客觀條件是風(fēng)險因素。直接導(dǎo)致?lián)p失的電子文件管理事件是風(fēng)險事故。 2電子文件管理不當，可能造成兩類損失：其一為基本損失，即電子文件的質(zhì)量缺損，包括不真實、不準確、不完整、不可讀、不可用、泄密、不關(guān)聯(lián)、不及時或不一致等情況；其二為連帶損失，即因電子文件質(zhì)量缺損而引起的其他損失，組織生成和保存的電子文件質(zhì)量缺損，既可能影響組織科學(xué)決策和自身業(yè)務(wù)的正常開展，也可能會對整個國家、民族、地區(qū)、社會或民眾產(chǎn)生歷史文化、政治

13、、經(jīng)濟、軍事安全等諸多方面的負面影響。 3電子文件風(fēng)險復(fù)雜多變，其內(nèi)在根源在于電子文件風(fēng)險是傳統(tǒng)文件風(fēng)險和電子文件風(fēng)險的疊加，是文件生命周期全程風(fēng)險的疊加，是業(yè)務(wù)信息系統(tǒng)風(fēng)險和電子文件管理系統(tǒng)的疊加風(fēng)險，是技術(shù)轉(zhuǎn)型風(fēng)險和制度轉(zhuǎn)型風(fēng)險的疊加。 4電子文件風(fēng)險是客觀存在的，而且分布非常廣泛，每一個技術(shù)或管理的漏洞都有可能導(dǎo)致文件質(zhì)量的缺損；不少風(fēng)險在電子文件形成階段并不顯現(xiàn)，而是被繼承下來，一旦損失發(fā)生，波及受眾面多，其后果又難以彌補。 5電子文件可能面臨各種各樣的風(fēng)險。根據(jù)風(fēng)險后果的承擔(dān)者，可以分為直接風(fēng)險和間接風(fēng)險。根據(jù)風(fēng)險后果的作用對象，可以分為基本風(fēng)險和連帶風(fēng)險。根據(jù)文件的處理階段，可以分

14、為生成風(fēng)險、流轉(zhuǎn)風(fēng)險和保存風(fēng)險。根據(jù)風(fēng)險后果的顯現(xiàn)時間，可以分為當前風(fēng)險、短期風(fēng)險和長期風(fēng)險。根據(jù)風(fēng)險電子文件風(fēng)險管理后果的嚴重性，可以分為輕微風(fēng)險、一般風(fēng)險和嚴重風(fēng)險。根據(jù)風(fēng)險發(fā)生的頻率，可以分為罕見風(fēng)險、可能風(fēng)險和常見風(fēng)險。 6導(dǎo)致電子文件風(fēng)險的風(fēng)險因素包括機構(gòu)內(nèi)部因素、自然環(huán)境因素和社會環(huán)境因素三大類。其中機構(gòu)內(nèi)部因素涉及文件管理業(yè)務(wù)、信息基礎(chǔ)設(shè)施、系統(tǒng)設(shè)計、文件管理制度、組織、人員、資金七個方面；自然環(huán)境因素包括保管場所、天災(zāi)、人禍三類；社會環(huán)境因素包括主管部門因素、規(guī)范體系因素、客戶因素、同行因素、支持部門因素等。這些社會環(huán)境風(fēng)險因素既分布在國家層次上，如國家主管部門、國家規(guī)范體系等

15、，也分布在地方層次上，如地方主管部門、地方規(guī)范體系等。 7文件是電子文件系統(tǒng)運行的信息血脈，信息系統(tǒng)中客觀、普遍存在文件風(fēng)險，而僅靠紙質(zhì)拷貝和信息系統(tǒng)安全管理不能全面解決電子文件風(fēng)險問題，電子文件質(zhì)量要求的復(fù)雜嚴格性要求建立科學(xué)的風(fēng)險管理體系，因此，借鑒相關(guān)領(lǐng)域風(fēng)險管理的基本原理，吸納國際文件管理領(lǐng)域風(fēng)險管理的經(jīng)驗和思路，在已有研究和實踐成果的基礎(chǔ)上，將風(fēng)險管理程序化、系統(tǒng)化、科學(xué)化地融入電子文件日常管理之中，進行管理創(chuàng)新，會給電子文件及其支撐的各種信息系統(tǒng)以更多更好的安全、效率保障。 8。電子文件風(fēng)險管理，是指通過電子文件風(fēng)險進行識別和評估，采用合理的技術(shù)、方法對電子文件風(fēng)險加以防范和控制，

16、以最小的成本獲得最大的電子文件安全保障的一種管理活動。風(fēng)險管理并不是電子文件管理的附加內(nèi)容，而是其中不可分割的組成部分。風(fēng)險管理作為一種新的管理思想、視角，應(yīng)貫穿于整個電子文件管理過程之中。風(fēng)險管理的工作內(nèi)容和工作方法，應(yīng)納入電子文件管理的工作內(nèi)容和工作方法之中。實施風(fēng)險管理對于提升電子文件管理效果和水平具有重要的實踐價值，它有助于喚起風(fēng)險意識，建立風(fēng)險管理體系，全面提升電子文件管理水平。9電子文件風(fēng)險管理的基本程序包括風(fēng)險管理規(guī)劃、風(fēng)險分析、風(fēng)險應(yīng)對和風(fēng)險監(jiān)控四個步驟，其中風(fēng)險分析包括風(fēng)險識別和風(fēng)險評估。規(guī)劃、識別、評估依次成為后續(xù)環(huán)節(jié)的前提和依據(jù)，應(yīng)對環(huán)節(jié)是風(fēng)險管理功能的實現(xiàn)，監(jiān)控根據(jù)規(guī)劃

17、、分析、應(yīng)對反饋的信息對風(fēng)險管理過程和結(jié)果進行監(jiān)督、控制和評價。這些環(huán)節(jié)相互關(guān)聯(lián)，構(gòu)成了一個具有自激循環(huán)性質(zhì)的正反饋閉環(huán)管理系統(tǒng)。第二章風(fēng)險管理規(guī)劃2.1風(fēng)險管理規(guī)劃電子文件風(fēng)險管理規(guī)劃是從風(fēng)險管理的角度，在綜合考慮機構(gòu)業(yè)務(wù)活動、人力財物資源、電子文件管理需求的基礎(chǔ)上，確定電子文件風(fēng)險管理的目標、原則、程序和內(nèi)容，制訂電子文件風(fēng)險管理計劃的一項系統(tǒng)性活動。2.1.1電子文件風(fēng)險管理規(guī)劃的特點：(1)全局性(2)系統(tǒng)性(3)基礎(chǔ)性(4)迭代行(5)適應(yīng)性2.1.2電子文件風(fēng)險管理規(guī)劃的內(nèi)容：(l)方法確定風(fēng)險管理使用的方法、工具和數(shù)據(jù)資源，這些內(nèi)容可隨項目階段及風(fēng)險評估情況作適當?shù)恼{(diào)整。比如，文

18、件管理風(fēng)險諷別可以使用頭腦風(fēng)暴法、德爾菲法或者案例研究法，工具可以用因果關(guān)系圖、WBS或者SWOT。(2)人員(3)時間周期(4)類型級別及說明。例如，繪制電子文件管理風(fēng)險的可能性和后果等級表。(5)基準 明確定義由誰、以何種方式采取風(fēng)險應(yīng)對行動。合理的定義可作為基準，衡量管理人員實施風(fēng)險應(yīng)對計劃的有效性，并避免參與管理的人員之間對內(nèi)容的理解發(fā)生分歧。 (6)溝通規(guī)定風(fēng)險管理過程中應(yīng)匯報或溝通的內(nèi)容、范圍、渠道及方式。(7)跟蹤規(guī)定如何以文檔的方式記錄風(fēng)險管理的過程，風(fēng)險管理文檔可有效用于對當前文件風(fēng)險管理、監(jiān)控，經(jīng)驗教訓(xùn)的總結(jié)及日后的借鑒指導(dǎo)等。風(fēng)險管理規(guī)劃活動開展的程序是： (l)為關(guān)鍵風(fēng)

19、險確定風(fēng)險設(shè)想(2)制定風(fēng)險應(yīng)對備用方案(3)選擇風(fēng)險應(yīng)對途徑(4)制訂風(fēng)險管理計劃(5)制訂風(fēng)險應(yīng)急計劃(6)確定風(fēng)險管理模板(7)確定風(fēng)險數(shù)據(jù)庫模式2.1.3電子文件風(fēng)險管理規(guī)劃技術(shù)和工具(l)調(diào)查評估表(2)風(fēng)險識別表(3)風(fēng)險管理表3識別文件的類別和等級2.1.5電子文件風(fēng)險管理模板示例電子文件風(fēng)險管理“九部法”8制定風(fēng)險應(yīng)對策略7監(jiān)控和反饋6風(fēng)險識別5評估現(xiàn)有措施的有效性，找出差距4確定文件質(zhì)量目標2信息準備1組織準備其中1，2是戰(zhàn)略階段；3，4，5是分析階段；6，7是評估階段；8，9是實施后續(xù)階段。2.2電子文件風(fēng)險監(jiān)控風(fēng)險監(jiān)控是指對風(fēng)險管理全過程的跟蹤、評估和反饋，具體包括跟蹤已

20、識別的風(fēng)險、監(jiān)視殘余風(fēng)險、識別新出現(xiàn)的風(fēng)險，修改風(fēng)險計劃，保證風(fēng)險計剡的實施并評估風(fēng)險減輕的效果。風(fēng)險監(jiān)控的特點：(1)全城性(2)階段性(3)連續(xù)性(4)可控制性(5)互動性2電子文件風(fēng)險監(jiān)控的意義(1)通過風(fēng)險監(jiān)控掌握風(fēng)險因素的變化情況，及時發(fā)現(xiàn)電子文件管理過程中會出現(xiàn)的難以預(yù)料的問題。(2)通過風(fēng)險監(jiān)控糾正管理、控制風(fēng)險的過程中出現(xiàn)的偏差使風(fēng)險管理為有效控制風(fēng)險目標服務(wù)。(3)通過實時的風(fēng)險監(jiān)控可以積累風(fēng)險管理經(jīng)驗和相關(guān)數(shù)據(jù)，優(yōu)化管理流程，提高風(fēng)險管理的效益和效率。(4)風(fēng)險的復(fù)雜性、環(huán)境的多變性都使得制訂風(fēng)險應(yīng)急計劃和預(yù)警機制成為風(fēng)險監(jiān)控不可缺少的一項重要內(nèi)容。2.2.2電子文件風(fēng)險監(jiān)

21、控的依據(jù)電子文件管理、使用活動中形成的記錄(1) 文檔管理部門電子文件管理信息(2) 業(yè)務(wù)部門使用電子文件過程中的反饋信息(3) 公眾在電子政務(wù)服務(wù)中利用電子文件的反饋信息2 電子文件風(fēng)險管理活動中形成的記錄(l)電子文件風(fēng)險管理計劃(2)電子文件風(fēng)險管理應(yīng)急計劃(3)電子文件風(fēng)險因素和風(fēng)險事故識別表(4)電子文件風(fēng)險評估表(5)電子文件風(fēng)險應(yīng)對計劃2.2.3電子文件風(fēng)險監(jiān)控內(nèi)容、原則與方法電子文件風(fēng)險監(jiān)控的內(nèi)容可以分為兩大類，一是對風(fēng)險自身的監(jiān)控，跟蹤已識別風(fēng)險發(fā)展變化情況，包括電子文件生命周期全過程中產(chǎn)生的風(fēng)險因素以及可能導(dǎo)致的風(fēng)險事故。另一類是對已發(fā)生的風(fēng)險及產(chǎn)生的遺留風(fēng)險和新增風(fēng)險及時

22、識別、分析，采取適當?shù)膽?yīng)對措施。前者是對客觀存在的事物的監(jiān)控，后者是對人的活動進行監(jiān)控，后者以前者為基礎(chǔ)。電子文件風(fēng)險監(jiān)控的內(nèi)容：(1) 監(jiān)控電子文件管理風(fēng)險的發(fā)展(2)監(jiān)控風(fēng)險應(yīng)對計劃是否已經(jīng)按計劃執(zhí)行并評估風(fēng)險應(yīng)對計劃的執(zhí)行效果(3)在突發(fā)事件或緊急情況下采取應(yīng)急措施避免或者減輕風(fēng)險事故后果(4)優(yōu)化風(fēng)險管理流程，提高管理效果和效率電子文件風(fēng)險監(jiān)控的原則 (l)系統(tǒng)監(jiān)控與流程監(jiān)控并重(2)實時監(jiān)控與前端監(jiān)控并重(3)過程監(jiān)控與結(jié)果監(jiān)控并重(4)技術(shù)監(jiān)控與管理監(jiān)控并重(5)內(nèi)部監(jiān)控和外部反饋結(jié)合電子文件風(fēng)險監(jiān)控方法(1) 審核檢查法(2) 定期召開監(jiān)控會議(3) 建立監(jiān)控報告機制(4) 建立

23、和更新風(fēng)險數(shù)據(jù)庫(5) 第三方機構(gòu)獨立風(fēng)險分析2.2.4電子文件風(fēng)險預(yù)警與應(yīng)急應(yīng)急：從系統(tǒng)管理的角度看，應(yīng)急策略可以是國家層面的、地區(qū)層面的或者機構(gòu)層面的。機構(gòu)層面又可以根據(jù)風(fēng)險事件的大小和影響程度而具有不同的層次，每一個層次都有相應(yīng)的任務(wù)內(nèi)容、管理對象和管理方法。這里我們借用“三觀”分類研究方法，即宏觀、中觀和微觀，以機構(gòu)為例描述電子文件應(yīng)急策略的內(nèi)容。 ·宏觀：一般是指決策層面涉及機構(gòu)整體的因素，如機構(gòu)職能或者結(jié)構(gòu)的改變、文件管理需求和目標的重新提出等。這些變化引發(fā)的信息安全事件是關(guān)系到全局或者關(guān)鍵的業(yè)務(wù)問題，影響面比較廣，程度比較深。針對這類問題往往由機構(gòu)領(lǐng)導(dǎo)層采取針對制度、管

24、理或者業(yè)務(wù)決定暫?；蛘邌有路桨傅膽?yīng)急方法，邊實行邊完善；或者實行“緩和”應(yīng)對，暫時沿用老的策略，同時重新檢查已有的決策和戰(zhàn)略，制定新的替代方案。 ·中觀：一般指運營層面涉及機構(gòu)的一些部門或者業(yè)務(wù)的因素，比如某一業(yè)務(wù)流程的更改、產(chǎn)生新的文件類型、機構(gòu)網(wǎng)頁受到攻擊、對機構(gòu)重要服務(wù)器和備份系統(tǒng)的破壞和攻擊等。解決這類問題的應(yīng)急方法主要是針對業(yè)務(wù)流程或者系統(tǒng)決定重新設(shè)計還是部分修改。·微觀：一般是指實現(xiàn)層面只涉及單個或者幾個的個別功能或者模塊。如計算機用戶端被病毒攻擊、網(wǎng)頁被篡改、誤操作導(dǎo)致文件丟失等。采取的措施可以是針對個別功能決定放棄、修正或者降低水平。從信息安全域的角度看，

25、應(yīng)急管理關(guān)注的域有四個：接入域（用戶端）、服務(wù)域（服務(wù)器）、互聯(lián)域（對外和對內(nèi)網(wǎng)站）和支撐域（軟件系統(tǒng)和操作平臺）；從縱向上看有三個對象：實體、運行和信息。保證電子文件的安全需要全面覆蓋這些內(nèi)容。 積極的預(yù)警工作機制圖啟動應(yīng)急計劃N照計劃進行Y是否可接受消極的預(yù)警系統(tǒng)分析半段新情況本章小結(jié)1風(fēng)險管理規(guī)劃是風(fēng)險管理的有機組成部分，是實施風(fēng)險管理的基本依據(jù)。主要包括定義項目組及成員風(fēng)險管理的行動方案及方式，選擇適合的風(fēng)險管理方法，確定風(fēng)險判斷的依據(jù)等，用于對風(fēng)險管理活動的計劃和實踐形式進行決策。2風(fēng)險管理規(guī)劃的內(nèi)容，從范圍上說，包括方法、人員、時間周期、類型級別及說明、基準、匯報形式和跟蹤。從程序

26、上說，主要包括為關(guān)鍵風(fēng)險確定風(fēng)險設(shè)想、制定風(fēng)險應(yīng)對備用方案、選擇風(fēng)險應(yīng)對途徑、制訂風(fēng)險管理計劃、建立風(fēng)險管理模板、確定風(fēng)險數(shù)據(jù)庫模式。3風(fēng)險管理規(guī)劃技術(shù)和工具包括調(diào)查評估表、風(fēng)險識別表和風(fēng)險管理表。 4風(fēng)險監(jiān)控是指對風(fēng)險實施全系統(tǒng)全過程的監(jiān)視和控制，有廣義和狹義之分。它具有全程性、階段性、連續(xù)性、可控性和互動性的特點。5電子文件管理風(fēng)險監(jiān)控制依據(jù)主要可分為兩大類：日常電子文件管理、使用活動中形成的記錄和電子文件風(fēng)險管理活動形成的記錄。前者包括文件管理部門電子文件管理信息、業(yè)務(wù)郎門使用電子文件過程中的反饋信息、公眾在電子政務(wù)服務(wù)中利用電子文件的反饋信息；后者包括電子文件風(fēng)險管理規(guī)劃、電子文件風(fēng)險

27、因素和風(fēng)險事故識別表、電子文件風(fēng)險應(yīng)對計劃。6電子文件風(fēng)險監(jiān)控的內(nèi)容可以分為兩大類，一是對風(fēng)險自身的監(jiān)控，跟蹤已識別風(fēng)險發(fā)展變化情況，包括電子文件生命周期全程的風(fēng)險因素以及可能導(dǎo)致的風(fēng)險事故。另一類是對風(fēng)險管理活動進行監(jiān)控，其中的核心內(nèi)容是根據(jù)第一類監(jiān)控所得信息調(diào)整風(fēng)險應(yīng)對計劃，并對已發(fā)生的風(fēng)險及產(chǎn)生的遺留風(fēng)險和新增風(fēng)險及時識別、分析，采取適當?shù)膽?yīng)對措施。7風(fēng)險監(jiān)控的原則包括系統(tǒng)監(jiān)控與流程監(jiān)控并重、實時監(jiān)控與前端監(jiān)控并重、過程監(jiān)控與結(jié)果監(jiān)控并重、技術(shù)監(jiān)控與管理監(jiān)控并重、內(nèi)部監(jiān)控和外部反饋結(jié)合。8風(fēng)險監(jiān)控的方法包括審核檢查法、定期召開監(jiān)控會議、建立報告機制、建立和更新風(fēng)險數(shù)據(jù)庫、第三方機構(gòu)獨立風(fēng)

28、險分析。9風(fēng)險預(yù)警是對管理過程中有可能出現(xiàn)的風(fēng)險，采取超前或預(yù)先防范的管理方式，一旦在監(jiān)控中發(fā)現(xiàn)風(fēng)險征兆，及時發(fā)出信號采取應(yīng)急行動，以最大限度地控制不利后果的發(fā)生。10.應(yīng)急計劃是為控制管理過程中有可能出現(xiàn)或發(fā)生的特定情況做好準備。應(yīng)急計劃包括風(fēng)險的描述、完成計劃的假設(shè)、風(fēng)險發(fā)生的可能性、風(fēng)險影響以及適當?shù)姆磻?yīng)等。第三章電子文件風(fēng)險的識別3.1 電子文件風(fēng)險的識別方法 1-般方法 如果是就某機構(gòu)某個業(yè)務(wù)系統(tǒng)識別文件風(fēng)險，那么風(fēng)險識別的方法相對靈活、多樣、具體。常用文件風(fēng)險識別的方法有頭腦風(fēng)暴法、德爾菲法、風(fēng)險核對表、案例研究法、工作分解結(jié)構(gòu)圖、流程圖等。 (l)頭腦風(fēng)暴法(Brainstorm

29、) 指以共同目標為中心，營造一個無批評的自由的會議環(huán)境，使與會者暢所欲言、充分交流、互相啟迪，產(chǎn)生出大量創(chuàng)造性意見的方法。在電子文件風(fēng)險管理中，機構(gòu)內(nèi)部的資深工作人員和外聘專家基于自己的知識、經(jīng)驗提出電子文件管理面臨的各種風(fēng)險、風(fēng)險因素。 (2)德爾菲法(Delphi) 一種多輪匿名函詢法，以通信的方式邀請有關(guān)專家匿名提出各類可能存在的風(fēng)險，整理統(tǒng)計后，反饋給各位專家再次征求意見，如此反復(fù)。 (3)風(fēng)險核對表 通過察看相關(guān)歷史記錄羅列出本單位在實施其他業(yè)務(wù)系統(tǒng)中經(jīng)歷過的風(fēng)險事件，結(jié)合本系統(tǒng)的實際進行核對。 (4)案例研究法 收集其他機構(gòu)同類業(yè)務(wù)系統(tǒng)建設(shè)過程中的成功經(jīng)驗和失敗教訓(xùn)，從中歸納出威脅

30、電子文件質(zhì)量和有損業(yè)務(wù)活動效率的因素。 (5)工作分解結(jié)構(gòu)圖(WBS，work breakdown structure)一種從總體到細節(jié)定義項目最終預(yù)期結(jié)果的規(guī)劃方法，它由工作產(chǎn)品、工作元素、工作階段或任務(wù)等各種相關(guān)元素構(gòu)成。在電子文件風(fēng)險管理中，逐層分解業(yè)務(wù)系統(tǒng)建設(shè)、使用過程中的各項任務(wù)，逐個分析每項任務(wù)是否存在文件風(fēng)險；如果存在風(fēng)險，明確其后果和原因。(6)流程圖 繪制出文件從生成到長期保存或銷毀整個過程中的各項工作步驟，分析每個步驟中是否會發(fā)生風(fēng)險3.2生成、流轉(zhuǎn)階段電子文件風(fēng)險的識別3.2.1基本風(fēng)險（1）不真實性.生成、流轉(zhuǎn)階段電子文件不真實的具體表現(xiàn)可以歸為以下四類： 其一，文件是

31、偽造的，即文件作者身份不真實。偽造文件的非法用戶可能來自內(nèi)部，也可能來自外部。 其二，文件的內(nèi)容、結(jié)構(gòu)或背景信息經(jīng)過人為篡改。在所有篡改中，內(nèi)容篡改是最常見的，而背景信息的改動則最為隱秘。 其三，在沒有人為惡意干預(yù)的情況下，文件經(jīng)過傳輸、遷移、轉(zhuǎn)存、載體轉(zhuǎn)換等操作之后部分信息發(fā)生變動，這種變化主要的原因來自應(yīng)用軟件、系統(tǒng)平臺、存儲位置的變化等。 其四，無法證明電子文件未經(jīng)改動，即無法排除文件不真實的可能性（2）不準確其一，數(shù)據(jù)與事實有出入，其二，無法確認數(shù)據(jù)與事實相符（3）不完整 生成、流轉(zhuǎn)階段電子文件不完整的具體表現(xiàn)可以歸為以下四類： 1文件沒有生成.例如在本應(yīng)生成文件的階段中，采用口頭流傳

32、的方式而沒有生成文件。 2文件全部信息丟失.文件丟失的原因包括文件被內(nèi)外用戶有意或無意刪除，文件存儲設(shè)備損壞或丟失，天災(zāi)人禍導(dǎo)致系統(tǒng)損壞等.3文件部分信息不全，即文件內(nèi)容、結(jié)構(gòu)或（和）背景信息有缺損.4文件不可讀導(dǎo)致文件信息在利用意義上的丟失。（4）不可讀 生成、流轉(zhuǎn)階段電子文件不可讀的風(fēng)險主要表現(xiàn)在：(1) 傳輸之后(2)壓縮之后(3)加密之后(4)遷移之后 (5)轉(zhuǎn)存之后(6)生成、流轉(zhuǎn)過程中(5)不可用其一，文件不存在，這是由文件不完整這個風(fēng)險引發(fā)的。其二，文件不真實，不真實的文件是不能使用的.其三，文件不可讀，無法正常輸出的文件即便是能夠查詢到，對于用戶的作用也會大打折扣.其四，文件不

33、準確，如果其中不準確的部分正是用戶希了解、參考的部分，惡劣影響是非常明顯的。其五，無法查檢到文件。具體原因可能包括文件未經(jīng)科學(xué)組織、查檢功能不完備、用戶查檢技能較低等。（6）失密.涉及文件信息泄露；不涉及文件信息遭到未授權(quán)用戶訪問。（7）不及時其一，文件的生成不及時。其二，文件的流轉(zhuǎn)不及時。其三，文件的查找存在時滯.（8）不一致. 其一，文件不能與其鏈接、嵌入、關(guān)聯(lián)對象同步更新，比如鏈接、嵌入、關(guān)聯(lián)對象的實際地址與文件所記載的不一致. 其二，同一份文件存在多個版本，而且不同部門或人員分. 其三，不同載體（包括磁性、光學(xué)載體，以及傳統(tǒng)載體，如紙張、縮微膠片）上的同一份文件，當版本相同時，其內(nèi)容、

34、邏輯結(jié)構(gòu)、背景信息并不相同.l3.2.3連帶風(fēng)險直接連帶風(fēng)險間接連帶風(fēng)險本章小結(jié)1文件風(fēng)險是由風(fēng)險事故造成的，風(fēng)險事故的發(fā)生受到風(fēng)險因素的影響。識別電子文件風(fēng)險，除了明確風(fēng)險后果之外，更重要的是辨析各種風(fēng)險因素和風(fēng)險事故，以便有針對性地防范、控制和管理。在識別、辨析過程中，應(yīng)明確各類風(fēng)險事故、風(fēng)險因素、風(fēng)險后果的時間。 2本章采用目標偏離法作為識別電子文件風(fēng)險的基本方法，即從分析電子文件管理的目標入手，通過梳理與預(yù)期結(jié)果可能發(fā)生的偏離來確定電子文件風(fēng)險。由于所有電子文件風(fēng)險首先表現(xiàn)為電子文件質(zhì)量的缺損，因此基本風(fēng)險的識別是電子文件風(fēng)險識別的起點和重點。 3電子文件在其生命周期中，可能面臨不真實

35、、不準確、不完整、不可讀、不可用、失密、不及時、不一致、不關(guān)聯(lián)等質(zhì)量缺損現(xiàn)象。在政府機構(gòu)中，這些質(zhì)量缺損可能使政府機構(gòu)遭受決策失誤、業(yè)務(wù)延誤、成本偏高、秘密泄露、經(jīng)濟損失、行政證據(jù)丟失、行政連續(xù)性受損、未盡公眾信息服務(wù)職責(zé)、公眾滿意度下降、內(nèi)部成員滿意度下降、名譽受損等威脅；并可能使其他社會成員合法權(quán)益受損，國家安全受損-國家和地方經(jīng)濟受損，政府、地方、行業(yè)、國家整體形象受損等損失。可見，文件信息是電子政務(wù)系統(tǒng)的血脈，是政府行政的基礎(chǔ)和保障。4電子文件風(fēng)險之間的關(guān)系非常廣泛、復(fù)雜，包括同源關(guān)系、因果關(guān)系、矛盾關(guān)系，這些關(guān)系的廣泛性、復(fù)雜性會隨著文件處理進程的推進而不斷增加。在這些風(fēng)險中，文件的

36、不準確、不完整、不真實、不可讀、不可用是底層風(fēng)險，需要重點加以防范。其中，不完整是最易引發(fā)其他風(fēng)險的源風(fēng)險；不可用是最易為其他風(fēng)險引發(fā)的觸發(fā)風(fēng)險；不真實、不準確、不可讀既易被其他風(fēng)險引發(fā)，又易引發(fā)其他風(fēng)險，是雙向風(fēng)險。 5文件的生成、流轉(zhuǎn)階段是防范風(fēng)險的最佳時機。主要原因有三個：其一，保存階段的文件將直接繼承前期管理風(fēng)險，如果在前期就有效規(guī)避、控制了風(fēng)險，無疑就切斷了一條重要的、明顯的風(fēng)險遺傳鏈條；其二，某些風(fēng)險事故、風(fēng)險因素發(fā)生、作用于文件生成、流轉(zhuǎn)階段，相應(yīng)的風(fēng)險后果卻顯現(xiàn)于文件保存階段，此類風(fēng)險事故、因素具有較強的潛伏性、隱秘性，從其源頭加以杜絕，成本最低，收效最大；其三，文件在生成、流

37、轉(zhuǎn)階段的不少風(fēng)險還存在彌補的余地，比如，文件信息不準確，可以重新采集，文件丟失，可以重新制作，而當形成文件的業(yè)務(wù)活動完成之后，再發(fā)現(xiàn)文件信息不準確、丟失時，其惡劣影響已經(jīng)造成，也不可能再重新制作文件。也就是說，當文件生成、流轉(zhuǎn)階段結(jié)束后，文件的風(fēng)險后果往往難以彌補。 6必須對各種風(fēng)險事故、因素、風(fēng)險后果進行科學(xué)評估，以明確哪些風(fēng)險因素、事故、風(fēng)險后果對于機構(gòu)業(yè)務(wù)以及業(yè)務(wù)系統(tǒng)的正常運行具有嚴重的、經(jīng)常性的影響。將這些風(fēng)險因素、事故的管理作為整個防范體系的中心。第四章電子文件風(fēng)險評估4.1 電子文件風(fēng)險評估的概念及其意義電子文件風(fēng)險評估是風(fēng)險評估在電子文件風(fēng)險管理中的具體運用，是保證電子文件質(zhì)量及

38、其安全性的一種方法。電子文件風(fēng)險評估的意義1 電子文件風(fēng)險評估是信息安全風(fēng)險評估的重要組成部分2 電子文件風(fēng)險評估是衡量信息系統(tǒng)安全性的重要指標3 電子文件風(fēng)險評估是保證電子文件安全的基礎(chǔ)性工作4 電子文件風(fēng)險評估是電子文件管理分級防護和突出重點的具體體現(xiàn)5.電子文件風(fēng)險評估是制定電子文件風(fēng)險管理對策的起點和基礎(chǔ)6.電子文件風(fēng)險評估是推進我國電子文件管理國際化的動力之一4.2 電子文件風(fēng)險評估參考標準與工具提出風(fēng)險分析的方法有定性分析、半定性分析、定量分析。風(fēng)險管理分為建立環(huán)境、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處置、風(fēng)險監(jiān)控與回顧、通訊和咨詢七個步驟企業(yè)和參照制定自己的安全策略和風(fēng)險評估實施

39、步驟。首次給出關(guān)于IT安全保密性，安全性，可用性，審計性，認證性，可靠性的含義，提出以風(fēng)險為核心的安全模型。由美加英法德荷與1996年聯(lián)合提出，是第一個信息技術(shù)安全評價國際標準首次提出“安全目標”的概念，機密性，完整性，可用性的安全屬性。美國國防部1985年公布，是計算機信息安全評估的第一正式標準。4.3 電子文件風(fēng)險評估方法4.3.1 電子文件風(fēng)險評估模型4.3.2電子文件風(fēng)險計算方法電子文件風(fēng)險發(fā)生的嚴重程度。風(fēng)險評估計算的主要內(nèi)容包括： 其一，對文件的價值進行識別，并對文件的重要性進行賦值； 其二，對風(fēng)險進行識別，并對風(fēng)險出現(xiàn)的頻率賦值； 其三，對風(fēng)險發(fā)生的后果進行識別，并對其影響的嚴重

40、程賦值；其四，根據(jù)文件的重要性、風(fēng)險事件發(fā)生的可能性和造成的損失計算出風(fēng)險等級。風(fēng)險計算方法示意圖4.4電子文件風(fēng)險評估程序步驟1：風(fēng)險評估準備 步驟2：文件識別 步驟3：風(fēng)險發(fā)生可能性識別 步驟4：風(fēng)險產(chǎn)生的影響識別 步驟5：計算風(fēng)險 步驟6：已有安全措施確認 步驟7：建議應(yīng)對措施 步驟8：形成風(fēng)險評估報告風(fēng)險評估流程圖4.4.2文件識別4.4.3風(fēng)險發(fā)生可能性識別4.4.4風(fēng)險產(chǎn)生的影響識別4.4.5確定風(fēng)險等級4.4.7建議應(yīng)對措施本章總結(jié)1風(fēng)險評估一詞大約出現(xiàn)于1956年哈佛商業(yè)評論（Harvard Business Review）當時所謂的風(fēng)險主要指保險公司的財務(wù)風(fēng)險。到20世紀90

41、年代，風(fēng)險評估已經(jīng)成為一門整合性的新科學(xué)，它涉及技術(shù)、管理和社會等層面。2所謂風(fēng)險評估( risk assessment)是指通過一定的步驟和技術(shù)手段來評估信息系統(tǒng)安全風(fēng)險，并判斷風(fēng)險的優(yōu)先級建議處理風(fēng)險的措施的過程。風(fēng)險評估也稱為風(fēng)險分析是風(fēng)險管理的一部分。3電子文件風(fēng)險評估是風(fēng)險評估在電子文件風(fēng)險管理中的具體運用，是保證電子文件質(zhì)量及其安全性的一種方法。也就是對威脅、影響電子文件及其環(huán)境的因素、電子文件脆弱性及三者發(fā)生的可能性的評估。4電子文件風(fēng)險評估的意義：(l)電子文件風(fēng)險評估是信息安全風(fēng)險評估的重要組成部分；(2)電子文件風(fēng)險評估是保證電子文件安全的基礎(chǔ)性工作；(3)電子文件風(fēng)險評估

42、是電子文件管理分級防護和突出重點的具體體現(xiàn)；(4)電子文件風(fēng)險評估是制定電子文件風(fēng)險管理對策的起點和基礎(chǔ)；(5)國外的實踐經(jīng)驗為我國電子文件風(fēng)險評估提供了良好的范例。 5主要風(fēng)險評估標準：TCSEC、ITSEC、IS0 13335、BS7799、AS/NZS 4360:1999 Risk Management、OCTAVE、GB 17859-1999。6根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用原理的不同，風(fēng)險評估工具可分為三類：綜合風(fēng)險評估與管理工具、信息基礎(chǔ)設(shè)施風(fēng)險評估工具、風(fēng)險評估輔助工具。7電子文件風(fēng)險評估模型包括評估標準、評估指標和數(shù)據(jù)收集、評估工具和評估結(jié)果。8電子文件風(fēng)險評估工具是采取

43、定量與定性相結(jié)合。9風(fēng)險評估公式：R- (FLA)其中R表示風(fēng)險值；F表示風(fēng)險出現(xiàn)的可能性等級；A表示文件重要程度。表示風(fēng)險產(chǎn)生的影響等級。10電子文件風(fēng)險評估程序包括： (1)風(fēng)險評估準備；(2)文件識別；(3)風(fēng)險發(fā)生的可能性識別；(4)風(fēng)險產(chǎn)生的影響識別；(5)計算風(fēng)險；(6)已有安全措施確認；(7)建議應(yīng)對措施；(8)形成風(fēng)險評估報告。第五章 電子文件風(fēng)險的應(yīng)對5.1電子文件風(fēng)險的應(yīng)對體系5.1.2應(yīng)對層次1.宏觀層次：國家層面運作2：中觀層次：行政區(qū)域的范圍內(nèi)運作3：微觀層次：文件形成機構(gòu)內(nèi)部運作5.1.3應(yīng)對領(lǐng)域電子文件風(fēng)險的應(yīng)對是一個跨部門、跨專業(yè)的系統(tǒng)工程，需要信息安全管理、文

44、件管理、業(yè)務(wù)管理三大類專業(yè)領(lǐng)域攜手合作，共同完成。1 信息安全管理2 文件管理(1) 保護電子文件的歷史記錄能力(2)展現(xiàn)電子文件之間的有機聯(lián)系，保護電子文件的歷史說明能力(3)挑選電子文件，長期維護其內(nèi)容、結(jié)構(gòu)和背景3 業(yè)務(wù)管理 正是因為業(yè)務(wù)管理對于電子文件管理具有內(nèi)在規(guī)定性，文件風(fēng)險評估也需要根據(jù)業(yè)務(wù)管理的具體情況而定。5.1.4應(yīng)對政策1預(yù)防風(fēng)險(1)防止風(fēng)險因素的出現(xiàn)風(fēng)險因素是導(dǎo)致風(fēng)險后果的直接或間接原因，如果風(fēng)險因素不存在，那么風(fēng)險便會消失。比如，采用基于公鑰基礎(chǔ)設(shè)施(PKI)的身份識別、數(shù)字簽名技術(shù)，可以避免非法用戶偽造、纂改文件而導(dǎo)致的文件不真實。對文件的生成、流轉(zhuǎn)、保存制定明確

45、合理的操作程序，可以避免規(guī)范缺失而導(dǎo)致文件錯誤傳遞、文件丟失等現(xiàn)象。(2)消除已經(jīng)存在的風(fēng)險因素有些風(fēng)險因素已經(jīng)出現(xiàn)，但還沒有造成損失。對于這樣的因素，可以采取一定的措施予以消除。比如發(fā)現(xiàn)文件沒有脫機備份時，應(yīng)將其保存到合格的脫機載體上，防止在線系統(tǒng)崩潰時文件信息的丟失。 (3)通過對風(fēng)險因素的管理，防止風(fēng)險事故的發(fā)生有些風(fēng)險因素是客觀存在的，我們無法消除這些風(fēng)險因素2減輕風(fēng)險(1)減輕風(fēng)險因素(2)減輕風(fēng)險后果3轉(zhuǎn)移風(fēng)險 其一，將電子文件風(fēng)險轉(zhuǎn)移給信息系統(tǒng)外包服務(wù)部門。其二，將電子文件風(fēng)險轉(zhuǎn)移給公證機構(gòu)在2002年1月新浪狀告搜狐抄襲其自創(chuàng)作品的官司中，向法院提交了4 000多頁證明搜狐侵犯

46、其著作權(quán)的證據(jù)，包括手機圖片達數(shù)百幅，這些電子證據(jù)都向公證處公證過。4接受風(fēng)險5回避風(fēng)險 預(yù)防、減輕、接受、轉(zhuǎn)移、回避這5種風(fēng)險應(yīng)對策略，主動性依次遞減，而被動性依次遞增，風(fēng)險應(yīng)對的難度遞減，而風(fēng)險后果的損失遞增。主動性風(fēng)險應(yīng)對策略為主，如預(yù)防、減輕、轉(zhuǎn)移、主動接受；以被動性風(fēng)險應(yīng)對策略為輔，如被動接受、回避，盡可能將風(fēng)險遏制在發(fā)作之前，同時將風(fēng)險應(yīng)對的成本控制在可接受的范圍內(nèi)。5.1.5應(yīng)對手段1系統(tǒng)2管理3制度4人員5資金本章小結(jié)1引發(fā)電子文件風(fēng)險的因素多種多樣，因而必須構(gòu)筑起全方位的應(yīng)對體系。整個應(yīng)對體系包括宏觀（國家層面）、中觀（地方層面）、微觀（機構(gòu)層面）三個層次，涉及信息安全管理、

47、文件管理、業(yè)務(wù)管理三大領(lǐng)域，采用預(yù)防風(fēng)險、減輕風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險、回避風(fēng)險五種策略，運用系統(tǒng)、文件管理、制度、人員、資金五類手段。 2宏觀層次的電子文件風(fēng)險應(yīng)對包括電子文件工作宏觀管理機構(gòu)的風(fēng)險應(yīng)對和國家檔案館的風(fēng)險應(yīng)對。中觀層次的電子文件風(fēng)險應(yīng)對包括行政區(qū)劃內(nèi)電子文件管理主管部門的風(fēng)險應(yīng)對，以及地方信息資源管理專門機構(gòu)的風(fēng)險應(yīng)對。微觀層次電子文件風(fēng)險的應(yīng)對主體，包括文件形成機構(gòu)、電子文件中心、檔案保管機構(gòu)。在電子文件風(fēng)險應(yīng)對體系中，宏觀、中觀、微觀并重。由于上級的總體規(guī)劃與部署關(guān)系到全國各地電子文件管理工作的整體布局，上級的指導(dǎo)、督促、協(xié)調(diào)關(guān)系到各基層單位內(nèi)電子文件管理能否具有正確的發(fā)

48、展方向，因此在電子文件管理初始階段，宏觀、中觀層次的電子文件風(fēng)險應(yīng)對顯得格外重要。 3信息安全管理專業(yè)領(lǐng)域?qū)τ谖募L(fēng)險的防范與控制是電子文件風(fēng)險應(yīng)對的基礎(chǔ)，它為電子文件質(zhì)量保護提供了安全的系統(tǒng)環(huán)境。文件管理領(lǐng)域?qū)τ谖募L(fēng)險的防范與控制則是電子文件風(fēng)險應(yīng)對的支柱，它保護電子文件的歷史記錄能力，展現(xiàn)電子文件之間的有機聯(lián)系。挑選電子文件，長期維護其內(nèi)容、結(jié)構(gòu)和背景，從而保護電子文件的證據(jù)特性。業(yè)務(wù)管理領(lǐng)域?qū)τ谖募L(fēng)險的防范與控制是電子文件風(fēng)險應(yīng)對的核心，業(yè)務(wù)管理的目標決定了電子文件風(fēng)險管理目標的內(nèi)涵和外延，文件風(fēng)險的應(yīng)對措施要在業(yè)務(wù)活動過程中實現(xiàn)，需要業(yè)務(wù)部門執(zhí)行。4.國家要為各地、各機構(gòu)電子文件管

49、理創(chuàng)建低風(fēng)險的社會環(huán)境。為此，相關(guān)主管部門應(yīng)把握社會變革對電子文件風(fēng)險應(yīng)對的總體影響，喚起全社會的電子文件風(fēng)險意識，制定合理的政策，健全法律、法規(guī)、標準，引導(dǎo)與規(guī)范電子文件管理社會化、市場化服務(wù)，并對中央政府的電子文件管理工作進行審計5為提高對電子文件風(fēng)險的整體防御能力，在國家層面的電子文件管理政策中，必須將電子文件管理定位為管理電子證據(jù)和電子化社會記憶的工作。在此基礎(chǔ)上，明確電子文件不真實、不準確、不完整、不可讀、不可用等關(guān)鍵性風(fēng)險；將電子文件管理工作納入到信息化建設(shè)中，將電子文件風(fēng)險管理納入到信息系統(tǒng)的風(fēng)險管理中；明確電子文件管理工作主管部門以及各類國家檔案館的職責(zé)所在；確定電子文件全程管

50、理的基本思路；明確將電子文件管理流程納入機構(gòu)業(yè)務(wù)流程、開發(fā)電子文件管理系統(tǒng)等關(guān)鍵性辦法，以及登記、元數(shù)據(jù)管理、鑒定、存儲、備份等關(guān)鍵性業(yè)務(wù)。 6與宏觀層次的電子文件風(fēng)險應(yīng)對一樣，中觀層次的電子文件風(fēng)險應(yīng)對也應(yīng)把握社會發(fā)展對電子文件風(fēng)險應(yīng)對的總體影響，強化、喚起社會的電子文件風(fēng)險意識，制定合理的政策、健全法律、法規(guī)、標準，引導(dǎo)與規(guī)范電子文件管理社會化、市場化服務(wù)，并對地方政府的電子文件管理工作進行審計。除此之外，中觀層次重要的風(fēng)險應(yīng)對措施是對本地政府電子文件實施統(tǒng)一管理，并在統(tǒng)一管理的框架下明確電子文件形成機構(gòu)的職責(zé)。7對本地政府電子文件實施統(tǒng)一管理，是指對行政區(qū)劃內(nèi)各政府機構(gòu)的電子文件管理工作選行統(tǒng)一規(guī)劃與部署，分級分類集中存儲和維護電子文件，并進行統(tǒng)一的開發(fā)利用。統(tǒng)一管理強調(diào)的重點有兩個：統(tǒng)一掌控文件資源和減少重復(fù)投入。 8分級分類管理是中觀層次電子文件統(tǒng)一管理的基本途徑。所謂分級，是按照電子文件形成單位的行政級別分別管理電子文件，如省、市、區(qū)（縣）等。所謂分類，則是針對不同的文件類型加以區(qū)別管