电子文件风险管理机制研究
向立文 湘潭大学
[摘 要] 本文分析了电子文件面临风险的具体表征及其特点,并从风险教育、组织体系、运行机制等方面对电子文件风险管理机制的构建进行了思考。
[关键词] 电子文件 风险管理 机制
“风险社会”是20世纪末由德国社会学家乌尔里希・贝克在对工业社会反思基础上提出的一个全新的社会理念。在乌尔里希・贝克看来,风险是永恒存在的,风险至少是伴随着工业社会的产生而产生的,甚至有可能早在人类社会自身刚刚诞生时就己经出现了。[1]由于电子文件具有动态性、系统依赖性、可操作性等特点,在电子文件形成及其管理过程中,不可避免地会面临被删除、不可读、感染病毒等各种风险。联合国教科文组织发布的《数字遗产保护章程》指出:“全世界的数字遗产正濒临丢失的危险。……除非这种上升的危险被加以注意,否则数字遗产的丢失是快速和无法避免的。”[2]电子文件风险的客观存在性以及危害严重性,决定了电子文件风险管理的必要性与紧迫性。
一、电子文件风险的具体表征及其特点
电子文件在其整个生命周期过程中面临着诸多风险,归纳起来,主要体现在以下几个方面:
(一)真实性风险
电子文件的真实性是指文件内容、结构和背景信息经过传输、迁移等处理后依然保持不变,与形成时的原始状态一致。真实性是保证电子文件行政有效性和法律证据性的基础,是电子文件反映历史面貌,构成社会价值,得以作为社会记忆长久保存的前提,是文件的生命,是对文件管理的根本要求,电子文件风险管理的第一要务就是要确保电子文件的真实性。
电子文件真实性的维护是档案界面临的难题,主要原因来自两个方面:一是电子文件信息的易更改性,在电子文件形成和使用过程中,如果不采取控制措施,极易不留痕迹地改动文件信息;二是电子文件信息的软硬件依赖性,由于软硬件平台的不断升级,若要保证电子文件信息的可读性,必须对文件适时迁移以适应新的计算机技术,而迁移过程会造成文件某些信息的变化或丢失,影响电子文件的真实性。[3]电子文件的真实性风险主要表现在管理过程中,由于各种人为因素或非人为因素,导致电子文件的内容发生了变化,与形成时的原始状态不一致。1996年,加拿大调查委员会对加拿大在索马里的驻军情况举行了听证会,如何以程序上的机制来保证电子文件的可靠性成了会议的焦点。调查委员会在查看国防行动中心的一个数据库中的文件运行记录时,发现了许多异常情况,如空白信件、漏号或重号等。委员会担心有人蓄意篡改了这些记录。虽然调查结果没有提出确凿的证据,但却不能排除这种可能。因为该文件运行记录缺乏标准的操作程序,没有完整有效的安全制度,没有系统的审计,而有关人员有回避这个棘手问题的倾向。因此,调查委员会认为这些记录不可靠,不能用于当时进行的调查,也不能供未来研究人员使用。[4]
(二)完整性风险
电子文件的完整性包括两个方面含义:一是作为记录社会活动真实面貌的具有有机联系的电子文件及其他形式的相关文件数量齐全;二是每一份电子文件的内容、结构和背景信息没有缺损。完整性是电子文件价值的重要保障,残缺不全的文件留给后人的是残缺不全的社会记忆,因此,维护电子文件的完整性是文件、档案工作人员的重要职责。[5]
电子文件完整性的风险主要表现在应该归档保存的电子文件数量残缺不全,单份电子文件的构成要素不齐全。这种数量上的不完整或构成要素的不完整,给电子文件的利用带来很大的障碍,也严重影响了电子文件的应有价值。例如,1990年德国统一后,联邦档案馆接管了原民主德国政府331980个职员的个人数据,这些数据包括了官员的政治和职业生涯,可以帮助人们了解原东德政府和党员的活动情况。但是这些电子档案并不完整,许多电子档案丢失了支持性文件、背景信息,各种数据结构、程序和限制性文件也都无法找到,因而失去了应有的价值。最后联邦档案馆花费了大量的工夫才得以恢复。[6]
(三)识读性风险
电子文件识读性风险就是指电子文件的不可读,即文件经过存储、传输、压缩、加密、转存、载体转换、系统迁移等处理后无法让人可以识读,可以理解的方式输出,包括文件打不开,或者打开之后是乱码,或者部分信息无法显示等。造成电子文件不可读的直接原因可能来自文件的编码系统(如字处理软件、压缩软件、加密软件)和解码系统(如阅读软件、解压缩软件、解密软件)不兼容、密码或密钥丢失、文件部分信息不全(如文件后缀名的丢失)、病毒的侵害、链接对象的变化、存储设备损坏等。[7]例如,美国1990年一份众议院报告中披露了政府机关电子文件因记录格式过时等原因无法读出或濒临不可读取的若干案例,包括1960年美国人口调查数据、卫生与公共服务部的磁带、防止吸食大麻及其他毒品委员会的文件、公共土地法律审查委员会的文件、记录“越战”期间战俘及战斗失踪人员的战地伤亡文件等。这些电子文件皆因无法识别读取而“名存实亡”。[8]
(四)保密性风险
电子文件的保密性是指排除了一切非法用户对含有秘密的电子文件的可能接触,秘密信息不被泄露。[9]在电子文件管理过程中,由于有不少电子文件具有保密性,不同密级的文件只能在特定的范围内加以利用,并且有些具有密级的电子文件中有可能包含大量的个人隐私信息,这些个人隐私信息没有经过电子文件所有者的同意是不能公开的。
由于网络的公开性、计算机系统的脆弱性、电子文件的特性等都对电子文件的保密问题构成威胁,再加上当电子文件在网络环境中传输时,由于有可能受到病毒的感染、黑客的恶意攻击等威胁,这些都使得电子文件与传统介质的文件相比,泄密问题、侵犯隐私权问题更容易发生。英属哥伦比亚省的信息和隐私事务专员在2006年4月的一份报告中表示,省政府未能按照适当流程销毁计算机磁带,导致大量公民隐私信息因此泄露。2005年,温哥华市一地方政府机关因机构重组而关闭,41盘含有公民艾滋病病毒携带情况、精神病史和药物滥用情况等隐私信息的计算机备份磁带被政府部门拍卖,落入当地一家报社手中。虽然制定了文件处置程序,但有意或无意的违规操作仍然时有发生。[10]
(五)可用性风险
电子文件的可用性是指确保那些已被授权的用户在他们需要的时候,确实可以访问得到所需电子文件。即电子文件在授权人需要的时候,可以立即获得。反之,而意味着电子文件面临可用性风险。由于网络系统的脆弱性,网络中传递的电子文件经常面临可用性风险。例如:通信线路中断故障、网络的拥堵会造成电子文件无法通过网络实现传递,从而影响正常的业务运营。2003年5月9日深夜,北京海淀区“非典”防疫大队指导部正在汇总各单位上报的“非典”疫情数据。这些数据将上报北京市“非典”防治领导小组,在次日的新闻发布会向中外记者通报。这时防疫大队计算机系统中的一台电脑因硬盘故障突然死机。经国家信息中心信息安全研究与服务中心近6小时的抢救,数据才得到恢复。[11]
由于互联网络是开放的网络,需要时就可以得到所需要的电子文件信息是网络设计和发展的基本目标,电子文件的可用性要求系统当用户需要时能够存取所需要的电子文件,或是说应用系统提供的服务,能够免于遭受恶劣影响,甚至被完全破坏而不可使用的情形。
(六)可控性风险
电子文件的可控性是指可以控制授权范围内的电子文件的流向及行为方式,如对电子文件的生成、传递、存储、利用等具有控制能力。如果在电子文件管理过程中,管理部门或管理人员失去了这种控制力,就表明电子文件可控性风险产生。而一旦电子文件失控,就会电子文件管理带来不可估量的损失。譬如:十年前,某国家机关人事部保存人事档案电子版时根据工作需要采取了加密措施――密码保护。十年后,上级来考察干部培养对象需要调阅相关电子文件时,工作人员无论如何回想不起当初设定的密码,给上级组织部门、本单位及相关人员造成了很大的麻烦。[12]
为了保证电子文件的可控性,在设计电子文件管理系统时,要保证电子文件管理系统能够控制谁能够对电子文件管理进行相应的操作,或管理或访问,不同的人员,其接触和使用电子文件的权限是不一样的。即使拥有合法的授权,电子文件管理系统仍能够对电子文件的用户进行身份验证,以确保该用户确实是真实的、合法的用户,否则很难保证电子文件的可控性。电子文件管理系统还要能够将用户的所有活动记录在案,包括在系统中机器的使用时间、敏感操作和违纪操作等,为电子文件管理系统进行事故原因查询、定位,事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。如果没有这些措施的保证,电子文件的可控性问题就得不到保障。
从上述分析可以看出,任何一种风险的产生,就会威胁电子文件的安全,就会带来各种有形或无形的损失。概括起来说,电子文件的风险具有以下几个方面的特点:
第一,风险存在的客观性。作为损失发生的不确定性,风险是不以人的意志为转移并超越人们主观意识的客观存在。电子文件的风险也不例外,无处不在,无时不有,这些风险可以被识别和控制,但只能在有限的空间和时间内改变风险存在和发生的条件,降低其发生的频率,减少损失程度,而不能也不可能完全消除风险。
第二,风险类型的多样性。电子文件的风险不仅是客观存的,而且具有多样性。从电子文件本身来看,其内容和载体均面临着各种风险;从电子文件的管理过程来看,在其整个生命周期中的每一阶段均有可能面临各种风险;从风险的性质来看,电子文件的风险表现在真实性风险、完整性风险、识读性风险、保密性风险、可用性风险、可控性风险等多个方面。
第三,风险因素的复杂性。电子文件风险因素有很多,既有人为因素,如网上黑客入侵,网上病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏等人为故意破坏电子文件的内容或载体,又有非人为因素,如因雷电、水灾、火灾、地震等自然灾害的发生而造成电子文件的破坏,电子文件系统和网站的环境不符合要求而导致电子文件的风险产生;既有外部环境因素,如缺乏专门的管理机构,管理规章制度不健全等,又有机构内部因素,如领导不重视,资金不到位,技术不过关,管理不科学,等等。
二、构建电子文件风险管理机制的基本思路
电子文件风险管理的目标包括两个基本方面:一方面是尽可能地避免电子文件风险事故的发生;另一方面是最大限度地减少风险事故发生后对电子文件造成的损失。电子文件风险管理机制的建立是实现电子文件风险管理目标的重要保证。笔者认为,要构建电子文件风险管理机制,应从以下几个方面入手:
(一)开展风险教育,增强风险意识
尽管人们不愿看到风险的存在,但风险的存在是不以人的意志为转移的,它们是独立于人的意识之外的客观现象,并且这种现象是普遍存在的。电子文件的风险也不例外,并且与其他风险一样,电子文件的风险具有可变性,在一定条件下可以转化,这种转化可以向好的方面转化,即通过加强风险管理,尽可能降低或消除风险,保持电子文件的正常状态;另一种则是向坏的方面转化,由于对电子文件的风险视而不见,没有采取一定措施加以控制,最终导致潜在的风险演变成现实的风险事件,从而给电子文件带来各种灾难性后果。电子文件的风险事故有的发生在运行阶段,比较多的发生在保存阶段,如因文件生成的软硬件平台过时淘汰而使文件无法解读等,如果不是事先有所准备,等到事故发生才设法挽回是极为困难的。[13]
风险事故的危害总是在人们意想不到之时和意想不到之处最为严重。在电子文件管理过程中,管理者和管理部门必须要强化风险教育,居安思危,认识到电子文件风险的客观性、普遍性、危害性,做好风险防范和应对工作,防患于未然,只有这样,才能确保电子文件的管理没有风险,否则,如果对潜在风险的忽视,定会导致灾难性后果,形成可怕的“记忆黑洞”、“历史空白”。
风险教育是电子文件风险管理机制建设的基础性工作。档案部门要在日常管理中经常性地加强电子文件的风险教育工作。一方面要对电子文件管理人员开展风险教育,另一方面也要对电子文件用户进行风险教育;风险教育的方式应视具体情况采取灵活多样的方式进行,或通过专门的电子文件风险知识讲座、培训,或通过档案网站发布电子文件风险管理常识,或通过专题展览等方式来宣传电子文件风险管理的基本知识。通过加强风险教育,增强有关人员的风险意识。
(二)加强风险管理组织体系建设,建立健全电子文件风险管理制度
组织建设是风险管理机制的核心,也是电子文件风险管理机制有效运行的前提和基础。构建风险管理机制不是权宜之计,为了风险管理机制能够长期、有序、高效运作,必须在组织形式上给予必要保证。
电子文件风险管理机制的组织建设,一方面应当将风险管理纳入电子文件管理的范畴,制定切实可行的电子文件风险管理战略目标,定期研究分析风险管理的实施进程,及时解决风险管理中存在的问题,提出风险管理的工作重点和要求,同时,要确定一位主要领导成员分管风险管理工作。另一方面应设立专门的风险管理机构,配备专业人员,负责处理风险管理的日常事务,从而确保风险管理机制的长效运作。
不以规矩,不能成方圆。电子文件风险管理组织体系的有效运行,还需要建立一套有效的规章制度体系,以规范风险管理行为,落实风险管理责任制,促进风险管理制度化。通过风险管理制度建设,使电子文件管理部门及管理人员明确风险管理的指导思想、管理原则、管理范围、管理对象、管理要求、管理程序、管理方法、管理责任和奖惩办法等。在制订电子文件风险管理制度的过程中,要注意把握好以下三个方面:
一是要对风险管理的范围、对象、要求等要明确规定,能量化的尽可能量化,具有可操作性,便于对照、分析、考核,不宜过于原则,难以把握。
二是电子文件的风险管理涉及到各个方面,需要文件形成部门、档案部门、信息技术部门等各方面的共同努力,因而在风险管理制度中应充分体现团队精神,强调相互主动配合,协同作战,要重视各部门之间的相互配合与支持,起合力效应。
三是要落实责任制。责任制是电子文件风险管理制度的核心。应明确各部门、各人员风险管理的责任归属,以加强其责任感,调动其积极性,鼓励其创新精神。责任制必须贯彻责、权、利相结合的原则,与奖惩挂钩,明确规定奖惩标准,对尽职尽责,在预见、防范、控制、化解风险做出贡献的给予奖励,开拓创新有突出贡献的予以重奖;对决策失误导致风险损失或面临风险而反应迟钝导致贻误战机,或者在处置风险时无所作为、举措失当而导致重大损失的,应严肃处理,务必做到奖惩分明。
(三)构建风险管理运行机制,优化电子文件风险管理流程
运行机制的建设是电子文件风险管理有效运行的关键,对于优化电子文件风险管理流程具有重要的现实意义。其基本框架主要包括以下几个方面:
一是电子文件风险监测,识别电子文件风险。监测就是通过一定的技术方法对电子文件进行全方位的监控,并采集相关信息的过程。进行监测时,要把引发电子文件风险的影响因素作为重点对象。并且要采取一定的技术方法对对监测对象的活动过程进行全过程监视,对监测对象同其他环节和外部环境的相互关系进行监视。通过监测,识别电子文件所面临的各种风险。风险识别包括对风险因素的“寻找”和“分类”两项内容,目的是形成对电子文件风险源、分布、原因、关联、后果的理性认知,如果能够形成清晰的“风险清单”或“风险地图”,可以达到较好的识别效果。[14]
二是电子文件风险分析,评估电子文件风险。风险分析的工作就是要把在风险识别过程中得到的数据通过定量分析和定性分析等方法转变为信息。具体来说,要运用概率及数据统计方法分析电子文件某一风险发生的频率和概率等,以准确地估量风险造成后果的严重程度。风险分析其实就是对风险进行评估,评估某一电子文件风险有无发生的可能性,其概率是多少。如果说风险识别所回答的问题是可能出现何种风险,风险分析回答的问题则是电子文件的风险究竟有多大及风险会带来何种程度的损失后果。
三是电子文件风险应对,控制电子文件风险。通过电子文件的风险识别、分析评估之后,就要采取一定的风险处理措施,以有效应对可能发生的风险或已经存在的风险,避免或减少风险对电子文件及其管理造成不良影响。比如,对于可能发生的风险,根据电子文件风险的种类、特征、性质以及严重程度等,制定出相应的应对计划,建立相应的预警系统,为应对风险作好准备。对于已经发生的风险,必须根据需要启动应对计划,采取紧急应对措施,全力控制风险,将损失降低到最小程度。如果电子文件管理部门没有这方面的能力条件,可以将风险管理业务外包给有关信息技术服务部门,由专门的服务部门通过专门的技术力量来实施电子文件风险管理,以减轻电子文件管理部门的负担,提高电子文件风险管理水平。
四是电子文件风险报告,总结电子文件风险管理经验。在完成风险监测、分析及应对活动之后,文件管理者及管理部门应及时准备报告风险管理的结果。风险报告可以是文件的形式,也可以是以会议的形式对电子文件的风险及风险管理展开讨论,探讨风险计划的执行情况,风险控制的成效等,通过总结经验,完善风险管理计划,进一步提高电子文件风险管理水平。
参考文献:
[1] [德] 乌尔里希・贝克著、王武龙编译.从工业社会到风险社会(上篇)――关于人类生存、社会结构和生态启蒙等问题的思考.马克思主义与现实(双月刊),2003(3)
[2] 联合国教科文组织著、李文栋译.数字遗产保护章程.外国档案动态,2004(5)
[3] [5] [6] 冯惠玲.电子文件管理教程.中国人民大学出版社,2001
[4] [加] 露西安娜・杜兰蒂著、李音等译.如何长期保证电子文件的真实性.中国档案,2000(3)
[7] 刘家真.拯救数字信息――数据安全存储与读取策略研究.科学出版社,2004
[8] 刘越男.识别电子政务系统中的文件风险.档案学通讯,2006(2)
[9] 徐拥军.电子文件风险管理的必要性与可行性.档案学通讯,2005(6)
[10] [12] 冯惠玲.电子文件风险管理.中国人民大学出版社,2008
[11] 胡�矗�拯救数据.电脑报,2003-06-17
[13] 冯惠玲.论电子文件的风险管理.档案学通讯,2005(3)
[14] 何嘉荪.论电子文件的生命周期.浙江大学学报,2001(4)
作者简介:向立文,男,湘潭大学公共管理学院电子政务系副主任,副教授,硕士生导师,中国人民大学档案学专业博士。
通信地址:湖南湘潭大学公共管理学院,邮编:411105
网站首页