信息安全風險管理范例6篇

前言：中文期刊網精心挑選了信息安全風險管理范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息安全風險管理范文1

【 關鍵詞 】 企業信息；信息安全；風險管理；框架探究

1 引言

人類社會在不斷發展，信息化逐漸融入人們生活。信息資源對于現代企業來講，是每時每刻都存在的運轉載體，各種重要數據、企業的知識產權等這些都是企業的內部信息，除這些信息外，其他相關方面的數據也被企業所利用，例如合作伙伴、客戶、員工等資料，尤其是一些服務性企業，比如網商、快遞公司、金融公司、通信公司、航空公司等，這些企業更需要以信息系統作為支撐，信息資源成為企業不可或缺的重要組成部分。

2 新形勢下我國信息安全面臨的問題

2.1 風險意識在主觀上的淡薄

在我國信息安全上面，思想認識面臨高風險的形勢，大部分企業的管理高層對信息資產的認識嚴重不足。或者局限在IT的安全方面，沒有合理的安全觀念引導企業在信息安全管理方面的工作。信息安全管理制度的完整性缺乏，規范安全風險和安全法律法規對員工的培訓缺乏，很多信息安全事故的發生都是因為安全意識的薄弱造成的。

2.2 缺乏信息安全管理系統的思想

大部分企業仍是將傳統的管理方法用在安全管理模式中，這種出現問題再去想彌補的方法是靜態的管理，不能在提前進行信息安全風險評估上做更有效的信息系統管理。

2.3 信息安全不僅僅是技術部門的事

多數企業認為信息安全的責任和義務都是IT部門的，造成信息技術部門無法和企業內部其他部門互動，進而形成孤立的局面。但是，信息安全的實現需要各個部門的全員行動，特別是規范標準以及規章制度的貫徹落實，更牽涉到企業的每一名員工，全員行動的要求更是不能缺少。

2.4 存在重視安全技術而輕視安全管理的情況

現今為止，仍有很多企業僅僅依賴產品安全，認為信息安全就是信息產品安全。一般企業現在都會采用計算機和網絡技術來構建企業的信息系統，但是沒有把相應的管理措施開展到位。信息安全問題應該加強做好管理工作，不能單從技術方面著手。

2.5 現代管理手段與理論欠缺

日益龐大的現代化信息規模與越來越復雜的網絡結構，讓現有的風險管理手段和理論都不足以讓企業信息安全得到完全的滿足，企業應該結合實際情況和需要，把國際上優異的信息安全風險管理理論以及先進的最佳實踐用作指導，以此達到信息安全的目的。

3 企業信息安全風險管理的框架探究

企業信息安全風險管理的框架包括兩個部分，一是企業信息安全風險管理的過程，二是企業信息安全風險管理的實施。其中，實施是過程的保障，整合各種資源要通過實施才能達到；過程是實施的前提，對過程的清楚有利于建立企業信息安全風險管理的統一理解，以此逐漸實現信息安全風險管理。企業信息安全風險管理包括風險分析、風險計劃、風險識別、風險監督、計劃實施、風險改進六個動態過程。

信息安全風險管理是動態、持續性過程，信息安全通過潛在的風險識別、分析，同時進行計劃、實施、監督、改善，然后再進入到下一個循環里，通過持續不斷的循環活動進行有計劃、持續的控制，不斷改進。

參照戴明的PDCA質量管理模式，把安全項目實施劃分為四個階段，分別是準備和策劃、執行和部署、監控和檢查、評價和改進，實施階段有幾個工作步驟：（1）準備和策劃工作階段，首先調研信息安全風險管理現狀，接著進行風險評估，然后編制信息安全風險管理方案；（2）執行和部署工作階段，進行部署安排，按計劃執行，接著進行安全培訓；（3）監控和檢查工作階段，做好企業安全現狀檢查，預測未來的變化；（4）評價和改進工作階段，制定改善措施，響應緊急事件。

4 企業信息安全風險管理的實施

在風險管理中人、過程、基礎結構和實施是四大影響風險管理能力的關鍵因素，企業的信息安全風險管理能力同時也受著這四個因素制約，所以企業信息安全管理中十分重要的就是人通過各類資源和企業基礎結構達到信息安全風險管理過程的實施活動。

企業在開始嘗試安全風險管理實施之前，很重要的一點是應該檢驗現有安全風險管理的完善度。假如企業在安全風險管理上沒有規范的流程和正式的策略，就會出現框架的實施非常艱難。換句話說讓企業有一些正式的策略和明確的指導，將避免大多數員工都在工作中不知所措。假如在安全風險管理上發現企業相對不夠成熟，則可以采取試點的形式，把安全風險管理實施到單個業務單元中，直到通過試運行在框架中顯示有效以后，再考慮將其他業務單元導入至整個企業框架中。

框架實踐需要以最優實踐的經驗為基準，必須有利于企業確定安全現狀，同時按照需要的安全方向進行改進，企業的安全風險管理能力通過不斷的提高，就能逐漸努力向著安全的目標前進。

5 結束語

進入信息化時代，企業已經把信息系統的高效、互聯、精確的特征當作賴以生存和發展的必要條件。因此所伴隨產生的信息安全風險就成了企業關注的重點問題。在此情況之下，企業建立信息安全風險管理機制，利用科學的方法和手段控制各種風險的發生顯得尤為重要。動態循環是企業信息安全風險管理的一個過程，在風險評估的前提下，要落實對風險控制措施。同時對過程的實施要進行有效的控制和監督，這就需要一個明確清晰并且具有可操作性的信息安全風險框架來指導。還有需要探究的工作在信息安全風險管理領域里，但愿本文能引來更多這一領域探究，從而做出保障企業信息安全的貢獻。

參考文獻

[1] 陳慧勤.企業信息安全風險管理的框架研究[J].2011，21（40）：42-46.

[2] 惠志斌.企業IT風險管理的體系構建與實現路徑[J].科技管理研究，2014，34（2）：36-55.

[3] 葉銘.企業動態信息安全風險控制系統的研究[J].2012，08（11）：81-85.

信息安全風險管理范文2

開放、互聯的信息技術與信息安全就像一把雙刃劍。一方面，企業需要借助信息技術或信息系統集中信息并開放共享；另一方面，企業的核心信息資產又在不斷外泄，引發無數信息安全問題。一談到信息安全，首先想到的是網絡安全，比如防火墻、入侵檢測、漏洞掃描、數據加密等傳統意義上的網絡底層安全防護。但從廣義上來講，隨著信息化建設的不斷深入，企業的信息資產對經營的貢獻比重越來越大。尤其在信息訪問越加便捷的前提下，根據市場競爭的需要，企業需要源源不斷地將信息不同程度地開放給客戶、供應商、員工等，企業的信息資產也越來越暴露在更多的威脅之中。信息的三個安全特性，即完整性、保密性和可用性。（1）信息完整性風險管理。一方面，要保證信息在收集、加工過程中不能被惡意篡改、不能丟失、被竊取、損壞等；另一方面，也常為人忽視的是加工過程本身的科學性，需要防范因不恰當的加工方式而導致的數據失效或結果錯誤。（2）信息保密性風險管理。主要是指要保障沒有被授權的用戶無法使用信息系統，訪問相應的資源。防止該類用戶訪問、通過非法手段攻擊破壞企業信息資產。（3）信息可用性風險管理。主要是指保障被授權用戶可以順利、快速訪問信息資產，保障信息系統穩定性和可用性。以上三個特性，同時也是信息安全風險管理的主要內容，管理過程包括風險識別、風險評估和風險控制三個步驟。

2企業信息安全風險識別

由于涉及企業的核心信息資產，所以相應的信息安全風險點分布在企業管理的各個環節和層面。但是由于種種原因，目前國內企業對信息安全風險管理的認識仍不到位。總體來說，有以下主要問題，也是常見的信息安全風險管理的風險點。（1）信息安全組織和制度保障不足。沒有有效的信息安全管理組織機構，就無法有效地制定、執行安全管理策略，更無法進行有效的信息安全協作。信息安全管理制度通常都有，但很少有單位能夠嚴格執行，信息安全的政策制定也常常不符合標準，導致可操作性比較差或者達不到控制的目的。（2）信息安全相關人員意識不足。信息安全雖然已經被很多企業提到戰略高度，但更多停留在口頭上和管理層。大部分企業人員比較缺乏信息安全意識，安全事件報告不及時；對各自崗位相關的信息資產職責了解不清，對信息系統的錯誤操作導致信息泄密的事件屢有發生；部門單位還存在因人員流動導致的信息資產不連續等問題。（3）傳輸、存儲信息資產的設備與網絡存在安全隱患。部分企業存在網絡有安全漏洞、存儲設備老舊、數據資產缺乏備份機制等常見問題，一旦受到網絡入侵、病毒攻擊，或者發生硬件及性能問題，會導致信息資產大量泄漏或損壞。（4）訪問控制及用戶權限管理存在漏洞。在信息系統的實施階段，為了便于用戶測試或其他目的，部分用戶權往往限過大。隨著系統正式上線及應用，相應權限又由于種種原因沒有調整，對信息安全也留下了比較大的隱患。（5）軟件系統及業務持續性風險。因為國產化和自主開發的趨勢逐漸確立，大量企業選擇自行開發軟件系統，由于軟件開發技術而導致軟件本身存在一定漏洞，相應的開發質量存在隱患，連帶的如運維、業務持續性風險均應相應考慮。

3企業信息安全風險評估和控制

考慮到每個企業均有自身特點，面臨的信息安全風險點也不同。按照通常的信息安全風險管理理論，在完成上節所述的風險識別之后，需要進行詳細的風險評估和風險控制。信息安全風險評估是指確認風險大小程度的過程，主要是要借用適當的風險評估工具和模型，包括定量的或者定性的方法，對信息安全風險點造成的影響進行評估，以確定風險的大小和控制方式。其主要目的是為了確定風險的大小并量化，從而可以采取適當的控制目標和控制方式開展風險控制工作。信息安全風險控制的作用體現在對組織信息安全的保障上，其有效性體現在當企業面臨信息安全風險時對風險控制的有效程度，換句話說，在信息安全風險評估的基礎上，考驗控制力度的有效性就是損失的程度，損失的越少越有效。反之，則控制無效。另一方面，信息安全風險控制也是需要成本的，控制力度大小與成本通常成正比關系，而且在達到一定程度之后，控制力度增長比例較小可能帶來成本大幅增加。因此，信息安全風險控制的總體目標，是以最小的投入將信息安全面臨的風險控制在組織可接受的范圍內。

4結語

信息安全風險管理范文3

【關鍵詞】信息安全；風險管理；城域網

網絡安全是網絡時代的永恒話題，寬帶城域網的網絡安全是一項非常艱巨的任務，它總是伴隨網絡技術的發展而不斷變化。要充分考慮網絡的整體安全性能，考慮設備容量及防攻擊的性能，有效實施設備相關安全特性，同時又要透過復雜的技術細節，把復雜的網絡簡單化，把握寬帶城域網的安全實質關。只有建立全面的安全防護體系，才能向社會提供一個安全、高速、易用、智能化的網絡。

1、IP城域網的安全問題

IP城域網中，網絡的各個層次承擔了不同的能，具有不同的特點，通過分析各層的功能及特點得出對應的安全問題。要保證整網的安全就必須證各個層次上的安全。核心層是網絡的核心，要負責整個城域網網絡據包的快速交換、轉發并且完成與骨干網通信。核層具有節點數量少、業務容量大的特點，一旦核心出現故障，將不能為整個城域網提供服務，故在核層要求網絡結構相對穩定、業務可靠性、安全性要高。其存在的安全問題有：由于核心節點和鏈路故而導致業務中斷；由于數據量大而造成網絡阻塞的題；路由的安全問題；核心層設備自身受攻擊的問題其常見的攻擊有：（1）源路由攻擊，報文發送方通在IP報文的Option域中指定該報文的路由，使報發往一些受保護的網絡；（2）拒絕服務攻擊。危在于受攻擊后，網絡可用帶寬急劇下降，導致無法其它用戶提供正常的網絡服務，SYNFlood攻擊是型的拒絕服務攻擊等。匯聚層提供流量控制和業務管理的功能，也是證城域網中承載網和業務安全的基本屏障，更是保城域網安全性能的關鍵。匯聚層面臨的安全問主要是路由安全、各種異常流量、用戶業務的安全，及用戶訪問的控制。接入層是面向用戶的外層網絡，負責給用戶提安全高速的多業務服務，其主要面臨的安全問題是些基于二層協議的用戶攻擊行為和廣播風暴等。

2、信息安全風險管理內容和過程

信息安全風險管理是以風險為主線進行信息安全的管理，它的實施目標就是要依據安全標準和信息系統的安全需求，對信息、信息載體、信息環境進行安全管理以達到安全目標。它貫穿于整個信息系統生命周期，包括對象確立、風險評估、風險控制、審核批準、監控與審查和溝通與咨詢六個方面。其中對象確立、風險評估、風險控制和審核批準是信息安全風險管理的四個基本步驟，監控與審查、溝通與咨詢則貫穿于這四個基本步驟之中。對象確立根據要保護系統的業務目標和特性，確定風險管理對象。風險分析針對確立的風險管理對象所面臨的風險進行識別評價。風險控制依據風險分析的結果平衡安全風險與安全效益，選擇合適的安全措施。審核批準包括審核和批準兩個部分。這四個步驟貫穿于信息系統的整個生命周期，當受保護系統的業務目標和特性發生變化或面臨新風險時，重新進入上述四個步驟，形成新的一次循環，使所保護的系統在自身和環境的變化中能不斷對應新的安全需求和風險。監控與審核對上述四步驟實行監控和審核。溝通和咨詢則為上述四步驟的相關人員提供溝通和咨詢，確保系統安全目標的一致及安全措施有效實行。

3、IP城域網安全管理

針對IP城域網中網絡各層可能存在的安全隱患，本文結合某廣電IP城域網針對網絡的每一層給出一些安全管理意見。

（1）設備選擇。核心層中硬件設備的選擇很重要，硬件設備的性能將直接影響到核心層網絡的安全。由于核心層網絡數據流量大，必須采用高速無阻塞的路由器、交換機；設備應當符合國家標準規定的防雷擊、防靜電，并能夠在正常的機房溫度、濕度等條件下長期穩定地運行，這點匯聚層和接入層也應該同時具備。

（2）冗余策略。從結構安全上來看，主要安全問題就是單點和單鏈路故障，要避免網絡的單點單鏈故障而導致業務中斷就必須要做好網絡軟、硬件、傳輸介質及路由冗余。如采用至少兩臺路由器或交換機互連，以便在有一臺出現故障時能夠自動切換到另外一臺設備而保證設備轉發不中斷。啟用多生成樹協議（MSTP），應用時將備用鏈路控于阻塞（blocking）狀態，一旦主鏈路通信中斷，能在很短時間內恢復。

（3）防火墻。核心交換機、路由器配備強大攻擊防范能力的高速防火墻，可采用硬件防火墻，用于防病毒、防攻擊，以保證網內安全。同時提供有效的認證措施，拒絕并記錄非法的人為入侵。采用硬件防火墻獨立于其它硬件，可單獨肩負網絡攻擊帶來的壓力。此外還可利用地址轉換（NAT）技術，對外屏蔽內部網絡的主機地址。

（4）路由管理。選擇合適的路由協議非常重要，路由規劃科學與否直接影響到整個城域網的可靠性及效率。路由協議有域內路由和域間路由兩種基本類型。域間路由協議主要有邊界網關協議（BGP）和外部網關協議（EGP）等；域內路由協議主要有開放式最短路由優先協議（OSPF）、中間系統路由選擇協議（IS-IS）和路由信息協議（RIP）/RIP2等。建議采用開放式最短路由優先協議（OSPF），它的最大特點就是絕對的無環路，同時還具備快速收斂、鏈路通告、帶寬開銷少、延展開放的優點。如在同一城域網的路由設計上全網采用OSPF協議，建議其內部劃分兩個自治域，所有的骨干層路由器同屬一個自治域，匯聚層和接入層同屬另一自治域，可避免因匯聚層路由波動對骨干路由造成影響，同時也減少了路由協議對CPU資源消耗和路由信息傳播所占用的網絡帶寬；核心路由器與出口防火墻之間建議采用靜態路由互連，既安全又能簡化路由表。

（5）流量過濾及流量攻擊防范。在核心路由器上制定細致的訪問控制列表（ACL），對流向引擎板卡的異常流量進行報文過濾，避免如網絡風暴、PINGDDoS攻擊、TCPDDoS攻擊等對主控板造成CPU資源耗盡、網絡流量過載，進而導致業務控制和協議計算發生中斷的嚴重后果。充分利用核心路由的控制功能，當主控板發現來自接口板的總流量超過某個特定閾值時，即啟動接口板上的CAR隊列，將送往主控板的流量進行限制，從而保護主控板在流量過載的情況下正常工作。對于源路由攻擊可采用關鍵數據身份認證與授權、訪問權限控制、加密保存、加密傳輸等措施進行防范。對于像SYNFlood之類的拒絕服務攻擊可通過以下方法進行防范：路由器上調整包括限制SYN半開數據包的流量和個數，并設定相應的內核參數，使得系統強制對超時的SYN請求連接數據包復位，同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的SYN請求數據包，還可以通過加固TCP/IP協議棧防范，只有完成TCP三次握手過程的數據包才可進入該網段。

結束語

信息安全風險管理的原則是“最小安全成本，最大安全效益”。最可行的方案就是將安全事件對系統造成的損失和安全措施所需的安全成本適度量化并以數字表示，從而直觀的對安全損失和安全費用進行比較，為安全決策提供有利的理論和方法指導。隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。

【參考文獻】

[1]吳世忠.信息安全風險管理的動態與趨勢[J].信息安全與通信保密，2007（02）.

信息安全風險管理范文4

查找信息資產存在的漏洞，結合現有控制措施，分析這些威脅被利用的可能性和造成的影響，根據可能性和影響評估風險的大小，提出風險控制措施的過程。《國家信息化領導小組關于加強信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號文），提出了“信息安全風險評估是信息安全保障的重要基礎性工作之一”。為了貫徹27號文的精神，進一步識別信息系統存在的風險，并對其進行控制，很多單位啟動了風險評估項目。而風險評估項目又不同于一般的IT項目，有其自身的特點。

2信息安全風險評估項目的過程管理

可以從五個方面解釋信息安全風險評估項目的生命周期，即數據收集、計劃準備、數據分析、項目驗收、報告撰寫，其中一三五是風險評估的主要實施階段。

2.1計劃準備階段

（1）制定項目章程。在信息安全風險評估項目中，應盡早確認并任命項目經理，最好在制定項目章程時就任命。項目經理的職責首先就在于應該參與制定項目章程，而該章程則具有授權的作用，即它能夠使得經理能夠運用組織資源來進行項目的實施。顯而易見，項目經理是被授權的一方，必然不能成為授權項目運行有效的一方。授權項目啟動的人一般而言能夠提供實施項目所需要的資金等資源，他們能夠參與章程的編制。

（2）確定風險評估范圍。確定風險評估范圍即要了解什么方面或者對象具有風險爆發的可能，例如公司的服務器數目、電腦操作系統的安全性和穩定性、應用的防火墻種類和數目等，甚至一些人為的因素也是重要的參考。

（3）明確風險評估成果。在信息安全風險評估項目中，應該在項目開始之前，與客戶將項目提交的成果及要求確定下來。明確風險評估成果之后，在項目執行過程中，該目標也應該作為項目驗收的標準。

（4）制定項目實施方案。項目實施方案是項目活動實施的具體流程，主要用來為項目實施提供技術指導。

（5）制定項目管理計劃。如果想要計劃實施過程一切順利，或者說對定義等計劃行動的過程需要記錄的話，就會需要制定一個項目管理計劃。項目管理計劃需要通過不斷更新來漸進明細。項目管理計劃不能冗余，相反應該極其精煉，但是精煉并不意味著簡單，相反項目管理計劃應詳細論述和解釋完成這個項目所需要的一些條件。

（6）組建項目團隊。一個優秀的項目團隊是完成項目所必不可少的，是一種必須的人力資源。在項目開始時，一般而言，由項目經理來決定優秀團隊的組成，并且在組建團隊時應該注意談判技巧。

（7）召開項目啟動會。項目啟動會代表著一個項目從此開始了正式的運作，是一個項目的啟動階段，在項目啟動會上需要完成的任務包括分析評估完成項目所需要的方法和成本等問題。

（8）風險評估培訓。風險評估培訓是對項目團隊成員及客戶的項目參與者就風險評估方法、評估過程的相關細節性進行培訓，以便項目能順利實施。

2.2數據收集階段

主要包括收集資料、現場技術評估、現場管理評估三項任務。

（1）收集資料。數據收集階段最開始的步驟肯定是收集資料，簡而言之，收集資料就是采取一切可行的方法，盡可能詳細地獲得和項目相關的一些信息，例如客戶的行為習慣、客戶業務相關的文檔，甚至信息安全系統、信息化流程等信息都要盡量詳細化。

（2）現場技術評估?，F場技術評估就是通過漏洞掃描、問卷調查、現場訪談、主機配置審計、現場勘查等手段對評估對象進行評估。

（3）現場管理評估?，F場管理評估是最后一個步驟，但是卻非常重要，它不僅關系著此次項目運行成功與否，還關系到以后項目效率的改進，現場評估需要對項目進展的流程進行綜合分析，找出不足之處，尋出與優秀的項目管理之間的差距，歸納總結，從而完善管理程序。

2.3數據分析階段

收集數據階段已經收集了很多的數據存量，想要發現數據的內在規律，從而發現有用的東西，就必須對數據進行詳細分析，只有仔細分析數據，才能夠發現項目的風險所在，從而確定風險的大小，找出其資產、弱點、風險。

2.4報告撰寫階段

對收集到的數據進行了詳細分析，得到初步的結論以后，就到了報告撰寫階段，即在數據分析的基礎上，制作一份報告，論述項目的風險問題。

（1）撰寫風險評估報告。風險評估報告應該將風險分析的結果直觀地、形象地表達出來，讓管理層清楚地了解當前信息系統存在的風險。

（2）撰寫整改報告。整改報告則是根據風險評估的結果，提出對風險進行管理與控制的過程?？煞譃榘踩庸探ㄗh、安全體系結構建議、安全管理建議三種。

2.5項目驗收階段

在完成了以上的步驟以后，理論上就可以對項目進行驗收了，項目驗收即對前期風險評估成果的檢驗，一般包括三項內容，即報告的評審、組織會議討論驗收事宜以及內部項目總結。

（1）報告評審報告評審就是對風險評估報告及整改報告進行評審。

（2）召開項目驗收會即對項目的成果進行匯報。

（3）內部項目總結不僅僅是單純的對項目實施過程的一次簡單的回顧，還是一個經驗總結的過程，回顧過去，把握現在，爭取在以后的項目中不再犯同樣的錯誤。

3信息安全風險評估項目的重點領域管理

信息安全問題影響深遠，其風險評估應根據項目的特點及具體過程，且應在評估中重點加強溝通、范圍、時間、成本、風險、人力資源等幾個領域的管理。

3.1項目溝通管理

為了達到項目目標，項目經理首先必須通過溝通談判從本公司獲得相應的人力資源等支持；其次，為了獲得客戶的支持與配合，提高項目滿意度，項目經理必須與客戶進行有效溝通。項目的最終目標是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望，首先應該識別干系人，識別他們的需求與期望，制定溝通計劃，在項目實施過程中管理干系人的需求與期望。

（1）識別干系人。很顯然，與項目的相關程度不同，不同的人對項目信息安全風險具有不同的影響，作為客戶方與項目實施方，其公司企業的信息安全風險是不一樣的，一般而言客戶方具有最大的影響力，公司方則次之，干系人對項目的態度也是影響項目信息安全風險的重要因素，態度一般分為無關、支持和反對三個。

（2）了解干系人的需求與期望。應該在充分了解項目背景的基礎上，運用一定的方法與技巧了解干系人的需求與期望。①了解項目背景?？梢宰稍兪矍邦檰枴N售人員或者查閱招標時的招標書，甚至可以通過互聯網獲得相關信息。風險評估項目的項目背景也是復雜的，一般而言會分成很多的情況，比較常見的有項目本身實施過程中出現的信息安全事件、監管機制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求，然后通過換位思考、溝通交流等手段，進一步確認干系人的需求與期望。

（3）制定溝通計劃。信息安全風險評估項目需要溝通，所以需要制定一個有效的溝通計劃。信息安全風險評估項目不能夠隨意地制定溝通計劃，而應該詳細地分析相關的影響因素，重點關注利益相關者的溝通情況，從而降低影響，提高效率。

（4）管理干系人的需求與期望。干系人的期望與需求也應該得到恰當的管理，最重要的是要明確期望與需求，進行類別的劃分?？煞譃锳、B、C三類：A類：必須做（need），這一類如不做，將難以通過驗收；B類：應該做（want），這一類如不做，會影響驗收效果；C類：可以做（wish），這一類是可做可不做的，做了客戶會更加滿意，不做也不會影響驗收。其次，在管理干系人的需求與期望時，應該遵循80/20規則，即完成20%的任務實現80%的價值，這部分任務必須作為重點。另外，可能還有20%的任務花費80%的成本，在資源及時間允許的情況下處理此類需求與期望。再次，在管理干系人的需求與期望時也可以根據干系人的職權（權力）進行管理。①在第一象限中的干系人權力高，但對項目關注程度低，采用令其滿意的管理策略。②在第二象限中的干系人權力高，且對項目關注程度高，要對其重點管理，優先滿足其需要與期望。③第三象限的人員對項目關注程度高，但權力較低，采用隨時告知的策略，盡量不要影響其個人利益。④第四象限的人權力低，且對項目不關注，要監督他們對項目的反應，不引起負面影響。最后，為了滿足干系人的需求與期望，需要在項目范圍、項目時間、項目成本、項目質量之間做好平衡。

3.2項目范圍管理

范圍是一個空間的范疇，一個項目管理的范圍規定了一個項目的權限范圍，規定了項目可以做哪些事情，而哪些事情是不能做的，實際上是對必要工作的堅持和對不必要工作的摒棄。

（1）明確風險評估范圍。項目計劃準備時就要考慮風險評估范圍，在這一階段就應該定義項目范圍的廣泛性以及縱深等內容，并且考慮客戶的需求，從而明確項目管理范圍。項目范圍的確定不是一方所能夠決定的，相反這是一個博弈的過程，應該照顧各方的利益，制定出一個符合各方利益的項目管理范圍。

（2）明確風險評估成果。應該在項目開始之前，與客戶將項目提交的成果及要求確定下來。一是在項目執行過程中，以此為目標；二是設定一個驗收項目的標準。

（3）創建工作分解結構。顧名思義，創建工作分解結構即將解構分解，即把項目的最后結果和其工作流程明細化，從而使得每一步變得簡單，更加容易操作。在信息安全風險評估項目中，第一層一般就放置項目成果，而第二層則更加側重中間成果。顯而易見，分解工作結構并不是一件簡單的事情，也不是只有一種方法，各層次都是可以相互變化的。

（4）風險評估范圍控制。范圍是所有計劃的基礎。對待客戶提出范圍變更應該遵循以下流程：首先不能明確拒絕，然后要分析客戶變更的原因及目的，快速反應變更所需要的人工及預算對時間和質量的影響，然后再做出決定。

（5）風險評估成果核實。風險評估成果核實過程應該嚴謹而且細心，因為這是一個正式驗收項目的過程，需要由客戶和項目的執行人一起認真核實項目的最終結果。

（6）取得干系人對項目范圍正式認可。它要求審查可交付成果和工作結果，以保證一切均已正確無誤且令人滿意地完成。

3.3項目時間管理

時間管理至關重要，因為優秀的時間管理保證項目能夠不延期交付。

（1）定義活動。定義活動從字面上理解就是一個識別的過程，定義識別的是在項目的實施過程中需要采取的一切實施方法和步驟。它是在工作分解結構的基礎上進行細化而完成的。

（2）排列活動順序。活動順序涉及到的是一個排列的問題，指的是一種依賴關系，即識別和記錄項目活動的依賴關系，是一種邏輯的過程。一般而言，這里所指的依賴關系指的是信息安全風險評估項目中，各個活動之間所具有的特性，如強制性、選擇性和外部依賴性。確定完活動之間的依賴關系，就可以對他們進行排序了，可以采用網絡圖的方法來表達他們之間的順序，常有三種關系，即完成-開始，開始-開始，結束-結束。

（3）估算活動持續時間。估算活動持續時間是一個時間上的范疇，指的是估計資源運用和消耗，以及估計完成一項活動所需工時的過程。需要根據活動的具體情況、負責活動的人員情況來進行估算。估算不能隨意，應該具有嚴格的依據。工時估算時，常采用三點估算法。即估算工時=（最樂觀時間+4×最可能時間+最悲觀時間）/6。①制定進度計劃。制定進度計劃首先需要對所掌握的信息進行深入分析，從而確定活動的順序，并且在時間和空間上確定一個相對準確的點，估算對資源的需求以及項目實施流程。制定一個有效的進度計劃并不是件簡單的事情，而是極其復雜的過程，在這期間需要一遍又一遍分析，從而確定一個合適的時間跨度，并且對項目結果有一個合適的預期。即使制訂了進度計劃，也不是一成不變的，而是要根據相關審查部門的意見適當地修改計劃，從而使得計劃在時間和資源應用上更加合理。只有審查通過以后，這個進度計劃才可以說是確定下來了。信息安全風險評估項目極其復雜，很多因素無論是內部的還是外部的，都對項目有很大的影響，并且鑒于有限的項目組成員，所以需要采用一個更加合適的進度計劃形式。②控制進度?？刂七M度的同時也是一個對項目監督管理的過程，這一過程根據進度計劃的基準不斷地調整項目的進程。進度控制程序：一般分為四個步驟，即先要分析一個項目所散發的狀態信息；然后如果需要調整進度，就要調整影響進度的相關參數；再次分析以后，要確定一個項目是否在原定的軌道上；如果進度脫離了軌道，就要進行相應的管理。

3.4項目成本管理

成本管理包括估算成本、制定預算、控制成本三項任務。

（1）估算成本。對成本的估算需要囊括整個項目的進程，時間跨度和空間跨度上均要全面。成本估算是在某特定時點，根據已知信息所做出的成本預測。信息安全風險評估項目的主要成本是人工成本及實施直接成本，因為人工成本占了所有成本的一大部分，所以精確地估算人工成本是成本估算最基礎的一面。估算人工成本有個前提，即進度計劃是準確的，從而對團隊成員的人工估算做到精確。項目成本即使估算出來了，也不一定是準確的，需要時時修正，因為越到了項目的后期，需要估計的越少，影響估算準確性的因素也越少，所以成本估算需要不斷進行。

（2）制定預算。制定預算也是一個估算的過程，是對一個項目的所有方面進行一個全面的評估，從而為以后資金的撥付制訂了基礎和基準。只有制定預算，才能夠根據預算的需求來劃撥資金，并且影響到了項目的實施全過程和成果評估部分。

（3）控制成本。成本的控制一般而言指的是成本不應該超出預算，控制成本是一個動態的過程，是監督項目狀態，從而獲得有用信息以更新項目預算。項目成本控制包括：找出影響項目成本的因素，并作相應的修改；保證修改項目參數能夠成功；在修改成功以后，要隨時動態地監督；控制成本，使得成本控制在預算的范圍之內，甚至應該精確到每一項開支；分析成本與預算成本基準之間的差距；對照資金支出，監督工作績效；嚴格禁止不相關的支出，使得每一項成本都合情合理；向有關干系人匯報項目進展和成本控制的工作；即使項目超支了，也要盡量減少成本。

3.5人力資源管理

人力資源管理在一個項目執行時包括很多方面的內容，例如管理組織一個實施團隊、人員分工等。

（1）制定人力資源計劃。制定人力資源計劃是在項目實施之前對實施項目的團隊、人員、職務、報酬等方面的規劃，并且對各個人和團隊的責任進行詳細劃分。人力資源計劃包含項目角色與職責記錄、分成的各個部門等。一些信息安全風險評估項目執行時間比較長，因此需要更加有效的團隊，這就需要對人員進行培訓以及制定團隊建設策略等。風險評估項目的責任分配并不復雜，可采用責任分配矩陣（RAM），這個矩陣能夠顯示工作包或活動與項目團隊成員之間的聯系。并且根據需求的不同，制定不同層次的矩陣。

（2）組建項目團隊。組建項目團隊實際上是對人力資源使用和分配的過程，需要了解人力資源的各種特性，從而組建最合適的管理團隊，在組建團隊時需要注意：項目經理所要做的是積極地與人力資源人員進行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時候項目經理并不能總是如愿地獲得自己想要的人力資源，而是會受到如經濟等其他項目對資源的占用等因素的影響，從而制約了項目的實施，作為替代，項目經理可能不可避免地使用不合適的人力資源。

（3）管理項目團隊。管理項目團隊是選出來運營項目的人所組成的團隊，他們具有多樣化的目標，例如繼續學習，提高團隊成員的專業技能，增強團隊的執行能力從而保證項目結果的按時交付；以最低的成本完成最高質量的項目；按時完成項目，團隊成員之間相互協作，增加團隊效率，豐富團隊成員的知識，增強其跨學科運作能力，提高團隊的凝聚力，無論整體上還是個人上都有效率的提升等。項目經理在期間應該全權負責項目團隊的管理運作，增加項目績效，在團隊出現問題時，分析導致問題的原因，然后解決問題。團隊建設一般要經過5個階段：①形成階段，這個階段是團隊形成的最初階段，團隊成員只是互相認識，并沒有相應的合作。②震蕩階段，指的是團隊已經開始運作，但是成員之間需要磨合的階段。③規范階段，過了磨合期以后，團隊成員彼此之間逐漸適應了彼此的節奏，能夠進行初步合作了，團隊開始有成為一個有效整體的趨向。④成熟階段，這一階段團隊成員之間已經能夠精誠合作，互補余缺，相互學習，團隊效率較高。⑤解散階段，即當項目完成以后，各成員完成了職責，從而脫離團隊。因為各種各樣的原因，例如缺乏充足的資金、進度安排不合理、團隊成員之間缺乏配合等，會造成項目環境的沖突。如果項目經理能有效管理，則意見分歧能夠轉變為團隊的多樣化管理，不僅能夠提高團隊創造力還有利于做出更好的決策。如果管理不當，團隊之間的分歧沒有得到解決，就可能會加大團隊成員之間的鴻溝，從而對項目的實施產生負面的影響。要建設高效的項目團隊，項目經理需要獲得高層管理者的支持，獲得團隊成員的承諾，采用適當的獎勵和認可機制，創建團隊認同感，有效管理沖突，團隊成員間增進信任和開放式溝通，特別是要有良好的團隊領導力。項目團隊管理的一些工具與技術包括：①人際關系技能。通過了解項目團隊成員的感情來預測其行動，了解其后顧之憂，并盡力幫助解決問題，項目管理團隊可大大減少麻煩并促進合作。②培訓。旨在提高項目團隊成員能力的全部活動，培訓可以是正式或非正式的。應該按人力資源計劃中的安排來實施預定的培訓。③制定管理規范，對項目團隊成員的可接受行為做出明確規定。盡早制定并遵守明確的規則，可減少誤解，提高生產力。規則一旦建立，全體項目團隊成員都必須遵守。④認可與獎勵。如果想要提高項目團隊的效率，使得每個人更加盡心和更加富有責任感，就應在團隊建設過程中引進相應的激勵機制，在制定項目計劃時就應該考慮到團隊成員的獎懲問題。在管理項目團隊的過程中，團隊成員的獎勵不是隨意而發的，而是通過項目績效評價，以正式或非正式的方式做出獎勵決定。只有優良行為才能得到獎勵。

3.6項目風險管理

項目風險管理旨在降低風險，或者把風險控制在可控范圍之內。其目標是盡力使得項目運行向著有利的方面轉化，對消極負面的一部分則注意防范。信息安全風險評估項目不屬于特別大的項目，所以一般分為識別風險、評價風險、規劃風險應對、監控風險四個過程。

（1）識別風險。識別風險是風險管理的前提，是一個信息處理的過程，在這個過程中判斷分析什么樣的風險會影響項目?？刹捎煤藢Ρ淼姆绞竭M行風險識別。

（2）評價風險。對于信息安全風險評估項目，評價風險只需要定性評價即可。實施定性風險分析根據風險發生的相對概率或可能性、風險發生后對項目目標的相應影響以及其他因素來評估已識別風險的優先級。

（3）規劃風險應對。規劃風險應對是風險管理最重要的步驟，其規劃的是項目的目標及降低風險的步驟。對于消極風險，常有回避、轉移、減輕、接受四種方式；對于積極風險，常有開拓、分享、提高、接受四種方式。

（4）監控風險。監控風險是風險管理的最后一步，也是第一步，因為它是貫穿在整個項目之中，是一個制定風險應對計劃、監控已知風險、加強管理以解決風險以及發現新風險的過程。

4結語

信息安全風險管理范文5

信息系統的安全性、可靠性和有效性不僅是商業銀行賴以生存和發展的重要基礎，還關系到整個銀行業的安全和國家金融體系的穩定，因此國家金融監管部門對銀行信息科技風險管理日益重視，對銀行信息科技風險管理提出了明確要求，各商業銀行也普遍提髙了對信息科技風險管理的關注程度。

1.加強信息科技風險管理是金融監管部門高度重視的重要問題

中國銀監會主席劉明康在信息科技風險管理與評價審計工作會議上指出，根據近幾年國際上出現的信息系統故障事件分析，如果銀行信息系統中斷1小時，將直接影響該行的基本支付業務；中斷1天，將對其聲譽造成極大傷害；中斷2?3天以上不能恢復，將直接危及銀行乃至整個金融系統的穩定。這在一定程度上反映了國家金融監管部門對信息科技風險的深刻認識和日益重視。2008年7月，銀監會頒發了《銀行業金融機構信息系統安全保障問責方案》，明確各銀行的法定代表人為本單位信息系統安全保障的第一責任人，并要求逐級簽訂信息系統安全保障責任書。同時，中國人民銀行、銀監會組織全國金融機構開展了奧運信息科技風險全面自查工作，并相繼對各主要商業銀行進行了現場專項檢查；國家審計署也在對6家大型商業銀行的2008年度全面審計工作中首次引入了信息科技審計的內容，著重從信息安全的角度出發，站在維護國家金融穩定和國家安全的髙度，分析當前我國銀行業信息科技工作面臨的主要風險，并提出了有針對性的改進建議。國家有關監管和審計部門推出的這些卓有成效的管理措施，對銀行不斷改進和完善信息科技風險管理工作具有十分重要的指導意義，充分體現出了我國政府對銀行業信息科技風險管理的尚度重視。

2.加強信息科技風險管理是新《巴塞爾資本協議》的基本要求

在2004年正式公布的新《巴塞爾資本協議》中，重新修訂了銀行風險的分類和定義，強調銀行在進行風險管理的時候，不僅要重視傳統的信用風險、市場風險、流動性風險，而且要將防范操作風險放在一個重要的地位，并將信息科技風險明確劃歸操作風險的范疇，從而使得信息科技風險管理成為了銀行全面風險管理體系中的重要組成部分。

3.加強信息科技風險管理是銀行提高IT治理水平的需要

根據IT治理模型，IT風險管理與戰略一致性、資源管理、績效評估等構成IT治理總體架構，而且是其中的一個重要方面。隨著各家銀行信息化建設的深入，對信息科技風險的認識也在逐步加深，從單一的信息安全轉變為涵蓋生產運行、應用研發、信息安全等方面的全面IT風險管理，信息科技風險管理水平體現了銀行的信息化程度和整體的風險管理水平。在商業銀行完成股份制改造和上市之后，商業銀行已普遍認識到信息科技方面一旦發生風險事件，不僅會影響業務的正常辦理，還可能會對銀行的聲譽和市值產生負面影響，因此更加重視信息科技風險管理，對加強信息科技風險管理提出了更髙的要求。

二、加強信息科技風險管理的相應舉措

根據國際權威機構信息系統審計與控制委員會(ISACA)的信息系統風險控制和IT審計工作的最佳實踐指南，信息科技風險管理應關注IT治理、軟件生命周期管理（即項目開發與變更）、IT服務交付與支持(即系統運行維護）、信息安全、業務連續性管理等五大領域。在上述領域，各家商業銀行紛紛采取了各種風險管理措施。下面以中國工商銀行股份有限公司（以下簡稱“工商銀行”）為例進行介紹。

多年來，工商銀行堅持“科技興行'“科技引領”發展戰略，建立了集約化的科技組織體系，并逐步建立了與國際大銀行相適應的先進的科技體系和技術平臺。自2006年起，工商銀行正式將信息科技風險納入了全行風險管理體系，作為操作風險管理的重要內容，并在信息科技風險管理方面開展了大量工作。

1.信息科技風險管理組織體系工商銀行成立了信息系統應急領導小組，由行長擔任組長，主管副行長任副組長，信息科技部、辦公室、個人金融部、運行管理部等相關部門負責人為成員，負責領導和組織信息系統重大事件的應急處理、災難備份和恢復、計算機信息系統的安全防護等工作?？萍疾块T定期向董事會、行長辦公會、技術審查委員會、風險管理委員會匯報信息科技風險管理工作。同時，工商銀行總行以及分行的科技部門均設有負責信息科技風險管理的部門，建立了一支專業的風險防護隊伍，為加強信息科技風險管理提供了組織保障。

2008年，國家有關監管、審計部門對工商銀行目前的信息科技風險管理情況都給予了較髙的評價，認為工商銀行構建了較完整的信息科技治理結構，構成了信息科技管理、信息科技風險管理和信息科技審計三道防線。

2.項目開發管理

針對由于版本質量造成的應用研發風險，工商銀行采取了一系列措施，嚴格保障應用系統研發質量。一是不斷改進研發和測試管理流程，加強需求管理、項目方案審查、研發過程管理和項目質量控制；二是及時優化調整應用版本、測試和投產策略，針對版本投產比較頻繁等情況，明確了“版本集中投產”的原則，切實降低因版本投產和生產變更帶來的風險隱患；三是與業務部門密切配合，力卩強溝通和協調，實現風險共擔。

3.運行維護和操作管理

生產運行風險是信息科技風險的突出表現，并且根據實際情況統計，大約有50%的生產運行風險是由管理操作原因引起的。為此，工商銀行始終堅持“將確保信息系統安全穩定運行放在信息科技工作首位”的指導思想，并持續強化運行管理操作的各項措施，降低系統運行風險。一是建立了全行統一集中的監控管理平臺(ECC)，對主機和開放平臺等各類應用系統進行實時監控，實現生產操作、監控的自動化；二是通過部署幫助臺系統、網絡管理系統、性能容量管理系統、資源管理系統等工具和系統，逐步提髙生產運行管理的自動化程度；三是建立了完備的應急管理體系，明確了應急預案和流程，確保出現緊急事件情況下能夠進行妥善處理，將事件影響降至最低。

4.信息安全管理

信息安全管理的核心是要建立健全信息安全的內部控制體系，通過技術和管理手段，確保銀行信息系統和數據的機密性、完整性和可用性。為此，工商銀行建立了一支專門的信息安全防護隊伍，及時分析和解決存在的各類信息安全隱患。同時，積極落實信息安全體系規范和信息安全等級保護措施，部署了入侵檢測、漏洞掃描等一系列信息安全防護工具，實施了客戶端安全管理。由于采取了及時有效的防御措施，假冒網站、網絡攻擊等事件雖然時有發生，伹沒有對信息系統的穩定運行造成不良影響。特別是在北京奧運會期間，工商銀行成功抵御了針對網上銀行系統的惡意攻擊，保障了電子銀行業務正常開展，維護了企業聲譽。

5.業務連續性管理

多年來，工商銀行始終堅持“數據集中處理、主機災難備份、平臺多點接入、業務跨區受理”的原則開展信息系統技術體系建設，自行建立了國內同業領先的完善的技術災備體系。2003年以后，工商銀行建立了核心業務異地災難備份系統，實施了同城磁盤鏡像，成為國內同業第一家同時具備同城和異地災備系統的銀行，為保障信息系統的連續性運行奠定了技術基礎。與此同時，工商銀行依靠自身力量制定了《信息系統連續性運作計劃（ITCP)》，并從2005年開始，每年都進行一次全行業務級災難恢復應急演練，模擬在上海的生產中心發生災難或信息系統長時間無法得到恢復的情況下，將全行核心業務切換到北京的災備中心的技術和業務處理，有效保障了災備系統的有效性。

三、加強信息科技風險管理需要思考的若干問題

目前，商業銀行在實施信息科技風險管理過程中主要面對以下幾方面的問題。

1.要關注信息科技風險計量和相關標準規范體系建設

對于銀行來說，操作風險本身就是一種比較難以控制的風險，目前世界銀行業也沒有一種公認的成熟方法來計量。新《巴塞爾資本協議》要求2007年所有的銀行都要開始按照協議規定的三種方法中的一種來計算經濟資本，進而控制操作風險。伹據調查，60%以上的銀行未從2007年開始對操作風險實行量化管理，大多數銀行的預期實施時間是2010年?2012年?？梢姡y行業在對于整個操作風險的管理體系、流程、計量方法和工具等方面的探索還遠遠落后于傳統的信用風險和市場風險管理等領域。而銀行信息科技風險除了人為誤操作因素以外，還與日趨復雜的信息系統軟硬件環境直接相關，因此要對其進行科學、準確的度量和評估，存在更大難度。從全球范圍來看，盡管國際上一些大銀行在信息科技風險管理方面已經積累了一定的經驗，伹迄今為止真正構建出有效的、完善的、可量化的信息科技風險管理體系的銀行卻為數寥寥。因此，國內銀行業需要首先考慮建立一套量化的指標體系，科學衡量銀行的信息科技風險。同時，建議相關主管部門牽頭在信息科技管理領域建立相應的標準規范，以指導和促進國內商業銀行提髙信息科技風險管理的規范化、標準化水平。

2.正確認識災難備份體系建設的內涵

建立完備的災備體系對銀行的重要意義毋庸置疑，伹災備體系建設應遵循什么樣的標準和原則，是否所有銀行系統都遵循同樣的標準建設災備系統，是商業銀行在災備體系規劃和建設過程中需要認真考慮的問題。通常情況下，銀行可以根據業務系統的重要性、災難恢復的時效性要求和銀行自身的風險承受能力等因素，參考相關國際標準n，綜合評定劃分災備等級，確定業務恢復時間（RTO)、業務丟失時間（RPO)等關鍵指標，在此基礎上，遵循成本效益的原則，按照相應的標準開展災備建設。目前，國外現代化商業銀行普遍采用此種做法，首先確定系統的災備等級，并相應實施不同的災備策略，重點對關鍵設施和系統實施髙等級的災備保護措施。

因此，建議國內相關行業主管部門積極引導各商業銀行根據實際情況，采取分級實施、逐步推進的原則，借鑒國外銀行的先進經驗，優先確保關鍵設施和重要業務系統的連續性運作，在實現災備體系建設目標的同時，也相應降低建設和維護的成本。

3.信息科技風險管理需要業務部門的關注和共同參與

與應用產品創新工作需要科技部門和業務部門共同完成類似，雖然信息科技風險管理更多關注的是IT領域，伹其中相當一部分內容與業務部門息息相關。

在業務連續性管理方面，在科技部門建成了災備系統的基礎上，需要業務部門制定業務層面的應急計劃，指導業務人員在信息系統中斷和恢復時進行業務的應急處理，從而與科技部門協同開展應急恢復工作。

信息安全風險管理范文6

一、檔案管理數字化是信息時代檔案管理的必然選擇

計算機出現的短短半個世紀就將人類從電子時代帶入到了數字化的信息時代，同時拉近了人與人之間的距離。檔案管理者將信息技術充分利用到檔案管理的日常工作中，將檔案從實體檔案的利用轉化為數字化形式的信息檔案。通過利用計算機設備將檔案存儲在基于計算機網絡的數據庫之中，人們可以實現檔案的全數字化、信息化操作，檔案管理工作的流程已經從傳統的全手工式操作轉變成了“計算機（檔案的交互查詢與顯示終端）――網絡（檔案的傳輸通道）――數據庫（檔案的存儲位置）”的更為先進的信息時代模式。尤其是在檔案管理面向全社會開放以后，來自全球的檔案需求者都可以通過互聯網與檔案管理機構的服務器進行交互、查詢。如果沒有檔案的數字化與信息化，以全手工的方式應對如此巨大的查詢量是無法想象的。

二、檔案管理數字化使信息安全面臨風險

檔案管理機構在開通了互聯網接入的同時就已經將自己置身于整個復雜網絡之中了，全球化的互聯網就像是一個巨大的局域網，在這個巨大的局域網中每一個IP地址都可以對另外的任何一個IP地址發起訪問，這樣的好處是檔案的查詢、分享與異地遠程處理變得十分容易，人們不再需要親自來到檔案管理機構就可以在家里、單位，甚至在路上都可以使用包括電腦在內的但不僅限于電腦的任何智能化終端設備對檔案信息進行數字化查詢。檔案管理機構為社會大眾帶來便捷的同時，也給自己帶來了一個負面效應。那就是，在一個開放的互聯網中，既然每一個人都可以自由訪問，那么黑客也可以。只不過這些黑客的訪問手段屬于一種非?；脑L問，他們不滿足于對檔案的查詢與瀏覽，他們還要通過技術手段獲得對整個檔案的控制權，這就使得檔案管理構機中的所有檔案立刻置身于極大的危險之中。黑客只須一條簡單的命令就可以將檔案管理工作者辛辛苦苦工作一年甚至數年的工作毀于一旦，或者是被惡意篡改。在黑客們獲取了系統的控制權之后，他們可以利用掌握的權限輕而易舉地將整個檔案管理機構內部的網絡摧毀使之癱瘓。某些秘密檔案還會面臨被公之于眾的風險。

三、檔案管理數字化中信息安全風險的防范對策

打造既安全又開放的面向互聯網的檔案信息化工程是可行的，具體的實現就是要將檔案管理工作置于安全、可控的狀態之下。具體就要從下述幾個方面進行防控：

第一，規范案信息者、傳遞者與接受者的行為。

信息在整個互聯網的傳播模式為：者->傳遞者->接受者。我們從整個信息傳播的模式中可以看到只要我們規范了者、傳遞者與接受者的行為，那么，檔案信息的基本安全就可以得到保障。

首先，規范檔案信息者的行為。

檔案信息的絕大多數是由檔案管理機構自主發起，因此，為了規范者的行為就要在源頭上對檔案管理機構內部進行檔案工作的規范化，所有需要的檔案必須符合上級要求、符合密級原則、符合人民的需要、符合時代的主旋律。檔案管理工作亦應扭轉過去的類似于保密局的工作，改變那種傳統的重藏輕用的方針政策為開放的理念。對于涉及到具體的單位、個人等的檔案則需要在征得該單位或個人及其家屬同意的情況下才可以，以免損害單位或個人的隱私權。

其次，規范檔案信息傳遞者的行為。

檔案信息傳遞者即在檔的具體過程中負責傳遞工作的各級檔案管理工作人員。這些人員的責任心、組織性、紀律性、原則性是保證檔案在此環節傳遞的可靠性的關鍵。因此，任何檔案傳遞機構都應從合格的人選中挑選那些誠實、可靠、了解計算機基本操作、對自己的道德要求較高的人員擔任傳遞者。

最后，還要規范檔案信息接受者的行為。

每一份檔案在的源頭上都必須附加上尊重知識產權、禁止未經授權的肆意修改與非常傳播等警示語，以起到對于接受者的規范、教育、知情等方面的宣傳義務，既可使得接受者在得到檔案以后能夠在合法的范圍內加以有效利用，又使得接受者了解到非法使用對自身的危害性。這樣就可以使得絕大多數檔案受眾能夠在法律的規范下使用檔案中的內容。

第二，使用先進的技術防范手段嚴把信息安全關。

有了規范可就以規范那些知法、守法、懂法的文明用戶，但是，無論是在社會上，還是在互聯網上總有那么一小撮別有用心者，他們不僅肆無忌憚，而且膽大妄為，因此，任何存在著檔案管理信息化的單位都必須在技術上進行信息安全的風險防控。對于檔案管理單位內部的不對外披露的未解密檔案必須進行加密處理，嚴格防止信息的泄露，具體的加密手段可以視單位內部的專業技術人員的技術水平而定，但是，無論采用任何一種加密方法，做為管理者必須銘記的一點就是，加密的密鑰絕不能是是固定的字符，因為任何固定的字符只要隨意一復制、一粘貼，就可以在一秒鐘之內由一個人傳給另一個人，乃至無數人，這樣就失去了加密的意義了，因此，目前幾乎所有的單位內部都在使用動態加密且不可見密鑰法。這種加密的密鑰只能使用特殊的設備在特定的環境下使用，一般的用戶即使得到了密鑰與文件也無法將文件打開，這樣就極大地確保了檔案信息的最大化安全。此外，還可以使用諸如數字簽名法、認證技術法、智能卡加密法、防火墻法等加密方法。加密方法沒有止境，永遠在加密與破解的斗爭中發展著，對于檔案管理部門而言，最好的加密就是動態密鑰與動態特殊環境加密法。

三、結語