如今，風(fēng)險(xiǎn)管理已經(jīng)是信息安全保障工作的一個(gè)主流范式。信息安全防范工作越來越基于風(fēng)險(xiǎn)管理。①把風(fēng)險(xiǎn)管理與電子文件聯(lián)系起來絕不是理論研究上的攀拉與附會(huì)，而是每一個(gè)與電子文件打交道的人，特別是文件、檔案管理者無法回避的視角和觀念。②基于上述兩點(diǎn)考慮，筆者認(rèn)為，從信息安全風(fēng)險(xiǎn)管理的視角來審視電子文件的安全管理問題是十分有意義，通過對(duì)風(fēng)險(xiǎn)管理與安全管理關(guān)系的認(rèn)識(shí)，我們可以更加深入地了解到當(dāng)前電子文件安全管理存在的問題，進(jìn)一步認(rèn)清電子文件安全管理工作存在的不足之處和改進(jìn)方向。
　　一、風(fēng)險(xiǎn)管理與安全管理關(guān)系的認(rèn)識(shí)
　　在分析電子文件安全管理的問題之前，我們應(yīng)該要加強(qiáng)對(duì)風(fēng)險(xiǎn)管理與安全管理關(guān)系的認(rèn)識(shí)。而要真正認(rèn)清兩者之間的關(guān)系，首先，要對(duì)風(fēng)險(xiǎn)與安全有深刻的認(rèn)識(shí)。在新華字典中，對(duì)風(fēng)險(xiǎn)的釋義是“危險(xiǎn)；遭受損失、傷害、不利或毀滅的可能性。”對(duì)安全的釋義是“不受威脅，沒有危險(xiǎn)、危害、損失?！睆膬烧叩尼屃x中，我們不難看出風(fēng)險(xiǎn)與安全是有密切關(guān)系的，都是通過與“危險(xiǎn)、危害、損失”的關(guān)系來體現(xiàn)的，但這并不是說風(fēng)險(xiǎn)就意味著不安全，這跟人們?nèi)粘５睦斫饪赡苡谐鋈?，在大多?shù)人看來，風(fēng)險(xiǎn)就是安全的對(duì)立面，風(fēng)險(xiǎn)的存在就意味著安全事故的發(fā)生，這種理解是不準(zhǔn)確的。風(fēng)險(xiǎn)其實(shí)主要強(qiáng)調(diào)的是“可能性”，而“可能性”就意味著風(fēng)險(xiǎn)的發(fā)生可能會(huì)引起安全事故，造成危險(xiǎn)、危害或損失，也可能不會(huì)。另外，還必須認(rèn)識(shí)的是風(fēng)險(xiǎn)包含威脅和機(jī)會(huì)兩層含義，即風(fēng)險(xiǎn)造成的影響包括消極的威脅和積極的機(jī)會(huì)兩面，而不僅指?jìng)鹘y(tǒng)意義的威脅。威脅與機(jī)會(huì)的轉(zhuǎn)換關(guān)鍵是在于平衡安全、成本和效率之間的關(guān)系。正如電子文件的網(wǎng)絡(luò)化利用，可能比傳統(tǒng)紙質(zhì)化利用面臨的風(fēng)險(xiǎn)要大得多，但不能因?yàn)轱L(fēng)險(xiǎn)大就不利用電子文件，之所以電子文件網(wǎng)絡(luò)化利用迅速發(fā)展，關(guān)鍵在網(wǎng)絡(luò)化利用給檔案工作帶來的機(jī)會(huì)更大，利用成本更低、利用效率更高。其次，要對(duì)風(fēng)險(xiǎn)管理與安全管理有深刻的認(rèn)識(shí)。風(fēng)險(xiǎn)管理是指管理組織對(duì)可能遇到的風(fēng)險(xiǎn)進(jìn)行計(jì)劃、識(shí)別、評(píng)估、應(yīng)對(duì)、監(jiān)控的全過程，是以科學(xué)的管理方法實(shí)現(xiàn)最大安全保障的實(shí)踐活動(dòng)的總稱。③風(fēng)險(xiǎn)管理主要通過風(fēng)險(xiǎn)評(píng)估來識(shí)別風(fēng)險(xiǎn)的大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平。應(yīng)該說，風(fēng)險(xiǎn)管理本身就是安全管理一部分，而且是核心組成部分，它既是一種安全指導(dǎo)思想，同時(shí)也是一種安全實(shí)踐方式。安全管理只有在風(fēng)險(xiǎn)管理正確、全面地了解和理解安全風(fēng)險(xiǎn)后，才能決定如何處理安全風(fēng)險(xiǎn)，從而在安全的投資、安全措施的選擇、安全保障體系的建設(shè)等問題中做出合理的決策。基于風(fēng)險(xiǎn)管理的安全管理體系就是將風(fēng)險(xiǎn)管理自始至終貫穿于整個(gè)安全管理體系中，這種體系并不能完全消除安全的風(fēng)險(xiǎn)，只是盡量減少風(fēng)險(xiǎn)，將攻擊造成損失的降低到最低限度，從而達(dá)到安全風(fēng)險(xiǎn)、成本與效率的平衡。
　　二、從風(fēng)險(xiǎn)管理的視角探討電子文件安全管理問題
　?。ㄒ唬┤狈茖W(xué)的安全管理理論與方法指導(dǎo)
　　信息安全風(fēng)險(xiǎn)管理是解決如何確切掌握信息及其依賴信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險(xiǎn)有多大，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力,確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級(jí)進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問題的重要指導(dǎo)理論和方法。從這個(gè)視角來看文檔工作我們會(huì)發(fā)現(xiàn)，一直以來，文件、檔案安全管理工作都是沿襲傳統(tǒng)檔案載體保護(hù)工作來開展，以此形成的相關(guān)理論也是以傳統(tǒng)檔案載體研究為基礎(chǔ)的，隨著電子文件的出現(xiàn)，傳統(tǒng)以檔案載體保護(hù)為核心的檔案安全管理理論就很難適用于電子文件的安全管理。雖然檔案部門也對(duì)電子文件安全管理做過很多理論探討，提出“前端控制思想”、“全程管理思想”、“文件連續(xù)體理論”、“后保管時(shí)代”、“文件運(yùn)動(dòng)理論模型”等理論來強(qiáng)化電子文件的安全管理，但不可否認(rèn)的是，這些理論并不是專門的安全管理理論，很難在電子文件安全管理上取得實(shí)質(zhì)性效果，由此指導(dǎo)的電子文件安全管理工作存在種種疑難點(diǎn)，如電子文件安全事故衡量標(biāo)準(zhǔn)是什么？如何選擇安全產(chǎn)品？安全控制全面嗎？是否冗余？是否達(dá)到預(yù)期效果？安全等級(jí)如何劃分？安全代價(jià)如何衡量？這些疑難點(diǎn)的出現(xiàn)，歸根到底就是因?yàn)楝F(xiàn)階段的電子文件安全管理工作缺乏科學(xué)的安全管理理論與方法指導(dǎo)。
　?。ǘ?duì)安全管理的認(rèn)識(shí)存在偏差
　　信息安全風(fēng)險(xiǎn)管理提倡的是一種適度安全，即風(fēng)險(xiǎn)是絕對(duì)的，安全就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度；同時(shí)也強(qiáng)調(diào)樹立風(fēng)險(xiǎn)意識(shí)，并通過風(fēng)險(xiǎn)的大小來度量信息的安全性，將“信息”提升到“資產(chǎn)”的高度來進(jìn)行安全管理。然而，傳統(tǒng)電子文件安全管理對(duì)此認(rèn)識(shí)卻存在偏差。
　　1、追求絕對(duì)的安全。一直以來由于檔案部門缺乏安全風(fēng)險(xiǎn)意識(shí)，總是想找到絕對(duì)安全的方法和措施來追求檔案各安全屬性（如保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可追究性和可讀性等）的絕對(duì)安全。然而，從理論上講，風(fēng)險(xiǎn)是絕對(duì)的，安全是相對(duì)的；風(fēng)險(xiǎn)是永恒的，安全是暫時(shí)的。而電子文件安全管理工作從本質(zhì)上來講，也就是風(fēng)險(xiǎn)管理工作。電子文件的每個(gè)安全屬性都有相應(yīng)的保證級(jí)別作為其強(qiáng)度的測(cè)量尺度，在實(shí)踐中追求各安全屬性的絕對(duì)安全，并不能達(dá)到最佳安全效果，也是不切實(shí)際的。同樣，從信息安全保密的實(shí)踐歷史來講，安全保密是一個(gè)動(dòng)態(tài)過程，安全事件是一種隨機(jī)事件，很難做到百分之百安全。祈求“絕對(duì)安全”將在人力物力上付出極大代價(jià)，造成嚴(yán)重浪費(fèi)。因此，檔案部門將安全管理目標(biāo)定位于“系統(tǒng)絕對(duì)安全、數(shù)據(jù)永不丟失，檔案永不泄密，電子文件萬無一失”，那是永遠(yuǎn)不可能的！