电子文件风险管理研究与启示——基于对英美澳等国政策文本的分析

　　日益复杂的数字环境给电子文件带来诸多风险隐患，风险管理成为不可忽视的要素，识别和应对风险是电子文件管理的核心工作之一。随着信息技术的不断突破和电子文件的广泛应用，电子文件风险管理将面临更多新的机遇和挑战。在确保电子文件安全可靠和长期保存方面，国外档案主管机构如何开展电子文件风险管理？其在政策法规、管理模式、人员配置等方面形成了哪些经验？本文基于英国、美国、澳大利亚等国在电子文件风险管理的政策文本，从政策层、管理层、人员层3个方面加以剖析。

　　政策层面：完善顶层设计，细化系列政策法规

　　风险管理政策可以为档案馆实际管理工作提供方向和指南，是促进系统性识别评估电子文件信息管理潜在风险、推动组织参与信息资产管理活动的重要保障。

　　在风险管理顶层设计上，强调电子文件风险管理的重要性，对风险管理工作进行整体设计和长远规划。如，澳大利亚信号局编制的《信息安全手册》强调了制定和维护一套全面的网络安全策略的重要性，从识别风险到危机解决等维度指导电子文件的风险管理实践，为组织保护系统和数据免受网络威胁，提供了全面、多层次的实践指南。又如，英国《数字化战略：2017—2019》提出，政府应更早介入，加强对电子文件保存风险的管控意识，并将英国数字化进程划分为重塑、增长和加速3个阶段，基于不同阶段数字战略目标，发展相应的数字存档及风险管控能力。

　　在政策法规制定方面，推出风险管理系列政策。2017年，英国国家档案馆发布《理解数字连续性》（Understanding Digital Continuity）和《管理数字连续性》（Managing Digital Continuity）两个指南，将之作为数字连续性政策矩阵的核心支撑，这两个指南在阐述数字连续性政策以及框架的基础上，为风险管理提供具体的应用性指导与技术手段。所谓应用性指导，即制定适当的风险管理架构，明确数字连续性风险管理职责，对组织的风险状况进行评估，提高数字连续性风险管理水平并定期开展审查。技术性手段则包括英国国家档案馆开发的一系列工具的应用。此外，英国从风险管理视角，制定了《风险评估手册》（Risk Assessment Handbook）作为前两项指南的专项补充。

　　管理层面：重视数字连续性，实行风险分级管理

　　风险识别与管控是电子文件风险管理的重要命题，关系到风险管控的最终效果。实行数字连续性管控和风险分级管理是实践管理的重点和有效手段。

　　在风险识别中，关注数字连续性，制定风险管理框架。其一，明确数字连续性在电子文件风险管理中的重要性。英国国家档案馆指出，数字形式的信息因其数据量大、存储分散、版本多元及系统迁移时易丢失元数据等原因，在长期保存和利用方面更容易遇到挑战和风险。提出关注数据连续性是进行风险管控的重要议题，公共部门需要将管理数字连续性作为保障信息可用性和管理信息风险的途径之一。其二，明确导致数据连续性受到破坏的主要因素，包括信息所有权不明、信息管理流程变化、信息处理不当等。其三，在进行风险评估之前，建立管理数字连续性风险的框架。《风险评估手册》明确了具体实施步骤。

　　在风险管控时，采用分级管理措施，提升风险管控效益。美国《面向风险评估和保存规划的数字保存框架》（Digital Preservation Framework for Risk Assessment and Preservation Planning）主要采取了以下措施。第一，创建风险优先级矩阵来对现有的和未来准备接收的电子文件保存风险进行识别、评估和应对。第二，归纳对风险管理有较高影响的因素，包括采用率高、可用性高、软件依赖性低、加密保护要求少等正向因素，以及格式使用年限短、软硬件依赖程度高等负向因素。第三，分级管理开放文件，协助管控显性风险。对访问权限进行分级，以帮助管理知识产权问题等显性风险，灵活地决定信息资源的可检索和可访问范围。

　　人员层面：形成权责明确管理体系，推行持续培训

　　人员是电子文件风险管理的主体，相关工作者的风险识别意识和风险管控能力是影响最终风险管理效果的重要因素。为此，英美澳等国在人员分工与持续培训上进行了探索。

　　一是形成权责明确的管理团队，对参与人员及团队进行有效配置。一方面，明确参与风险管理的人员角色及其所应该承担的职责。在美国ERA电子文件档案馆的项目中，强调应指定项目总监、项目经理、风险官员、风险审计委员会、整合产品团队等角色，并对各类型人员的首要职能和职责进行了明确划分。在管理团队上，灵活选择人员组建项目团队。英国国家档案馆发布的《文件管理系统之间的信息迁移》（Migrating information between records management systems）指出，项目团队应具备支持文件迁移全过程活动的一系列能力，人员选择应基于迁移项目的规模、复杂性和风险来决定。

　　二是对档案工作者展开持续培训，增强其风险管理意识与知识储备。其一，在认识层面，澳大利亚国家档案馆在《建立公共文件的信任：为政府和社区管理信息和数据》（Building trust in the public record: managing information and data for government and community policy）中要求，应支持建立重视信息资产的组织文化，并在信息管理政策中确定问责框架，以确保工作人员在创建和使用信息资产时了解并履行其职责。信息管理人员应定期向高级管理层详细报告在管理信息资产方面取得的进展。其二，在具体操作层面，澳大利亚《信息安全手册》（Information Security Manual）提出，应确保向所有人提供网络安全意识培训，以帮助他们了解自己的安全责任。此外，培训内容应适合特定人员群体的需要。如，对权限超出普通用户范畴的人员，需要开展专门培训。

　　典型经验

　　一是建立健全电子文件风险管理政策法规和标准体系。需结合档案工作现状，确定适合档案馆实践管理需求、能应对数字化及新技术环境挑战的风险管理目标，继续推进适配电子文件管理全生命周期的风险管理法规政策。可推出兼具科学性与实用性的电子文件风险管理办法，采用集成的风险评估方法为管理人员提供方法框架及管理工具，以提高风险管理实践工作的可控性和科学性。

　　二是探索创新电子文件风险管理的持续管控模式。基于数字连续性的风险管理流程需要覆盖从电子文件产生、保管、评估、共享、开放、迁移、备份、处置、再用的全生命周期，涉及部门多、涵盖范围广。因此，应构建涵盖全过程的风险管理连续性框架和计划，在实现组织业务部门、档案部门及信息管理机构等多部门协同的基础上，建立全程可控的电子文件管理流程。

　　三是推进完善电子文件风险管理人员体系与培训制度。电子文件风险管理是一项系统性工程，涉及制度风险、管理风险、技术风险等多个方面。一方面，需要将整个电子文件管理流程中涉及的与风险相关的人员需求、岗位及对应职责进行梳理和整合，参考国内外相关实践经验形成科学的职责分工体系。另一方面，要加强对档案工作者风险管理意识与能力的培训，通过开展定期培训、增设网络课程、举办研讨会讲座、组织实操演练及实践案例分享等多元形式，加强对人员的培养和训练。

　　（“档案那些事儿”研究团队供稿）

　　原载于《中国档案报》2025年2月10日 总第4248期 第四版