《ISO/TRR 181288：20144信息與文獻文件過程和文件系統(tǒng)中的風(fēng)險評估》及其借鑒

摘要：文件風(fēng)險評估是文件安全管理的重要前提和基礎(chǔ)，也是檔案信息化建設(shè)的重要課題。ISO/TR 18128：2014標(biāo)準(zhǔn)的制定，為信息化建設(shè)背景下組織有效開展文件過程和文件系統(tǒng)的風(fēng)險評估提供了指南，旨在確保文件能持續(xù)地滿足組織業(yè)務(wù)活動的需要。

關(guān)鍵詞：文件過程文件系統(tǒng)風(fēng)險評估

“ISO/TR 18128：2014 Information and Documentation- Risk assessment for records processes and systems”and the Implications

Abstract： Risk assessment is fundamental for the security management of records； it is also an im？ portant issue for security management of electronic records. The publication of ISO/TR18128： 2014 has provided guidelines for the effective risk assessment of records processes and records systems for organi？ zations in the processes of construction of informa？ tion society and application of information technolo？ gies， it aims to ensure records can consistently meet the demands of business activities of an organization.

Key words： records processes； records system； risk assessment

一、制定背景

風(fēng)險評估是風(fēng)險管理的一個重要環(huán)節(jié)，我國信息安全管理國家標(biāo)準(zhǔn)《信息安全風(fēng)險評估規(guī)范》（GB/ T20984- 2007）、《信息安全風(fēng)險管理指南》（GB/ Z24364-2009）將風(fēng)險評估作為信息安全領(lǐng)域的一個重要控制手段。文件過程和文件系統(tǒng)的風(fēng)險評估是信息化建設(shè)中文件安全管理的重要前提和基礎(chǔ)，也是檔案信息化建設(shè)的重要課題。ISO/TR 18128：2014標(biāo)準(zhǔn)的制定，首次明確了文件管理過程中的風(fēng)險評估要求，旨在協(xié)助組織在文件過程和文件系統(tǒng)中有效地開展風(fēng)險評估，以確保文件能夠持續(xù)地滿足組織業(yè)務(wù)活動的需要。

ISO/TR 18128：2014適用于組織機構(gòu)的文件管理專業(yè)人員或?qū)ξ募撠?zé)的管理人員，審計人員或?qū)M織機構(gòu)風(fēng)險管理方案負責(zé)的管理人員；適用于所有類型的組織機構(gòu)，不論其規(guī)模、活動性質(zhì)、職能復(fù)雜程度和組織結(jié)構(gòu)如何。

二、標(biāo)準(zhǔn)內(nèi)容

該標(biāo)準(zhǔn)由八章構(gòu)成，其內(nèi)容包括：第一章范圍、第二章規(guī)范性引用文件、第三章術(shù)語和定義、第四章組織風(fēng)險評估的準(zhǔn)則、第五章風(fēng)險識別、第六章分析識別出的風(fēng)險、第七章風(fēng)險評價、第八章通示識別出的風(fēng)險。此外，該標(biāo)準(zhǔn)還有三個資料性附錄，附錄A：風(fēng)險登記簿中記錄的風(fēng)險條目示例，附錄B：識別不確定性領(lǐng)域的檢查清單示例，附錄C：基于ISO27001的附錄A控制使用指南。

ISO/TR 18128：2014標(biāo)準(zhǔn)所提供的相關(guān)指導(dǎo)和示例源自ISO 31000：2009 （見圖1，引自ISO 31000：2009），通用的風(fēng)險管理過程同樣適用于文件過程和文件系統(tǒng)。

風(fēng)險評估過程包括了風(fēng)險識別、風(fēng)險分析和風(fēng)險評價三個步驟。文件過程和文件系統(tǒng)中的風(fēng)險評估結(jié)果應(yīng)該被納入組織的一般風(fēng)險管理框架，這樣組織才能更好地控制文件和業(yè)務(wù)質(zhì)量。

ISO/TR 18128：2014標(biāo)準(zhǔn)的核心內(nèi)容包括三部分：組織機構(gòu)進行風(fēng)險評估的準(zhǔn)則、風(fēng)險評估和對已識別和評估的風(fēng)險進行通示。

第一部分組織機構(gòu)風(fēng)險評估的準(zhǔn)則。要求組織機構(gòu)建立通用風(fēng)險標(biāo)準(zhǔn)，并確定風(fēng)險評估活動的對象和范圍，建立風(fēng)險評估的制度。它應(yīng)當(dāng)包括對風(fēng)險性質(zhì)和類型的測定、風(fēng)險概率的表達、風(fēng)險等級的確定、風(fēng)險是應(yīng)該處理還是可以忍受的量度和多風(fēng)險的組合評估等。

第二部分風(fēng)險評估，包含三個步驟：風(fēng)險識別、分析已識別的風(fēng)險、風(fēng)險評估。

風(fēng)險識別是為了識別那些可能發(fā)生或存在的會影響文件能否滿足組織機構(gòu)要求的情況。風(fēng)險識別的過程包括識別可能對組織機構(gòu)的目標(biāo)和性質(zhì)有實質(zhì)性影響的風(fēng)險、事件或環(huán)境的原因和來源。該標(biāo)準(zhǔn)要求對環(huán)境（內(nèi)外部因素）、文件系統(tǒng)以及組織創(chuàng)建和管理文件的過程之中的不確定性領(lǐng)域進行識別。

風(fēng)險分析是確定已經(jīng)識別出的風(fēng)險的潛在后果并意識到風(fēng)險的可能性。它包括可能性分析和概率估計。意識到已識別的風(fēng)險的可能性是通過分析不確定性領(lǐng)域的性質(zhì)，還有在一段時間內(nèi)足以支持一個可靠估計的數(shù)據(jù)。而概率可以用不同的方式來表達，但通常都與風(fēng)險等級有關(guān)。

風(fēng)險評估是根據(jù)風(fēng)險分析的結(jié)果，來協(xié)助確定哪些風(fēng)險需要處理和處理實施的優(yōu)先級。風(fēng)險評估首先要分析不良事件的潛在影響，要綜合考慮用戶、文件、組織等多方面的因素，之后通過結(jié)合事件發(fā)生的概率及其產(chǎn)生的影響的程度，來評定事件是否是風(fēng)險管理所關(guān)注的不良事件。

第三部分對風(fēng)險進行通示。風(fēng)險管理是一個連續(xù)的管理過程，對已評估的風(fēng)險應(yīng)該記錄并建檔，還應(yīng)該加強各部門之間關(guān)于風(fēng)險的溝通和交流。風(fēng)險溝通是有效風(fēng)險管理的一部分，目的是確保組織機構(gòu)范圍內(nèi)對風(fēng)險的識別，加強對風(fēng)險的防范和管控。

三、對我國文件管理工作的借鑒

ISO/TR 18128：2014標(biāo)準(zhǔn)作對我國文件管理具有以下三個方面的借鑒作用：

（一）建立了一套規(guī)范體系，用來規(guī)范文件過程和文件系統(tǒng)中的風(fēng)險評估活動

ISO/TR 18128：2014根據(jù)已出臺的相關(guān)標(biāo)準(zhǔn)要求，結(jié)合文件過程和文件系統(tǒng)的風(fēng)險管理情況，就風(fēng)險評估這一核心問題，制定了一套規(guī)范體系指導(dǎo)文件過程和文件系統(tǒng)中的風(fēng)險評估。首先規(guī)范了組織機構(gòu)文件過程和文件系統(tǒng)風(fēng)險評估的準(zhǔn)則，之后規(guī)范了風(fēng)險評估的步驟（風(fēng)險的識別、分析和評價），最后規(guī)范了風(fēng)險評估結(jié)果的通示。

（二）提供了一種分析方法，用來確定文件過程和文件系統(tǒng)中風(fēng)險事件的潛在影響

ISO/TR 18128：2014從環(huán)境（內(nèi)外部因素）、系統(tǒng)、文件過程三個方面詳細闡述了文件過程和文件系統(tǒng)中風(fēng)險存在的不確定性領(lǐng)域及因素，闡述了不確定性領(lǐng)域中風(fēng)險事件的潛在影響，值得一提的是，這些潛在影響中雖然有對組織機構(gòu)的不利影響，但也可能會帶來有積極影響的機會。標(biāo)準(zhǔn)介紹了風(fēng)險事件的可能性和概率的估計方法，每個風(fēng)險都必須結(jié)合正在發(fā)生的事件和它真實發(fā)生后出現(xiàn)的后果這二者的可能性來進行評估，還包括風(fēng)險等級確定，與風(fēng)險標(biāo)準(zhǔn)進行比較，確定風(fēng)險處理的要求。

（三）提供了一個實用指南，用來指導(dǎo)評估文件過程和文件系統(tǒng)中的風(fēng)險

ISO/TR 18128：2014標(biāo)準(zhǔn)在識別和分析風(fēng)險時，引導(dǎo)風(fēng)險評估人員從不確定性角度出發(fā)，識別風(fēng)險事件可能發(fā)生的不確定性領(lǐng)域，并確定不確定性是通過影響文件過程、文件系統(tǒng)還是通過內(nèi)外部環(huán)境，導(dǎo)致文件不可用、不可靠、不真實、不完整，不能夠?qū)崿F(xiàn)組織機構(gòu)的目標(biāo)。從風(fēng)險源頭分析，對可能性進行概率估計，以此對風(fēng)險劃定不同的等級，并賦予其優(yōu)先級，以此來協(xié)助高層管理人員決策，確定哪些風(fēng)險需要及時處理以及處理的先后順序，哪些風(fēng)險在可承受范圍內(nèi)，來進一步觀察。最后，對已評估的風(fēng)險進行記錄，登記建檔，一是為了在以后遇到相同風(fēng)險情況時，有可以借鑒的經(jīng)驗，二是為了減少風(fēng)險，在組織機構(gòu)內(nèi)部和組織機構(gòu)之間通示風(fēng)險。

ISO/TR 18128：2014標(biāo)準(zhǔn)，首次對于文件過程和文件系統(tǒng)中的風(fēng)險評估進行了細致具體的闡述，多維度構(gòu)建了文件過程和文件系統(tǒng)的風(fēng)險評估和管控規(guī)范，輔以樣例參照，為組織機構(gòu)風(fēng)險評估提供了依據(jù)，有利于有效開展文件過程和文件系統(tǒng)的風(fēng)險評估工作，以風(fēng)險評估的結(jié)果來指導(dǎo)風(fēng)險管理，并采取風(fēng)險應(yīng)對措施，規(guī)避風(fēng)險、控制風(fēng)險或降低風(fēng)險損失，對維護文件的真實性、可靠性、完整性和可用性，滿足組織機構(gòu)的文件要求，更好地為組織的業(yè)務(wù)活動服務(wù)有重要價值。

*本文系中國人民大學(xué)研究品牌項目（項目批準(zhǔn)號：10XNI019）的研究成果之一。