檔案信息安全風險評估多元主體模式優化分析

譚燕萍

摘 要：本文深入探討了多元評估主體模式形成的基礎，并對其存在的問題進行分析，提出可行的多元評估主體模式優化路徑：做好檔案信息安全風險評估頂層設計、加強評估服務機構培育和監管、建立健全評估專家制度，以此確保檔案信息安全分析評估的有效開展。

關鍵詞：風險評估主體；多元評估主體模式；檔案信息安全；優化路徑

檔案信息安全風險評估活動首要確定評估的主持機構，即由誰主導評估活動的進行，這個機構就是通常所說的評估主體。評估主體即指評估行為的實施者，主要回答由誰來進行評估的問題。評估主體的構成、資質、業務水平、素質、態度是決定評估活動能否取得實效的關鍵因素。

從我國各地開展的檔案信息安全風險評估實踐來看，評估主體的模式主要分為內部評估主體模式、外部評估主體模式、多元評估主體模式三種。隨著檔案信息安全風險評估活動的深入開展，檔案部門主導、各方參與的多元評估主體模式逐漸確立，即主要由檔案部門內部組成的具備相應條件的相對獨立機構、具備相應資質的檔案部門外部的社會專業機構、專家等組成。它有效克服了單純的內部評估主體模式易造成評估工作的形式化，以及完全獨立的外部評估主體模式缺乏實際操作性的弊端，更好地發揮了各評估主體的優勢。然而，多元評估主體模式的運行也還處于探索的階段，實踐中仍存在著一些問題亟須解決。

1 多元評估主體模式形成的基礎

從我國各地開展的檔案信息安全風險評估的實踐來看，多元評估主體模式是在充分吸取內部評估主體模式和外部評估主體模式優點的基礎上，有效避免兩者的弊端而形成的檔案部門主導、各方參與的評估主體模式。

1.1 內部評估主體模式。內部評估主體模式是由檔案部門具備相應條件的相對獨立的內部機構或人員來組織進行檔案信息安全風險評估，即典型的“同體評估”。例如，天津市開展的檔案安全風險評估，由新成立的檔案安全風險評估工作領導小組負責組織實施，具體成員由檔案各職能部門組成，是典型的內部評估主體模式。

內部評估主體模式的優點：熟悉檔案信息系統建設、維護全過程，對檔案利用服務需求、檔案信息系統薄弱環節熟悉了解，能夠及時發現問題，并有效調動資源尋求解決方案、提高評估效率。

內部評估主體模式的局限性：一是評估結果客觀性不強。評估涉及檔案信息管理的各個環節、部門，評估主體來源于檔案部門內部，容易出現主觀偏好，影響評估結果的客觀性。另外，安全風險的出現往往折射出管理上的漏洞，是對自身的質疑。來源于檔案部門內部的評估主體難以保持中立的態度，因而容易造成評估流于形式，影響評估結果的客觀性。二是評估專業性、技術性不高。風險評估是一門專業性、技術性很強的學科，有著系統的操作規范，檔案部門是在2010年檔案安全保障體系確立之后才引入檔案風險評估的理念，精通風險評估理論和實踐操作的人才還很缺乏，因此，評估采用的方法、技術相對簡單，使得評估流于表面，直接影響評估的專業性。三是評估缺乏常態性和規律性。目前評估工作大多是以風險評估領導小組這種臨時性組建的組織機構形式開展，風險評估職能還不能內化為組織機構內部常規化職能，這容易導致運動式評估。這種突擊式的評估容易使得評估缺乏常態性和規律性，不適應大數據時代檔案信息安全常規化、系統化的保障需求。

1.2 外部評估主體模式。外部評估主體模式是由檔案部門以外的具備相應資質的社會專業機構或人員提供技術支持，進行檔案信息安全風險評估，可以是學術團體、專業評估服務機構、社會中介組織、專家學者等。

外部評估主體模式的優點：機構獨立性強，評估結果相對客觀；評估專業性強，擁有豐富的評估實踐以及專門的評估技術的專業評估人員。

外部評估主體模式的局限性：一是評估信息獲取難度大，需要檔案部門的配合，不能獨自開展評估工作，評估阻力大。二是評估動力缺乏。與檔案信息安全風險評估沒有相關利益關系，只是被動地接受評估要求，評估動力不足。三是評估效力不足。評估結果在檔案部門采納前，只作為學理上的研究，不具備行政效力，權威性不足。

1.3 多元評估主體模式。單純的內部評估主體模式容易造成評估工作的形式化，完全獨立的第三方主持評估工作，缺乏實際操作性。多元評估主體模式是檔案部門主導、各方參與的評估主體模式，主要由檔案部門內部組成的具備相應條件的相對獨立機構、具備相應資質的檔案部門外部的社會專業機構、專家等組成。多元評估主體模式的優點：能夠克服內部評估主體模式和外部評估主體模式的弊端，能更好地發揮各評估主體的優勢。它明確了檔案部門在評估主體的主導地位，能夠為檔案安全風險評估提供強有力的動力保障。此外，倡導多方參與，特別是專業的社會評估機構、評估專家對評估活動的智力的支持，保障評估的專業性、客觀性。但同時多元評估主體模式的運行也還處于探索的階段，仍存在著一些問題亟須解決。

2 檔案信息安全風險評估多元主體模式存在的問題

2.1 具有相應檔案信息安全風險評估資質的第三方機構尚未形成。目前，專門從事檔案信息安全風險評估服務的機構尚未形成，現階段主要由檔案信息系統開發商提供相關的安全風險評估服務。例如，上海中信信息發展股份有限公司為國家檔案局以及浙江、福建、江蘇、廣西、遼寧、上海、天津等12個檔案局（館）建設數字檔案館[1]，同時提供風險評估、漏掃滲透、安全架構設計、信息系統冗余備份設計等方面的信息安全服務[2]。上海信安達檔案文件管理有限公司提供風險評估、制定信息管理規定、信息管理培訓等信息風險管理服務[3]。

由于目前第三方評估機構尚在孕育中，不能適應檔案信息安全風險評估的要求：一是所能提供的評估層次級別比較低。目前所提供的評估服務還僅限于運用安全檢查工具對檔案信息系統進行安全檢測，這樣得到的安全評估結果可信度不高，容易以偏概全，不適用于復雜的檔案信息系統的安全風險評估。二是缺乏信息安全風險評估相關服務資質認證，游離在國家信息安全風險評估相關規范管理之外。中國信息安全認證中心2017年1月3日公布的信息安全風險評估服務資質認證獲證組織名單達167家[4]，但從事檔案信息安全風險評估服務的相關企業尚不在其中。三是目前評估安全保障機制缺乏，對服務機構提供的評估安全保障缺乏控制力、約束力。

2.2 檔案信息安全風險評估專家運行機制缺乏，專家有效性得不到最大發揮。評估專家來源廣泛，有來自檔案系統內部的，也有來自檔案系統外部的，例如高校、科研機構，企業等。專家作為多元化主體模式中重要的一員，來自檔案信息安全風險評估相關領域的權威，具有專業優勢，熟練掌握評估相關專業領域知識和評估相關技能，為評估提供智力支持，確保評估結果的客觀性，保障評估的公平、公正。但由于評估專家運行機制還未建立起來，使得專家的有效性得不到最大的發揮，存在以下問題：一是評估專家參與評估隨意性大，評估隊伍缺乏穩定性。目前還沒有專家參與評估的相關具體規定，例如對于是否需要專家，如何確定專家名單，專家在評估組的比例等，隨意性較大。另外，評估專家往往是由于評估的需要臨時組織，成員變動大，難以形成穩定的組織和團隊來從事評估的專門活動。二是專家的中立性缺乏保障。專家的中立性地位是評估結果客觀的保障，專家的遴選、組織由檔案部門負責，專家的獨立性缺乏相關制度保障，容易受檔案行政管理部門的影響，易出現主觀偏好，影響評估結果的客觀性。三是專家結構設置影響評估效果。評估專家的知識和經驗水平難免會影響評估結果，由于還沒有建立合理規范的專家制度對專家結構進行科學合理設置，因此不能有效消除專家自身專業局限對評估結果產生的不良影響。四是心理誤差影響評估結果。在評估過程中，專家難免因首因效應、近因效應、從眾效應、情緒效應等心理誤差影響和干擾檔案信息安全風險評估的結果。

3 檔案信息安全風險評估多元主體模式優化的路徑

3.1 做好檔案信息安全風險評估的頂層設計。檔案信息安全風險評估多元主體模式的優化要做好檔案信息安全風險評估的頂層設計，明確檔案信息安全風險評估主體，并做好各評估主體的相關職能界定；做好評估相關政策、法規、標準的制定。按照評估發起者的不同可以分為自評估和檢查評估。在自評估階段，技術支持可以由具備相應資質的檔案部門外部的社會專業機構提供。檢查評估由上級政府信息化主管部門和上級檔案行政管理部門發起。專家則貫穿評估始終，為檔案信息安全風險評估提供智力支持。

3.2 加強檔案信息安全風險評估服務機構的培育和監管。

3.2.1 支持購買評估服務，確定評估服務機構合法身份。對于檔案信息安全風險評估服務機構的發展，檔案行政管理部門的態度應該是支持并鼓勵的，允許并鼓勵檔案信息安全風險評估服務機構充分發揮自身技術的優勢，積極參與評估，特別是自評估環節。將非涉密的檔案信息安全風險評估納入社會購買服務的范圍，列入政府采購清單，提供評估技術性服務。

3.2.2 優化評估服務機構發展環境。及時發布檔案信息安全風險評估服務供需信息，為供需雙方提供精準服務。吸收評估服務機構相關技術專家進入檔案信息安全風險評估專家庫。

3.2.3 做好相關制度設計，加強監管。制定檔案信息安全風險評估行業標準，完善評估機構的準入機制、評價機制、退出機制。對評估服務機構提出明確資質要求并進行資格認證，從源頭上確保評估的專業性、技術性。目前，中國信息安全認證中心從評估服務機構的法律地位、財務資信、辦公場所、人員素質與資質、業績、服務管理、服務合同、服務安全、服務技術、專業評價等方面進行服務資質等級認證。采用服務質量評價、信用評價等新型監管模式，創新檔案信息安全風險評估服務機構的監管。將評估過程的安全監管與行業的退出機制結合起來，防止風險評估過程安全事件、泄密事故發生，將評估的安全風險控制在最低。

3.3 建立健全檔案信息安全風險評估專家制度。

3.3.1 嚴格把好“入口關”，建立科學、完善的專家遴選機制。建立由學歷、職稱、榮譽等基本指標、職業道德修養指標、專業業績指標等構成的專家遴選指標體系，經過嚴格的遴選程序，遴選出一批專家組成專業結構、年齡結構、職稱結構、研究領域等配置合理的檔案信息安全風險評估專家庫。

3.3.2 建立科學的專家庫運行機制。由專家庫管理委員會對遴選入庫的專家進行聘任、培訓、考核，實行動態管理。

3.3.3 建立專家咨詢機制。對專家提供咨詢的方式、途徑、環節等方面做出詳細的規定，提升專家咨詢的效果，確保專家智囊團作用的發揮。

3.3.4 建立完善有效的激勵機制。為有效地激發專家的潛能，可以通過提供專家交流、考察、學習、培訓的機會，為專家自身發展提供空間，實現復合型專家培養的目標。

3.3.5 建立嚴格的責任追究機制。為切實保障評估本身的安全，專家除了職業道德的自我約束之外，還應從制度上建立專家責任追究機制，以保障檔案信息安全風險評估的正確性、科學性、安全性。

*本文系廣西民族大學科研基金資助課題“檔案安全風險評估專家咨詢制度設計”（項目編號：2016MDYB015）、廣西民族大學相思湖青年學者創新團隊資助課題階段性成果。

參考文獻：

[1]數字檔案館解決方案[EB/OL].[2017-1-9].

http：//www.cesgroup.com.cn/platformData/infoplat/pub/zxxx_12/web/szdagztjjfa_new.jsp.

[2]服務支持[EB/OL].[2017-1-9].

http：//www.cesgroup.com.cn/platformData/infoplat/pub/zxxx_12/web/s1services.jsp.

[3]信息風險管理[EB/OL].[2017-1-2].

http：//www.grmchina.com/zh/solutions/information_risk_management.php.

[4]信息安全風險評估服務資質認證獲證組織名單[EB/OL].[2017-1-9].

http：//www.isccc.gov.cn/zxyw/fwzzrz/fwzzrzzscx/09/870938.shtml.

（作者單位：廣西民族大學檔案館 來稿日期：2017-04-16）