如今，風(fēng)險管理已經(jīng)是信息安全保障工作的一個主流范式。信息安全防范工作越來越基于風(fēng)險管理。①把風(fēng)險管理與電子文件聯(lián)系起來絕不是理論研究上的攀拉與附會，而是每一個與電子文件打交道的人，特別是文件、檔案管理者無法回避的視角和觀念。②基于上述兩點考慮，筆者認為，從信息安全風(fēng)險管理的視角來審視電子文件的安全管理問題是十分有意義，通過對風(fēng)險管理與安全管理關(guān)系的認識，我們可以更加深入地了解到當(dāng)前電子文件安全管理存在的問題，進一步認清電子文件安全管理工作存在的不足之處和改進方向。
　　一、風(fēng)險管理與安全管理關(guān)系的認識
　　在分析電子文件安全管理的問題之前，我們應(yīng)該要加強對風(fēng)險管理與安全管理關(guān)系的認識。而要真正認清兩者之間的關(guān)系，首先，要對風(fēng)險與安全有深刻的認識。在新華字典中，對風(fēng)險的釋義是“危險；遭受損失、傷害、不利或毀滅的可能性?！睂Π踩尼屃x是“不受威脅，沒有危險、危害、損失?！睆膬烧叩尼屃x中，我們不難看出風(fēng)險與安全是有密切關(guān)系的，都是通過與“危險、危害、損失”的關(guān)系來體現(xiàn)的，但這并不是說風(fēng)險就意味著不安全，這跟人們?nèi)粘５睦斫饪赡苡谐鋈?，在大多?shù)人看來，風(fēng)險就是安全的對立面，風(fēng)險的存在就意味著安全事故的發(fā)生，這種理解是不準確的。風(fēng)險其實主要強調(diào)的是“可能性”，而“可能性”就意味著風(fēng)險的發(fā)生可能會引起安全事故，造成危險、危害或損失，也可能不會。另外，還必須認識的是風(fēng)險包含威脅和機會兩層含義，即風(fēng)險造成的影響包括消極的威脅和積極的機會兩面，而不僅指傳統(tǒng)意義的威脅。威脅與機會的轉(zhuǎn)換關(guān)鍵是在于平衡安全、成本和效率之間的關(guān)系。正如電子文件的網(wǎng)絡(luò)化利用，可能比傳統(tǒng)紙質(zhì)化利用面臨的風(fēng)險要大得多，但不能因為風(fēng)險大就不利用電子文件，之所以電子文件網(wǎng)絡(luò)化利用迅速發(fā)展，關(guān)鍵在網(wǎng)絡(luò)化利用給檔案工作帶來的機會更大，利用成本更低、利用效率更高。其次，要對風(fēng)險管理與安全管理有深刻的認識。風(fēng)險管理是指管理組織對可能遇到的風(fēng)險進行計劃、識別、評估、應(yīng)對、監(jiān)控的全過程，是以科學(xué)的管理方法實現(xiàn)最大安全保障的實踐活動的總稱。③風(fēng)險管理主要通過風(fēng)險評估來識別風(fēng)險的大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕伺c控制方式對風(fēng)險進行控制，使風(fēng)險被避免、轉(zhuǎn)移或降至一個可被接受的水平。應(yīng)該說，風(fēng)險管理本身就是安全管理一部分，而且是核心組成部分，它既是一種安全指導(dǎo)思想，同時也是一種安全實踐方式。安全管理只有在風(fēng)險管理正確、全面地了解和理解安全風(fēng)險后，才能決定如何處理安全風(fēng)險，從而在安全的投資、安全措施的選擇、安全保障體系的建設(shè)等問題中做出合理的決策。基于風(fēng)險管理的安全管理體系就是將風(fēng)險管理自始至終貫穿于整個安全管理體系中，這種體系并不能完全消除安全的風(fēng)險，只是盡量減少風(fēng)險，將攻擊造成損失的降低到最低限度，從而達到安全風(fēng)險、成本與效率的平衡。
　　二、從風(fēng)險管理的視角探討電子文件安全管理問題
　?。ㄒ唬┤狈茖W(xué)的安全管理理論與方法指導(dǎo)
　　信息安全風(fēng)險管理是解決如何確切掌握信息及其依賴信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險有多大，加強信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財力和物力,確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級進行安全建設(shè)和管理的依據(jù)等一系列具體問題的重要指導(dǎo)理論和方法。從這個視角來看文檔工作我們會發(fā)現(xiàn)，一直以來，文件、檔案安全管理工作都是沿襲傳統(tǒng)檔案載體保護工作來開展，以此形成的相關(guān)理論也是以傳統(tǒng)檔案載體研究為基礎(chǔ)的，隨著電子文件的出現(xiàn)，傳統(tǒng)以檔案載體保護為核心的檔案安全管理理論就很難適用于電子文件的安全管理。雖然檔案部門也對電子文件安全管理做過很多理論探討，提出“前端控制思想”、“全程管理思想”、“文件連續(xù)體理論”、“后保管時代”、“文件運動理論模型”等理論來強化電子文件的安全管理，但不可否認的是，這些理論并不是專門的安全管理理論，很難在電子文件安全管理上取得實質(zhì)性效果，由此指導(dǎo)的電子文件安全管理工作存在種種疑難點，如電子文件安全事故衡量標準是什么？如何選擇安全產(chǎn)品？安全控制全面嗎？是否冗余？是否達到預(yù)期效果？安全等級如何劃分？安全代價如何衡量？這些疑難點的出現(xiàn)，歸根到底就是因為現(xiàn)階段的電子文件安全管理工作缺乏科學(xué)的安全管理理論與方法指導(dǎo)。
　　（二）對安全管理的認識存在偏差
　　信息安全風(fēng)險管理提倡的是一種適度安全，即風(fēng)險是絕對的，安全就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度；同時也強調(diào)樹立風(fēng)險意識，并通過風(fēng)險的大小來度量信息的安全性，將“信息”提升到“資產(chǎn)”的高度來進行安全管理。然而，傳統(tǒng)電子文件安全管理對此認識卻存在偏差。
　　1、追求絕對的安全。一直以來由于檔案部門缺乏安全風(fēng)險意識，總是想找到絕對安全的方法和措施來追求檔案各安全屬性（如保密性、完整性、可用性、真實性、不可否認性、可追究性和可讀性等）的絕對安全。然而，從理論上講，風(fēng)險是絕對的，安全是相對的；風(fēng)險是永恒的，安全是暫時的。而電子文件安全管理工作從本質(zhì)上來講，也就是風(fēng)險管理工作。電子文件的每個安全屬性都有相應(yīng)的保證級別作為其強度的測量尺度，在實踐中追求各安全屬性的絕對安全，并不能達到最佳安全效果，也是不切實際的。同樣，從信息安全保密的實踐歷史來講，安全保密是一個動態(tài)過程，安全事件是一種隨機事件，很難做到百分之百安全。祈求“絕對安全”將在人力物力上付出極大代價，造成嚴重浪費。因此，檔案部門將安全管理目標定位于“系統(tǒng)絕對安全、數(shù)據(jù)永不丟失，檔案永不泄密，電子文件萬無一失”，那是永遠不可能的！