2、風險意識薄弱，對安全風險認識存在偏差。一些安全管理人員風險意識淡薄，信息安全知識不足，卻津津樂道“太平盛世”，雙耳不聞“盛世危言”，甚至認為，談風險是“杞人憂天”，說安全是“天下本無事，庸人自擾之”，根本沒有從風險管理的角度來度量電子文件的安全性。這些都嚴重影響了正確認識安全形勢和樹立科學的電子文件安全風險觀。
　　3、忽視了對“資產(chǎn)”評估鑒定。從目前情況看，文件、檔案管理部門雖都認識到電子文件的重要性，但絕大多數(shù)部門只是將電子文件作為日常辦公的一種輔助幫助，并沒有將電子文件提升到“資產(chǎn)”高度來管理，就更談不上對“資產(chǎn)”進行評估鑒定。然而，從安全管理角度講，一個組織系統(tǒng)內(nèi)的資產(chǎn)在沒有被評估鑒定前，是不可能成功實施安全管理并進行維護的。④
　?。ㄈ┕芾憝h(huán)節(jié)不完善
　　信息安全風險管理強調(diào)對信息系統(tǒng)生命周期的全過程管理，包括一個完整的風險管理環(huán)節(jié)：風險計劃的制訂、風險識別、風險評估、風險應對、風險監(jiān)控。從這個視角來看，當前電子文件安全管理存在明顯的薄弱環(huán)節(jié)。首先，安全管理計劃缺乏依據(jù)?，F(xiàn)有的電子文件安全管理計劃的制訂，絕大多數(shù)是憑借個人經(jīng)驗或者參照其他管理部門計劃來制定的，而不是依據(jù)風險應對、風險監(jiān)控實際情況來制訂的，具有很大的盲目性。其次，缺乏關(guān)鍵的風險評估環(huán)節(jié)。風險評估是電子文件安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。沒有風險評估，電子文件的安全管理就會成為無源之水、無本之木，缺乏決策行動的依據(jù)與方向，由此而引發(fā)的安全管理措施就具有很大的盲目性。雖然大部分管理部門強調(diào)采取各種措施來確保電子文件“萬無一失”，但大多是“人云亦云”，進行簡單的跟風或?qū)Π踩a(chǎn)品與技術(shù)進行簡單地堆疊，沒有針對性。對于引起本組織電子文件風險的因素沒有深入探究，甚至談不上什么了解，對于所采取的應對措施更談不上什么研究，對其用途更是“知其然，不知其所以然”，最終在風險來臨之時，不能有效地控制風險。最后，安全監(jiān)控力度有限。電子文件是動態(tài)存在的，其安全現(xiàn)狀也是隨時在變化的。在采取安全措施后，還必須強化電子文件全生命周期的風險監(jiān)控，實時監(jiān)視殘余風險、識別新風險，執(zhí)行風險應對計劃，以及評估這些工作的有效性。然而現(xiàn)有的電子文件安全監(jiān)控力度十分有限，絕大部分是局限于電子文件載體的溫濕度控制，而不是對整個生命周期的殘余風險、新風險的監(jiān)控。
　　（四）缺乏系統(tǒng)性和動態(tài)性
　　信息安全風險管理基于系統(tǒng)、全面、科學的安全風險評估，強調(diào)對信息的全過程、動態(tài)控制，對信息進行系統(tǒng)化安全管理，使安全風險發(fā)生的概率和結(jié)果降低到可接受的范圍，從而實現(xiàn)系統(tǒng)安全的動態(tài)平衡。傳統(tǒng)的電子文件安全管理，一方面，絕大多數(shù)是針對電子文件載體本身的安全管理，采取的是往往單一的安全管理措施，對于電子文件的安全管理容易出現(xiàn)“頭痛醫(yī)頭，腳痛醫(yī)腳”的弊病，最終還是不能避免電子文件風險的發(fā)生。⑤雖然在理論上我們強調(diào)要收集全電子文件相關(guān)的背景、結(jié)構(gòu)信息，但具體實踐中由于沒有科學界定電子文件安全管理范圍，其背景、結(jié)構(gòu)信息也就難以收集齊全，自然安全管理工作就不系統(tǒng)。另一方面，忽視整個電子文件保管環(huán)境的安全管理。電子文件保護的過程是一個復雜的過程，對于其自身及其所依賴信息環(huán)境的保護是一個系統(tǒng)性工程。從風險管理的角度講，電子文件的安全管理不僅要對電子文件自身所面臨的風險進行管理，更重要的是對其依賴的信息系統(tǒng)風險進行綜合管理。而這點是傳統(tǒng)電子文件管理所被忽視的，傳統(tǒng)的安全管理大都是從電子文件本身風險因素出發(fā)而制定安全措施的，這很難在電子文件安全管理上取得實質(zhì)性效果。此外，值得注意的是，傳統(tǒng)的電子文件安全管理大多是靜態(tài)地管理，更多的是實踐經(jīng)驗的總結(jié)與應用，一般將文件按其形成過程分成若干階段，分析各階段潛在的風險因素，從而制定相應的對策。從表面上看，這種方法也適合電子文件安全管理，但畢竟是以靜態(tài)的眼光來分析風險，各個階段的安全管理工作缺乏必要和有機的聯(lián)系，沒有將各階段的安全工作、工序和風險因素統(tǒng)一起來進行綜合考慮，很難應對日益復雜、嚴峻的電子文件安全問題。
?。ㄎ澹┖鲆暳藢Π踩L險、成本和效率的權(quán)衡
　　信息安全風險管理宗旨之一，就是在綜合成本和效率的前提下，找到安全風險、安全成本與效率之間平衡點，通過安全措施來控制風險，使殘余風險降低到可接受的范圍。安全風險、安全成本與效率的關(guān)系如下圖所示：
　　安全風險、安全成本與效率關(guān)系示意圖
　　從圖中我們可以看出，只有當安全風險與安全成本控制達到平衡點時，安全效率才能達到最佳效果。實際上，絕對的安全是沒有的，電子文件的安全管理也不是“越安全越好”。不同部門不同種類的電子文件，對于安全的需求是不同的；同一份電子文件其安全保密性超出安全保密的管理需求不但沒有必要，而且還會造成資金上的浪費。正如一扇門配幾把鎖取決于門內(nèi)放的東西的重要程度，鎖越多，門的安全成本也就越高，而門的使用效率就越低。然而，當前的電子文件管理重安全，卻忽視了對安全、成本和效益的綜合權(quán)衡。很多文件、檔案管理部門在沒有對本部門安全現(xiàn)狀和安全需求進行認真分析的基礎(chǔ)上，為了追求安全就不惜成本盲目地追求新的安全產(chǎn)品與技術(shù)，結(jié)果采用了一大批新安全產(chǎn)品與技術(shù)，卻收效甚微，造成資金的嚴重浪費。此外，由于我國一直以來強調(diào)以縱深防御體系設計作為安全管理的核心，這種防御體系強化安全管理的縱向?qū)哟魏蜕疃?，?cè)重安全管理的宏觀指導，但在指導安全管理的具體實踐方面，缺乏科學依據(jù)和方法，無法對電子文件的安全風險進行度量，自然就無法權(quán)衡電子文件的安全、成本和效益，結(jié)果在實際的電子文件安全管理工作中，安全投入成了一個無底洞，安全管理成本經(jīng)常是遠遠高于電子文件所帶來的效益，最終安全管理失去原有的意義。
　　三、結(jié)論
　　傳統(tǒng)的電子文件安全管理基本上還處于在一個局部的、靜態(tài)的、少數(shù)人負責的、突擊式、事后糾正的管理方式，導致的結(jié)果是不能從根本上避免降低各類風險，也不可能降低電子文件安全事故導致的綜合損失。而基于風險管理的電子文件安全管理體系是一個系統(tǒng)化、程序化和文件化的管理體系，基于系統(tǒng)、全面、動態(tài)、科學的安全風險評估，體現(xiàn)預防控制為主的思想，強調(diào)遵守國家有關(guān)信息安全原則前提下合理選擇控制方式以保護電子文件，使電子文件安全風險的發(fā)生概率和結(jié)果降低到可接受的水平。這種管理體系更加適合于電子文件的安全管理，因此，文件、檔案管理部門應盡快建立自身的電子文件風險管理體系。
　　注釋：
　　1、吳世忠：《信息風險管理動態(tài)與動態(tài)與趨向》，《計算機安全》2007年第4期。
　2、馮惠玲：《論電子文件的風險管理》，《檔案學通訊》2005年第3期。
　　3、 陳國云：《檔案信息建設的風險管理》，《檔案管理》2008年第1期。
　　4、柳純錄：《信息系統(tǒng)項目管理師教程》，北京：清華大學出版社，2005：582。
　　5、王強：《電子檔案風險管理研究》，《優(yōu)秀碩士論文》2007年8月。
?