档案信息安全风险评估多元主体模式优化分析

2022.10.30

谭燕萍

摘要：本文深入探讨了多元评估主体模式形成的基础，并对其存在的问题进行分析，提出可行的多元评估主体模式优化路径：做好档案信息安全风险评估顶层设计、加强评估服务机构培育和监管、建立健全评估专家制度，以此确保档案信息安全分析评估的有效开展。

关键词：风险评估主体；多元评估主体模式；档案信息安全；优化路径

档案信息安全风险评估活动首要确定评估的主持机构，即由谁主导评估活动的进行，这个机构就是通常所说的评估主体。评估主体即指评估行为的实施者，主要回答由谁来进行评估的问题。评估主体的构成、资质、业务水平、素质、态度是决定评估活动能否取得实效的关键因素。

从我国各地开展的档案信息安全风险评估实践来看，评估主体的模式主要分为内部评估主体模式、外部评估主体模式、多元评估主体模式三种。随着档案信息安全风险评估活动的深入开展，档案部门主导、各方参与的多元评估主体模式逐渐确立，即主要由档案部门内部组成的具备相应条件的相对独立机构、具备相应资质的档案部门外部的社会专业机构、专家等组成。它有效克服了单纯的内部评估主体模式易造成评估工作的形式化，以及完全独立的外部评估主体模式缺乏实际操作性的弊端，更好地发挥了各评估主体的优势。然而，多元评估主体模式的运行也还处于探索的阶段，實践中仍存在着一些问题亟须解决。

1 多元评估主体模式形成的基础

从我国各地开展的档案信息安全风险评估的实践来看，多元评估主体模式是在充分吸取内部评估主体模式和外部评估主体模式优点的基础上，有效避免两者的弊端而形成的档案部门主导、各方参与的评估主体模式。

1.1 内部评估主体模式。内部评估主体模式是由档案部门具备相应条件的相对独立的内部机构或人员来组织进行档案信息安全风险评估，即典型的“同体评估”。例如，天津市开展的档案安全风险评估，由新成立的档案安全风险评估工作领导小组负责组织实施，具体成员由档案各职能部门组成，是典型的内部评估主体模式。

内部评估主体模式的优点：熟悉档案信息系统建设、维护全过程，对档案利用服务需求、档案信息系统薄弱环节熟悉了解，能够及时发现问题，并有效调动资源寻求解决方案、提高评估效率。

内部评估主体模式的局限性：一是评估结果客观性不强。评估涉及档案信息管理的各个环节、部门，评估主体来源于档案部门内部，容易出现主观偏好，影响评估结果的客观性。另外，安全风险的出现往往折射出管理上的漏洞，是对自身的质疑。来源于档案部门内部的评估主体难以保持中立的态度，因而容易造成评估流于形式，影响评估结果的客观性。二是评估专业性、技术性不高。风险评估是一门专业性、技术性很强的学科，有着系统的操作规范，档案部门是在2010年档案安全保障体系确立之后才引入档案风险评估的理念，精通风险评估理论和实践操作的人才还很缺乏，因此，评估采用的方法、技术相对简单，使得评估流于表面，直接影响评估的专业性。三是评估缺乏常态性和规律性。目前评估工作大多是以风险评估领导小组这种临时性组建的组织机构形式开展，风险评估职能还不能内化为组织机构内部常规化职能，这容易导致运动式评估。这种突击式的评估容易使得评估缺乏常态性和规律性，不适应大数据时代档案信息安全常规化、系统化的保障需求。

1.2 外部评估主体模式。外部评估主体模式是由档案部门以外的具备相应资质的社会专业机构或人员提供技术支持，进行档案信息安全风险评估，可以是学术团体、专业评估服务机构、社会中介组织、专家学者等。

外部评估主体模式的优点：机构独立性强，评估结果相对客观；评估专业性强，拥有丰富的评估实践以及专门的评估技术的专业评估人员。

外部评估主体模式的局限性：一是评估信息获取难度大，需要档案部门的配合，不能独自开展评估工作，评估阻力大。二是评估动力缺乏。与档案信息安全风险评估没有相关利益关系，只是被动地接受评估要求，评估动力不足。三是评估效力不足。评估结果在档案部门采纳前，只作为学理上的研究，不具备行政效力，权威性不足。

1.3 多元评估主体模式。单纯的内部评估主体模式容易造成评估工作的形式化，完全独立的第三方主持评估工作，缺乏实际操作性。多元评估主体模式是档案部门主导、各方参与的评估主体模式，主要由档案部门内部组成的具备相应条件的相对独立机构、具备相应资质的档案部门外部的社会专业机构、专家等组成。多元评估主体模式的优点：能够克服内部评估主体模式和外部评估主体模式的弊端，能更好地发挥各评估主体的优势。它明确了档案部门在评估主体的主导地位，能够为档案安全风险评估提供强有力的动力保障。此外，倡导多方参与，特别是专业的社会评估机构、评估专家对评估活动的智力的支持，保障评估的专业性、客观性。但同时多元评估主体模式的运行也还处于探索的阶段，仍存在着一些问题亟须解决。

2 档案信息安全风险评估多元主体模式存在的问题

2.1 具有相应档案信息安全风险评估资质的第三方机构尚未形成。目前，专门从事档案信息安全风险评估服务的机构尚未形成，现阶段主要由档案信息系统开发商提供相关的安全风险评估服务。例如，上海中信信息发展股份有限公司为国家档案局以及浙江、福建、江苏、广西、辽宁、上海、天津等12个档案局（馆）建设数字档案馆[1]，同时提供风险评估、漏扫渗透、安全架构设计、信息系统冗余备份设计等方面的信息安全服务[2]。上海信安达档案文件管理有限公司提供风险评估、制定信息管理规定、信息管理培训等信息风险管理服务[3]。

由于目前第三方评估机构尚在孕育中，不能适应档案信息安全风险评估的要求：一是所能提供的评估层次级别比较低。目前所提供的评估服务还仅限于运用安全检查工具对档案信息系统进行安全检测，这样得到的安全评估结果可信度不高，容易以偏概全，不适用于复杂的档案信息系统的安全风险评估。二是缺乏信息安全风险评估相关服务资质认证，游离在国家信息安全风险评估相关规范管理之外。中国信息安全认证中心2017年1月3日公布的信息安全风险评估服务资质认证获证组织名单达167家[4]，但从事档案信息安全风险评估服务的相关企业尚不在其中。三是目前评估安全保障机制缺乏，对服务机构提供的评估安全保障缺乏控制力、约束力。

2.2 档案信息安全风险评估专家运行机制缺乏，专家有效性得不到最大发挥。评估专家来源广泛，有来自档案系统内部的，也有来自档案系统外部的，例如高校、科研机构，企业等。专家作为多元化主体模式中重要的一员，来自档案信息安全风险评估相关领域的权威，具有专业优势，熟练掌握评估相关专业领域知识和评估相关技能，为评估提供智力支持，确保评估结果的客观性，保障评估的公平、公正。但由于评估专家运行机制还未建立起来，使得专家的有效性得不到最大的发挥，存在以下问题：一是评估专家参与评估随意性大，评估队伍缺乏稳定性。目前还没有专家参与评估的相关具体规定，例如对于是否需要专家，如何确定专家名单，专家在评估组的比例等，随意性较大。另外，评估专家往往是由于评估的需要临时组织，成员变动大，难以形成稳定的组织和团队来从事评估的专门活动。二是专家的中立性缺乏保障。专家的中立性地位是评估结果客观的保障，专家的遴选、组织由档案部门负责，专家的独立性缺乏相关制度保障，容易受档案行政管理部门的影响，易出现主观偏好，影响评估结果的客观性。三是专家结构设置影响评估效果。评估专家的知识和经验水平难免会影响评估结果，由于还没有建立合理规范的专家制度对专家结构进行科学合理设置，因此不能有效消除专家自身专业局限对评估结果产生的不良影响。四是心理误差影响评估结果。在评估过程中，专家难免因首因效应、近因效应、从众效应、情绪效应等心理误差影响和干扰档案信息安全风险评估的结果。

3 档案信息安全风险评估多元主体模式优化的路径

3.1 做好档案信息安全风险评估的顶层设计。档案信息安全风险评估多元主体模式的优化要做好档案信息安全风险评估的顶层设计，明确档案信息安全风险评估主体，并做好各评估主体的相关职能界定；做好评估相关政策、法规、标准的制定。按照评估发起者的不同可以分为自评估和检查评估。在自评估阶段，技术支持可以由具备相应资质的档案部门外部的社会专业机构提供。检查评估由上级政府信息化主管部门和上级档案行政管理部门发起。专家则贯穿评估始终，为档案信息安全风险评估提供智力支持。

3.2 加强档案信息安全风险评估服务机构的培育和监管。

3.2.1 支持购买评估服务，确定评估服务机构合法身份。对于档案信息安全风险评估服务机构的发展，档案行政管理部门的态度应该是支持并鼓励的，允许并鼓励档案信息安全风险评估服务机构充分发挥自身技术的优势，积极参与评估，特别是自评估环节。将非涉密的档案信息安全风险评估纳入社會购买服务的范围，列入政府采购清单，提供评估技术性服务。

3.2.2 优化评估服务机构发展环境。及时发布档案信息安全风险评估服务供需信息，为供需双方提供精准服务。吸收评估服务机构相关技术专家进入档案信息安全风险评估专家库。

3.2.3 做好相关制度设计，加强监管。制定档案信息安全风险评估行业标准，完善评估机构的准入机制、评价机制、退出机制。对评估服务机构提出明确资质要求并进行资格认证，从源头上确保评估的专业性、技术性。目前，中国信息安全认证中心从评估服务机构的法律地位、财务资信、办公场所、人员素质与资质、业绩、服务管理、服务合同、服务安全、服务技术、专业评价等方面进行服务资质等级认证。采用服务质量评价、信用评价等新型监管模式，创新档案信息安全风险评估服务机构的监管。将评估过程的安全监管与行业的退出机制结合起来，防止风险评估过程安全事件、泄密事故发生，将评估的安全风险控制在最低。

3.3 建立健全档案信息安全风险评估专家制度。

3.3.1 严格把好“入口关”，建立科学、完善的专家遴选机制。建立由学历、职称、荣誉等基本指标、职业道德修养指标、专业业绩指标等构成的专家遴选指标体系，经过严格的遴选程序，遴选出一批专家组成专业结构、年龄结构、职称结构、研究领域等配置合理的档案信息安全风险评估专家库。

3.3.2 建立科学的专家库运行机制。由专家库管理委员会对遴选入库的专家进行聘任、培训、考核，实行动态管理。

3.3.3 建立专家咨询机制。对专家提供咨询的方式、途径、环节等方面做出详细的规定，提升专家咨询的效果，确保专家智囊团作用的发挥。

3.3.4 建立完善有效的激励机制。为有效地激发专家的潜能，可以通过提供专家交流、考察、学习、培训的机会，为专家自身发展提供空间，实现复合型专家培养的目标。

3.3.5 建立严格的责任追究机制。为切实保障评估本身的安全，专家除了职业道德的自我约束之外，还应从制度上建立专家责任追究机制，以保障档案信息安全风险评估的正确性、科学性、安全性。

*本文系广西民族大学科研基金资助课题“档案安全风险评估专家咨询制度设计”（项目编号：2016MDYB015）、广西民族大学相思湖青年学者创新团队资助课题阶段性成果。

参考文献：

[1]数字档案馆解决方案[EB/OL].[2017-1-9].

http：//www.cesgroup.com.cn/platformData/infoplat/pub/zxxx_12/web/szdagztjjfa_new.jsp.

[2]服务支持[EB/OL].[2017-1-9].

http：//www.cesgroup.com.cn/platformData/infoplat/pub/zxxx_12/web/s1services.jsp.

[3]信息风险管理[EB/OL].[2017-1-2].

http：//www.grmchina.com/zh/solutions/information_risk_management.php.

[4]信息安全风险评估服务资质认证获证组织名单[EB/OL].[2017-1-9].

http：//www.isccc.gov.cn/zxyw/fwzzrz/fwzzrzzscx/09/870938.shtml.

（作者单位：广西民族大学档案馆来稿日期：2017-04-16）