档案安全风险评估制度设计,本文主要内容关键词为:风险评估论文,制度论文,档案论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
档案是不可再生资源。由于档案介质、载体的性质,档案存在安全风险,有其自然损毁的规律。另外,自然、人为的因素,也使档案安全存在着风险。档案安全风险在风险管理中属于纯粹风险,即只有损失机会的风险,一旦风险发生,结果只有损失或无损失,而没有获利的可能。开展档案安全风险评估,即对档案实体和档案信息资源所面临的风险及其可能造成的影响进行评估。完善的档案安全风险评估制度安排,可以发挥制度的激励和约束作用,尽可能地规避和降低档案安全风险。
一、档案安全风险评估的制度保障需求
在档案安全风险评估过程中,对良性的评估动力、科学规范的评估标准、严格的风险控制、评估的可持续性等方面都提出了制度保障的需求。
1.良性评估动力形成的需要
开展档案安全风险评估的动力是什么?这是推进档案安全风险评估必须要明确的前提,因为它决定着档案安全风险评估的科学理念和设计方法实质作用的发挥。从我国档案安全风险评估的实践来看,它具有内力驱动的特征。也就是说,它不是由外部推动产生的,而是档案管理部门在工作需要以及其内在责任感的驱动下主动进行的,这就容易使评估因管理者注意力的转移而转移,因管理者工作重心的转变而转变。这种评估动力的不足,往往会给评估工作带来不利的影响,如评估流于形式、评估标准粗放、评估过程简单、重视评估本身而不注重改进。因此,评估动力必须由外部力量推动转变为组织和个人内部需求与外部推动相结合的双重动力,而这种动力的形成仅靠部门和个人的力量是不够的,必须要有制度的保障。
2.评估标准科学规范的需要
风险评估的评估标准、评估方法、评估程序容易受限于部门和个人的认识而影响评估的效果。因此,必须在全国范围内建立起一套统一规范的档案安全风险评估标准,这样才能使评估结果科学、规范、客观,而评估标准的建立必须依靠制度加以规范。
3.评估结果采纳应用的需要
风险评估是为了消除风险、控制风险,因此对评估结果的采纳和应用就显得尤为重要。如果仅仅是为了评估而评估,并不根据评估结果采取相应的对策,那么档案安全状况最终还是不能得到实质性的改善,也就达不到风险评估的目的。因此,必须将档案安全风险评估结果的应用纳入制度化管理范畴。
4.评估可持续性的需要
档案安全风险评估不是一时的需要而兴起的,不应该采取“运动式”的策略,而应具有常态化的可持续性,不因领导的注意力而改变,不因一时的工作重心而改变。因此,必须对档案安全风险评估进行制度化的规范管理。
5.评估结果保密的需要
档案安全风险评估有别于其他类型的评估,在评估的过程中应注意其保密性,特别是对档案安全风险评估内容、评估结果的保密。因为一旦将评估内容、评估结果公开,档案安全风险的漏洞就会暴露无遗,就可能带来恶意的攻击。
二、档案安全风险评估制度的功能
良好的档案安全风险评估制度安排之所以能够弥补档案安全风险评估的不足,最大限度地规避和降低档案安全风险,是因为制度的激励和约束功能的发挥。
1.激励功能
制度的真正价值和意义在于对人的行为的激励。制度通过提倡什么、支持什么,借助褒扬和奖励的形式鼓励人们积极作为,有效地激发人们的积极性、主动性和创造性。[1]档案安全风险评估制度从正面引导的角度出发,将外在的强制力转化为档案部门内在的驱动机制,激发档案部门和档案人员积极主动地配合评估工作,使得档案安全风险评估以一种科学、公正、合理的形式进行。
2.约束功能
布罗姆利说:“没有社会秩序,一个社会就不可能运转。制度安排或工作规则形成了社会秩序,并使它运转和生存。”[2]制度通过规定人能做什么、不能做什么,该怎么做、不该怎么做,为人们的行为确定了一条边界,这条边界构成了社会的秩序,形成了社会的有机互动与稳定。[3]档案安全风险评估制度正是通过制定一系列的评估规则,最大限度地规范了档案安全风险评估的具体行为,保障档案安全风险评估的有序进行。
三、关于档案安全风险评估的制度设计
1.建立档案安全风险评估制度的原则和要求
制度设计的好坏直接关系到档案风险评估的效果。因此,在建立档案安全风险评估制度时必须要坚持以下几个原则:
(1)科学性和可行性原则
制度的建立必须严格遵守制度设计的程序、方法,使制度本身合情合理、具有科学的依据。同时,制度的建立就是为了实现,因此必须要考虑制度实施的条件、制度设计的层次,不能脱离客观实际,要切实可行,能为档案安全风险评估所用。
(2)原则性与灵活性相统一的原则
建立档案安全风险评估制度的目的就是为了使评估活动有章可循。档案安全风险有多种表现形式,在建立评估制度时应注意其多样性和复杂性,力求以一套制度规范多种形式的档案安全风险评估活动。但针对不同级别、不同地区、不同类型档案机构的安全风险评估,其制度设计应在坚持评估标准通用性、原则性的同时,又兼具灵活性,即结合评估对象的实际情况,分级建立档案安全风险评估体系,坚持原则性与灵活性的统一。
(3)持续性和动态性
制度设计不是一成不变的,它应当是一个动态的过程,随着社会发展和客观环境的变化而不断地变化。由纸质档案到电子档案再到其他新载体的档案,档案安全风险评估的对象、标准、方法将会进行一系列的调整,而档案安全风险评估的制度设计也要不断进行修正和完善。
2.档案安全风险评估的制度保障措施
“制度安排,思想先行”[4]。要做好档案安全风险评估工作,首先要树立“安全第一”、“安全问题人人有责”的思想。确保档案安全,始终是档案工作的生命线和底线,是档案部门的基本任务和第一要务。“确保档案安全,是党和人民对档案工作者的基本要求,是档案工作者的基本职责和天大责任”。[5]
(1)贯彻落实档案安全责任制和档案安全问责制
档案安全责任制和档案安全问责制是开展档案安全风险评估工作的前提和保障,是档案安全风险评估制度得以贯彻落实的基础。档案安全责任制和档案安全问责制的建立,能够扭转档案安全风险评估动力不足的局面,将评估动力由外部推动转变为组织内部需求与外部推动相结合的双重动力,从而有利于档案安全风险评估制度的推行。
档案安全责任制是指“一把手”作为档案安全的第一责任人,强化“一把手”的安全责任意识,由“一把手”负总责,自上而下地将档案安全责任落实到岗位、落实到个人;而档案安全问责制是指一旦发生档案安全责任事故,就严肃处理,追究相应责任人的责任。在档案安全问题上应实行“一票否决制”,或者设立“高压线”。[6]可以通过档案安全责任制和档案安全问责制,把档案安全列入档案部门绩效考核的重要指标,自下而上层层签订档案安全责任状,与个人经济利益和政治前途挂钩,一旦发生档案安全责任事故,将严格追究管理人员、分管领导的直接责任,给予经济处罚和行政处分,同时对事故责任部门进行集体处罚。
(2)建立健全档案安全风险评估的政策法规体系
将档案安全风险评估纳入法律法规调整的范围,可以使档案安全风险评估制度的强制力、执行力明显增强。其具体做法为:第一,将档案安全风险评估纳入《档案法》、《档案法实施办法》及各地档案管理条例等法律法规调整的范围。《档案法》是档案工作的根本法,是档案法律法规的基础,建议在《档案法》中将“档案的安全”作为单章专列,明确把档案安全风险评估列入其中。第二,制定档案安全风险评估规章,明确档案安全风险评估的组织原则、评估目标、评估标准、评估方法、评估程序、经费保障及奖惩措施等。
(3)统一制定档案安全风险评估的技术标准
评估指标体系的科学与否直接关系到档案安全风险评估制度贯彻落实的效果,是档案安全风险评估制度的一项重要内容。应在全国范围内建立起一套统一的档案安全风险评估标准,以确保评估结果的科学、规范、客观。建立档案安全风险评估指标体系可依据和参考的法规标准非常丰富,除《档案法》及其实施办法、《保密法》外,在档案实体安全方面,有诸如《档案馆建筑设计规范》、《档案馆建设标准》、《档案库房技术管理暂行规定》和《档案馆防治灾害工作指南》,等等;在档案信息安全方面,比如《电子信息系统机房设计规范》、《计算机信息系统安全保护等级划分准则》、《信息安全应急响应计划规范》、《信息安全风险管理指南》、《终端计算机系统安全等级技术要求》和《基于互联网电子政务信息安全实施指南》,等等。[7]应充分发挥风险评估专家库的作用,借助德尔菲法、层次分析法、熵权理论等先进的评估方法,细化评分内容,科学合理确定权重,使档案安全评估的标准更加科学、合理。
(4)稳步落实档案安全风险评估的组织保障
档案安全风险评估工作的开展,必须明确档案行政管理部门、档案机构、档案安全风险评估服务机构和评估专家库之间的关系及各自的具体职责,以此提供强有力的组织保障,切实保障档案安全风险评估工作的顺利开展。
档案行政管理部门应负责制定档案安全风险评估的政策、法规、标准,对风险评估的实施进行指导、监督、检查。承担档案安全风险评估工作的机构,可以是档案部门内部组成的具备相应条件的相对独立机构,也可以是具备相应资质的档案部门外部的社会专业机构。例如,中国信息安全认证中心2012年2月24日公布的信息安全风险评估服务资质认证获证组织已经有51家。档案安全风险评估专家可以由在档案安全、技术保护领域或档案行业中具有权威技术水平的专家组成,负责对评估方案、评估结果进行评审,在风险评估中提供相应的技术指导。