数字档案馆风险管理研究综述

向立文 张茜

摘要：文章主要分析总结了国内外数字档案馆风险管理的研究现状，指出目前研究的不足之处体现在研究视角有待进一步开阔、数字档案馆风险因素的分析有待加强、风险管理过程的研究不够系统以及风险评估的研究不够深入等方面。

关键词：数字档案馆风险管理风险评估

Abstract：The paper mainly analyzes and sum？ marizes the research status of risk management of digital archives. points out the deficiency of the cur？ rent research include the research perspective to be further broadened， the analysis of the risk fac？ tors of digital archives needs to be strengthened， the risk management process is not systematic and the risk assessment is not enough in- depth study， and so on.

Keywords：digital archives；risk management；risk assessment

数字档案馆是档案信息化建设领域的重要内容，在其建设与服务的过程中，涉及诸多主体关系，是一项非常复杂且系统的工程，由此也面临着诸多风险，如信息安全风险、组织风险、项目管理风险、技术管理风险等等。如何增强数字档案馆风险防范与应急处置能力，保障数字档案信息安全，已经成为学界关注的热点问题之一。文章围绕这一主题对国内外数字档案馆风险管理研究现状进行了介绍与评价，以期为提高数字档案馆风险管理能力，保障数字档案馆及馆藏档案安全提供一定的借鉴。

一、国外数字档案馆风险管理研究概况

（一）数字档案馆安全管理相关项目研究

笔者在检索中发现，国外由图书馆、大学研究机构等合作建设的基于信息共享的数字档案馆项目非常普遍，在此基础上进行相关风险防范策略的研究，能够有更加充足的资金、人员、技术等保障。譬如，国家地理空间数字档案馆（The National Geospatial Digital Ar？ chive）是加州大学圣芭芭拉分校和斯坦福大学之间的一个合作项目，该项目是由美国国会图书馆通过其国家数字信息基础设施和保护计划（NDIIPP）资助，合作的目标是收集、保存和长期访问风险地理空间数据。[1] ECHO DEPository项目是由美国国家数字信息基础设施和保护计划（NDIIPP）资助，并由国会图书馆管理的数字保存研究和开发项目。该项目的一个关键目标是调查支持当今数字保存活动的实用解决方案，以及下一代数字保存系统发展的基础研究问题，帮助下一代档案管理长期保存的风险。[2]Curtis， J.和Koerbin， P.等介绍了昆士兰大学、澳大利亚国立大学和澳大利亚国家图书馆合作为数字馆藏开发并部署的自动老化检测和通知服务（AONS），AONS可以被配置运行在不同类型的数字对象的集合上，无论是机构知识库（DSpace或Fedora），还是Web档案如国家图书馆的PANDORA（存储和获取澳大利亚网络文献资源）档案，确保它们的长期保存和可访问性。[3]从这些项目研究主题中可看出，国外学者非常注重对数字档案资源长期保存风险的防范，通过通力合作与实践检验，确保数字档案的长期可访问性和长期可读性，同时也推动档案信息技术的持续发展。

（二）数字档案风险管理技术研究

数字档案由于其特殊性，易被篡改、易受攻击、易丢失，在对数字档案馆风险管理技术的探讨中，国外学者较为注重保障数字档案的原始性、完整性和真实性，以解决实际应用问题为主。譬如，Song， Sangchul和JaJa， Joseph开发了一种新的严格的加密技术来解决数字档案长期完整性问题。他们的方法涉及每个对象的小型完整的令牌生成、一些加密的摘要信息以及根据归档制度设置一个符合成本效益规律和档案馆藏定期审计的框架，该技术可以高概率检测对象的任何更改，包括归档或由外部入侵者造成的恶意修改。[4]Coo？ per， Brian Frank开发了一个分布式的数字存档系统，在每个归档站点，导入模块会自动将重要的数字信息转换为一次写入归档存储。然后，这些信息通过数据交易协议被复制到远程站点，从而确保即使在整个站点故障的情况下信息也能被保存。[5]由于数字档案对软硬件设备的依赖性，一旦其老化、损坏，数字档案馆也将面临巨大的技术风险。KamA.Woods提出了一种将比特位相同的文件系统从传统媒体转移到现代存储的系统方法，并通过可靠、高性能的技术，用于自动识别、特征提取、迁移、呈现和分发此集合中包含的文档和软件。[6]以此提供高质量的数字档案馆藏，确保其未来可用性。

（三）数字档案信息安全风险评估研究

国外对数字档案馆信息安全风险评估结合了数字档案的特点与安全需求，注重对技术的探讨，有针对性地进行数字档案信息安全风险评估。譬如，Shabou， BasmaMakhlouf探討了QADEPS（公共电子档案和档案质量测量）模型，该模型通过可信赖性、可利用性和代表性三个维度分析公共机构电子文件的质量，并提供了相关的度量工具与具体指标，用于评估和识别在整套机构电子信息中有价值的和可消除的内容，从而帮助机构控制相关的信息管理的风险[7]。Stanescu， Andreas介绍了INFORM方法，一种调查和测量数字格式的危险因素，并为保护行动计划提供指导方针的新方法，以对数字保存环境中格式的耐久性进行评估。[8]Sloyan，Victoria探讨了两个特定的和相互关联阶段的数字档案处理：评估和敏感性审查。他结合功能，技术和“自下而上”评估的方法，阐述惠康图书馆数字档案的评估方式。[9]综上所述，国外对数字档案安全风险的评估主要是通过一定的技术或者方法，对数字档案进行价值判定，以此分析现状，明确风险值，判定其风险趋势。

二、国内数字档案馆风险管理研究概况

（一）数字档案馆涉及的知识产权风险

知识产权是企业、组织、个人等驱动创新的核心与利益的焦点。在数字档案馆的建设中，从数字档案馆建设、运行、维护到电子档案的接收、归档、提供利用等方面都会涉及知识产权的保护问题。国内学者主要从数字档案馆自身建设过程及用户利用等方面探讨此问题。肖文建等认为数字档案馆网站建设、数据库建设、传统档案数字化与档案信息网络传播涉及知识产权的保护问题。[10]王俊琦提出数字档案馆信息服务中用户提问申请、提问处理、问题分配及应答四个阶段涉及知识产权问题。[11]齐海彬提出数字档案馆用户上传、下载、复制档案信息资源、软件技术以及馆外使用的行为都容易产生知识产权风险。[12]规避数字档案馆涉及的知识产权、著作权等侵权问题，首先，需要法律法规的保障。要综合利用《著作权法》《反不正当竞争法》《档案法》《合同法》《商标法》《信息网络传播权保护条例》等法律法规，最大程度上为数字档案馆建设提供知识产权保护。[10]同时，加强数字档案馆参考源的知识产权立法，既充分保护著作权人的合法利益，又给予参考源投资者一定的鼓励[13]；其次，建立相关的管理制度。一方面完善隐私权保护机制，[13]另一方面强化技术支持，包括控制使用档案和控制传播档案的技术措施，主要通过密钥加密、数字签名、数字水印等技术进行权限设置；[14]再者，通过进行知识产权培训，提高馆员和用户的知识产权保护意识，[11，12]减少知识产权侵权的人为因素。

（二）数字档案馆项目外包风险

由于近年来信息技术外包服务的盛行，以及档案管理部门计算机方面的人才、技术等的缺乏，很多档案部门选择将全部或部分数字档案馆建设项目外包，由此既可提高档案信息服务水平又可降低建设的成本。肖文建和胡敏捷提出，档案部门本身、外包中介机构、外包项目实施三个方面存在潜在的风险，认为数字档案馆建设中要慎重考虑外包，选择合适的承包商并对其进行严格监督，同时档案部门应控制核心技术，加强档案部门专业人才队伍建设，增强自身技能。[15]这是档案领域中首次将外包风险运用于数字档案馆项目建设的研究。而在这之后的研究，学者多通过引入相关管理理论，分析数字档案馆项目外包面临的具体风险。张百慧和颜祥林引入生命周期理论，分析数字档案馆规划与立项阶段、招投标阶段、建设与实施阶段和运行维护阶段四个阶段的风险分布状况。[16]薛辰和颜祥林则引入信息技术（IT）服务外包中的风险管理理论，分析数字档案馆外包风险的类型。[17]综上所述，数字档案馆项目外包的风险涉及数字档案馆从规划立项到运行维护的整个周期以及其中的每一个小项目，其风险主要来源于外包项目承包商，笔者认为，数字档案馆项目外包中一定要注重对承包商的选择与监督，在项目实施过程中也要严格监控、把关，即时沟通，确保最终成果达到预期目标。

（三）云环境下数字档案馆面临的安全风险

随着云计算、云服务、云存储等成为研究热点，不少学者也将“云”概念引入数字档案馆的建设之中。在云环境下，数字档案馆对服务提供商的依赖性增强，对服务的可靠性、可用性要求更高，面临的安全风险更加复杂，遭遇的安全损失更大。[18]由此，主要面临云服务提供商选择的风险、档案信息资源存储的风险、档案信息泄密的风险、云平台运行的风险[18]以及法律风险[19]等安全风险。徐华和薛四新按照云计算的IT服务模式，分析云数字档案馆SaaS层、PaaS层、IaaS层三个层级的风险要素，从档案云、档案数字资源、档案用户、档案信息化人才培养等角度提出风险防范对策，并强调秉承“安全即服务”的理念，保证云数字档案馆能够落地实施及广泛应用。[20]此外，由于云环境中数字档案馆安全风险更加多样且复杂，威胁更大，笔者认为还需要不断创新技术防范，以更加主动的姿态保证云环境下数字档案资源的安全完整性。

（四）数字档案馆安全风险评估

风险评估作为判定信息系统安全的重要手段，在数字档案馆信息安全保障体系建设中发挥重要作用。李煜川选用OCTAVE模型，同时辅助信息安全風险评估软件（IAS），对某市数字档案馆进行资产评估、威胁评估和脆弱性评估，列出不同等级的保护，最后划定出风险值的大小。[21]沈双洁运用IT项目风险管理的理论和方法，全面识别各项风险因素，形成风险清单，最后采用专家评分法和矩阵分析法，对风险清单中的风险因素进行评估，确定35项关键风险因素。[22]王欢主要采用目标偏离法，形成风险因素分类汇总表，共识别出71项风险因素。[23]综上所述，学者通过不同的风险评估方法对数字档案馆安全风险进行了分析和评价，为数字档案馆确定关键风险因素，把握主要风险源提供了一定的数据信息及智力支持。当然，高效的风险评估也离不开技术的支撑，赵宁燕和钱万里探究了数字档案馆信息安全风险自评估软件的设计，解决评估过程中繁琐的数据采集工作，理顺杂乱无序的评估因素指标，提高评估时效，使评估结果更加客观、可信[24]。

三、国内外研究述评

综上所述，关于数字档案馆风险管理的研究已取得了不少成果，但从总体来看，相关的研究也存在着些许不足，主要表现在：

（一）研究视角有待进一步开阔

首先，目前的研究中，学者多从档案部门的角度出发，研究数字档案馆风险的类型、成因及应对策略等，虽然档案部门在数字档案馆风险管理中起主导主用，但数字档案馆的建设是一项非常复杂和系统的工程，涉及多个领域、部门及人员组织，特别是目前数字档案馆建设项目外包盛行，由此也应注重其他行政部门、承建商或个人在数字档案馆风险管理中的作用，以更加全面地识别和应对数字档案馆面临的风险；其次，学界对数字档案馆风险问题的研究，还处于一个起步阶段，而在目前的研究中，缺少从国家宏观层面的角度出发，提出具有普遍指导意义的数字档案馆风险管理制度、标准等等，较难形成行业政策与行业准则，且存在重复性研究，具有代表性的、深入性的、建设性的研究成果较少。

（二）数字档案馆风险因素的分析有待加强

从目前学界对数字馆风险问题的研究思路来看，集中于分析数字档案馆风险因素，再提出应对策略，但多是基于经验总结或者个人观点而做的讨论，仍处于一个比较理想和抽象的层面，學究式的研究针对性和操作性不强，具体落地实施时，其可行性有待进一步探讨。我国数字档案馆的建设已取得了丰硕的成果，必须加强实证调查研究，增强数字档案馆风险因素理论分析的准确性，从而提高风险应对策略的实践性和科学性，也减少研究的重复性；此外，目前学界对数字档案馆保障体系建设的风险，即政策法规、标准规范、管理制度、人员、资金等研究有待加强，尽管已有研究从不同的角度涉及了保障体系建设中的风险因素，但大都是间接地或从某一侧面涉及了保障体系中面临的风险及对策分析，缺乏更加直接、深入的剖析和解释，不够全面、系统。

（三）数字档案馆风险管理过程的研究不够系统

风险管理的核心内容是包含识别、分析、评价潜在风险因素并引入控制手段的一个连续的管理过程，国内的研究虽涉及风险识别、风险分析和风险控制，但从总体上来看还是较为集中于识别数字档案馆潜在的风险因素，分析其概率或者影响程度，以确定关键性风险因素。而国外更多关注风险管理技术的探讨，由此也可看出，国内关于风险管理技术、风险评估方法的应用、风险管理能力的研究，还是比较薄弱的，亟须加强。并且，在所提出的风险控制措施中，多为预防性措施，缓解型措施较为欠缺，有待进一步深入。笔者认为，国内可以充分学习、借鉴和吸收国外数字档案馆风险管理项目、技术以及风险管理实践模型建设的经验，提高我国数字档案馆风险管理研究的系统性和科学性。

（四）数字档案馆风险评估的研究不够深入

对风险的识别和分析，需要确定其概率和影响程度，目前学者多采用定性分析法，但笔者认为，风险本身具有不确定性，还需加强定量分析方法的应用，通过选择合适的分析方法，如事故树分析或者基于佩特里网的分析等，对风险进行量化分析，以增强分析过程的逻辑性和科学性，增加研究结论的信度和效度。此外，借助一定的风险评估辅助工具，有助于形成针对性较强的评估结果。而目前的研究成果中，只有1篇文章探讨了数字档案馆风险自评估软件的设计，亟待跨学科、跨行业、跨领域的综合研究，以加强对数字档案馆风险评估工具的探讨，保证评估结果的针对性和可信性，同时也为新领域的拓展与学者研究的创新提供新思路。

参考文献：

[1]TraceyErwin， Julie Sweetkind- Singer.？The Na？ tional Geospatial Digital Archive： A Collaborative Project to Archive Geospatial Data[J]. Journal Of Map & Geogra？ phy Libraries， 2010（1）：6-25.

[2]David Dubin， Joe Futrelle， Joel Plutchak， et al. Preserving Meaning， Not Just Objects： Semantics and Dig？ ital Preservation[J].Library Trends. 2009（3）：595-610.

[3]Curtis， J.， Koerbin， P.， Raftos， P.et al. AONS -An Obsolescence Detection and Notification Service for Web Archives and Digital Repositories[J].New Review Of Hypermedia & Multimedia， 2007（1）：39-53.

[4]Sangchul Song， Joseph JaJa. Techniques to Audit and Certify the Long-term Integrity of Digital Archives[J]. International Journal On Digital Libraries， 2009（2/3）： 123-131.

[5]Song S， JaJa J. Information Preservation in Net？ works of Autonomous Archives[J]. International Journal On Digital Libraries， 2009（2/3）：123-131.

[6]Woods， Kam A. Preserving Long-Term Access to United States Government Documents in Legacy Digital Formats[J]. ProquestLlc， 2010：181.

[7]Shabou， B. M. Digital Diplomatics and Measure？ ment of Electronic Public Data Qualities[J]. Records Man？ agement Journal， 2015（1）：56-77.

[8]Stanescu A. Assessing the Durability of Formats in A Digital Preservation Environment： The INFORM Methodology[J]. OCLC Systems & Services，2005（1）：61-81.

[9]Loyan V. Born-digital Archives at The Wellcome Library： Appraisal and Sensitivity Review of Two Hard Drives[J]. Archives & Records， 2016 （1）：20-36.

[10]肖文建，刘志，杨雁.数字档案馆建设中的知识产权风险探析[J].档案时空，2008，（10）：20-22.

[11]王俊琦.規避数字档案馆信息服务中知识产权的风险策略[J].兰台世界，2010，（10）：23-24.

[12]齐海彬.规避数字档案馆用户行为知识产权风险的策略分析[J].兰台世界，2012，（26）：64-65.

[13]刘丽萍.规避数字档案馆信息服务侵权风险的策略[J].黑龙江档案，2011，（01）：27.

[14]唐思慧.数字档案馆档案信息服务的法律风险之防范[J].档案管理，2007，（04）：48.

[15]肖文建，胡敏捷.数字档案馆建设中信息技术外包的潜在风险及防范[J].档案学通讯，2010（6）：50-53.

[16]张百慧，颜祥林.数字档案馆项目外包风险分布的探析——基于项目生命周期的视角[J].数字与缩微影像，2014（2）：39-42.

[17]薛辰，颜祥林.数字档案馆项目外包风险防范策略——基于档案馆与承包商之间的双重视角[J].档案学通讯，2014（5）：83-86.

[18]王玉龙.云环境下数字档案馆面临的安全风险及其应对措施[J].档案管理，2013，（2）：25-26.

[19]苟俊杰.云计算环境下数字档案馆建设的安全风险[J].科技风，2012，（10）：273.

[20]徐华，薛四新.云数字档案馆安全风险分析及防范策略[J].北京档案，2013，（4）：15-17.

[21]李煜川.电子政务系统信息安全风险评估研究[D].苏州大学，2011.

[22]沈双洁.数字档案馆项目风险识别和分析研究[D].南京大学，2013.

[23]王欢.基于集成框架下的数字档案馆资源建设风险因素的识别研究[D].南京大学，2015.

[24]赵宁燕，钱万里.数字档案馆信息安全风险自评估软件设计研究[J].档案与建设，2014，（2）：29-32.

*基金项目：湖南省自然科学基金面上项目“大数据时代数字档案馆四维安全管理体系构建研究”、国家档案局科技项目“数字档案馆风险管理能力研究”（批号：2015-X-12）。

作者单位：湖南湘潭大学公共管理学院