电网安全风险管控办法(6篇)

时间：2024-03-29

电网安全风险管控办法篇1

1.网络银行混业与全球化经营的现实,需要强化风险监管

网络银行通过企业金融业务､银证转账､银期转账､证券基金业务等,增强了银行产品与证券､期货､企业金融等机构的连通性,形成了混业经营的现实｡利用混业模式,一方面银行增加了为客户提供服务的能力,分散经营风险,也符合混业经营的国际银行业发展趋势;但另一方面也使得银行风险具有更明显的系统性,金融市场､金融资产､各类金融机构联系更加密切,相互交织成一个复杂的经济体系,各子系统风险能快速扩散到其它金融部门｡因此需要加强网络银行风险监管,确保网络银行安全,防范系统风险的形成与扩散｡

网络银行基于Internet开展业务,显著特点之一就是打破了国别和地理上的限制,缩短了不同区域人与人之间的距离,使远程交易等经济活动成为可能｡互联网的全球化与跨国界性,使得网络银行业务具有无国界性,通过计算机与网络,网络银行可以在瞬间将巨额资金从地球的这一端传送到地球的另一端｡业务的全球化在增加了资金运用效率和调整快捷性的同时,也增加了业务的风险:大量资金的突发性转移无疑会加剧金融市场的波动,造成整个金融体系的不稳定｡因此,与业务风险的全球性相对应,网络银行风险监管也必然要求建立全球范围的风险管理体系来防范业务全球化的风险｡

2.信息不对称依然存在,需要加强风险监管

通常认为网络银行可以减少信息不对称现象的发生,但实际运行中却产生了更多的信息不对称:

(1)网络银行的产生使得金融业的专业性分工越发细化,专业化程度更强,加剧不同行业间的信息差别,形成信息不对称的基础｡

(2)新旧信息技术替代频率将加快,技术的变化速度大大地超过了人们知识的更新速度,因而处于信息劣势｡

(3)网络银行中的信息,尤其是技术､管理信息具有公共物品性质,若在市场中充分共享就会导致核心技术机密的外漏,出于保护商业秘密和减少搭便车行为的考虑,信息供给者有减少信息披露的倾向,导致信息披露不足具有内生性｡

(4)通常的商品在购买前,可由客户去体验商品的特性､使用方法等,通过购买前的触摸､掂量､试用和查验来辨别商品的质量与性能,消除部分信息不对称;而网络银行产品则是一种经验产品,客户对产品的具体功能､使用环境要求､使用技术及存在的缺陷等均不能全面了解,只有成为网络银行的客户后才能准确地知道,这加剧产品信息的不对称｡

信息不对称是传统银行监管的重要依据,由于网络银行中信息不对称的存在与加剧,需要通过有力的监管来校正市场信息的不对称,防范风险｡

二､目前我国网络银行风险监管现状

自1998年开办网络银行业务以来,网络银行业务一直得到各商业银行的普遍重视,但总体上看目前的网络银行风险监管仍存在着许多不足:

1.风险监管的法律环境不完善

网络银行已开办多年,但仍没有网络银行方面专门的立法,原有《商业银行法》､《合同法》､《刑法》､《民法》及相关法规都未对网络银行的有关法律问题做出过明确解释｡

网络银行交易主体各方的关系(即客户､商业银行､网络服务商､网上商户和金融认证机构等)没有法律进行调节,责､权､利及纠纷界定不清;作为跨国界的业务交易平台,网络银行容易产生管辖权､法律适用性､知识产权等法律界定问题,但目前尚无专门法规来规范｡

黑客问题深深困扰着网络银行,在我国金融法规中,对黑客问题的处理和预防存在着模糊之处,《刑法》中量刑也很轻,不足于威慑黑客犯罪行为;作为故意犯罪,网络银行内部工作人员作案可能造成更大的损害和影响,但目前并没有相应的法律来制裁｡

2.行业的风险监管存在着许多不足

行业规划的不足,造成我国网络银行发展整体上缺乏统一和长远的发展规划,各家商业银行的业务系统自成一体,业务标准不一,系统､技术标准各异,不利同业服务联合与行业间的合作｡

网络银行的硬､软件标准､数据加密强度､密码设定､通讯安全控制等核心安全技术,传输数据包括格式､用户接口(如IC卡)标准等关系安全的技术参数,目前仍没有相应的行业标准｡

已有的网络银行认证建设各自为政｡已建成的中国金融认证中心(CFCA)颁发的电子证书,远没有覆盖网络银行的客户,各商业银行的网络银行认证多采用自己的认证体系｡从宏观上看,不仅影响网络银行证书服务的效率,而且各家银行重复地开发认证系统,对社会资源也是一种巨大的浪费｡

3.已实施的风险管理规定存在着不完善

《电子签名法》的出台有利于确定电子签名的法律地位,但目前的电子签名法中对客户的安全教育并没有相应的要求;对目前证书存放在IE中和容易被导出的风险,也没有相应的防范规定;对中国金融认证中心(CFCA)与其他商业银行自建认证中心的法律地位问题也没有明确的解决方案｡

已颁布实施的《网络银行业务管理暂行办法》显然带有一些过渡性特征,对于一些重大问题的规定仍然不够深入或并未触及,并且条文明显过于空洞,可操作性较差,有很多需要改进的地方｡

4.现有的风险管理模式受到了挑战

网络银行混业经营的现实,使得现有监管体制的分业监管受到冲击;目前监管当局对金融机构以现场监管为主,在网络银行条件下,银行柜台虚拟化､操作无纸化,对常设金融机构监管的模式受到挑战｡

商业银行在风险控制过程中,目前控制主要是表现为事后控制,事前规划､事中监测与控制明显不足,风险控制措施表现出很强的事后补救性;在风险控制手段上,表现出很强的静态性,不能随着业务的发展而不断地调整控制策略与方法｡

5.监管面临着人才的约束

网络银行业务的综合性､高科技性对监管人才提出更高的要求,但目前监管当局远没有形成一支满足监管业务发展需要的专业人才队伍｡网络银行也对临柜人员､营销人员和科技人员的综合业务素质要求很高,但目前各商业银行的复合人才的需求无法得到满足,形成了制约网络银行向纵深发展的瓶颈｡

三､强化网络银行风险监管的对策建议

1.完善网络银行风险管理的制度环境建设

加大网络银行的立法力度,制定调整网络银行业务关系的法律､法规,明晰网络银行各相关主体的权利义务;制订《数据保护法》､《电子资金划拨法》､《信息和通信服务规范法》等,对其他法律､法规和规则,如:《商业银行法》､《刑法》､《民法》及相关法规进行相应调整,逐步形成有法律许可､保障和法律约束的良好制度环境｡

尽快补充和完善刑法上金融计算机犯罪的种类及相关条例,对利用电脑实施犯罪行为进行严惩;加强《刑法》中量刑力度,威慑黑客犯罪行为;制定有关隐私权保护的明确规定,以保护客户的正当权益｡

2.加强监管当局对网络银行的外部监管

以法律明确监管当局对网络银行的监管职责,确定对网络银行产品的监管内容和总则,使得监管有法可依;综合运用市场调节手段､法律手段和政策手段,引导网络银行发展,通过政策选择激励网络银行的业务发展方向｡

明确将网络银行监管目标调整为降低业务风险,保护客户利益,以显现对客户利益的维护,借以促进网络银行业的发展｡为适应网络银行混业经营的事实,网络银行监管体制应逐步调整为功能型的监管;银监会､证监会､保监会应当避免对网络银行采取重复的监管措施,设定信息共享制度,相互开放信息资料库,彼此承认对方监管结果的公正性与权威性,从而减轻被监管者的负担并减少监管的成本｡

可在银监会或人民银行的机构中设立网络银行监管机构,专门负责网络银行的监管,跟踪､研究和管理网络银行的运作机构,负责对网络银行进行定义与解释､制订信息统计报告规范､研究发展模式､进行协议比较与推广､进行信息披露､法规审查､制定风险防范预案等｡

实施灵活规定市场准入监管制度,按照开办网络银行业务主体和其申报经营的业务不同,实行不同的市场准入原则;加强日常监管,网络银行须接受各监管机构的日常检查,除资本充足率､流动性等检查以外,还包括交易系统的安全性､客户资料的保密与隐私权的保护､电子记录的准确性和完整性等检查;对网络银行普遍建立相关信息资料､独立评估报告的备案制度;完善市场退出机制,制定安全可靠的信息备份方案,保证网络银行在退出市场的时候使得客户的利益不因信息的缺失而造成损失｡[1]

促进网络银行业他律性监管､自律性监管的发展,定期组织行业内部的交流会议｡加强社会监督力量､外部审计及社会信用机构的参与作用｡调整监管方式,对网络银行要实行现场检查和非现场检查相结合的办法;在现场检查中监管者可在业务后台直接调取网络银行真实数据;加强非现场监管力度,要求网络银行定期提供数据报告外,还应当要求网络银行定期将其备份的电脑数据提交给监管机构｡

建立强制信息披露制度｡网络银行应该制定比传统银行更为严格的信息披露规则,遵循“公开､公平､公正”的原则,规范信息披露的内容､格式､频度及职责等,通过财务报表､网上公示等披露手段披露有关网络银行的信息｡

3.制定和完善网络银行监管的行业标准

制定网络银行相应的硬､软件标准､数据加密强度､密码产品､通讯安全控制措施等业务的核心安全技术等国家标准;对传输数据格式包括格式､用户接口(如IC卡)标准等关系安全的技术参数提出严格的最低限要求;规范网络银行业务开办行的安全检测评估技术报告,对于系统是否达到安全要求,是否存在着技术漏洞,都由相应的授权技术机构进行相应的技术评定,并由技术评定机构负相应的法律责任｡

加强国内网络银行的CA管理,早日结束CA认证各自为政的局面,真正实施全国统一的金融认证,同时完善证书发放､证书更新､证书查询､证书作废等管理｡

进一步完善《电子签名法》和《网络银行业务管理暂行办法》,增加其可操作性和制度规定的严密性;加强对电子货币交易的监控,建立起对电子货币发行､流量､统计的监控体系,对电子货币应视同传统货币,对其发行的电子货币余额要求在中央银行存有相应规模的准备金｡

4.促进商业银行内控制度建设与强化风险管理

利用监管当局的权威性,促进商业银行完善网络银行的内控制度,规范风险管理流程,强化岗位之间､环节之间的监督制约;要求商业银行健全风险管理制度体系,制定覆盖全部业务的风险管理规章制度体系｡落实岗位责任制,建立分级授权控制制度;按照操作权限相互制约的原则,严格业务授权;整合工作流程,规范前､中､后台业务运作程序,坚决杜绝逆程序操作现象的发生｡分析可能出现在申请､交易和注销网络银行中的风险点与类别,对风险实施严格的程序控制｡[2]

采用成熟的技术手段来建立网络银行系统实时安全监测和事故预防系统,对网络银行的安全实时监控和定期安全扫描,监控违规操作､调查反常事件等;建立和完善科学的监测指标体系,利用管理信息系统中的定量分析模型和预设的各种限定性比例,进行零距离､超时空的风险监测,量化描述,对潜在的风险暴发点进行预判,实现风险预警｡

引入风险应对规划,根据风险偏好和各类风险的特性,明晰各类风险的应对政策,建立网络银行“风险库”和“风险控制工具库”,明确各种风险应对措施的适用范围,建立应对措施方法体系,提高风险应对过程的科学性｡[3]

培育良好的､独具特色的风险文化,推行涵盖事前监测､事中管理､事后处置的全过程风险管理行为,引导和推进风险管理和业务的发展｡通过有效的专业知识､制度安排和安全意识,把风险管理的责任扩大到每一项经营活动中,并内化为员工的工作习惯､职业态度和敬业精神｡

加强对全员的培训工作,提高全体员工的风险管理理念,树立严格按照规章制度办事､执行政策一丝不苟的良好职业操守,把风险教育作为内部培训和员工发展的一个基础组成部分｡

5.加强风险监管与控制的国际间协调与合作

在网络银行背景下,要有效地管理风险,各国管理当局必须通力合作｡对于我国这样一个发展中国家,监管当局应主动寻求与其它国家金融监管机构进行必要的合作,吸取国际上法律监管的最新成果;对于可能出现国际司法管辖权的冲突,应积极同国际组织或有关国家的金融监管当局及时交流信息,强化监管国际协调与合作措施｡

6.加快人才队伍建设

加强网络银行监管体系的人才储备｡加强对高级复合型人才的培养和引进;应着眼未来,认真考虑这些人才的培养渠道､培养方式,为我国网络银行的发展和监管积蓄力量,不断强化监管体系的人力资源基础｡面对目前我国网络银行风险管理人才不足的现实,商业银行应确立人才培养目标,进行人才队伍和结构的整合再造,努力建设一支高素质的既懂信息技术又熟悉网络银行运作又精通风险管理的超复合型人才梯队｡要保证风险管理人员的数量和质量,必须尽快充实对风险监测､预警､规划､控制和处置等各类风险的管理人员｡

参考文献:

[1]张春子等.网上金融服务的风险管理[J].地质技术经济管理,2004,(6).

电网安全风险管控办法篇2

【论文摘要】目前，计算机技术的不断普及使一些传统的文件载体不断消失，而计算机办公自动化正逐渐被很多企业推广运用。办公自动化最明显的标志就是信息档案的建立，这种记录信息的手段对企业来说更加方便和快捷，避免了传统的纸张档案的弊端。但是有利必有弊，计算机自身也存在着一些缺陷，导致企业在使用信息档案这一手段时也存在一些弊端，针对这个问题，企业在运用此技术时一点要做好风险的防范措施，力求使风险降到最低。基于此，本文主要对电子信息档案管理的风险控制方法进行了探讨。

目前，人们生活中一个非常重要的，必须的工具的就是电子计算机，其具有多种多样的功能，这为企业的办公带来了巨大的变革，使企业办公变得更加方便快捷。而在信息技术时代，最新的档案方式就是电子信息档案，它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看，电子信息档案并不全是优化，它也有自己的不足，比如与传统的纸张档案相比，具有更大的风险性，如果没有积极制定防范风险的措施，那么很容易导致企业的数据被盗，所以，企业在使用信息档案时一定要注意信息的安全性，积极主动的制定一些避免风险的措施，以使信息资源更加安全。

一、避免风险的措施

提前预防，在风险还没有出现的时候就进行遏制是规避风险最有效的方式，也是最经济的方式，对于电子档案来说，应该以其自身的潜在缺陷为根据来实施控制管理，来保证内部信息的安全可靠，主要措施有：电子信息档案管理的风险控制方法如下：

1.积极引进最新技术。计算机在工作过程中要同时结合多种措施，而规避风险的最好的办法就是引进新的技术，新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码，这是现代操作系统最常运用的方式，在对电子信息档案实施密码设置后，要积极的训练一些计算机技术人员来实施管理控制，避免信息资源被一些外界因素干扰。

2.制定一些制度。为了保证信息资源的安全性，那么必要的管理制度是必不可少的，所以企业要主动制定一些有针对性的制度来进行预防，也可以根据需要授权档案管理人员自己制定制度，例如：可以规定只有管理人员才能进行相关的系统操控，而无关的人员没有权利操作系统等。

3.及时消除风险。为了确保信息档案数据的安全性，及时消除潜在的风险是非常重要的，在计算机维修期内，企业尤其要注意随时可能存在的风险，主动采取应对措施。因为计算机网络的的复杂性，使得控制风险工作也极其的不容易，不过，只要及时且做到全面看待问题，那么就可以把问题解决掉。比如，对于那种对计算机激进主义异常敏感的机构来说，为了应对潜在的危险，那么采取一定的措施是非常必要的。

4.及时进行预防和保护。为了消除危险电子信息档案的因素，其中一个很重要的措施就是安全防护，其可以有效的避免信息数据受到外界因素的破坏，保证信息的安全可靠。

二、缓解风险的措施

电子信息档案在遭到外界的干扰后，为了把危险降到最小，就需要管理人员尽最大的努力把危险掌控在一定的范围内，那么管理人员应该怎么做才能使风险得到缓解?目前，许多企业开始利用风险转移的策略进行缓解，电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括：事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是，在进行电子信息档案的管理时如果发生危险，那么不管是什么情况，企业都要积极主动的进行及时的处理，这才是最为关键的。

三、分散风险的措施

在电子信息档案管理中，还有一种经常使用的规避风险的措施就是转移策略，所谓转移策略实质上是一种风险的分散，即把风险转到其他的地方，以此来把已经存在的风险降到最低，一般而言，能够从多个角度对风险转移的方法实施修正，如：修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后，我们可以把复杂的风险问题进行简化，再对原先实施的电子信息档案管理策略优化改进，创造更加先进的电子信息档案管理系统。此外，还可以与网络供应商互相协调，让供应商的安全服务符合电子信息档案的使用需要。另外，还要强调的是，外包同样隐含着风险，如果外包人员不符合合同的标准，那么后果会很严重。所以为了预防人为因素给企业造成损失，那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。

四、评估风险的措施

当风险来临后，企业最需要做的就是积极采取措施进行处理，为了把风险造成的影响控制在最小的范围内，还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理，在对电子信息档案实施全面分析的基础上，探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是：发生危险的概率，危险带来的后果有多大，危险的成本探析，有哪些合适的控制防范办法等等。此外，企业管理者要树立风险观念，积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点，如果机构中每个已被识别的弱点通过承认得以控制，这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于，许多经营管理者错误地认为电子信息档案无危险性，在使用档案资料时未采取针对性的安全管理方案，这对于电子信息档案带来了诸多不便。而对于档案管理人员来说，其在管理期间要控制好各个环节的工作，这对于档案管理是极为重点的。在进行评估中，为了确保档案信息的安全性，档案管理人员就必须要非常警觉，对于潜在的风险能够及时发现，并把其扼杀在萌芽状态，对于已经发生的风险要积极采取措施，力求使风险造成的损失最小。

简而言之，管理者或管理部门在对电子信息档案管理时，一定要有这样的意识，即电子文件的风险不是主观的，而是客观存在的，这种风险不是确定的，而是不确定的，而且还可能带来很大的危险，所以一定要有对风险的警觉度，把预防风险看做所有工作的重中之重，积极制定风险防范办法，使电子信息档案的管理水平得以提高，这对于有效规避风险和降低损失有重要的意义。

参考文献

[1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3)：8～11

[2]王兆新，裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1)：36～37

[3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4)：28～29

电网安全风险管控办法篇3

关键词：信息安全；安全生产风险管理体系；风险评估；风险控制

0引言

随着信息化建设的飞速发展和普及，各行各业的网络化、信息化水平显著提高，无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持，在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性，关系企业或国家机密，一旦面临威胁和遭遇攻击，就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域，信息安全风险管理依然研究不够深入，较多采取的基于问题的管理方式，遭到攻击或同类行业遭到攻击后，进行系统排查，查找系统漏洞，然后堵住漏洞，这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线，只有事前做好各类防范和应急处置，管控风险是实现安全生产的重要保证，在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系，降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。

1风险管理体系概述

1.1安全生产风险管理体系概念

安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上，基于电网实际情况提出的了一种安全生产风险管理思路和方法，以风险管控为主线、以“计划-实施-检查-改进（PDCA）“闭环管理为原则，系统地提出了安全生产管理的具体内容，指明了风险管控的目标、规范要求和管理途径，为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”：基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计；系统性是指企业在设计管理系统框架及业务流程节点时，保证流程节点的充分性并遵循PDCA的闭环管理模式，理清业务与业务之间的输入、输出关系；规范性是指企业应明确各项工作的执行标准，确保执行标准的唯一性、科学性，同时企业各部门、生产单位、班组能够按照标准开展工作，保证企业管理的统一性；持续改进是指企业应建立完善的问题发现机制及问题改进机制，能够及时发现系统运行过程中存在的问题并进行改进，同时不断地完善企业管理系统的策划，实现管理系统的持续改进。自2007年建立以来，全网范围内风险管控方法得到有效应用，安全生产管理基础得到进一步夯实，主要安全生产指标持续向好。

1.2基于风险的信息安全管理框架

南方电网安全生产风险管理体系，为电网企业提供了非常有效的一套安全生产管理方法，其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型，强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进，目前主要应用在电网、设备、作业和职业健康风险管控上，并取得了不错的成绩，也为信息安全管理带来了有益的启示，即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架，探索信息安全风险管理长效机制[4]。

2基于风险的信息安全风险管理体系建立的重要环节

2.1确定风险评估的目标

从管理目的出发，是安全生产风险管理体系的一个重要思想，以目的为导向，分析在现状下实现目的存在的障碍因素，也就是管理关键流程节点，从而确定业务的管理脉络，实现以基于风险的管理思路，最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性，并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性，资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求，满足相关方的要求、满足法律法规的要求等方面[4]。

2.2风险识别

风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险，找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标，同时，由于企业信息化水平的逐步提高，对于信息系统和服务技术的依赖日益增加，企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时，确保信息安全的三性，降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效，因此选择合适的风险评估办法和模型，对信息安全管理来说至关重要。

2.3信息安全风险评估

2.3.1信息安全风险评估模型

风险评估是在确定影响信息安全风险评估的三个维度的基础上，选择定性或者定量的风险评估方法，对识别出的风险发生的可能性或可能导致的后果进行衡量，并根据评估结果划分风险等级，然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险值=R（A,T,V）=R(L(T,V)，F(A,V))。

2.3.2信息安全风险评估实施与运行

（1）信息安全风险概述通俗来讲，风险概述就是风险的管理方案，基于风险评估的结果，制定年度风险管控重点工作安排，为年度安全生产工作计划提供方向。概述报告编制时，应充分考虑风险数据的输出应用，为涉及相关单位（部门）的管理提供输入。风险概述报告至少包含以下信息：风险描述、风险范畴、风险细分种类、风险等级和风险控制措施，并按风险等级排序。（2）风险控制风险控制是在风险评估之后，控制措施建议应综合考虑风险控制成本与风险造成的影响，结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择：消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出，优先考虑技术措施。属于组织结构不完善的，建立信息安全组织体系。属于管理措施的融入管理办法，编制各层次的信息安全管理体系文件，包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度，明确管理要求；属于物理安全隐患的，加强机房、门控、安保系统和队伍建设；属于信息系统保护的，纳入信息安全项目建设计划，提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力；属于作业过程执行的措施，将信息安全管控要求纳入作业指导书、“两票”等作业标准，减少人的因素引发的信息安全事故事件；属于人员技能和意识的纳入教育培训计划；属于信息安全应急响应的建立信息安全应急预案或现场处置方案，并按照演练计划开展应急演练[7]。

2.4风险监测

风险控制措施制定后需要对措施的有效性进行评估，年度风险预控措施计划表。风险控制措施应明确责任单位（部门）、责任人、完成时间。在制定风险控制措施时，应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容，制定月度风险监督计划，并明确各项预控措施执行情况的各级监督部门，确保风险措施按计划落实执行。

2.5管理回顾，持续改进

PDCA闭环管理是安全生产风险管理体系核心之一，通过定期开展管理回顾，审视信息安全风险管控的有效性，进而形成长效机制持续改进。在回顾过程中注意以下几个方面：（1）识别变化，优化管控手段企业所面临的内部和外部环境不是一成不变的，当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入；当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案，并保存变化过程的相关资料。（2）建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进，通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面，纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等，并进行根本原因分析，制定纠正或预防措施，通过评估措施的有效性，进行统计输出应用，输出应用到信息安全管理制度、能力与意识提升等各个环节，进而确保企业的信息安全管理水平得到持续提升。

3结语

电网安全风险管控办法篇4

【关键词】：视频会议；电力企业；风险管理；风险评估

电力企业针对企业信息通信信息化的投资是非常大的，当前电力行业面临着主辅分离等体制改革，势必将逐步推向市场化。电力企业在面向市场经营之后，需要借助IT技术完善信息化建设，增强公司集团化，这为IT技术的应用也开拓了更广阔的市场。视频会议系统是计算机网络、多媒体技术和人工智能等技术的综合应用。随着网络技术的快速发展，组建大规模视频会议系统可以采用数字信息的方式，其具有抗干扰能力强的特点，用户可通过网络通道进行远程会议和管理，系统具有非常好的稳定性和安全性。

1、系统建设项目的风险规划

1.1系统建设项目介绍

1.11项目概况

本项目的电力企业是国内最大的国有事业单位企业集团，承载全国的电力调度与电力信息传送的重大工作，该视频会议系统的建设不仅承担视频会议的基本功能，同时，该项目建设完成后的系统还承担着通信信息传递、生产与调度信息传递、电力数据的传送等特殊功能。项目建设范围主要包括电视会议系统网络通道的建设、视频音频会议汇聚设备及终端、会议管理平台三个部分。该项目建成后，不仅能够满足任意节点之间的高清视频会议的要求，而且还需要满足总部层面到达全国各地任何节点的工作生产等情况的实时监控。

1.12项目建设的规划

电力企业信息化通信系统建设项目的核心是开发一套电视会议管理系统，在总部实现一级部署，根据用户需求配置相应权限，总部各部门、各分部、省级公司、地市公司、县公司具有权限的用户可通过Web登陆系统进行相应操作。用户可通过系统软件对电视会议系统和会议资源进行调度、管理、监控和设备维护。系统建设分两个阶段进行：第一阶段是对会管系统调研、设计、开发及接入实施阶段；第二阶段是对会管系统功能完善及兼容性扩展阶段。

1.2系统建设项目的风险管理规划

1.21项目风险管理的条件

企业创新氛围的形成、对风险管理认识的提高，这包括三个方面的内容：一是高层领导对项目实施中的风险管理有了充分的认识，对项目实施进行了充分的授权；其次是负责人通过对各种试验条件的分析，能认识到项目风险管理的意义，并决定在项目管理计划中引入风险管理；再次是项目参与人员的危机意识和风险意识的增强以及接受度。

1.22项目风险管理模式设计

针对电力企业信息化系统建设的相关历史做简要分析发现，风险管理的组织模式难以采用职能式的管理模式。设计项目风险组织管理的模式如下：增加现场办公室的职能，由办公室负责项目风险管理方面的工作，成立专项办，成员组成根据风险管理需要由各职能工作小组成员参加。

2、系统建设项目的风险管理策略

2.1项目风险应对策略

（1）设备运送风险的应对措施

针对该风险，管控组要求各省及直属单位指定专门负责人与发货商沟通对接；同时由领导小组及项目管控组制定收发货进度安排计划，并由专项办严格督导实施；同时为保证发货质量，要求厂商在发货前需对所有设备进行严格厂验；制定应急预案，如在设备运输过程中突发意外事件时，采取有效措施，进而保证设备及时安全地送到每个节点。

（2）通道开通风险的应对措施

为了保证通道开通的质量，首先由通道组制定完善的通道开通方案，要对通道的带宽性能参数、稳定性、安全性、可靠性等多方面严格要求并测试；每个节点的通道开通情况需绘制通道电路开通单并交予相关方留档备查。

（3）施工风险的应对措施

面对这类风险，可采用风险减轻的策略，进行现场环境勘察工作，并且强化施工人员的安全意识，确保人员人身安全，施工人员必须具备施工资质，严格按照施工方案实施。由设计人员现场追踪施工进度，根据实际情况提前做出合理方案，供施工方使用，以减轻风险对施工工期和进度造成的损失。

（4）沟通风险的应对措施

为统一项目整体的建设进度，要求各节点单位成立项目推进组，并统一向专项办报备所有成员的职责及联系方式；同时总部设立项目专用内网邮箱，作为向所有单位传达信息的统一出口，各节点单位建设情况以周报的形式通过该邮箱上报；项目管控组在公司总部内网设立项目专栏，上传工作要求、项目进度报告、项目资料及相关标准，方便各单位查询；还采用电话会议和现场会议相结合的模式，定期召开周例会和项目推进会。

（5）性能及参数保证风险的应对措施

为确保项目设计方案符合国家行业标准及要求，项目设计方案需由具备高资质和丰富经验的单位制定；通过严格的厂验测试，保证设备发货前的质量；安装完毕后，需对设备功能、性能等进行单机测试及联调测试，使其符合设计要求。

（6）安装人员风险的应对措施

首先公司出台《信息化建设安全实施规范》，严格规范操作流程，面向工程师开展技术、安全等相关培训，培养施工人员的安全责任意识，规范出差人员的交通工具及食宿要求；同时安装人员应具备相应的施工资质和丰富的施工经验。

2.2项目风险监控策略

随着项目建设的不断推进，风险监控活动将慢慢介入，风险监控的目的是为了改变项目管理组织所能承受的风险程度，对可能造成风险变化的因素采取一定的处置措施，在最大程度上降低风险事故发生的概率，减小损失的程度。风险监控依据监控风险实际是通过监视项目的进展和h境，即项目环境变化因素的变化达到核对风险管理策略和风险管理措施的实际效果的目的；获取反馈信息，改善和细化风险规避计划，以便改进将来的实际决策。

结语

本文研究了电力企业视频会议系统建设项目的风险规划，分析了电力企业视频会议系统建设项目的风险识别与评估，提出了电力企业视频会议系统建设项目的风险管理策略。本文的研究成果为今后类似项目的建设提供了风险管理框架模型，建立了一套比较规范的风险评价方法和评价指标体系，增强了视频监控项目工程建设的风险管理和防范能力。

电网安全风险管控办法篇5

关键词:网上银行;信息技术;风险控制

中图分类号:F830.92文献标识码:A文章编号:100-4392(2008)07-0044-03

随着现代信息技术的不断发展,互联网络在社会经济中的作用日益明显｡为了满足信息化时代下客户对银行服务升级的需要,降低金融服务成本提高服务效率,网上银行应运而生｡所谓网上银行(InternetBanking)，亦称网络银行或电子银行，是依托因特网的发展而兴起的一种新型银行服务手段｡网上银行借助因特网遍布全球的优势及其无间断运行，信息传送快捷的时间优势，突破传统银行的局限性，为用户提供全方位､全天候､便捷､实时的全新现代化服务｡它的出现打破了传统银行业的经营模式和经营理念，并以其巨大成功向世界展示其深厚的发展潜力｡网上银行突破了传统银行对金融服务场所的依赖,以其自身的优越性在我国得到了快速发展｡

一､我国网上银行发展的现状

由于因特网的出现和信息化时代的到来,1995年以来,发达国家和地区的银行､证券公司､保险公司等纷纷在因特网上建立网站,形成从ATM､POS到无人银行､电话银行以及家庭银行的全方位金融电子服务｡在我国,网络银行兴起的时间不长,但发展却十分迅速｡中国银行从1996年起投入网上银行的开发,随后,工商银行､农业银行､建设银行､中信实业银行､民生银行､招商银行､华夏银行相继开办了网上银行业务｡太平洋保险公司､中国人寿保险公司等非银行金融机构也在国际互联网上设立了网站｡1997年4月，招商银行在我国率先开办网上银行业务?鸦1998年，招商银行又试行了“一网通”网上业务?鸦之后，又细分出“企业银行”､“个人银行”和“网上支付”三大部分，开始介入电子商务领域?鸦1999年9月2日推出支付业务全国联网，在全面确保安全性的同时扩大到网上商城｡到目前为止已初步构建起中国金融电子化､信息化服务体系,实现了业务操作计算机化､支付结算电子化､信息处理网络化和管理､办公自动化的体系｡中国网络银行已初步具备了在线支付的能力｡

二､我国网上银行面临的主要风险

网上银行在我国得到了快速发展,其优越性也得到银行和银行客户的一致认可｡然而,网上银行的风险亦不可忽视,近年来与网上银行相关的操作风险和客户因办理网上银行业务而造成损失的事件也频频发生｡具体来说,我国网上银行主要面临以下几种主要风险:

(一)操作风险

操作风险主要包括因为信息技术的应用所产生的内外风险和技术软件的选择而产生的风险｡技术风险是指网络银行系统设计有缺陷或者是银行职员､客户的错误操作而导致银行损失的风险｡由于各家银行所选择软硬件技术标准不同,对网络银行风险认识的侧重点不同,网上银行所显现的弱点也各异｡所以黑客或银行内部员工可以通过网络进入银行的电脑系统删除和修改网上银行的程序,盗用他人身份接管网络银行客户的储蓄和信用账户｡同时客户在缺乏安全知识的情况下进行不规范操作发生泄密也会使网络银行和客户双方都遭受损失｡发生该种风险时银行须承担客户损失资金的偿付和系统修复的成本,此外还会影响到银行的形象和客户对银行的信任｡

信息科技特别是网络技术的快速进步，有可能使网络银行面临技术选择风险｡一旦网络银行的创立者在面临多种技术选择时，做出错误判断而选择了一种最终将被技术变革所淘汰的技术方案，则可能使其所经营的网络银行处于技术陈旧､网络过时的竞争劣势｡网络银行信息技术选择的失误，将使网络银行面临巨大的技术机会损失，甚至是巨大的商业机会损失｡

(二)法律风险

法律风险是指由于有关网上交易法律法规的不健全而使网上银行陷入法律纠纷的风险｡同传统银行相比,网上银行有两个十分突出的特性,它传递信息包括契约采用的是电子化方式;它模糊了国与国之间的自然疆界,其业务和客户随着互联网的延伸可达世界的各个角落｡这样就向传统的基于自然疆界和纸制合约基础上的法律法规出了挑战｡法律风险在我国网上银行发展过程中的表现还包括我国自身相关的法律法规不够完善,相关的制度规范和约束机制还不够健全,缺乏相对规范的法制环境｡目前,网络银行在我国还处于起步阶段,政府有关法规中对于网上交易的权利与义务规定比较模糊,缺乏网络消费者权益保护规则｡银行与商家､客户的关系､签名有效性等不明确｡由于网络银行业务涉及到诸多其他法律,如消费者权益保护法､知识产权法､货币发行制度等｡银行可能因使用电子货币或使用虚拟金融服务而损害客户隐私以致于被提讼,或因在自己的网页上建立与重要客户的链接而陷入官司纠纷｡犯罪分子可能利用网络银行从事洗钱活动从而使银行被动违反反洗钱法律,电脑黑客也可能利用多种手段连接网络银行客户的网页使客户迁怒于银行,罪犯利用假造的证书以银行名义销售给客户,受骗者可能将银行作为对象等｡上述种种,将使银行面临被判罚款､行政处罚､民事赔偿以及刑事责任等诸多窘境,影响银行业务的正常开展｡

(三)系统安全风险

系统安全风险主要包括来自外部的黑客攻击､计算机病毒､欺骗所造成的风险｡黑客(Hacker)曾经是人们对一些具有高超编程技巧､迷恋计算机代码的程序设计人员的称谓｡但是现在的黑客已经对计算机信息系统的正常秩序构成了威胁，网上银行成为其首要攻击对象｡计算机病毒也给网上银行安全带来严重威胁｡计算机病毒如同真实病毒一样具有传染性，一旦爆发会在整个网络中传播，其影响可以迅速传递到世界各个角落｡各种针对网上银行的木马程序､密码嗅探程序等不断翻新，因此防范计算机病毒是确保网上银行安全的必要措施｡网上欺诈已成为当今世界上最常见的网络风险之一｡一些不法分子通过发送电子邮件或在互联网上提供各种免费资料引诱互联网用户，当用户接受他们提供的电子邮件或免费资料时，不法分子编制的病毒也随之进入用户的计算机中，并偷偷修改用户的金融软件，当用户使用这些软件进入银行的网址时，修改后的软件就会自动将用户网上银行账号上的资金转移到不法分子的账号上｡

(四)链接服务风险

链接服务风险,主要是指网上银行链接不到足够的其他电子商务网站,银行无法为客户在网上消费提供支付服务,造成客户转移注册,并最终导致银行收益损失的可能｡在客户决定网上银行能否生存的情况下,客户在网上消费到哪里,所注册的网上银行就应跟踪链接到哪里｡据统计,我国的网上商店已发展到600余家,在北京,电子商务网站几乎以平均每天1家的速度增长｡网上银行要实现盈利目标,就必须吸引到大量的客户｡为此,网上银行一方面要向社会公众做好宣传与营销,提高自己品牌的知名度;另一方面要做好与其他著名商务网站的链接,让他们提示客户在进行消费时优先链接到自己的网址,使用本行提供的交易支付工具｡如果网上银行链接不到足够的电子商城或其他知名网站,就会出现客户流失现象,并最终影响到银行的经济收益｡

三､发展我国网上银行的相关对策措施

(一)培育风险控制文化,提高风险管理水平

我国商业银行应制定“风险管理文化培育实施方案”，借鉴国际先进的风险管理理念，树立本行的风险管理核心理念｡要努力培育以“诚信､公正､守法”为标志的良好的企业风险控制文化｡以良好的企业风险控制文化来影响银行员工的行为取向，逐步形成系统的风险控制制度和奖惩办法，让每一位员工认识到自身工作岗位上可能存在的风险，以培养员工风险意识，提高风险应对能力，在全行形成一种风险防范的道德评价和职业环境｡

网上银行是基于现代信息技术而建立的,因为对相关风险管理者的素质和风险管理水平提出了挑战｡因为,防范网上银行的操作风险,除了要树立银行员工的风险控制文化外,还应着重提高风险管理者的素质水平｡网上银行风险管理者应具有计算机和金融学的相关专业背景,还应不断补充自身的知识结构､提高风险管理水平以应对各种复杂的网上银行操作风险｡商业银行也应加强对风险管理者的培训,建立相关的激励与约束机制,从而提高网上银行风险管理水平｡

(二)完善相关法律法规

针对目前我国网上银行相关的法律法规不够健全的现实情况,如何制定和完善相关法律法规,并严格执行有关规定,使网上银行业务的开展有法可依､有法必依是发展我国网上银行的当务之急｡目前虽然我国新《刑法》界定了计算机犯罪,人民银行也曾颁布了《网上银行业务管理暂行办法》,但现有的法律保障仍显不足｡因此,应充分利用和执行《网络银行业务管理暂行办法》､《合同法》､《会计法》､《票据法》､《支付结算办法》等法律拟订网络银行相关协议，制定有关业务流程和业务处理规定，应充分利用目前执行的关于网络安全方面的行政法规，如《计算机信息系统安全保护条例》､《计算机信息网络国际联网管理暂行规定》等，利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性｡

此外,针对网上银行发展过程中面临的一些新问题,应及时更新相关的规定和标准,确保网上银行业务的开展具有有效的法律保障｡仅仅有法律法规还是不够的,如何建立有效的的执行机制也是发展网上银行应考虑的问题｡建立相关的法律配套和保障措施是网上银行顺利开展的重要条件,也是法律法规发挥作用的重要保障｡

(三)加强系统安全风险的控制

防范网上银行的系统安全风险应加强应用系统安全建设｡首先应选择安全系数高的系统,选择一套有效而又安全的网上银行安全系统是防范安全风险的物质保障,被选择的信息安全系统应能够根据信息技术发展的态势,不断升级和完善｡

而应用系统安全主要包括对交易双方的身份确认和对交易的确认｡在网络银行系统中，用户的身份认证依靠数字签名机制和登录密码双重检验，将来还可以通过自动指纹认证系统进行身份认证｡数字签名还确保了客户提交的交易指令的不可否认性｡公钥基础设施――PKI(PublicKeyInfras-tructure)是解决大规模网络环境中信任和加密问题的很好的解决方案｡同时采用安全电子交易协议，目前主要的协议标准有?押安全超文本传输协议(S-HTTP)､安全套接层协议(SSL)､安全交易技术协议(STT)､安全电子交易协议(SET)，其中SET涵盖了信用卡的交易协定､信息保密､资料完整及数据认证､数字签名等，已经成为事实上的工业标准｡为了加强网上银行业务的安全管理,商业银行还应建立自己的网上认证中心,同时加强网上银行监管工作,形成规范､合理､有序的网上银行安全监管体系｡

(四)网上银行服务的链接保证

针对网上银行服务的链接风险,商业银行应提供链接保证｡制定超前可行的友好链接计划,不仅要尽可能多地链接电子商城,成为B2C交易模式的信用媒介,而且还要更多地链接企业网站,着眼于在B2B交易模式中担当重任｡只有友好链接在数量上和质量上都能够得到保证,网上银行业务的快速发展才能成为可能｡反过来,如果一家网上银行办得非常有特色,具有很高的知名度,那么其友好链接也很容易得到其他商务网站的认可,并把该银行指定为自己的结算银行｡

参考文献:

[1]刘昊,2003:《论我国网络银行的风险及其控制》,《新金融》第1期｡

[2]龙菊,2004:《论我国网络银行业的现状及发展趋势》,《技术经济与管理研究》第1期｡

[3]方芳,2004:《浅析网络银行的现状与发展》,《黑龙江金融》第5期｡

电网安全风险管控办法篇6

[关键词]电子信息档案；管理；风险

中图分类号：G276文献标识码：A文章编号：1009-914X（2014）37-0219-01

随着国家《档案法》实施和教育管理科学化、规范化的进程和需要，各级教育、人事部门对人事档案管理工作越发重视。如何提高人事档案信息的管理与利用水平，更好地发挥档案信息资源作用，把人事档案信息的管理与利用从传统的手工方式转移到现代化的层面上来，尽快提高工作质量，其最有效的途径就是实现人事档案信息数字化和网络化。目前，人们生活中一个非常重要的，必须的工具的就是电子计算机，其具有多种多样的功能，这为工作人员办公带来了巨大的变革，使办公变得更加方便快捷。而在信息技术时代，最新的档案方式就是电子信息档案，它对教育在高科技方面的创新发展意义重大。

1.实现档案信息化建设的优点

1.1传统的教育人事档案管理模式，往往会在档案利用中出现“死档案”的现象，也就是我们在利用档案的时候，明明知道档案室（柜）保存着自己所需的档案资料，但是查找时却因为检索工具不全，或者其他方面的原因，而要浪费大量的时间与人力去找文件甚至无从查找。使用计算机管理的人事档案就不同了，由于计算机的运算速度快，存储信息量大、计算精度高，可以及时给决策人员提供准确、全面、快速人的人事资料和有关数据。既可避免手工抄写出现的失误，又可使档案人员从繁重的劳动中解放出来，节省时间，提高工作效益，对数据查询又快又准。

1.2利用计算机管理人事档案，有利于材料的完整保存，除了在信息输入时需要用档案原件外，很少再接触原件，延长了档案的寿命。

1.3利用计算机管理人事档案，可以把大量的档案材料存放在软盘、优盘、光存储介质及硬盘上，大大节省了资源。按传统的和理模式，要全面完整地保存好档案资料，仍需要改建的库房，增添大量的设备，这样不仅要投入大量的资金并增加人力，而且仍难避免霉变、氧化、虫蛀和鼠类的破坏。

电子信息档案改变了传统纸质档案的弊端，给人类带来了很大的便利，也其自身也存在着一些不足，比如与传统的纸张档案相比，具有更大的风险性，如果没有积极制定防范风险的措施，那么很容易导致数据被盗，所以，在使用信息档案时一定要注意信息的安全性，积极主动的制定一些避免风险的措施，以使信息资源更加安全。

2.规避电子信息档案风险的措施

2.1引进新技术

计算机在工作过程中要同时结合多种措施，而规避风险的最好的办法就是引进新的技术，新技术可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码，这是现代操作系统最常运用的方式，在对电子信息档案实施密码设置后，要积极的训练一些计算机技术人员来实施管理控制，避免信息资源被一些外界因素干扰。

2.2建立健全管理制度

为了保证信息资源的安全性，那么管理制度是必不可少的，所以企业要主动制定一些有针对性的制度来进行预防，也可以根据需要授权档案管理人员自己制定制度，例如：可以规定只有管理人员才能进行相关的系统操控，而无关的人员没有权利操作系统等。

2.3及时消除潜在的风险

为了确保信息档案数据的安全性，及时消除潜在的风险是非常重要的，在计算机维修期内，企业尤其要注意随时可能存在的风险，主动采取应对措施。因为计算机网络的复杂性，使得控制风险工作也极其的不容易，不过，只要及时且做到全面看待问题，那么就可以把问题解决掉。比如，对于那种对计算机激进主义异常敏感的机构来说，为了应对潜在的危险，那么采取一定的措施是非常必要的。

2.4加强电子信息档案的安全防护

为了消除危险电子信息档案的因素，其中一个很重要的措施就是安全防护，其可以有效的避免信息数据受到外界因素的破坏，保证信息的安全可靠。

3.分散风险的措施

在电子信息档案管理中，另外一种常用的规避风险的措施是转移策略。转移策略实质上是分散风险，即把风险转到其他的地方，希望这样将存在的风险降到最低，一般而言，能够从多个角度对风险转移的方法实施修正，如修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后，我们可以把复杂的风险问题进行简化，再对原先实施的电子信息档案管理策略优化改进，创造更加先进的电子信息档案管理系统。此外，还可以与网络供应商互相协调，让供应商的安全服务符合电子信息档案的使用需要。另外，还要强调的是，外包同样隐含着风险，如果外包人员不符合合同的标准，那么后果会很严重。所以为了预防人为因素给企业造成损失，那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。

4.评估风险的措施

5.结束语

综上所述，电子信息档案优于传统的纸质媒介，但其自身也存在着一些风险，而且这种风险是客观存在和不确定的，还有可能造成很大的风险，因此增强警觉意识，做好风险的防范工作，这样才能提高电子信息档案的管理水平，有效规避风险，最大程度地减少风险造成的损失。

参考文献

[1]沈彦：《浅议电子文件及电子档案管理》[J]，《企业导报》，2010（4）。

[2]王兆新、裘洁：《浅议电子文件信息的安全与保密》[J]，《浙江档案》，2009（2）。