基于C/S体系结构的养老保险管理信息系统正确的将原型法与生命周期法相结合,在程序模块的划分过程中,始终遵循自顶向下原则,促使系统程序更加函数化、公用化及模块化,最大限度减少了函数或程序的循环、重复编制。尤其体现在各参数子系统的开发与设计工作中,该系统促使所有可变参数和公式的维护都可在外部进行,有助于DBA维护管理效率的提高。
2养老保险管理信息系统的功能实现
养老保险的基本业务具有政策性强、信息量大、业务面广及变动频繁等特点,因此在处理信息时需要借助先进的数据库技术和网络通讯技术开发出更加及时、准确、迅速的养老保险管理信息系统。经过一系列的分析研究,基于C/S体系结构的养老保险管理信息系统开始逐渐应用到社会企业及机关事业单位养老保险业务当中,其主要功能模块包括档案、个人账户、养老保险参数、基金收缴、业务台账报表、养老金拨付、基金转移、养老保险财务等十四个子系统。这些子系统之间存在相互制约、相互依存的关系,本文主要分析作为养老保险管理信息系统核心部分的8个子系统,现将其功能进行介绍:
2.1档案子系统
档案子系统需要进行四种日常管理工作,即完成社会企业或机关事业单位、在职职工、离职或退休人员、继承人的自然属性基础数据,并且为参保单位生成一个专属的社会保障号,从而为参保人员形成一个专属个人的电脑保障号,完成机关事业单位登记或变更等工作的处理。此外,档案子系统除了提供固定的日常查询功能之外,还能进行随机模糊查询。
2.2基金收缴子系统
基金收缴子系统的主要工作是:处理参保单位的投保或终止手续;将职工上年度缴纳的工资费用进行录入与核定;参保单位的实际负担比例与职工个人的缴费基数;对参保单位全年的基金收缴计划和养老金拨付计划进行制定;按月落实收缴工作;发送参保单位职工基本养老保险金缴款通知单等。此外,基金收缴子系统还能处理基金预缴、缓缴、补缴和拒缴工作,以满足特殊收缴业务的处理工作。并且,每月的基金在正常收缴之后,会实时登入到个人账户当中,在参保单位的工作人员发生增减变化时,能及时将基金收缴计划于养老金拨付计划进行调整。
2.3养老金拨付子系统
根据基金收缴子系统在每年初制定的养老金拨付计划,养老金拨付子系统每月生成养老金费用拨款单和养老金发放花名册,然后落实养老金拨付工作。并且该系统还能根据参保单位上报的离职或退休人员申请,对离职或退休人员待遇进行计算,然后办理相关手续。同时,针对特殊业务的处理,如继承人领取、一次性领取、社保机构垫支等业务,可及时调整养老金拨付计划。
2.4养老保险财务子系统
养老保险财务子系统具有科目体系定义、记账、凭证录入、账簿查询、银行对账、结账、会计报表等功能,该子系统采用借贷记账法的财务核算体系,能将全省社保机构财务核算进行统一,并可以通过数据链路将科目体系下发、计算机自动制证、机制凭证定义、业务报表与会计报表进行逐级汇总,然后完成服务费上解下拨、管理费提取核拨等特殊业务。养老保险财务子系统能有效实现财务数据与业务数据的衔接与统一。
2.5个人账户子系统
个人账户子系统能在电算化前将参保单位职工的个人账户进行一次性登录工作,并及时将个人账户中出现的错误进行清理。同时,还能实时查询并打印职工个人最新的账户情况及对账单,并生成个人账户对账单的数据软盘,交予投保单位自行打印。
2.6业务台账报表子系统
通过基金收缴子系统登录的各类台账数据,可自主选择表格的样式、并自定义制作表格的内容、打印、预览,还可通过各类数据和信息的远程链接,实现参保单位各部门报表的汇总,并为操作人员的查询提供了便利,实现了各类信息和数据的分布式查询。
2.7基金转移子系统
基金转移子系统的功能主要包括参保单位内、外的职工养老保险基金的转入或转出操作,并出具详细的养老金转移单据。针对参保单位内部工作养老金的转入或转出,可直接通过数据链路进行,并实现了档案基础数据、养老金转移清单及个人数据账户等大量数据的传递。
2.8养老保险参数子系统
养老保险参数子系统肩负着为养老保险管理信息系统提供业务比例参数、各类业务代码、运算公式的责任。参保单位的养老保险业务主要是合理调整相应参数,确定后及时刷新,并以快照的方式更新各部门现行的运行代码、运算公式和比例参数,确保参保单位与全省业务规范相统一。
3结束语
只有通过对新时期社会保险档案管理创新的必要性以及现存的问题分析,将纸介档案与数字档案的转换,才是需要对新时期提出社会保险档案管理创新的途径策略。
社会保险档案管理现状分析
(一)社会保险的参保人数增长迅速
我国社会保险的参保数,增长迅速。2009年底,全国参加城镇基本养老保险人数为23550万人,比2008年末增加了1659万人。参加基本养老保险的农民工人数为2647万人,比2008年末增加231万人。根据《国家****行动计划(2011-2012年)》指出,到2012年,中国城镇基本养老保险参保人数超过2.23亿,基本医疗保险参保人数超过4亿,失业保险参保人数超过1.2亿,工伤保险参保人数超过1.4亿,生育保险参保人数超过1亿。参加农村社会养老保险和企业年金的人数逐年增长。
(二)社会保险经办机构实施改革计划
近几年来,国内社会保险经办机构全面实施了各种改革计划,早在2009年最后一次国务院常务会议决定将在2010年内开展全国范围的城镇企业职工基本养老保险关系跨省转移接续制度。从2010年7月1日起,流动就业人员基本医疗保险可跨省转移接续。2011年11月15日,人保部就《社会保险费申报缴纳管理规定(草案)》征求意见。根据草案,企业缴纳险种从养老、医疗、失业险三项扩至五项,新增工伤和生育险。这些政策改革都为新时期的社会保险事业的进一步发展营造了很大的发展空间以及机遇。
(三)负责社会保险档案管理的部门分散
临汾市企业养老保险管理服务中心新开设一个服务窗口(非公经济五险统征办公室),组织开展了多次大型宣传服务活动。机关事业养老保险管理服务中心利用QQ视频开设困难人员绿色通道,对年老体弱行动不便的退休老干部上门年检,对异地居住退休老干部进行“面对面”对话。并在大厅设置了自助排号机、滚动显示屏,在养老金发放银行处设立敬老专柜,并在密集居住区设立存取一体机,有效地方便老干部退休金的领取。
二、存在的问题
1.人员少,经费不足
一方面县(市、区)受编制限制,各级人员配备不到位,普遍存在兼岗现象。另一方面,经费得不到有效保障,部分县在不能全额按财政预算拨付到位,存在拖欠现象。
2.社保卡银行农村网点布设慢,制卡周期长
运城社保卡的指定银行为建行,临汾市社保卡指定银行为中行和邮政储蓄银行,但建行和中行在县一级网点很少,很难将服务延伸到村,影响了社保卡的发放和应用。例如,建行在万荣、夏县无物理网点,运城市所属的行政村无建行POS机,由于当地银行布点投入较大,不愿承担商户的劳务费用。还有省里将临汾市霍州煤电集团有限责任公司社会保障卡的制作合作银行变更为交通银行,而霍州市目前并无交通银行,百姓办理相关业务很不便,制约着社会保障卡的发放和应用。
3.五险统征试点工作存有困难
统一基数、统一征缴参保企业顾虑较大,所有险种一个基数,目前普遍认为社平工资过高,企业很难负担。地区经济水平差异较大。如:临汾养老保险基数与省级统一,其它险种未实现省级统筹,按照当地社平工资计算基数,这样会造成基数的不一致。目前,生产型企业目前以参加工伤为主,如果五险全部参加,部分企业因缴费压力过大,而放弃所有险种的参保。机关事业型单位,以参加医疗保险为主,工伤几乎为零,不愿参保,有些企业以男性职工为主,生育保险待遇享受微乎其微,不自愿参保。如果采取一刀切,很可能事得其返。五险统征机构设置难,五险统征工作处于试点阶段,目前,各市县采取抽调、拼凑人员的方式,成立临时性机构(统征办),临时机构管理松散,人员流动较大,工作矛盾突出,经费也难以保障。五险统征信息系统建设滞后,五险统征是一个较为复杂的经办业务,涉及部门多,业务环节多,临汾、运城目前还没统一的五险统征系统,运城市五险统征系统需要200多万资金,筹资难度较大。
三、工作建议
(一)企业文化是一个“以人为本”的系统
关于企业文化的范畴,早在上世纪80、90年代已经基本成形,其中比较有影响力的主要有以下几种:威廉•大内(1981)提出了Z理论,并最早提出了企业文化的概念,将其研究的内容界定为人与企业、人与工作的关系;特伦斯•E•迪尔和艾伦•A•肯尼迪(1982)认为,根深蒂固的传统和广为接纳与共享的信念支配着当代的企业组织,这些传统和信念叫做企业文化,企业文化构成的主要要素有企业环境、价值观、英雄人物、习俗仪式、文化网络;约翰•P•科特和詹姆斯•L•赫斯克特(1992)认为,企业文化由共同价值观和部门行为规范组成,在深层次不易察觉的层面上,企业文化代表着拥有这种文化的人们的基本价值观念,在容易察觉的层面上,企业文化体现了企业的行为方式或经营风格;艾德佳•沙因在《组织文化与领导》(1992)将组织文化定义为由人工制品(物质形态层次)、信奉的价值观和基本隐性假设三个层次组成的系统。而在管理实践领域,对企业文化的定义更加强调价值观对行为的指导作用。
曾经长期任麦肯锡公司总经理的马文•鲍尔将企业文化更为通俗地定义“我们做事的方式”。概括起来,本文认为:企业文化可以看作一个“以人为本”的系统,由企业环境、人、价值观和行为方式构成。其中,企业环境指公司所处的社会、经济和市场环境,是对企业文化影响最大的一个因素;人是系统的根本,是价值观和行为的载体,人分为群体和个体并存在相互作用关系;价值观和行为是系统的核心内容,两者间存在着激励、约束和反作用的关系;在系统中,存在着个体与群体、行为与价值观的融合或冲突,这两种力量的综合作用决定了企业是强文化还是弱文化。大量研究表明,当企业文化在个体与群体和价值观与行为两个维度都达到较高的一致性时,企业呈现强文化,从而具备了成为优秀企业的必要条件之一,即拥有更好的绩效的企业一般拥有强文化。企业从价值观到行为的作用结果最终决定了其生产的产品的质量和效率,这是企业在产业保持竞争力的根本。
(二)企业文化的定位
如同中国传统文化观念所强调的“以文教化”一样,企业文化必须有清晰的目标。即要建立起一个有效的企业文化系统,首先要明确企业文化要服务什么、或者说要从解决哪些核心问题,从此入手塑造企业共同的价值观和行为方式,这就是企业文化的定位。定位是企业文化建设的首要任务,是企业文化建设的基础和成功的前提,是企业文化的核心和集中表现。企业文化只有通过准确的定位,才能从中发掘出自身最具价值的文化要素,最终构建出独具个性的企业文化。正确的文化定位能够有效地激发员工的工作热情,提高企业的竞争优势。相反,如果定位不准,那么企业文化不但不能起到预期的作用,反而会将企业引入经营误区,削弱竞争优势。
二、保险公司的文化建设应着力于培养员工的风险管理意识
保险公司作为专门从事保险业务经营的组织,管理的主要对象是风险,这也从跟本上决定了风险管理与保险公司企业文化建设的紧密关系。同其他企业一样,保险公司的企业文化系统可以定义为由企业环境、人、价值观和行为方式构成的统一整体。保险公司的企业文化应该定位在那里?这也是保险公司企业文化建设面临的首要问题。沙因的企业文化理论强调在梳理考察企业的外部适应性和内部融合性的基础上开展企业文化建设。所谓外部适应性主要指企业对外部的企业环境的认识与适应过程,而内部融合性主要指企业作为一个独立的实体组织,为了应对外部的企业环境变化,而对内部价值观、资源、制度、流程等的整合过程。实际上,对外部适应性的梳理就是企业文化建设的必要性因素进行认识的过程,而内部融合性梳理是对企业文化建设的可行性进行分析。运用这一方法对保险公司的企业文化系统进行分析,可以清楚地识别其外部的环境驱动因素和内部融合因素,从而发现保险公司核心价值观和行为的关键所在,明确企业文化的定位。
(一)外部环境变化对保险公司企业文化系统存在风险管理适应性的要求
企业文化必须与外部的企业环境相适应。外部环境的变化对其企业文化建设有着强烈的驱动作用,促使其文化与环境相适应。作为保险公司,影响企业环境的因素包括经济环境、政策环境、市场环境、社会因素、气候变化和技术创新等因素。近些年来,保险公司的外部环境已经发生很大变化。一是经济环境方面,随着金融危机的爆发,全球金融市场日益动荡,宏观经济的波动性和复杂性明显增强,经济运行风险逐步加大,对保险的需求和所承担的风险影响显著。二是政策环境方面,保险监管在三支柱监管体系的基础上强化了对风险管理的关注,制定了风险管理的相关政策和指标体系,采取更加保守而准确地进行风险估计正在成为监管趋势。三是市场环境方面,无论在保险市场还是证券市场,投保人和投资者都对所承担风险的信息披露有着强烈的需求,保险公司面临着提高风险信息透明度的挑战。四是社会因素方面,保险公司面临的老龄化和长寿风险带来的挑战,老年人的抚养比率逐年上升和个性化需求日渐增强的趋势给人身保险和年金业务带来挑战。五是气候变化方面,全球气候变化所引发的自然灾害和次生灾害日益频繁,社会经济损失金额不断加大,造成的保险损失相应日益增长,保险公司面临的累积责任和赔付压力不断增高。六是技术创新方面,在信贷市场、资本市场和保险市场联系性和联动性日趋紧密的背景下,金融创新呈现多样化和灵活化的特点,由此产生的风险不断涌现,风险的传递更加复杂,对保险公司的投资连结型产品和投资业务带来风险管理的新挑战。上述外部环境的变化表明,保险公司当前经营面临的风险和不确定性明显加大,为企业文化建设带来了挑战,促使保险公司的文化系统在坚持盈利导向的同时必须加强风险管理导向以保证公司的持续稳健经营,增强企业文化与风险日增的外部环境的适应性。
(二)风险管理是保险公司文化系统实现内部要素融合的最佳路径
企业文化作为一个系统,存在着从价值观到行为、从群体到个体的有机统一的内在要求。要实现系统内部的价值观、资源、制度、行为等各种要素的内在统一,必须找到一条合适的路径,不同类型的企业有着不同选择。对于保险公司而言,风险管理是其经营管理活动的主要内容,而风险管理的范畴又完全覆盖了保险公司文企业化系统中价值观、行为方式、人力资源配置等核心领域,因此,风险管理为企业文化系统内部诸要素的整合提供了有效的、甚至可以说是最佳的路径。
一是价值观层面,保险作为一种契约化的金融产品,提供的是一种经济补偿或保障,既体现了消费者对风险的偏好、习俗和态度,也体现了人们愿意通过购买保险来对付风险的行为方式,体现了人们之间的一种最大诚信原则,受道德、习俗、传统、民族、地域等文化特征的影响明显。保险公司的价值观建立在以大数法则和道德法律约束为条件形成的保险基本原则的基础上,追求可承受风险条件下的利益最大化,体现了风险管理的核心理念。
二是行为层面,保险公司经营管理行为主要包括产品开发、核保、理赔、营销、再保险转分、财务管理、投资、审计等一系列活动,实际上就是对业务风险进行识别、计量、分散、控制、监督等系列风险处理过程,目的在于保证自上而下的业务决策行为和执行以及前、中、后台的业务操作与企业价值观指导下所形成的不同层面的制度、流程相一致,实现对风险的及时有效控制。
三是资源配置层面,人力资源是保险公司企业文化系统中最主要的资源,保险公司的人才队伍以拥有风险识别、计量等方面专业才能的精算师、核保师、理赔师等为核心构建,组织架构中既有横向以企业风险管理架构为基础构建的相互独立的风险管控的三道防线,又有纵向由高级管理层、职能部门层和员工操作层三个层面构成的风险决策、建议、操作的治理架构和管理机制,因此,保险公司企业文化系统中资源层面对风险管理存在刚性需求。此外,无论从理论上还是实践中,保险与风险管理都有着密切的联系,这也决定了风险管理对保险公司企业文化的影响。一方面,风险管理学起源于保险学,保险学作为风险管理的重要手段,是风险管理领域最早形成系统理论并反复实践的,对风险管理学的发展有着重要的影响;另一方面,现代企业风险管理的思想、架构、工具的发展对保险公司实施风险管理都产生着积极的促进作用。因此,保险与风险管理无论在理论基础上、思想上还是方法上都有很多共同之处,有着深刻的文化渊源。
综合上述分析发现,外部企业环境因素的变化促使保险公司有必要不断加强风险管理,而内部要素分析则表明以风险管理为主线对保险企业文化内部要素进行整合是可行的,并且是理想路径。因此,保险公司企业文化系统的构建应基于风险管理为核心,定位于服务风险管理。
三、结论与建议
作为企业的“血型”,企业文化展示了企业的个性。企业文化的范畴虽然有着不同的界定,但是核心内容是企业的价值观和行为。考虑到企业所处的环境和人的因素,企业文化可以看作一个受企业内外部因素综合影响的系统。企业文化定位是构建企业文化的前提,也指明了企业文化的核心内容和实践方向。保险公司企业文化外部环境适应性分析和内部融合性的结果都表明,风险管理作为保险公司企业文化系统的定位既是必要的,也是可行的。风险管理应是贯穿保险公司企业文化系统中从价值观到行为的主线索。中国保险业经过30多年的持续高速增长,所形成的结构问题、合规风险、诚信缺失等突出的问题,与保险公司普遍存在着注重规模和盈利而忽视风险管理的企业文化是密切相关的。
关键词:系统论方法;安全风险管理;危险处理;管理体系
当前,我国已大踏步迈入“十三五”规划,是保持经济的又好又快发展、逐步完成小康社会建设的关键时期。铁路作为整个经济运行的大枢纽,对保障我国经济的稳步发展、人民的安居乐业、社会的稳定和谐起着至关重要的作用。铁路旨在为社会提供安全、便捷、可靠的交通出行方式。铁路的安全问题不仅关系着乘客出行,也是铁路工作的重中之重。全面推行安全风险管理是铁路部门重要的责任,使铁路部门审时度势,站在更好地服务人民群众的高度,实现铁路科学发展、安全发展的战略性举措。
1铁路安全风险管理体系
1.1安全风险管理概述。
风险管理是指通过风险的预判、量化及评估等程序来分析生产活动中可能出现的潜在问题,并针对其风险进行一系列预防性规划、控制及监督等工作,已达到降低不安全问题发生率、顺利并安全地完成生产活动的目的。风险管理不仅涉及面广,且管理的对象众多,管理措施及方法纷繁复杂。因此铁路安全风险管理需要更加全面化及系统化的管理体系,这样才能切实保证铁路的正常工作及运行。[1]
1.2铁路安全风险管理体系与传统安全管理。
传统安全管理及铁路安全风险管理都具有安全为第一性、综合性的特点,它们从管理的目标、内容以及理念层面都对铁路安全做出了相应的贡献。但铁路传统安全管理相较铁路安全风险管理,前者的预防性较后者存在明显的不足。
2系统论方法概述
系统论方法在各个行业,尤其是公共行业当中运用普遍广泛。运用系统论方法可以解决各类棘手的问题,因此该方法又被称为“解决当代复杂问题的钥匙”。广义系统论原理包括整理性原理、开放性原理、层次性原理、目的性原理、分解协调性原理、自组织原理、稳定性原理及突变性原理[2]。系统论方法有四条基本原则,即整体性、相关性、最优化及动态性原则。运用系统论方法,可以解决铁路安全的各项问题,更加系统、全面化地构建铁路安全风险管理体系。
3系统性构建铁路安全风险管理体系
3.1安全风险管理体系需要系统论。
铁路风险管理的预判、量化及评估等程序纷繁复杂、涉及面广,如果没有系统论理念的支持,则难以保证对铁路相关安全问题的全面把握与控制。相对传统安全管理,铁路安全风险管理体系具有预防性强的特点。为了保证这一特点,在实际工作中,需要运用系统论方法的四项原则来规划、控制及监督铁路安全问题。只有全面系统地把控铁路安全问题,才能使安全风险管理体系具有实际的管理意义[3]。
3.2构建系统性铁路安全风险管理体系。
铁路安全风险管理体系的构建,要结合铁路安全的实际工作,对工作中可能遇到的安全风险进行合理且系统地识别、预判、规避、把控及监管,以达到预防及消除风险的目的。
3.2.1树立系统化管理意识是保障铁路安全的前提。
结合实际工作中的生产生活,全面系统地宣传铁路安全风险管理的理念,是保障铁路工作安全的前提。针对各个部门、各个岗位工作上可能遇到的安全性问题进行系统化的研究及整理,对铁路相关的每位工作者全面宣传和教育,使每位员工清楚地意识到工作中的安全风险,以及进行铁路安全风险管理的重要性,并着重培养全员安全文化,使员工自觉遵守安全规章制度、形成自我安全行为规范,从工作源头预防安全问题的发生[4]。
3.2.2确立系统化风险辨别方法是保障铁路安全的基础。
对铁路工作安全风险的预判和辨别,是铁路安全风险管理工作中至关重要的一环,是开展安全风险管理的基础。全面系统地把握可能遇到的安全风险,需要铁路各个部门的综合配合。在铁路系统网中,组织各个部门对部门内已发生或可能发生的安全隐患、安全事故、设备故障、安全薄弱环节、环境外在风险、安全保护等等问题进行研究、整理及汇总,使管理者、技术员及现场职工从不同角度分析安全问题,系统化的预判及规避安全问题,并建立相关化、动态化、整体化地安全风险问题库,以备今后工作参考借鉴。
3.2.3务实系统化风险监控是保障铁路安全的重点。
系统化的安全风险监控,可以实时、有效地发现、规避及处理实际工作中新出现的安全问题。只有系统化的实时监控,才能在问题出现前及时发现,防患于未然,在问题出现时及时处理、在问题出现后及时修正更改。系统化的风险监控不仅仅是安全风险管理的重点,而且是其发展的重要保证。
3.2.4完善系统化考核是保障铁路安全的后盾。
防范及减少铁路安全问题的方法有很多,对员工工作的考核就是其中一项有效手段。全面而系统的考核,对强化员工工作安全意识、规范工作行为起着积极、有效的作用。建立有效的工作奖惩制度,可以激发员工工作的积极性及热情。优质、高效的工作,从正面维持和保护铁路安全的正常运行。
结束语
系统论方法是一把利剑,在高速发展的今天,面对日渐扩大地规模化生产及日益更新的技术发展,铁路的快速发展是必然趋势。在严峻的形势下,庞大的铁路系统管理需要系统论的支持。系统化的铁路安全风险管理体系,可以更好的适应高速发展的铁路工作,保证其为国为民提供更加便捷、安全、高效的铁路服务,确保铁路安全长治久安。安全风险管理体系要不断的修正和完善,在工作中不断实践系统论方法,只有这样,才能使系统论与安全风险管理体系更好地结合发挥其作用。
参考文献
[1]王令朝.对铁路安全风险管理工作的思考[J].铁道技术监督,2013(8).
[2]魏宏森,王伟.广义系统论的基本原理[J].系统辩证学学报,1993(1).
[3]代明莉.铁路构建安全风险管理体系的思考[J].经济与社会科学研究,2015(8).
一、风险管理与安全管理关系的认识
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的 网络 化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速 发展 ,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以 科学 的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践 历史 来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、 科学 的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的 电子 文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全, 自然 安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的 总结 与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《 计算 机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
3、 陈国云:《档案信息建设的风险管理》,《档案管理》2008年第1期。
一、风险管理与安全管理关系的认识
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的网络化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速发展,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以科学的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践历史来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、科学的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的电子文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全,自然安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的总结与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《计算机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
3、 陈国云:《档案信息建设的风险管理》,《档案管理》2008年第1期。
