张 茜 王静婷/国防大学政治学院

日益复杂的数字环境，给数字档案馆的安全管理带来诸多风险隐患，风险管理成为不可忽视且必须重视的要素，理解和管理风险成为数字档案馆的核心工作之一。风险管理不仅可以发现数字档案馆发展存在的机遇，也可以及时排除各种风险障碍和隐患，避免造成不良后果，为数字档案馆可持续发展提供支撑。美国NARA电子文件档案馆ERA为美国国家级数字档案馆，代表着国际前沿，是具代表性、发展较为成熟的引领性数字档案馆。本文对ERA风险管理实践进行深入研究，探索其发展规律，分析其经验优势，了解当前数字档案馆发展的前沿，探析各个层级数字档案馆风险管理如何实施。

美国国家档案与文件管理署（National Archives and Records Administration，简称NARA）建立的电子文件档案馆系统（Electronic Records Archives，简称ERA）系统，是在国际上影响最大的数字档案馆项目。为了更有效地保证电子文件的真实性、可靠性和凭证性，NARA经过大量论证和试验，在2005年8月正式宣布开发美国国家档案馆电子文件档案馆系统，对美国联邦政府部门所产生的各种类型电子文件实施安全、有效、长期的管理。为有效管理数字资产，NARA非常重视风险管理，将风险管理纳入数字保存战略，并将风险管理集成进入数字档案全生命周期。ERA风险管理的思路可以归纳为顶层布局、全程管控。

1 ERA电子文件档案馆风险管理概况

ERA电子文件档案馆风险管理贯穿数字档案馆建设全生命周期，其顶层布局、全程管控的风险管理理念主要表现为：一是将风险管理纳入数字战略规划，从顶层设计、战略规划层面加强指导；二是充足的财务预算为风险管理提供有效支撑；三是风险管理人员对数字档案馆管理认知的程度直接影响数字档案馆管理的质量。因此，通过明确风险管理相关人员角色和职责，降低或减轻数字档案馆管理过程中因人员而产生的风险。

2018年NARA发布了《数字战略规划2018—2022》[1]，基于一系列完整的凭证信息制定了数字战略规划。在启动2018年至2022年战略规划时，NARA进行了传统的环境评估，包括对档案和信息管理的新趋势、新做法、机构绩效数据和项目等进行评估，以及面临的十大管理挑战。为制定战略计划，NARA管理人员对每个机构的活动或职能进行了基于风险的分析，并向所有员工发布了一份调查报告，征求他们对改进NARA和降低风险的建议，编制风险概要，并设计了新的战略目标，以减轻机构面临的长期战略风险。因此，NARA的2018年至2022年战略计划确立了一个长期愿景，以推动其向前发展，转变归档方式，也包括应对长期风险和提高机构效率及有效性的规划。

ERA电子文件档案馆系统在可靠性、可伸缩性、可用性和成本方面存在许多问题，这使得它无法满足NARA当前和预期未来的工作量。考虑到该系统在管理大量数字材料的传输、处理和存储方面的局限性，以及技术的进步（尤其是云计算），2017年NARA投入3.5亿美元，用于ERA2.0的开发以及其他可能被嵌入ERA2.0档案系统的更新和迁移[2]。ERA2.0实施成本估计为4500万美元[3]。可以看出，NARA在ERA的建设上资金投入较为充足，能够满足建设需要。同时，NARA具备完善的财务管理制度，拥有良好的财务规划，对ERA的建设提供了充足的财政支持，能够避免ERA在基础设施、信息系统建设等方面因财务不确定性而引发的风险。

为成功实施风险管理战略和流程，ERA明确了在风险管理中需要建立的相关人员类型以及其所应该承担的职责，包括所有ERA工作人员和其他用户（如相关雇员、顾问和合同商）的首要职责。在ERA电子文件档案馆的项目中，规定为了执行风险管理，应指定电子文件档案馆项目的总监、项目经理、风险官员、风险审计委员会、整合产品团队等角色，并对各个类型人员的首要职能和职责进行了明确划分。明确电子文件档案馆的整个管理流程中所有涉及风险管理的人员角色及其职责，做到层次清晰、权责明确，有利于减少因职责不明确而产生的各类风险。各层级人员可以在风险管理中共同发挥作用，形成全面的风险管理人员角色职责体系。

2 ERA风险管理分析

当前ERA已经成为走在国际前列的数字档案馆，其管理不断更新完善。为了更好地实现ERA的战略目标，NARA非常重视风险管理，从数字文件产生初期开始就纳入了风险管理的范围。NARA使用年度报告数据来确定趋势和风险，并通过改进政策和指导来提高其协助组织机构管理文件的能力。通过其他监督活动，如检查、评估和与各机构的其他工作，NARA继续与各机构合作，以改进联邦档案管理并促进从纸质档案向电子文件转变。NARA从电子文件产生开始就将风险管理纳入其中，到移交进NARA ERA进行长久保存，覆盖了电子文件的整个生命周期。因此，本文将NARA数字档案馆的风险管理分为两个阶段进行研究，第一阶段为前端风险管理，第二阶段为移交进馆后的风险管理。

2.1 第一阶段：前端风险管理

第一阶段主要通过电子文件管理系统文件管理自评估项目（简称RMSA）、年度高级文件管理机构官员（SAORM）报告和联邦电子邮件管理报告来进行。通过自评估报告，NARA可以了解各个组织机构在文件管理中所处的风险等级。NARA通过自评估报告帮助文件管理机构识别风险并作出改进，特别是在电子文件管理方面。组织机构通过自评估来衡量其文件管理项目，促进文件管理效率的提高，不断改善文件管理。利用这种自我评估、检查和其他监督活动，帮助组织机构发现电子文件管理过程中的风险，有效控制了电子文件在前端的风险。

2.2 第二阶段：进馆后风险管理

第二阶段为移交进馆后的风险管理。ERA的风险管理是和前端的电子文件风险管理连续的，电子文件档案馆风险管理项目的实施方法是通过使用前期项目风险评估结果来制定的。评估的结果和后续评估，使NARA认识到接收文件时就伴随着风险。这种高风险的暴露使风险管理成为ERA项目管理中的关键部分。文件移交进馆后，NARA通过ERA的风险管理方案（Electronic Records Archives Risk Management Plan）[4]进行积极主动的风险管理，以确保风险在适当的管理层面得到处理。实施ERA风险管理方案，建立由以下内容构成的风险管理核心活动：规划和实施风险管理；管理风险状况；识别风险和机会；应用定量和定性风险分析；制定和执行风险应对方案和步骤；实施风险监控和控制流程；交流风险管理结果和活动，以及评估所有风险管理流程。NARA发布的ERA风险管理方案指出，积极主动的风险管理对管理过程至关重要，能够确保风险在适当的管理层面得到处理。

ERA作为一个系统项目，存在一定的内在风险。必须确定风险、实施定性和或定量风险分析、制定并遵循风险应对计划，并实施风险监控和控制，防止可预见的风险表现为重大问题。年度风险评估不仅为风险管理过程的有效性提供了一个独立的视角，而且也为更大的机构范围内的风险方法的总体运作提供了独立的视角。随着ERA计划以IT风险管理过程为主导，其他NARA单位现在已认识到风险管理的价值，并已开始实施其自身流程的计划。ERA风险管理力求在风险管理语言和流程中确立共性。

ERA风险管理流程采用了持续的、系统的和前瞻性的方法来识别、分析和应对风险，旨在最大限度地减少对ERA管理不利的事件发生的可能性和后果，并促进或推进可能产生积极影响的事件。ERA风险管理过程涉及风险识别、风险分析、风险方案和应对、风险监控和控制以及风险沟通。从风险识别开始，是循环的过程。可以看出，特定功能元素构成了ERA风险管理过程，使其可识别、分析、计划和响应、监控和控制。在风险分析过程，ERA进行可能性评估，每个风险被分配一个高、中或低的发生概率；并据此决定风险严重性，为每个风险类别分配概率和影响评级并且定义风险可能发生的时间。风险的应对则会对风险的优先进行排序，与项目总监审查风险状况，分配风险拥有者或责任人，确定适当的风险管理战略资源，制定合适的风险应对方案，最后审查优先顺序。同时ERA也会通过提交报告、定期审查各级别风险和发生的频率等控制方法，执行风险审查。

NARA采取主动的风险管理方法，这对于电子文件档案馆的综合管理流程来说是至关重要的，可以确保风险得到全面、科学的处理。从前端电子文件的产生开始便将风险管理纳入其中，到进入电子文件档案馆的风险管理，NARA的全流程风险管理确保了ERA项目的成功。

3 ERA风险应对

NARA对于电子文件档案馆风险应对的策略以灵活为原则，以适应大规模数据的增长、技术和标准的不断更新和变化，因此针对电子文件档案馆风险制定了关键策略，以有效保存数字对象。其目标是降低风险，实现最佳实践，以实现对数字内容的长久保存和持续可访问。ERA风险应对策略主要从以下几个方面开展：首先，NARA非常重视新技术对电子文件档案馆的影响，因此对于云技术环境和区块链技术等对电子文件档案馆带来的机遇与挑战，充分考虑如何有效应用并应对风险；其次，对于数字档案资源的数据完整性风险也提出了一系列应对措施；最后，数字文件格式和媒体可持续风险是实现数字档案资源长久保存的核心要素，因此NARA针对其档案馆过去几十年接收的大量的不同格式，创建了数字文件长久保存格式的风险优先级矩阵，对长久保存格式进行了风险识别和风险应对。

3.1 新兴技术风险应对

新兴技术是影响电子文件档案馆管理的关键因素，这是因为技术环境一旦发生变化，电子文件档案馆会面临机遇和挑战。NARA非常重视新技术的应用对电子文件档案馆的影响，会及时研究新技术，并发布相应的指南公告来进行指导。

3.1.1 云计算环境下风险管理

考虑到当前社会，云计算技术的应用给ERA管理带来巨大挑战，因此云计算作为数字档案馆管理中重要技术背景，各个国家和地区也纷纷出台相应法规标准，以明确云计算环境下数字档案馆建设中可能遇到的风险。2010年5月，NARA发布了《云计算环境下文件管理指南公告》，提出了云计算环境下的文件管理可能面临的挑战，并针对这些风险因素提出云计算的风险具体应对方式，包括让机构文件管理人员和/或员工参与云计算解决方案的规划、开发、部署和使用；确定云环境中的联邦文件是否包含在现有文件处置计划中；如何捕获、管理、保留所有文件、提供给授权用户和适用保管期限；在云环境中进行文件分析、开发和向NARA提交文件保管计划；明确如何将数据迁移到新格式、操作系统等中，以便文件在整个生命周期中都具有可读性等。

3.1.2 区块链技术下的风险管理

2019年2月，NARA针对联邦政府文件在区块链的应用，发布了《区块链白皮书》（Blockchain White Paper）[5]。该白皮书指出应用区块链技术可以获得确保文件真实性、完整性和准确性的新方法，但同时也可能对区块链中产生的新型文件的管理带来挑战。更广泛地说，应用区块链使得文件管理方式从集中式的信任模型转变为基于网络的模型，在各个技术领域变得越来越普遍，网络正成为一个主要的组织原则。这种转变反映到档案著录项目上，可能会影响文件的组织、安排和维护方式，进而影响文件管理人员收集文件、应用智能和访问控制以及执行处置规则的方式。应用区块链技术还会对档案学研究和学科整合带来新的挑战，档案工作者需要学习新的技术。

NARA认为应用区块链技术对电子文件档案馆不仅可能带来风险，也可能带来机遇，如区块链技术对真实性所带来的机遇，可以解决数字文件真实性面临的挑战。新技术的出现，风险需要随着时间慢慢显现，目前识别评估的风险还不完善，NARA也正在推进相应的研究，以及时提出策略应对新技术风险。

3.2 数据完整性风险应对

为确保数据的完整性，NARA认为：（1）应对所有移交的文件进行编目，并记录所有输入事件的结果，以及所有后期生命周期中的管理过程，如格式转换、文件迁移和审计等。（2）系统必须包括恶意软件扫描和检查文件固定度的过程。检查文件固定度指确认文件状态是否被更改。（3）将内容从物理介质上复制下来，包括编写拦截器，防止物理介质上的内容意外损坏。（4）对保存库中存储的所有原生数字电子文件和数字代理进行年度抽样审计，包括定期检查。（5）修复和/或替换存在固定问题的文件。（6）对日志执行季度审计，以验证保存库中的文件是否随着时间的推移保持不变和未被破坏。（7）对包含NARA合法保管的永久文件载体进行年度抽样审计。（8）对于包含有永久性保管文件的载体，如果其使用年限达到10年，应把文件复制到经过测试和验证的新电子载体上。

3.3 格式和媒体可持续性风险应对

2020年6月，NARA发布《数字保存框架》，提出美国数字文件的进程正在加速，并且即将实现全数字化转型。在此过程中，数字文件的格式建设是非常重要的一项基础建设工作。2018年，美国NARA需求工作小组发布《通用电子文件管理需求》[6]，为机构现有的业务部门管理电子文件提供标准，帮助软件供应商决定他们电子文件管理系统工具的功能，以及帮助机构识别他们需要的最佳工具。需求标准中对14种数字文件格式的迁移需求进行了明确，包括CAD文件、数字音频文件、数字电影文件、数字视频文件、数字图像文件、扫描文本文件、数字海报文件、数字地理空间文件、演示文稿、文本数据文件、结构化数据文件、电子邮件、网页文件等。每一类文件的格式均设置首选与可接收的格式进行需求陈述，同时首选或可接收格式不局限于某一种特定类型。对于扫描类文件需求，标准提供了具体的参数设置要求，对结构化数据的移交进一步进行了描述，以确保移交时形式的统一，同时也是为了能够符合数据的合法性要求。网页文件由于其特殊性，需求更为详尽，重点强调了网页文件移交完整性的需求。

在《数字保存框架》中NARA针对其档案馆过去几十年接收的多种格式，创建了数字文件长久保存格式的风险优先级矩阵，对长久保存格式进行了风险识别和风险应对。NARA的格式风险评估充分考虑到格式的可持续性因素，从格式的开放性、透明性、自我描述性、许可和专利、加密和权限管理、外部依赖性、格式年龄等多个维度进行评估，对大量格式风险分析后确定了首选和可接收的数字文件长久保存格式[7]，形成了科学的格式需求标准。

数字文件长久保存格式对技术的依赖性非常强，技术更新迭代会使得格式时刻面临新的风险，因此在需求标准中推荐的格式或可接收格式也并不会一成不变，这就需要定期对已有的格式进行风险审查，及时识别和评估其风险状态。同时数字时代，新的数字文件格式也在不断涌现，要实现长久保存，新格式的出现也需要不断识别风险，更新格式需求标准。只有建立对现有格式定期审查、对新出现格式及时评估更新的机制，才能确保始终以最优的格式应用于数字文件长久保存，降低数字文件长久保存风险，有效应对风险。

4 启示

对ERA在管理层面、技术层面和数字档案资源管理层面上风险管理进行综合分析，可以发现如下要点。

第一，从美国NARA的风险管理顶层设计看，NARA对数字档案馆的管理有明确的目标和导向，制定了《数字战略规划2018—2022》；从法律法规标准的制定情况看，NARA具备完善的法律法规标准体系，以及配套的指南，全方位规范数字档案馆的管理并给予指导，并且针对风险管理也制定了相关配套的法律法规。NARA数字档案馆建设战略目标清晰，建立了完善的风险管理流程，风险管理覆盖数字档案全生命周期，风险管理人员角色和职责体系非常完善。基于以上措施，可能影响到战略目标实现的各类风险已基本能够识别，并能够通过法律法规标准等进行应对，减轻风险或规避风险。

第二，从NARA ERA技术层面看，ERA基础设施建设包括用于开发、测试、运行、监控、管理和/或支持信息技术服务的硬件、软件、网络、存储、相关设备设施和针对ERA的存储设施，非常重视存储容量、系统和攻击的选择等，并且定期审查和更新为满足业务需要而开发或采购的系统和设施。特别是在备份时，选择了不同的存储环境、不同的存储载体等，以减轻风险。同时，对于新技术的出现，NARA能够及时针对新技术开展风险评估，制定指南指导组织机构合理应用新技术，积极把握新技术带来的机遇，避免风险。

第三，为实现数字档案馆建设目标，ERA非常重视数字档案资源层面风险。数字档案资源的长久保存风险作为风险管理的重要内容进行专门研究，如长久保存格式风险优先级矩阵，是数字保存的重要有机组成部分，为数字档案资源的格式需求提供了优先级参考，有助于机构和数字档案馆规避风险。同时，NARA对元数据标准也进行了规范，指定关于每个数字对象的持久数字标识符和文件保存元数据。保存元数据时，应确保必要的上下文、管理、描述和技术信息与数字对象一起保存，这样就确保了数字档案资源的真实性、完整性、可靠性和可用性。

应当认识到，美国NARA电子文件档案馆风险管理还存在以下不足，即风险管理方案更新不及时、风险管理与数字档案馆的集成还需要进一步加强、隐私风险应对研究还不够充分。

ERA风险管理经验为我国数字档案馆风险管理提供了实践经验，具有如下启示。首先，数字档案馆的建设应从顶层战略规划加以明确，细化法律法规标准。目前我国数字档案馆建设总体上遵循国家档案局《数字档案馆建设指南》《数字档案馆系统测试办法》《档案馆安全风险评估指标体系》，符合我国数字档案馆风险管理的基本要求，从一定程度上确保数字档案馆风险管理的法规遵循性，未来还需进一步将风险管理纳入组织发展顶层战略，遵循国际标准，制定专门的风险管理指南，以指导档案机构开展风险评估。

其次，我国数字档案馆建设过程中对安全风险较为重视，其他风险管理还需要进一步加强。虽然已对照国家档案局制定的《数字档案馆系统测试办法》和《档案馆安全风险评估指标体系》，建设了安全保障体系，但数字档案馆本身是人工系统，管理具有复杂性，除了安全风险外，还有技术风险、资源长久保存方面风险、隐私风险等，随着我国数字档案馆建设的不断深入，还应充分评估各方面风险，尤其是及时跟踪前沿技术，开展风险管理。云计算、大数据、区块链等新技术带来的机遇与挑战，为档案机构应对新技术风险提供及时指导，将风险控制在前端并开展充分的风险识别和评估。

再次，加强数字档案馆项目中国产自主可控格式开发与应用。按照我国软硬件自主可控替代政策要求，需实现数字档案馆软硬件设备的国产自主可控。目前针对文件存储格式，我国已经使用自主研发的版式文件，并发布一系列标准来替代PDF格式标准，作为归档的主要格式。但是对于无法用版式文件归档的数字文件格式而言，仍然存在不可控的风险，需要加快自主研发替代，避免受制于人，防范我国数字文件乃至数字资产、数字遗产的丢失。

最后，我国还应加强与其他国家档案馆之间的风险管理信息的共享和沟通，积极参与到各个国家和地区、国际数字保存机构等的研究活动中，分享信息和经验，寻找指导和合作，帮助识别出更多正在出现的风险，持续改进项目，加强与信息技术部门的沟通，确保信息技术部门能够在伴随着新技术和系统应用的情况下，及时加深对数字对象保存需求的理解，能够在最短的时间内应对识别的风险，同时也可以推进数字档案馆风险管理的整体进程。