绪论
本论题研究的背景和意义
过去的几十年中,随着信息技术地迅猛发展,人类的生活发生了翻天覆地的变化。信息技术几乎渗透到了世界各地和人类生活的方方面面。在文件管理领域,信息技术催生了
一种全新的记录形式—电子文件,由此引发了人类记录史上最具革命性的变化。当前,电子文件正以极快的速度和极大的覆盖面逐步替代在全世界通行了数百年的纸质文件而成为主要的记录工具。fil电子文件日益广泛地应用给人们的工作生活带来了极大的便利。然而,人们在享受这些便利的同时,却忽视了电子文件的安全问题,以致电子文件安全事
故频发、灾难不断。看看下面几起典型事件我们就会明白:* 2005年2月25日,美国银行透露,记录了120万名政府雇员数据资料的电脑档案不翼而飞。美国国防部发言人说,失踪的电脑档案中含有120万名政府雇员的社会保险号码、地址和银行户头号码等隐私数据,其中90万人是国防部雇员。(来源:《国际金融
报)) 2005年02月28日)* 2005年6月18日,据万事达公司公布,由于黑客的不断恶意攻击,卡系统公司(CardSystem) 400()多万份公司顾客的信用卡信息和个人资料外泄,成为有史以来最严重的信息安全案件。(来源:《广州日报》2005年6月21日)* 2006年S月22日,美国退伍军人事务部(Department of Veterans Affairs)一台含有
大量敏感信息的笔记本电脑在一个雇员马里兰州的家中被盗,该部所掌握的约2650万名退伍军人的个人身份资料失窃,失窃的资料包括退伍军人及部分家属的姓名、出生日期、社会安全号等个人信息。(来源:中国日报网站2006年5月23日) * 2006年8月5日,美国宇航局爆出惊人消息:共计1.3万盘的人类首次登月原始录像带已经丢失,其中记录两名宇航员登月“关键时刻”的15盘录像带全部丢失。(来源:《北京青年报》2006年8月17日) 2007年11月20日,英国税务及海关总署丢失了两张重要光碟,内含2500万人的
资料。里头记录了英国所有拥有16岁以下孩子的家庭的详细情况,包括他们的姓名、住址、出生年月、国民保险账号及相关的银行账号等。(来源:中国新闻网2007年11月21
日)* 2008年,据调研统计,我国1982年第三次人口普查的原始数据因遭水淹已无法读出,除约1% C 1200万人)的数据异地备份得以留存外,涉及约10亿人口的基础信息荡然
无存。(来源:《电子政务系统中电子文件管理风险分析与对策研究》2008年调研资料)* 2008年1月,国内某社保基金中心,由于服务器的一次系统非正常宕机,致使备份
参考文献
〔”冯惠玲.电子文件风险管理[M].北京:中国人民大学出版社,2008 :1.
[}]何德全.新世纪召唤新的INTERNET安全范式【J].信息安全与通信保密,2001(12).
[3]陈毅恒.风险管理精义【M].北京:中国统计出版社,2006 : 2.
[']GB/T 18894-2002.电子文件归档与管理规范[S].北京:中国标准出版社,2002.
[5]肖英:信息保障及其评价指标应用基础研究[D].武汉:武汉大学,2006.
[B]王萍,王强,王志才.电子档案安全保护措施的局限性及对策研究【J].档案学研
究,2007 (05).
[}]项文新.构建基于信息风险评估的信息安全保障体系必要性研究[J].档案学通
讯,2008 (1).
[8]冯惠玲,王健.电子政务建设中文件管理风险探析[J].中国行政管理,2005 (4) .
[s]柳纯录.信息系统项目管理师教程[[M]。北京:清华大学出版社,2005:582.
[}o]王强:电子档案风险管理研究[D].吉林:吉林大学,2007.
〔‘’〕公安部.公安部2007年全国信息风险安全状况暨计算机病毒疫情调查活〔R].北京:国家
公安部,2007.
n2]公安部.公安部2006年全国信息风险安全状况暨计算机病毒疫情调查活【R].北京:国家
公安部,2006.
[13]宁家骏.信息安全警钟长鸣
[I9]冯惠玲.论电子文件的风险管理【J].档案学通讯,2005 (3) .
[}s]徐拥军.电子文件风险管理的必要性和可行性【J].档案学通讯,2005 (6).
['e]The State of Missouri's Office.Vital Records Forms[EB].:
006-5-26.
[}7]冯惠玲.档案学概论(第二版)[M].北京:中国人民出版社,2006:261.
[ieJ黄霄羽.文件生命周期理论在电子文件时代的修正与发展〔J].档案学研究,2003 (1) .
n9]潘连根.文件与档案研究〔M].安徽:安徽大学出版社,2007 :107108.
[z0J何嘉荪,金更达,叶鹰.文件运动理论模型初探—文件运动理论研究之二【J].档案学
通讯,2004 (1).
[2o刘家真.电子文件管理理论与实践〔M].北京:科学出版社, 2004:94.
}ZZ}GB/T 18894-2002.电子文件归档与管理规范【S].北京:中国标准出版社,2002.
[23J冯登国,张阳,张玉清:信息安全风险评估综述【J].通信学报,2007 (4) .
[29]潘宏伟.基于模糊层次分析法的信息安全风险评估研究【D].南京:南京师范大
学,2007:13.
[25J [26J潘宏伟.基于模糊层次分析法的信息安全风险评估研究〔D].南京:南京师范大
学,2007:13.
[2'J [28]GB/T 20984-2007.信息安全技术信息安全风险评估规范〔S].北京:中国标准出版
社,2007:2.
[}JThomas R. Pettier. Information Security Policies, Procedures, and Standards[M].
USA:
AuerBach Publications,2002:32-89.
[30JGB/T 20984-2007.信息安全技术信息安全风险评估规范[[S].北京:中国标准出版
1绪论::
1 1本论题研究的背景和意义
1 2国内外相关选题研究的现状
1 3本论题的主要创新点~
2电子文件巫需风险评估
2 1电子文件信息安全与风险评估相关概念
211安全与风险
212电子文件信息安全、安全风险、安全事件与风险润
2 2电子文件传统的信息安全管理
2 2 1电子文件信息安全管理发展历史与演变。
222电子文件传统的信息安全管理方案
2 3电子文件传统信息安全管理的弊端~
2 3 1信息安全管理依旧停留在安全保护阶段
232缺乏科学的信息安全管理理论与方法指导
233对信息安全管理的认识存在偏差
234管理环节不完善:一
235缺乏系统性和动态性:l
2 3 6忽视了对安全风险、成本和效率的权衡
2 4电子文件风险评估的必要性与可行性:,
2 4 1电子文件风险评估的必要性
2 4 2电子文件风险评估的可行性一
3电子文件风险评估的理论与方法。
3 1电子文件风险评估的理论支撑:~
3 1 1文件管理理论:~
3 1 2风险评估理论
3 2电子文件风险评估的参照标准
3 2 1《信息技术安全性评估通用标准》。
322《信息安全管理实施准则》
323《信息安全管理体系》:
3 2 4《计算机信息系统安全保护等级划分准则》
3 2 5《信息安全风险评估规范》
326《电子文件归档与管理规范}}
3 3电子文件风险评估的常用方法
3 3 1定性评估方法
3 3 2定量评估方法
333综合评估方法
3 4电子文件风险评估的形式
3 4 1自评估
342委托评估
3 4 3检查评估
4电子文件风险评估的实施
4 1电子文件风险评估的基本要素及其关系
4 2电子文件风险评估的基本流程
4 3电子文件风险评估的实施框架。
4 3 1确定安全需求与目标~
4 3 2风险识别。
4 3 3风险分析~
4 3 4风险决策
5电子文件风险评估实证:
5 1风险评估案例背景介绍~
5 2风险评估的范围、目标及小组
5 3风险评估的具体实施~
5 3 1资产评估
5 3 2威胁、脆弱性评估_
5 3 3风险分析
5 3 4风险决策
6总结与展望
参考文献
致谢
攻读学位期间发表的学术论文目录