文档介绍：IS031000 标准
在档案信息系统风险管理中的应用探讨
天津开发区档案馆马爱华李翠绵
在安全风险管理领域，国际标准化组织（ISO）于2009年11月 发布了一项新的国际标准，即OS031000：风险管理原则与实施指南》。 IS031000秉承了 IS09000、IS014000等广为人知的朴素、普适、严 谨的原则，有效地指导管理实践，是一项各领域通用的风险管理国际 标准，体现了世界范围内的风险管理的最新理论和最佳实践。
IS031000的发布，促使许多国家及国际组织进行了对应的风险管 理标准或规定的修改。中国政府于2009年发布了国家标准GB/T 24353——2009《风险管理原则与实施指南》，作为我国各组织实施风 险管理的最咼级别标准，此标准正是参照ISO 31000编制的。目前, IS031000风险管理标准已在国内部分大型央企与上市公司中应用， 包括中国海洋石油集团、中国五矿集团、中国航天科技集团及中国航 天科工集团等。
在当前档案业界全面推进档案安全体系建设进程中，借鉴并运用 IS031000风险管理标准的理念、原则，建立清晰的档案风险管理体 系架构与过程，应是一种有益的尝试。本文仅从IS031000标准在档 案信息系统风险管理方面的应用进行初步探讨。
1、 IS031000风险管理标准简介
《IS031000：风险管理原则与实施指南》，以澳大利亚和新西兰 风险管理标准《
AS/NZS 4360:2004》为基础，由国际标准组织（ISO） 风险管理技术委员会制订，旨在推进各种机构、组织进行高效风险管 理。该标准适用于任何公共、私有或社会企业、协会、团体或个人， 应用于任何类型的风险的管理。标准提供了通用的指导准则和一般性 指导方针，在应用时需结合各个机构组织的具体应用环境，风险管理 的设计和实施取决于各机构、组织的不同需要、特定目标、范围、组 织结构、产品、服务项目、业务流程和具体操作蔦
IS031000其内容主要包括原则、框架与流程三大部分，描述了 风险管理的原则、框架与风险管理流程之间的关系（图1）,并提供 了风险确认和分析的方法。IS031000认为，全面风险管理是以一种 相容性的、机构化的、增值性的方式来处理风险，它通过风险辨识、 风险分析、风险评价的全过程，来决定这些风险是否需要处理以满足 风险准则2。
实施这一国际标准益处在于：以预防性代替被动型进行管理风 险，变被动为主动；认识到在整个机构内部环境和外部环境中识别风 险和处置风险的必要性；识别造成风险的影响要素，发现薄弱环节， 提高辨识各种风险隐患的水平；有助于风险应对策略的选择；改善事 故管理程序，预防事故发生，在无法避免的事故发生时减少事故损失 等。这些作用同样适用于档案风险管理领域。
尽管过去一段时间在档案业界，为满足不同的需要，已经开展 了相应的风险管理实践，但在一个综合框架内采用一致性过程进行风 险管理的模式尚未形成，而此种模式更加有助于确保在组织内有效、 综合性地管理风险。
IS031000国际标准中所描述的通用方法提供了
在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和 指南3o档案信息系统在应用的全过程中存在多种风险，通过运用 IS031000,有利于建立安全的内部、外部运行环境，预防突发事件的 发生，积极应对突发风险事件，并通过不断的改进，提高整个档案管 理系统和档案管理机构应对风险的能力。采用IS031000标准，可以 改进风险管理的信息沟通，培养风险文化，建立风险偏好，增强风险 意识，提高风险管理技术的水平。
A）创造价值
B）组织流程的整合
授权与承诺
C）制定决策
D）不确定性之表达
风险管理架构
的设计
E）系统化、结构化、及时性
F）最佳信息利用
G）定制化
H）人类与文化考量
I）透明性及兼容性
J）动态的、循环的及回馈的变
K）加强管理与组织持续改善
风险管理原则
持续改善的架构
监督与审查架构◄——
风险管理架构
实施风险管理 ►
图1:风险管理的原则、框架与流程的关系
2、 对标IS031000确立档案信息系统风险管理的原则
风险管理是档案信息资源与档案信息系统风险管理的上位类概 念，根据IS031000中风险管理中原则的确立方法，确定对档案信息 系统风险管理的原则。
3. 3. 1风险管理创造价值
档案信息系统风险管理的目标，要服务于档案管理的总体目标， 与档案安全保障体系的目标一致，即控制环境，降低风险蔦档案信 息系统风险管理，应该有助于建立有效的机制，实现对档案信息系统 风险的识别、评价、预警与控制，提高档案信息化水平，增强核心竞 争力与可持续发展能力。
3. 3. 2风险管理是档案管理全过程的组成部