论文部分内容阅读
摘要:采用资产管理视角研究数字科研档案管理,通过典型案例研究方法深入分析了英国数据资产框架DAF(data asset framework, DAF)的最佳实践经验,在此基础上提出了对我国数字科研档案资产管理的主要借鉴及加强我国数字科研档案有效管理的建议。
关键词:数字科研档案科研档案管理资产管理
一、引言
ISO/IEC 27000:2012中对资产的定义是:对组织机构有价值的任何事物。包括信息、软件、硬件、服务、人员及其技能知识和无形的名声等。[1]科研档案是科研人员的劳动成果和智慧结晶,是反映科学研究活动的真实记录,是重要的科研信息资源储备形式。它是组织机构的重要经济资源,具有明显的资产属性。在信息化背景下,采用资产管理视角研究数字科研档案管理具有重要意义。从理论上看,便于发现数字档案价值的动态变化规律,适应性地保存有价值的科研档案,防止资产的流失,为数字科研档案的流向和归属提供理论依据。从实践上看,资产管理有利于充分发挥信息技术带来的信息化管理优势,将有价值的数字科研档案捕获登记,利用数字化管理平台对数字科研档案资产进行全程化管理和审计跟踪。这样不仅可以提高机构的科研档案管理效率,还可以实现数字科研档案资产的升值、保值和增值,使其价值得到最大化实现。
在国外,数字科研档案的存在形式多种多样,在当前数字化环境中,其最主要的存在形式是数据。国外采用大文件概念,科研文件的概念包括科研档案,科研档案仅是其中需要永久保存部分[2]。目前国内也有学者开始重视对科研文件的管理。有的从科研文件管理法规角度分析,得出我国在科研档案管理方面出台的标准规范比较少,科研计划项目档案管理方面的规范为空白的结论,揭示出我国科研档案管理不佳的现状[3]。面对国家层面科研档案管理制度缺失的现状,也有学者借鉴国外科研档案管理模式,构建了我国科研档案管理模型,并提出综合集成管理的解决方案[4],但研究中仍缺少专门针对数字科研档案有效管理的具体实践方案。本文旨在分析国外数字科研档案资产管理最佳实践经验的基础上,提出加强我国数字科研档案有效管理的建议。
二、英国数据资产管理框架案例分析
选择英国数据资产框架(data asset framework, DAF)作为典型案例研究的理由是,它不仅提出了数据资产管理的整套方法论体系,还开发了具体的管理工具,应用广泛,积累了一定的实践经验,对数字档案资产管理实践具有一定的示范性。数据资产框架的核心是数据审计框架,数据审计框架是DAFD(Data Audit Framework Development)项目的研究成果。DAFD项目(2008.4.1-2008.9.30)是JISC(Joint Information Sys? tems Committee)仓储项目(Repositories Pro? gramme)的子项目,由格拉斯哥大学(University of Glasgow)的HATII(The Humanities Advanced Technol? ogy and Information Institute)主持,在DCC(Digital Cu? ration Center)协助下开展[5]。数据审计对数据资产进行审查,审计结果保存在管理工具的一个组件寄存器中,寄存器中存储数据资产清单,登陆寄存器就可以利用数据资产。
(一)数据资产框架研究方法及工具
英国数据资产框架的主体是高等教育机构科研部门的领导及研究者,其客体是高等教育机构产生的科研档案。它主要采用的研究方法是结构性访谈和问卷调查,主要工具是资产审计软件[6]。问卷调查是通过机构相关人员了解数据资产基本情况的有效方式,而访谈可以获得更为详细的信息。调查问卷主要包括两方面:一是个人信息,二是科研及科研数据具体信息,如数据类型、数据大小、数据所有权、数据重要程度、数据保管期限、是否经常更新、备份、是否有数据专门保管人以及是否制定正式数据资产管理计划等。访谈主要包括五个方面:研究中会产生哪些数字化资料?这些资料如何产生并保管?在管理过程中曾遇到哪些问题?所在单位的电子文件管理现状与需求如何?数字化资源管理及服务有哪些要求?
开发的数据资产审计软件主要包含两个元素:一个是关于数据资产政策及管理实践的问卷调查;另一个是数据资产登记簿,每条数据资产记录都包括内容、技术及获取三方面信息[7]。
(二)数据审计框架具体实施流程
数据审计框架是一种适用于各种类型机构及其数据的自审计方法。ISO/IEC 27034-1:2011中对审计的定义是:获取证据并客观地评估以确定其测量指标达到要求的符合程度的系统的、证明性过程[8]。本文中数据审计正是对数据资产的一种客观评估的过程,也是数据资产管理的有效手段和工具。它的具体内容及实施流程如表1所示。
(三)数据审计框架审计指标及指标间关系
数据审计框架的审计指标主要体现在表1中提到的三张表:Form1,Form2,Form3。这里的指标名称主要基于ISO15836都柏林核心元素集以及机构的具体实际[9]。
Form1是在机构同意审计后,对其审计部门进行前期调研后形成的简要信息表,其内容主要由审计人填写。Form1主要涉及三个类别信息:审计单位基本情况、数据管理基本情况和审计活动基本情况,其中“数据管理基本情况”主要是了解审计单位宏观层面的数据管理,包括法律依据、管理责任人及管理预算,从而获得机构数据管理的规范程度,问责制度及投入成本信息。
Form2主要是针对数据资产而制定,在初步了解审计单位所有文档后开始填写,并根据访谈和问卷答案完成,其主要目的是罗列审计单位数据资产并将其分类,主要记录资产的基本内容,管理人员及资产地址,从而便于迅速定位,了解档案资产内容。此外资产分类依据主要有三点:利用率越高,更新频率越高,对外提供服务能力越高的数据资产价值越大。利用率高表示其对机构现有研究很有作用,更新频率高表示数据资产在不断完善,对外提供服务能力高表示数据资产影响力很大。在Form2中十分重要的数据资产,还需通过访谈其相关责任人进一步了解其管理状况,并根据访谈答案完成Form3。
Form3中的指标主要涉及六大类问题:what, why, who, where, when, how,即数据资产是什么,为什么要管,由谁管,在哪儿管,管到什么时候和怎么管。回答数据资产是什么的问题:主要是为了获取数据资产的基本信息,如名称、数据类型、摘要、拥有者等;回答数据资产为什么要管的问题:主要是获取数据资产的原始背景信息,如来源,利用频率和产生原因等;回答数据资产由谁管的问题:主要获取数据资产所有权信息,如创建者,管理者,用户权限信息等。获得这些信息有重要作用:数据资产形成者、主题、生成日期及使用权限,这些是重复利用数据资产的关键信息;数据资产原始目的、来源及使用频率是背景内容信息,有助于帮助机构确认资产价值,比如数据使用和更新频率越高,价值越大;数据来源在某些领域可能十分关键,如考古学和表演艺术这类无法再生的事物,收集这方面的信息有助于找出管理中的薄弱环节;回答数据资产在哪儿管的问题:主要获取数据资产的存储地址;回答数据资产管到什么时候的问题:主要获取数据资产的保管期限和备份归档等保管信息,这两类信息有助于明确机构数据管理的规范程度。回答数据资产怎么管的问题:主要获取数据资产技术信息,如文件类型,数据资产管理软硬件平台要求及其管理成本,数据类型和格式将揭示保管的复杂性,管理成本有助于揭示其管理现状。它们是数据资产管理这个大系统中的组成元素,互相配合以完整地审计单位的数据资产管理情况,并根据审计结果提出改进单位数据资产管理的具体解决方案。
在数据审计框架完成后,JISC又资助了四个试点项目对上述审计框架进行测试和宣传,各机构在审计完成后分别以测试报告的方式提交了反馈信息[10]。项目组随后根据测试结果开发了数据审计软件。数据审计框架于2008年10月1日在英国科学院(British Academy)召开新闻发布会,宣布正式投入使用。这在数据管理领域引起了广泛讨论,主要是考虑如何把这个工具嵌入到机构现有科研工作流程以及对科研工作者的培训中。该数据审计框架的应用对象为办公室人员、档案人员、图书管理员、计算机人员和科研人员,应用最多的领域为英国高等教育机构的科研档案管理。
三、英国数据资产框架对我国的主要借鉴
(一)主要借鉴
1.数据资产框架构建了一整套数字资产审计制度,可以防止数字科研档案资产的流失。审计框架规定了审计的必须条款,这些条款明确了审计的内容,并使其制度化。它有助于鉴定机构科研档案的重要程度,定位机构所有数据资产,统计机构所拥有的数据资产总量,同时数据资产的创建人及管理人员信息都进入审计软件,便于明确档案资产的所有权关系,从而建立有效的问责制度,防止档案资产的流失。
2.数据资产框架建立了数字科研档案风险管理的机制。机构内数字科研档案资产的主要风险在于管理和利用。该项目组通过访谈和调查问卷方法调查机构人员,从而获得机构数据管理信息,这两种方法简单易行,能够有效找出机构数据管理存在的问题;机构人员的利用不善会导致数字科研档案资产的泄露,侵犯相关责任人的知识产权,而数据资产框架的全程审计制度,能够建立有效的问责制度。风险管理的关键在于掌握信息。数据审计框架能够提供数据资产信息,可能影响数据资产管理和利用的信息,并分析可能发生的事故以及这些风险之间的联系。由此,机构可以制定有效政策来预防并控制这些风险。
3.数据资产框架提供了数字科研档案高效管理的信息技术手段,开发并应用审计软件可以促进数据的获取和利用。数据审计软件工具是一个存储数据资产并提供共享的平台。数据审计可以了解数据的价值并鉴定其利用状态,从而起到使数据升值的功能,促进其利用。这样,研究者们对他人的成果有所了解,有助于合作研究。与此同时审计软件(寄存器)还对数据具有长期保存的功能,有利于数据的长期获取,并有助于研究者们进行纵向比较研究。数据的有效获取及长期利用,有利于提升研究单位的研究地位。
(二)关于加强我国数字科研档案资产管理的建议
借鉴英国数据资产框架实践,数字科研档案资产管理的核心在于对数字科研档案建立审计管理制度和风险管理机制并采用信息化管理手段实现高效管理。笔者据此提出我国数字科研档案资产管理的建议方案如图1所示:
首先,成立一个数字科研档案资产管理联盟组织,成员至少包括科研人员、科研管理人员、档案人员和信息技术人员。这个资产管理联盟可以是组织内部常设机构或临时新组织,也可以是由外部专业人员组成的临时性组织。
其次,选取特定的研究机构,比如大学作为研究对象,通过前期访谈,调查问卷等方法来了解其机构数字科研档案的管理情况,然后根据调查结果构建一个类似于数据审计框架的数字科研档案审计模型,主要包括两项预期成果,一个是数字科研档案资产清单,另一个是数字科研档案管理报告。
再次,选取三到四个科研机构,对审计模型进行试点实验。根据被审计单位试验的结果,审计组织内技术人员开发并改进科研档案审计软件,审计软件主要包括两个组件,一个是审计问卷,另一个是寄存器,寄存器主要用来存储数字科研档案资产审计信息,以提供数字科研档案共享和利用的功能。
最后,数字科研档案资产管理联盟组织将功能成熟的审计软件投入推广应用,并根据科研机构应用反馈,不断改进,从而实现科研机构数字科研档案的有效管理。
*本文为中国人民大学研究品牌项目(项目批准号:10XNI01)的研究成果之一。
注释:
[1] ISO/IEC 27000:2012 Information technology—Security techniques—Information security management [2]安小米.国外科研文件和档案管理研究[J].北京档案,2007(5):40-41.
[3]王新才,陈荷艳.国家科技计划项目档案管理标准规范建设思考[J].档案学通讯,2013(2):84-88.
[4]安小米.面向知识管理的国家科研项目文件管理体系:模式分析与模型构建[J].图书情报工作,2011(14): 97-102.
[5] DAFD final report[R]. (2009-1-15)[2013-10-11]. http://www.data-audit.eu/docs/DAFDfinalreport.pdf.
[6] DAF Implementation Guide, (2009- 10) [2013-10-11]
http://www.data-audit.eu/docs/DAF_Implementa? tion_Guide.pdf.
[7] Online tool [DB/OL]. [2013- 10- 11]. http:// www.data-audit.eu/tool.
systems—Overview and vocabulary[S].]https://www. iso.org/obp/ui/#iso:std:iso-iec:27000:ed-2:v1:en:term:2.4.
[8] ISO/IEC 27034- 1:2011 Information technolo? gy—Security techniques—Application security—Part 1: Overview and concepts[S]. https://www.iso.org/obp/ui/#iso:std:iso-iec:27034:-1:ed-1:v1:en:term:3.11.
[9] Jones, S., Ross, S., and Ruusalepp, R., Data Audit Framework Methodology, draft for discussion, version 1.8,(2009-5-16)[2013-10-11]. http://www.data-audit.eu/ DAF_Methodology.pdf.
[10] DAF lessons learned, 2008.[2013-10-11]. http:// www.data-audit.eu/docs/DAF_lessons_learned.pdf.
作者单位:中国人民大学信息资源管理学院
关键词:数字科研档案科研档案管理资产管理
一、引言
ISO/IEC 27000:2012中对资产的定义是:对组织机构有价值的任何事物。包括信息、软件、硬件、服务、人员及其技能知识和无形的名声等。[1]科研档案是科研人员的劳动成果和智慧结晶,是反映科学研究活动的真实记录,是重要的科研信息资源储备形式。它是组织机构的重要经济资源,具有明显的资产属性。在信息化背景下,采用资产管理视角研究数字科研档案管理具有重要意义。从理论上看,便于发现数字档案价值的动态变化规律,适应性地保存有价值的科研档案,防止资产的流失,为数字科研档案的流向和归属提供理论依据。从实践上看,资产管理有利于充分发挥信息技术带来的信息化管理优势,将有价值的数字科研档案捕获登记,利用数字化管理平台对数字科研档案资产进行全程化管理和审计跟踪。这样不仅可以提高机构的科研档案管理效率,还可以实现数字科研档案资产的升值、保值和增值,使其价值得到最大化实现。
在国外,数字科研档案的存在形式多种多样,在当前数字化环境中,其最主要的存在形式是数据。国外采用大文件概念,科研文件的概念包括科研档案,科研档案仅是其中需要永久保存部分[2]。目前国内也有学者开始重视对科研文件的管理。有的从科研文件管理法规角度分析,得出我国在科研档案管理方面出台的标准规范比较少,科研计划项目档案管理方面的规范为空白的结论,揭示出我国科研档案管理不佳的现状[3]。面对国家层面科研档案管理制度缺失的现状,也有学者借鉴国外科研档案管理模式,构建了我国科研档案管理模型,并提出综合集成管理的解决方案[4],但研究中仍缺少专门针对数字科研档案有效管理的具体实践方案。本文旨在分析国外数字科研档案资产管理最佳实践经验的基础上,提出加强我国数字科研档案有效管理的建议。
二、英国数据资产管理框架案例分析
选择英国数据资产框架(data asset framework, DAF)作为典型案例研究的理由是,它不仅提出了数据资产管理的整套方法论体系,还开发了具体的管理工具,应用广泛,积累了一定的实践经验,对数字档案资产管理实践具有一定的示范性。数据资产框架的核心是数据审计框架,数据审计框架是DAFD(Data Audit Framework Development)项目的研究成果。DAFD项目(2008.4.1-2008.9.30)是JISC(Joint Information Sys? tems Committee)仓储项目(Repositories Pro? gramme)的子项目,由格拉斯哥大学(University of Glasgow)的HATII(The Humanities Advanced Technol? ogy and Information Institute)主持,在DCC(Digital Cu? ration Center)协助下开展[5]。数据审计对数据资产进行审查,审计结果保存在管理工具的一个组件寄存器中,寄存器中存储数据资产清单,登陆寄存器就可以利用数据资产。
(一)数据资产框架研究方法及工具
英国数据资产框架的主体是高等教育机构科研部门的领导及研究者,其客体是高等教育机构产生的科研档案。它主要采用的研究方法是结构性访谈和问卷调查,主要工具是资产审计软件[6]。问卷调查是通过机构相关人员了解数据资产基本情况的有效方式,而访谈可以获得更为详细的信息。调查问卷主要包括两方面:一是个人信息,二是科研及科研数据具体信息,如数据类型、数据大小、数据所有权、数据重要程度、数据保管期限、是否经常更新、备份、是否有数据专门保管人以及是否制定正式数据资产管理计划等。访谈主要包括五个方面:研究中会产生哪些数字化资料?这些资料如何产生并保管?在管理过程中曾遇到哪些问题?所在单位的电子文件管理现状与需求如何?数字化资源管理及服务有哪些要求?
开发的数据资产审计软件主要包含两个元素:一个是关于数据资产政策及管理实践的问卷调查;另一个是数据资产登记簿,每条数据资产记录都包括内容、技术及获取三方面信息[7]。
(二)数据审计框架具体实施流程
数据审计框架是一种适用于各种类型机构及其数据的自审计方法。ISO/IEC 27034-1:2011中对审计的定义是:获取证据并客观地评估以确定其测量指标达到要求的符合程度的系统的、证明性过程[8]。本文中数据审计正是对数据资产的一种客观评估的过程,也是数据资产管理的有效手段和工具。它的具体内容及实施流程如表1所示。
(三)数据审计框架审计指标及指标间关系
数据审计框架的审计指标主要体现在表1中提到的三张表:Form1,Form2,Form3。这里的指标名称主要基于ISO15836都柏林核心元素集以及机构的具体实际[9]。
Form1是在机构同意审计后,对其审计部门进行前期调研后形成的简要信息表,其内容主要由审计人填写。Form1主要涉及三个类别信息:审计单位基本情况、数据管理基本情况和审计活动基本情况,其中“数据管理基本情况”主要是了解审计单位宏观层面的数据管理,包括法律依据、管理责任人及管理预算,从而获得机构数据管理的规范程度,问责制度及投入成本信息。
Form2主要是针对数据资产而制定,在初步了解审计单位所有文档后开始填写,并根据访谈和问卷答案完成,其主要目的是罗列审计单位数据资产并将其分类,主要记录资产的基本内容,管理人员及资产地址,从而便于迅速定位,了解档案资产内容。此外资产分类依据主要有三点:利用率越高,更新频率越高,对外提供服务能力越高的数据资产价值越大。利用率高表示其对机构现有研究很有作用,更新频率高表示数据资产在不断完善,对外提供服务能力高表示数据资产影响力很大。在Form2中十分重要的数据资产,还需通过访谈其相关责任人进一步了解其管理状况,并根据访谈答案完成Form3。
Form3中的指标主要涉及六大类问题:what, why, who, where, when, how,即数据资产是什么,为什么要管,由谁管,在哪儿管,管到什么时候和怎么管。回答数据资产是什么的问题:主要是为了获取数据资产的基本信息,如名称、数据类型、摘要、拥有者等;回答数据资产为什么要管的问题:主要是获取数据资产的原始背景信息,如来源,利用频率和产生原因等;回答数据资产由谁管的问题:主要获取数据资产所有权信息,如创建者,管理者,用户权限信息等。获得这些信息有重要作用:数据资产形成者、主题、生成日期及使用权限,这些是重复利用数据资产的关键信息;数据资产原始目的、来源及使用频率是背景内容信息,有助于帮助机构确认资产价值,比如数据使用和更新频率越高,价值越大;数据来源在某些领域可能十分关键,如考古学和表演艺术这类无法再生的事物,收集这方面的信息有助于找出管理中的薄弱环节;回答数据资产在哪儿管的问题:主要获取数据资产的存储地址;回答数据资产管到什么时候的问题:主要获取数据资产的保管期限和备份归档等保管信息,这两类信息有助于明确机构数据管理的规范程度。回答数据资产怎么管的问题:主要获取数据资产技术信息,如文件类型,数据资产管理软硬件平台要求及其管理成本,数据类型和格式将揭示保管的复杂性,管理成本有助于揭示其管理现状。它们是数据资产管理这个大系统中的组成元素,互相配合以完整地审计单位的数据资产管理情况,并根据审计结果提出改进单位数据资产管理的具体解决方案。
在数据审计框架完成后,JISC又资助了四个试点项目对上述审计框架进行测试和宣传,各机构在审计完成后分别以测试报告的方式提交了反馈信息[10]。项目组随后根据测试结果开发了数据审计软件。数据审计框架于2008年10月1日在英国科学院(British Academy)召开新闻发布会,宣布正式投入使用。这在数据管理领域引起了广泛讨论,主要是考虑如何把这个工具嵌入到机构现有科研工作流程以及对科研工作者的培训中。该数据审计框架的应用对象为办公室人员、档案人员、图书管理员、计算机人员和科研人员,应用最多的领域为英国高等教育机构的科研档案管理。
三、英国数据资产框架对我国的主要借鉴
(一)主要借鉴
1.数据资产框架构建了一整套数字资产审计制度,可以防止数字科研档案资产的流失。审计框架规定了审计的必须条款,这些条款明确了审计的内容,并使其制度化。它有助于鉴定机构科研档案的重要程度,定位机构所有数据资产,统计机构所拥有的数据资产总量,同时数据资产的创建人及管理人员信息都进入审计软件,便于明确档案资产的所有权关系,从而建立有效的问责制度,防止档案资产的流失。
2.数据资产框架建立了数字科研档案风险管理的机制。机构内数字科研档案资产的主要风险在于管理和利用。该项目组通过访谈和调查问卷方法调查机构人员,从而获得机构数据管理信息,这两种方法简单易行,能够有效找出机构数据管理存在的问题;机构人员的利用不善会导致数字科研档案资产的泄露,侵犯相关责任人的知识产权,而数据资产框架的全程审计制度,能够建立有效的问责制度。风险管理的关键在于掌握信息。数据审计框架能够提供数据资产信息,可能影响数据资产管理和利用的信息,并分析可能发生的事故以及这些风险之间的联系。由此,机构可以制定有效政策来预防并控制这些风险。
3.数据资产框架提供了数字科研档案高效管理的信息技术手段,开发并应用审计软件可以促进数据的获取和利用。数据审计软件工具是一个存储数据资产并提供共享的平台。数据审计可以了解数据的价值并鉴定其利用状态,从而起到使数据升值的功能,促进其利用。这样,研究者们对他人的成果有所了解,有助于合作研究。与此同时审计软件(寄存器)还对数据具有长期保存的功能,有利于数据的长期获取,并有助于研究者们进行纵向比较研究。数据的有效获取及长期利用,有利于提升研究单位的研究地位。
(二)关于加强我国数字科研档案资产管理的建议
借鉴英国数据资产框架实践,数字科研档案资产管理的核心在于对数字科研档案建立审计管理制度和风险管理机制并采用信息化管理手段实现高效管理。笔者据此提出我国数字科研档案资产管理的建议方案如图1所示:
首先,成立一个数字科研档案资产管理联盟组织,成员至少包括科研人员、科研管理人员、档案人员和信息技术人员。这个资产管理联盟可以是组织内部常设机构或临时新组织,也可以是由外部专业人员组成的临时性组织。
其次,选取特定的研究机构,比如大学作为研究对象,通过前期访谈,调查问卷等方法来了解其机构数字科研档案的管理情况,然后根据调查结果构建一个类似于数据审计框架的数字科研档案审计模型,主要包括两项预期成果,一个是数字科研档案资产清单,另一个是数字科研档案管理报告。
再次,选取三到四个科研机构,对审计模型进行试点实验。根据被审计单位试验的结果,审计组织内技术人员开发并改进科研档案审计软件,审计软件主要包括两个组件,一个是审计问卷,另一个是寄存器,寄存器主要用来存储数字科研档案资产审计信息,以提供数字科研档案共享和利用的功能。
最后,数字科研档案资产管理联盟组织将功能成熟的审计软件投入推广应用,并根据科研机构应用反馈,不断改进,从而实现科研机构数字科研档案的有效管理。
*本文为中国人民大学研究品牌项目(项目批准号:10XNI01)的研究成果之一。
注释:
[1] ISO/IEC 27000:2012 Information technology—Security techniques—Information security management [2]安小米.国外科研文件和档案管理研究[J].北京档案,2007(5):40-41.
[3]王新才,陈荷艳.国家科技计划项目档案管理标准规范建设思考[J].档案学通讯,2013(2):84-88.
[4]安小米.面向知识管理的国家科研项目文件管理体系:模式分析与模型构建[J].图书情报工作,2011(14): 97-102.
[5] DAFD final report[R]. (2009-1-15)[2013-10-11]. http://www.data-audit.eu/docs/DAFDfinalreport.pdf.
[6] DAF Implementation Guide, (2009- 10) [2013-10-11]
http://www.data-audit.eu/docs/DAF_Implementa? tion_Guide.pdf.
[7] Online tool [DB/OL]. [2013- 10- 11]. http:// www.data-audit.eu/tool.
systems—Overview and vocabulary[S].]https://www. iso.org/obp/ui/#iso:std:iso-iec:27000:ed-2:v1:en:term:2.4.
[8] ISO/IEC 27034- 1:2011 Information technolo? gy—Security techniques—Application security—Part 1: Overview and concepts[S]. https://www.iso.org/obp/ui/#iso:std:iso-iec:27034:-1:ed-1:v1:en:term:3.11.
[9] Jones, S., Ross, S., and Ruusalepp, R., Data Audit Framework Methodology, draft for discussion, version 1.8,(2009-5-16)[2013-10-11]. http://www.data-audit.eu/ DAF_Methodology.pdf.
[10] DAF lessons learned, 2008.[2013-10-11]. http:// www.data-audit.eu/docs/DAF_lessons_learned.pdf.
作者单位:中国人民大学信息资源管理学院