国家标准项目《信息与文献 文件（档案）风险 文件（档案）管理的风险评估》由 TC4（全国信息与文献标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国人民大学 、国家档案局 、武汉大学 、核电运行研究（上海）有限公司 、成都市档案馆 、中广核工程有限公司 、故宫博物院 、国家档案局档案科学技术研究所 、中国标准化研究院 、重庆大学 、蜀道投资集团有限责任公司 、天津师范大学 。

本标准等同采用ISO国际标准：ISO 18128:2024。

采标中文名称:信息与文献 文件（档案）风险 文件（档案）管理的风险评估。

成功的组织能够识别并管理所有业务风险。识别和管理文件过程、控制和系统的风险（即文件风险），是组织内文件管理者的责任。 本文件旨在帮助文件管理者以及在组织内负责文件管理的人员评估其文件风险。 这一任务不同于识别和评估组织的业务风险。对于业务风险，创建和保存适当的文件是一种战略性应对措施。决定是否创建文件以应对一般业务风险属于业务决策，而此类决策应基于文件管理者与业务管理者对组织文件需求的共同分析。本文件的基本前提是，组织已经创建了记录其业务活动的文件，以满足运营及其他需求，并至少建立了基本的机制来系统管理这些文件。 文件风险事件可能导致文件的丢失或损坏，从而使其不再可用、可靠、真实、完整或未被篡改，进而无法满足组织的需求。 本文件基于 ISO 31000 规定的一般风险管理流程，针对文件风险提供指导和示例，包括相关的风险评估工具和技术方法。此外，文件还涵盖了风险评估的核心要素： —风险识别 —风险分析 —风险评估 本文件介绍并解释了 IEC 31010 中适用于文件管理环境的部分技术。 文件风险评估的结果应该纳入组织的整体风险管理框架，从而使组织能够更好地控制文件及其质量，以满足业务需求。 本文件不涉及风险处置。一旦完成文件风险评估，评估结果应记录并传达给组织的风险管理部门。对已评估风险的应对应纳入组织的整体风险管理计划。文件管理者已评估风险的优先级排序将为组织的风险管理决策提供参考依据。 本文件： —提供识别和记录与文件、文件过程、控制和系统相关的风险（即文件风险）的方法； —提供文件风险分析的技术； —提供进行文件风险评估的指南。 本文件旨在帮助组织评估文件风险，以确保文件在需要时能够持续满足已识别的业务需求。 本文件适用于所有组织，无论其规模、活动性质或职能结构的复杂程度。 本文件并不直接涉及风险缓解，因为不同组织的风险缓解方法各有不同。 本文件可供文件管理者或负责组织中文件及文件过程、控制和/或系统的人员使用，也适用于负责组织风险管理项目的审计人员或管理人员。