近來，由於企業競爭激烈，企業營運內部資料洩密事件層出不窮，導致企業在經營上蒙受很大的損失。因此近幾年來，資安議題開始在企業間萌芽，大家期望因資安的強化，能為企業帶來競爭力的保障。

而在企業文件的保全上，也從以往簡單的"集中管理"的觀念，開始慢慢延伸到Content的保護。簡而言之，就是『如何讓使用者在適當的時間，拿到適當的文件，做適當的運用』的觀念。

然而文件控管的成效往往與企業投入成本有密切的關係，如果要控管的面面俱到，勢必企業需要花費的成本會大幅提昇。因此，企業在文件數位化的過程中，為做最有效益的成本控制，不得不選擇忽略某些特定的風險。

從企業的觀點，該如何在企業文件數位化時，採取最有效益的方案來選擇所該趨避的風險，這裡我們以BS 7799-2:2002為出發點，來探討企業文件數位化時，資安風險的考量與方案的執行步驟。

第一、企業在衡量文件數位化風險時，應先了解，自己企業的核心價值。這些核心價值，若透過文件洩密而外流，絕對會造成非常大的傷害。企業在做文件數位化時，往往會發生過與不及的問題。何謂太過呢？用簡單的方式來說，就是企業本身的核心價值與競爭力，並不存在那些文件上，不過卻花了大筆的費用來做這部份文件的管理，造成這些無謂的風險防範耗去太多管理資源。

而不及的問題則在於，企業的核心競爭力與價值的部份已將其書面化，但卻忽略掉這些文件的重要性與外流的潛在風險，而沒去做適當的防範。或因對企業核心價值的判斷錯誤並礙於成本的考量，而去放棄控管一些已知的風險……等等。

當企業不了解自己數位化的重心與目的為何，往往會造成文件數位化的方向與重心跟著偏頗。因此建議企業在做文件數位化時，第一步先釐清一下企業本身的核心價值。

第二、當了解自己的核心價值時，緊接著必須確認文件數位化的範圍。明確定義企業文件數位化的範圍，可以讓企業清楚的了解，預計的資安管控目標與預期效益。透過核心價值與企業文件影響性的評估，有助於企業在做文件e化的過程中，將有限的資源，放在最重要的文管對策上。

第三、透過文件重要性分類的程序，界定出預計數位化的各類文件的影響性(impact)。這裡我們用impact的原因在於，我們希望區分出其重要性的優先順序，針對其重要性分類給予不同程度的控管。不同類別的文件在執行數位化過程中，適當的控管方式可能會有所不同。也不見得所有的文件都需要控管的像機密文件一樣嚴格，太過的控管只會造成成本無限制的增加。因此我們建議企業針對文件性質，做文件影響性的適當分類。

第四、針對各類別文件來計算其數位化列管之風險性。一般企業文件在使用上，會因使用對象的不同，而造成不一樣的風險。因此做出文件分類的風險評估即成為文件數位化時應衡量的風險控制項目之一。

第五、決定各類文件的控制程度。此點對應到BS 7799，相當於採取適當的控制項目。不過這裡建議用文件數位化的實務觀點來看，例如去界定文件該控管到何種程度或文件的流程該如何規劃……等。也就是說各類文件有各類的控制要求，必須清楚去制定出來。所以到了這階段，我們可以很清楚的知道這些文件的管理要求，如那些文件可以讓User使用，那些可以讓他們自由列印，那些會經過完整的簽核流程……等等。

到了第五項後，可大致了解公司文件數位化的基本需求，同時也能釐清企業文件的數位化管理需求。了解這些項目後，我們就能去做對應的數位化流程與系統評估，並依歸納出的數位化執行要點去選擇可滿足上述文件e化評估預期效益的最佳文件管理系統。

用適當的經費，做最重要及有效的事，是在文件數位化過程中，一項很重要的基本原則。資安的防範範圍是沒有上限，如果在防範範圍與經費都沒有明確的界定下，開始投入進行數位化的資安防範，只會造成成本的無限擴張，到最後換來專案的中止與失敗。因此如何藉由適當的風險評估要點及執行步驟，協助企業作最有效的數位化投資，絕對是追求良好績效的資訊人與文件管理中心人員所需要花心力去衡量的重要工作。