趙寶強

摘 要：針對涉密檔案利用過程中存在的問題，在對保密管理與涉密檔案管理對比分析的基礎(chǔ)上，提出了將保密管理融入涉密檔案管理的思路，并給出了信息化條件下涉密檔案利用的措施，從而達到既實現(xiàn)涉密檔案的充分利用、又能滿足保密要求的目的。

關(guān)鍵詞：檔案管理；涉密檔案；保密管理；信息技術(shù)

1 引言

涉密檔案是指涉及國家秘密或權(quán)利人商業(yè)秘密的檔案。這類檔案由于對知悉范圍的限制，往往重管輕用，甚至只管不用，使得其價值難以發(fā)揮[1]。另外，管理上的不完善，還可能導致國家秘密或商業(yè)秘密被知悉范圍以外的人員知悉，讓國家安全和利益受損，使權(quán)利人利益損失。為了有效解決上述兩類問題，本文嘗試將保密管理有機融入到涉密檔案管理之中，使涉密檔案在滿足保密管理要求的前提下得到充分的利用，發(fā)揮其應(yīng)有的作用[2]。

2 研究對象

2.1 保密管理的概念。保密管理就是保守秘密，使之不被泄露，其保護的對象是國家秘密或商業(yè)秘密。國家秘密是指關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍人員知悉的事項[3]。商業(yè)秘密是指不為公眾所知悉，能為權(quán)利人帶來經(jīng)濟利益，具有實用性并經(jīng)權(quán)利人采取保密措施的技術(shù)、經(jīng)營信息[4]。國家秘密和商業(yè)秘密的共同點：一都具有秘密性；二都關(guān)系權(quán)利主體特定的利益或權(quán)益；三都必須采取相應(yīng)的保密措施加以保護[5]。同時，兩者又有區(qū)別：一涉及利益不同；二所有權(quán)性質(zhì)不同；三定密主體不同；四確定程序不同；五處置權(quán)限不同[5]。

2.2 涉密檔案管理的概念及分類。涉密檔案管理是指對涉及國家秘密或商業(yè)秘密的檔案的管理和利用。按照國家秘密和商業(yè)秘密的相關(guān)管理規(guī)定，國家秘密分為絕密、機密和秘密三類[6]，商業(yè)秘密分為核心商密和普通商密兩類[7]。所以涉密檔案可分為絕密、機密、秘密、核心商密、普通商密五類，見圖1。

3 保密管理與涉密檔案管理對比分析

以下分別從管理的目的、對象、模式、環(huán)節(jié)和架構(gòu)方面對兩者進行對比分析：

3.1 兩者在管理目的上存在一致性。保密管理工作的一項重要原則是“既確保涉密信息安全，又便利信息資源合理利用”，而檔案管理的主要目的是“對檔案資源有效利用與開發(fā)，使其充分發(fā)揮社會效益和經(jīng)濟效益”。所以，在推進涉密檔案資源的合理利用時，保密管理與涉密檔案管理的目的是一致的，這使得兩者有了共同工作的方向。

3.2 兩者在管理對象上存在統(tǒng)一性。涉密載體既是保密管理的對象，也是涉密檔案管理的對象，它是指記錄了國家秘密或權(quán)利人商業(yè)秘密的紙介質(zhì)（紙質(zhì)文檔）、光介質(zhì)（光盤、膠片等）、磁介質(zhì)（磁帶、硬盤等）和電介質(zhì)（優(yōu)盤、SD卡、CF卡等）。只是涉密檔案管理側(cè)重的是對原始資料的留存、保管和利用，而保密管理側(cè)重的是對記錄有涉密信息的各種載體的管理。管理對象上的一致性使得兩者有了相同的抓手。

3.3 兩者在管理環(huán)節(jié)上存在交叉性。從保密管理的視角來看，涉密檔案的管理涉及涉密載體的標密、定密、制作、收發(fā)、傳遞、使用、復制、保存、維護/維修、銷毀、運輸?shù)拳h(huán)節(jié)[7]。從檔案管理的視角來看，涉密檔案的管理可以分為三個階段八個環(huán)節(jié)：三個階段是指涉密檔案入庫前、入庫管理和出庫后；八個環(huán)節(jié)是指涉密檔案的收集、整理、鑒定、保管、統(tǒng)計、編目/檢索、編研和利用[8]。在涉密檔案產(chǎn)生時，存在涉密載體的定密、標密、制作、復制、銷毀、收發(fā)、保存、傳遞、使用和建賬等管理環(huán)節(jié)；在涉密檔案搜集、整理、鑒定時，又有涉密載體的移交、簽收、使用、保存、傳遞和建賬等管理環(huán)節(jié)；在涉密載體保管、統(tǒng)計、編目/檢索、編研和利用時，又存在涉密載體的移交、簽收、保存、傳遞、解密、使用、復制、降密/解密、維護/維修、建賬等管理環(huán)節(jié)；在涉密載體銷毀或遷移時，還有涉密載體的銷毀、運輸和移交等管理環(huán)節(jié)，見圖2。兩者在管理環(huán)節(jié)上的交叉性，使得實際業(yè)務(wù)相互交融、密不可分。

3.4 兩者在管理架構(gòu)上存在相似性。涉密檔案作為一類特殊的檔案，其管理也必然遵循檔案管理的相關(guān)要求。保密管理和檔案管理雖然分屬不同的專業(yè)領(lǐng)域，但在宏觀管理層面卻有著相似的架構(gòu)，對比如下：

3.4.1 都有國家立法支撐。保密管理有《保密法》、檔案管理有《檔案法》，并且分別都有相應(yīng)的實施辦法。同時，《檔案法》在第十四條明確要求涉密檔案的管理和利用、密級的變更和解密，必須按照國家有關(guān)保密的法律或行政法規(guī)的規(guī)定辦理，這也為涉密檔案的管理提供了依據(jù)。另外，保密管理過程中形成的重要檔案也應(yīng)按照《檔案法》的相關(guān)要求進行管理。

3.4.2 都有專門的組織機構(gòu)進行管理。保密管理部門不僅是一級行政機構(gòu)，而且也是其所屬組織機構(gòu)保密委員會的常設(shè)辦事機構(gòu)；檔案管理部門更是“一套人馬、兩塊牌子”，既是行政管理機構(gòu)，也是檔案管理部門。

3.4.3 都有固定的活動時間。每年的5月是我國的“保密活動月”，國家保密局都會部署相應(yīng)的活動要求和重點工作；每年的6月9日是“國際檔案日”，檔案管理部門還會安排“檔案宣傳周”活動。管理框架上的相似性使得兩者多了理解、少了分歧。

4 管理原則和思路

4.1 管理原則。依據(jù)相關(guān)法律法規(guī)，筆者認為涉密檔案在管理過程中應(yīng)遵循以下四項原則：

（1）既確保涉密信息安全，又便利信息資源合理利用。這是保密工作的根本目標，也是涉密檔案管理的主要目的。這意味著涉密檔案管理應(yīng)在確保涉密信息安全的前提下，充分遵循信息資源利用和管理的客觀規(guī)律，實現(xiàn)秘密信息保護和信息資源利用之間的平衡，做到“該保則保、該放則放”。

（2）國家秘密優(yōu)先原則。是指當國家秘密范圍調(diào)整時或在特殊情況下，如果原來屬于商業(yè)秘密的檔案資料被納入了國家秘密管理的范疇，必須優(yōu)先按照國家秘密進行管理。另外，只有在涉及國家秘密的檔案資料在解密后才能進行商業(yè)秘密的界定。

（3）“最小化”原則。是指在涉密檔案管理過程中嚴格落實相關(guān)保密制度，確保涉密檔案資料的知悉范圍最小、管理環(huán)節(jié)最簡、瀏覽權(quán)限在滿足使用的前提下開放時間最短。

（4）全程管控原則。是指涉密檔案要嚴格按照規(guī)范和要求實施實現(xiàn)全過程、全方位的管理，做到該審批的審批、該留證的留證。

4.2 管理思路。針對將保密管理融入涉密檔案管理，筆者提出了“五環(huán)同心”的管理思路。其核心是基于《檔案法》和《保密法》的涉密檔案的安全利用，主線是涉密檔案管理責任的有效落實，見圖3。由內(nèi)向外：第一環(huán)是兩者在管理體系上的融合，目標是明確責任；第二環(huán)是將保密管理要求融入涉密檔案管理業(yè)務(wù)流程中，目標是落實責任；第三環(huán)是建立具有應(yīng)用集成和統(tǒng)一門戶等功能的信息平臺，目標是實現(xiàn)涉密檔案管理的網(wǎng)上流轉(zhuǎn)，并以此綁定責任；第四環(huán)是基于檔案執(zhí)法檢查[9]和保密管理檢查的監(jiān)督機制，目標是管控責任；第五環(huán)是融合了檔案意識和保密意識的企業(yè)文化，目標是在企業(yè)文化中融入責任[10]。

5 具體措施

筆者結(jié)合實際提出網(wǎng)絡(luò)環(huán)境下涉密檔案管理的六個步驟，即“形成檔案目錄、局域網(wǎng)上發(fā)布、履行審批流程、全程技術(shù)管控、日志形成報告、違規(guī)及時處置”，見圖4。

5.1 形成檔案目錄。由于檔案目錄中可能存在涉密信息，所以在形成檔案目錄時應(yīng)根據(jù)發(fā)布范圍對涉密檔案目錄進行適當?shù)慕得芑蛎撁芴幚?，確保發(fā)布范圍中涉密等級最低的人員所允許接觸到的涉密文件的密級不低于檔案目錄的密級，見表1。同時還要根據(jù)本單位涉密事項的變化及時對目錄進行調(diào)整。

5.2 局域網(wǎng)上發(fā)布。編制好涉密檔案目錄后，需要在本單位的局域網(wǎng)上發(fā)布。發(fā)布時需要考慮局域網(wǎng)的涉密等級是否與涉密檔案目錄的密級相匹配。信息系統(tǒng)的涉密等級是按照其處理和存儲信息的密級來確定的，只有是按照分級保護標準構(gòu)建的信息系統(tǒng)，才能發(fā)布涉及國家秘密的檔案目錄。在局域網(wǎng)中發(fā)布檔案目錄可采用以下兩種方式：一是利用信息門戶自身的身份鑒別和權(quán)限管理功能，先將檔案目錄放在門戶之后，再對特定的用戶開放瀏覽權(quán)限；二是在檔案管理應(yīng)用系統(tǒng)中只對特定的用戶開放檔案瀏覽權(quán)限。

5.3 履行審批流程。審批首先由查閱者發(fā)起，應(yīng)在審批單中填寫查閱檔案的名稱、用途；二是本部門領(lǐng)導審批，需要對是否為工作需要進行確認；三是按照“誰歸檔誰審查”的原則，由原歸檔單位的定密責任人進行審批，以避免擴大知悉范圍或產(chǎn)生知識產(chǎn)權(quán)等方面的糾紛；四是檔案管理部門審批，查看流程中的表單信息是否完整；五是在保密管理部門備案以便于日常檢查；六是檔案管理人員提供借閱服務(wù)。如需復制，應(yīng)按照涉密檔案資料的復制要求進行管理。其中第五和第六個環(huán)節(jié)為并行，其余環(huán)節(jié)為串行，見圖5。

5.4 全程技術(shù)管控。信息系統(tǒng)的技術(shù)防護對涉密檔案的正常利用至關(guān)重要。我國對涉及國家秘密的信息系統(tǒng)強制要求按照分級保護標準進行防護，對涉及商業(yè)秘密的信息系統(tǒng)發(fā)布了等級保護的標準，分級保護與等級保護標準的區(qū)別見表2。全程技術(shù)管控是指根據(jù)信息系統(tǒng)存儲和處理數(shù)據(jù)的涉密等級，合理選擇相應(yīng)的防護標準和技術(shù)，實現(xiàn)涉密數(shù)據(jù)全生命周期的有效防護，達到非授權(quán)用戶“進不來、拿不走、看不懂、跑不了”的目的。涉及到的防護技術(shù)主要有：身份鑒別、訪問控制、安全監(jiān)控與審計、邊界安全防護、惡意代碼防護和加密防護六種[11]，分別是通過在硬件設(shè)備和軟件系統(tǒng)登錄時的身份識別，防范非授權(quán)用戶進入信息系統(tǒng)；通過采取強制訪問控制策略防范越權(quán)訪問；通過審計監(jiān)控發(fā)現(xiàn)違規(guī)和異常行為且有效阻斷，并記入審計日志；通過劃分安全域并在邊界部署安全防護設(shè)備，防范違規(guī)接入或違規(guī)外聯(lián)；通過在系統(tǒng)及關(guān)鍵入口部署查殺軟件實現(xiàn)對惡意代碼的清除；通過采用密碼技術(shù)對涉密信息存儲和傳輸進行加密，使得非授權(quán)用戶無法打開涉密文檔。

5.5 日志形成報告。審計報告是安全審計人員對操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備的審計日志進行綜合分析后，定期發(fā)布的信息系統(tǒng)運行情況報告。審計報告審計的是系統(tǒng)的安全情況和三類人（管理員、信息系統(tǒng)用戶、企圖或非法入侵者）的行為，它是對風險進行管控的依據(jù)，其質(zhì)量的高低會直接影響到后續(xù)管控措施的針對性和有效性。

5.6 違規(guī)及時處置。檔案管理部門應(yīng)聯(lián)合信息化和保密管理部門對定期發(fā)布的審計報告中所反映的違規(guī)行為進行核查。如果確認無誤，要依據(jù)相關(guān)的獎懲標準嚴格處理。對違規(guī)行為的處理必須及時并以事實為依據(jù)，同時還應(yīng)全員通報，以達到警示教育的目的。

6 結(jié)論

涉密檔案管理與保密管理絕不是一對相互對立、難以調(diào)和的矛盾。只要筑牢制度的“堤壩”，疏浚利用的“河道”，加強日常的“巡查”，落實每個環(huán)節(jié)的管理責任，營造良好的企業(yè)文化氛圍，是完全能夠?qū)崿F(xiàn)既確保秘密信息安全又便于信息利用的。