檔案信息安全保障體系建設(shè)研究

王東旭

摘要：隨著經(jīng)濟(jì)的發(fā)展和社會的進(jìn)步，尤其是網(wǎng)絡(luò)信息技術(shù)的快速進(jìn)步，使得檔案信息的管理逐漸的網(wǎng)絡(luò)化，極大地提升了管理工作的效率與水平。但目前來看，檔案信息安全問題關(guān)系到小單位甚至國家的安全，檔案信息的安全問題越來越嚴(yán)重。因此，對于保障體系的構(gòu)建宏觀上就上升到了國家的戰(zhàn)略高度，十分必要要。要進(jìn)行認(rèn)真的研究與分析制定出相應(yīng)的辦法，全面建設(shè)檔案信息安全保障體系，提高其應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力，推進(jìn)檔案信息安全保障工作全面的進(jìn)步。

關(guān)鍵詞：檔案信息安全；保障體系建設(shè)；現(xiàn)狀；方法

一、概述

檔案信息安全保障問題最早是由美國提出的，他們總結(jié)了信息安全的各種特性以及信息系統(tǒng)的功能。信息安全保障主要包括信息安全技術(shù)和信息安全管理等方面。目前，我國對檔案信息安全方面的投入不足，導(dǎo)致針對檔案信息化建設(shè)安全保護(hù)的研究較少，且進(jìn)展速度較慢。檔案安全基礎(chǔ)設(shè)施保護(hù)不強(qiáng)，在保護(hù)檔案信息安全方面的管理制度，法律、法規(guī)建設(shè)不健全或不完善，檔案信息安全技術(shù)方面的研究經(jīng)驗(yàn)也有限。風(fēng)險(xiǎn)評估是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程，即利用定性或定量的方法，借助于風(fēng)險(xiǎn)評估工具，確定信息資產(chǎn)的風(fēng)險(xiǎn)等級和優(yōu)先風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)評估需要先根據(jù)檔案信息系統(tǒng)的實(shí)際情況定級，填寫等級保護(hù)定級備案表，并去有關(guān)公安機(jī)關(guān)備案；然后進(jìn)行實(shí)際的風(fēng)險(xiǎn)評估，完成風(fēng)險(xiǎn)評估報(bào)告；最終根據(jù)報(bào)告內(nèi)容，采取風(fēng)險(xiǎn)控制的措施，進(jìn)一步完善檔案信息系統(tǒng)，做好檔案信息安全保障工作。

二、檔案信息安全保障體系建設(shè)的現(xiàn)狀

檔案信息的安全保障工作具有非常重要的現(xiàn)實(shí)意義。從整體而言，我國的檔案信息安全保障工作依然存在許多問題。具體講，第一，檔案存放的館舍環(huán)境有待改善。許多檔案館舍設(shè)施陳舊、缺少必要的隔熱、防潮、消防等功能，使眾多的檔案存放面臨很大風(fēng)險(xiǎn)。第二，實(shí)體檔案信息管理存在一定問題。首先，保存的早期檔案信息的字跡難以辨認(rèn)，多有破損或者是管理混亂。其次，對于檔案進(jìn)行管理中文書檔案與照片檔案的混合非常的嚴(yán)重。最后，對于保存的檔案沒有進(jìn)行及時通風(fēng)，出現(xiàn)損毀的情況。第三，我國的電子檔案信息保存面臨一些風(fēng)險(xiǎn)。首先，我國應(yīng)用網(wǎng)絡(luò)信息技術(shù)進(jìn)行檔案信息的管理時間短，對于眾多的檔案還沒有完成應(yīng)有的信息資源整合。其次，網(wǎng)絡(luò)化的電子檔案信息系統(tǒng)運(yùn)行功能不完善。比如：安全系統(tǒng)的漏洞使得網(wǎng)絡(luò)化的電子檔案信息非常容易受到網(wǎng)絡(luò)侵入或攻擊。再次，我國沒有對網(wǎng)絡(luò)化電子檔案信息管理制定出統(tǒng)一的管理規(guī)章制度，具體的管理不能有序的進(jìn)行。最后，缺乏對于高素質(zhì)、專業(yè)化網(wǎng)絡(luò)電子檔案信息管理人才的培養(yǎng)，使得有關(guān)工作嚴(yán)重的滯后。

三、檔案信息安全保障體系建設(shè)的方法與措施

（1）檔案信息安全法規(guī)標(biāo)準(zhǔn)體系建設(shè)。為促進(jìn)檔案信息化建設(shè)的順利開展必須加強(qiáng)立法，使檔案信息安全保障工作有法可依，進(jìn)一步完善法規(guī)標(biāo)準(zhǔn)體系建設(shè)。國家制定檔案安全法規(guī)后，地方就可以參照法律制定地方條例和標(biāo)準(zhǔn)，針對本地實(shí)際情況管理本地的檔案信息安全工作。檔案信息安全保障法規(guī)具有保護(hù)檔案信息客體具有知識性和財(cái)產(chǎn)性、體現(xiàn)高新技術(shù)和法規(guī)規(guī)范淵源的廣泛性的特征。檔案信息安全立法層次為國家法律、行政法規(guī)、地方性法規(guī)、規(guī)章和規(guī)范性文件五個層次。按照不同的標(biāo)準(zhǔn)，安全保障法規(guī)體系框架由不同的部分構(gòu)成。在法規(guī)制定中注意規(guī)范性和可操作性、系統(tǒng)性和兼容性、管理與發(fā)展并重、重點(diǎn)突出穩(wěn)步推進(jìn)等方面，及時清理和修訂現(xiàn)有法規(guī)規(guī)章。 （2）檔案信息安全基礎(chǔ)設(shè)施體系建設(shè)。檔案信息安全基礎(chǔ)設(shè)施體系要為保障檔案信息安全提供最有利的服務(wù)和支撐。這些基礎(chǔ)設(shè)施涵蓋面比較廣泛，主要包括檔案信息系統(tǒng)，這個系統(tǒng)需要檔案管理部門的協(xié)調(diào)和引導(dǎo)，運(yùn)用計(jì)算機(jī)數(shù)據(jù)加密和數(shù)字簽名；檔案信息災(zāi)備中心建設(shè)是檔案信息安全保障中的一項(xiàng)基礎(chǔ)設(shè)施，檔案部門可以通過多種途徑對檔案信息進(jìn)行災(zāi)難備份，以保障信息的長期性；檔案信息系統(tǒng)應(yīng)急響應(yīng)的工作需要利用政府或商業(yè)機(jī)構(gòu)的應(yīng)急服務(wù)，這項(xiàng)支援服務(wù)的關(guān)鍵就是選擇具有國家資質(zhì)認(rèn)可的服務(wù)機(jī)構(gòu)，還要向缺乏信息安全專業(yè)人員的檔案部門提供安全服務(wù)。（3）檔案信息安全標(biāo)準(zhǔn)與技術(shù)體系建設(shè)。檔案信息安全標(biāo)準(zhǔn)是檔案信息安全保障的重要組成部分，我國檔案部門應(yīng)吸收和借鑒國外信息安全標(biāo)準(zhǔn)，研究制定新形勢下我國檔案信息安全現(xiàn)狀的標(biāo)準(zhǔn)化體系。制定檔案信息安全標(biāo)準(zhǔn)體系應(yīng)遵循科學(xué)性原則、協(xié)調(diào)性原則、全面性原則、接軌性原則和前瞻性原則，力求層次清晰、結(jié)構(gòu)合理、體系明確、標(biāo)準(zhǔn)齊全。檔案信息安全技術(shù)不僅涉及到“防”和“治”，還擴(kuò)展到涉及密碼技術(shù)、訪問控制技術(shù)、標(biāo)識和鑒別技術(shù)、審計(jì)與監(jiān)控技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)等多種現(xiàn)代信息新技術(shù)。共同構(gòu)筑檔案信息的安全屏障，做好檔案信息安全技術(shù)的發(fā)展與更新，加快檔案信息安全技術(shù)成果的應(yīng)用、推廣和轉(zhuǎn)化。堅(jiān)持自主創(chuàng)新，開發(fā)擁有獨(dú)立自主知識產(chǎn)權(quán)的、保障檔案信息安全的核心技術(shù)和關(guān)鍵設(shè)備。（4）檔案信息安全管理體系建設(shè)。實(shí)施安全管理保障措施時需經(jīng)過以下步驟進(jìn)行：完善組織機(jī)構(gòu)→進(jìn)行風(fēng)險(xiǎn)評估→制定安全策略→開展安全管理培訓(xùn)→執(zhí)行管理決策→評價(jià)并改善管理體系。其中，最重要的是進(jìn)行風(fēng)險(xiǎn)評估。根據(jù)有關(guān)部門統(tǒng)計(jì)，“在所有的計(jì)算機(jī)安全事件中，約有52%是人為因素造成的，25%是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成?！辈浑y看出，屬于內(nèi)部人員方面的原因超過70%，而這些安全問題中的95%是可以通過科學(xué)的風(fēng)險(xiǎn)評估來避免的。加強(qiáng)風(fēng)險(xiǎn)評估的力度是檔案信息安全管理的重中之重。（5）檔案信息安全人才培養(yǎng)體系建設(shè)。檔案信息安全保障的根本離不開檔案信息安全人才的培養(yǎng)。為確保數(shù)字檔案信息的安全，檔案管理部門應(yīng)采取切實(shí)可行的措施，比如，開展職業(yè)證書教育培訓(xùn)，檔案部門吸收引進(jìn)信息安全專門人才。分級分類、按需施教，通過項(xiàng)目帶動等多種途徑和形式，開展檔案信息安全人才的繼續(xù)教育，培養(yǎng)更多的適應(yīng)信息時代背景下檔案工作需要的應(yīng)用型和復(fù)合型相結(jié)合的人才，為構(gòu)建數(shù)字檔案信息安全保障體系提供強(qiáng)有力的智力支持。

（作者單位：河南省工商行政管理學(xué)校）

參考文獻(xiàn)

[1]陳莉.如何構(gòu)建檔案信息安全保障體系[J].浙江檔案，2017，11.

[2]馮有輝.檔案安全風(fēng)險(xiǎn)評估指標(biāo)體系建設(shè)[J].蘭臺世界，2011，（30）.

[13許桂清，李映天.檔案信息安全保障體系的建設(shè)與思考[J].檔案學(xué)研究2017，03.