覃潔清 許曉彤

摘 要：依據(jù)全程管理及前端控制原則，分析組織機構(gòu)電子文件在形成流轉(zhuǎn)階段、歸檔保存階段和檔案館階段的安全風(fēng)險及成因，并從電子文件業(yè)務(wù)流程安全管理制度、人員崗位安全責(zé)任制、電子文件風(fēng)險管理制度、安全審計認(rèn)證制度、安全技術(shù)標(biāo)準(zhǔn)與規(guī)范的采用制度及相關(guān)配套制度6個方面設(shè)計了面向一般組織機構(gòu)的電子文件安全管理制度框架。

關(guān)鍵詞：電子文件；風(fēng)險管理；組織機構(gòu)；管理制度

Abstract： Based on the principle of whole course management and front control， the paper concentrates on the risks and causes of electronic records which are created from organizations and analyzes the issues from formation and circulation stage， archival repository stage and stage of archives. Electronic records security management system frame which is oriented to organizations is put forward from following 6 aspects： electronic records process security management， personal post security responsibility， electronic records risk management， security audit certification， adoption of security technical standard and supporting systems.

Keywords： Electronic records； Risk management； Organization； Management system

我國的電子文件管理實踐中，往往是由在人、財、物力方面較有優(yōu)勢的國家檔案局（館）等專業(yè)的文化遺產(chǎn)機構(gòu)率先制定行業(yè)規(guī)范、法規(guī)標(biāo)準(zhǔn)、工作制度，并擔(dān)負(fù)著留存社會共同記憶和公共文化遺產(chǎn)的主要責(zé)任。與之相對，一般的組織機構(gòu)，如機關(guān)、企事業(yè)單位等則專注于本機構(gòu)內(nèi)部信息的保存以備審計、問責(zé)及作為憑證。因此，制定并完善機構(gòu)電子文件管理制度是維護(hù)機構(gòu)信息安全、符合機構(gòu)發(fā)展長期利益的必要之策。InterPARES-2的《數(shù)字文件保存政策、策略、標(biāo)準(zhǔn)原則框架》中對數(shù)字文件的創(chuàng)建者的13條基本原則中提到“有關(guān)數(shù)字文件創(chuàng)建及維護(hù)的政策、策略和標(biāo)準(zhǔn)應(yīng)該就確保文件的可靠性、準(zhǔn)確性和真實性問題分別進(jìn)行明確的闡述”[1]。本文基于全程管理視角與前端控制原則，分析組織機構(gòu)電子文件在形成流轉(zhuǎn)階段、歸檔保存階段和檔案館階段所面臨的安全風(fēng)險，對威脅電子文件真實性、可靠性、完整性和可用性的典型風(fēng)險事故及成因進(jìn)行研究，并在此基礎(chǔ)上設(shè)計了組織機構(gòu)電子文件安全管理制度框架。

1 形成流轉(zhuǎn)階段電子文件管理的安全風(fēng)險

1.1 形成流轉(zhuǎn)階段的電子文件管理特點。組織機構(gòu)電子文件主要由OA（Office Automation，辦公自動化）系統(tǒng)和CMS（Content Management System，內(nèi)容管理系統(tǒng)）等業(yè)務(wù)系統(tǒng)生成。在這一階段，機構(gòu)電子文件主要在原形成機關(guān)實現(xiàn)其業(yè)務(wù)價值，業(yè)務(wù)活動涉及各部門多成員。例如某文件的批示，要經(jīng)過經(jīng)辦人提交申請、部門負(fù)責(zé)人通過、主管領(lǐng)導(dǎo)通過，甚至總裁（董事局）通過等復(fù)雜流程，文件批示后再交由業(yè)務(wù)部門辦理，多項業(yè)務(wù)并行開展。因此，電子文件管理在現(xiàn)行階段具有參與人員廣、檔案專業(yè)化程度低、管理較為分散的特點。

1.2 形成流轉(zhuǎn)階段電子文件管理主要風(fēng)險分析。（1）不真實。包括偽造、篡改與信息失真。在形成流轉(zhuǎn)階段，各部門文書或業(yè)務(wù)人員均擁有OA系統(tǒng)高級權(quán)限，賬號管理不嚴(yán)，易導(dǎo)致權(quán)限擴(kuò)散、身份假冒，從而造成數(shù)據(jù)篡改事故發(fā)生。另外，由于缺乏對統(tǒng)一工作規(guī)范的遵守，業(yè)務(wù)人員常在實際工作中利用職務(wù)之便“線下辦理”，忽視正規(guī)的OA工作流程，導(dǎo)致與該業(yè)務(wù)相關(guān)的電子文件流轉(zhuǎn)程序不合理，其信息的真實性也有待商榷。

（2）不完整。文件內(nèi)容、元數(shù)據(jù)完全或部分丟失。實際工作中，組織機構(gòu)多以電子文件的紙質(zhì)載體流轉(zhuǎn)，易導(dǎo)致電子版本無法同步更新業(yè)務(wù)過程中改動的信息及相關(guān)元數(shù)據(jù)。而業(yè)務(wù)人員檔案意識薄弱，上傳文件不配套、不完整，導(dǎo)致電子文件歸檔時既無元數(shù)據(jù)記錄又缺相關(guān)內(nèi)容信息。

（3）不可靠。文件信息與實際工作不符。一是非蓄意因素，主要表現(xiàn)為文件流轉(zhuǎn)程序的不合理導(dǎo)致文件不真實，與客觀事實脫節(jié)；二是出于某些特定的目的蓄意造假，隱瞞實際工作過程及成果[2]。

（4）不可用。不可被讀取及檢索。電子文件來源多樣，形成系統(tǒng)及軟件版本各異，易產(chǎn)生文件無法打開或亂碼現(xiàn)象。而文件命名不規(guī)范也會增大檢索難度。

2 歸檔保存階段電子文件管理的安全風(fēng)險

2.1 歸檔保存階段的電子文件管理特點。電子文件歸檔保存階段也被稱作檔案室階段，即半現(xiàn)行階段，是賦予電子文件檔案屬性的過程[3]。機構(gòu)往往采用自主開發(fā)或購買的ERMS（Electronic Records Management System，電子文件管理系統(tǒng)）對電子文件進(jìn)行捕獲、識別、分類、保存使用和處置等一系列管理活動[4]。目前，大多數(shù)組織機構(gòu)對電子文件全程管理認(rèn)識不足，電子文件管理工作也尚在起步階段。

2.2 歸檔保存階段電子文件管理主要風(fēng)險分析。（1）不完整。文件整體丟失或關(guān)聯(lián)文件與元數(shù)據(jù)缺損。在歸檔保存階段，工作人員業(yè)務(wù)不規(guī)范、分工不明確極易給電子文件的完整保存帶來困難，此外，遷移不合理，線下移交電子文件，也易造成文件或元數(shù)據(jù)記錄缺失。例如，肖秋會等調(diào)查發(fā)現(xiàn)，32.3%的機構(gòu)未能對電子文件進(jìn)行規(guī)范、合理的遷移[5]。

（2）不可用。不可讀取或不可被檢索。ERMS與OA系統(tǒng)間的不兼容常導(dǎo)致文件不可用，而在人工移交的機構(gòu)中，讀取失敗的問題尤為顯著，具體原因為：部門間電子文件生成的軟件版本不同且缺乏格式標(biāo)準(zhǔn)規(guī)范，電子文件脫離原有業(yè)務(wù)環(huán)境致使原文中附加的鏈接信息不能正常讀取等。

（3）不真實與不可靠。電子文件的不真實與不可靠的風(fēng)險多源于形成流轉(zhuǎn)階段的“遺留問題”，但已脫離原工作環(huán)境的電子文件依舊面臨被篡改的風(fēng)險，在歸檔保存階段，檔案專業(yè)人員的權(quán)限監(jiān)督和無關(guān)人員的越權(quán)訪問監(jiān)控不到位，都將導(dǎo)致電子文件面臨被篡改的風(fēng)險。

3 檔案館階段電子文件管理的安全風(fēng)險

3.1 檔案館階段的電子文件管理特點。檔案館階段的電子文件管理工作面臨著長期保存及提供利用的任務(wù)。很多組織機構(gòu)采用數(shù)字檔案館系統(tǒng)對電子文件進(jìn)行接收、保管和提供利用。由于該階段與外部機構(gòu)及網(wǎng)絡(luò)的聯(lián)系最為密切，電子文件管理工作存在著更多未知、復(fù)雜且不可控的風(fēng)險因素。

3.2 檔案館階段電子文件管理主要風(fēng)險分析。（1）不真實與不可靠。信息被越權(quán)訪問、非法篡改。據(jù)國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心的《2017年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》，2017年，我國境內(nèi)約2萬個網(wǎng)站被篡改，較2016年約1.7萬個增長20%；捕獲移動互聯(lián)網(wǎng)惡意程序數(shù)量253萬余個，同比增長23.4%[6]。網(wǎng)絡(luò)安全問題越來越突出，處于云環(huán)境中的數(shù)字檔案館計算機也面臨被云中其他節(jié)點非法訪問及竊取機密的風(fēng)險，盡管所有云服務(wù)商都標(biāo)榜相應(yīng)的加密技術(shù)，但也僅指保障加密傳輸環(huán)節(jié)，仍無法控制數(shù)據(jù)在處理、存儲和傳播時的風(fēng)險[7]。

（2）不完整。元數(shù)據(jù)缺損或丟失。電子文件雙軌管理、雙套保存的模式，易造成元數(shù)據(jù)缺失。主要在于紙質(zhì)文件與電子文件的利用與修改信息被分別記錄，難以實施信息的實時傳遞與更新，事實上就生成了兩套元數(shù)據(jù)。從效用與價值方面看，紙質(zhì)文件與電子文件從根本上來說是同一份文件，雙套制保存既增加了庫存與經(jīng)濟(jì)負(fù)擔(dān)，又不利于為文件保存完整、系統(tǒng)的元數(shù)據(jù)。劉越男等2014年對我國各省級檔案館的調(diào)查顯示，僅22%的檔案館明確表示會對移交進(jìn)館的電子文件持續(xù)形成元數(shù)據(jù)，按照《基于XML的電子文件封裝規(guī)范》（DA/T48-2009）封裝的只有1家[8]，文件在檔案館階段亦面臨著元數(shù)據(jù)缺失的風(fēng)險。

（3）不可用。不可讀取。劉越男等的調(diào)查顯示，近一半的省級檔案館都曾遭遇電子文件不可讀的風(fēng)險[9]。數(shù)字檔案館系統(tǒng)遭到攻擊而崩潰，或者是機構(gòu)租用的云端意外遭受嚴(yán)重災(zāi)害，都將不同程度上導(dǎo)致數(shù)據(jù)無法讀取，用戶無法訪問。

導(dǎo)致電子文件安全風(fēng)險的因素除了天災(zāi)人禍、物理環(huán)境變化等不可避免的客觀因素外，人為因素、組織管理因素等主觀因素也很突出。從各階段電子文件管理主要風(fēng)險分析來看，有些問題較為普遍，如缺乏完整的機構(gòu)電子文件安全管理制度框架；檔案管理人員與業(yè)務(wù)人員職責(zé)交叉現(xiàn)象嚴(yán)重；檔案工作流程不明晰，專業(yè)化程度較低；業(yè)務(wù)系統(tǒng)與電子文件管理系統(tǒng)缺乏認(rèn)證與審計以及機構(gòu)風(fēng)險意識和控制能力不足。

4 組織機構(gòu)電子文件安全管理制度設(shè)計

宏觀層面，我國已有的電子文件管理制度如部際聯(lián)席會議、館際互備、異質(zhì)備份、館室聯(lián)動等在國家檔案館系統(tǒng)得到了較好的執(zhí)行實施[10]。但微觀層面，國家檔案館之外的一般組織機構(gòu)如企業(yè)、高校、社會團(tuán)體的電子文件管理制度還較為薄弱，基本處于自行摸索階段。為此，筆者根據(jù)國內(nèi)外電子文件管理實踐，參考相關(guān)的國際標(biāo)準(zhǔn)以及《電子文件歸檔與電子檔案管理規(guī)范》（GB/T18894-2016）、《電子文件管理系統(tǒng)建設(shè)指南》（GB/T 31914-2015）、《紙質(zhì)檔案數(shù)字化規(guī)范》（DA/T 31-2017）等國家和行業(yè)標(biāo)準(zhǔn)，結(jié)合《數(shù)字檔案館建設(shè)指南》《數(shù)字檔案室建設(shè)指南》等指導(dǎo)性文件，設(shè)計了面向一般組織機構(gòu)的電子文件安全管理制度框架。其包括電子文件業(yè)務(wù)流程安全管理制度、人員崗位安全責(zé)任制、電子文件風(fēng)險管理制度、安全審計認(rèn)證制度、安全技術(shù)標(biāo)準(zhǔn)與規(guī)范的采用制度及相關(guān)配套制度6個方面。

4.1 電子文件業(yè)務(wù)流程安全管理制度。電子文件流程管理制度體現(xiàn)了全程管理原則和前端控制思想。制定規(guī)范的制度，對電子文件流程進(jìn)行控制，實現(xiàn)全過程管理，規(guī)定電子文件形成流轉(zhuǎn)、接收采集、鑒定處置、歸檔保存、檢索利用等工作環(huán)節(jié)的內(nèi)容和操作要求，并輔以樹狀圖、流程圖等幫助理解，從前端統(tǒng)一規(guī)劃、統(tǒng)一要求，全程、動態(tài)地跟蹤和控制電子文件的生命運動。

4.2 人員崗位安全責(zé)任制。根據(jù)電子文件形成流轉(zhuǎn)直至歸檔保存的各個環(huán)節(jié)，進(jìn)一步優(yōu)化工作流程，明晰各相關(guān)崗位權(quán)責(zé)，實行嚴(yán)格的績效考核與追責(zé)制度。（1）形成（業(yè)務(wù)）部門：形成真實可靠的電子文件，及時捕獲并維護(hù)元數(shù)據(jù)，保證電子文件的移交質(zhì)量。（2）檔案部門：開展電子文件規(guī)范管理、利用和長期保存工作，并對本機構(gòu)的電子文件管理工作進(jìn)行業(yè)務(wù)指導(dǎo)、全程監(jiān)督及協(xié)調(diào)。（3）信息部門：對OA系統(tǒng)、電子文件管理系統(tǒng)和數(shù)字檔案館系統(tǒng)進(jìn)行定期維護(hù)與升級，保證系統(tǒng)環(huán)境以及保存方案的優(yōu)化，加強系統(tǒng)跟蹤日記的管理以及訪問權(quán)限的控制等。（4）領(lǐng)導(dǎo)層：把握本機構(gòu)電子文件管理工作整體方向，采取相應(yīng)的獎懲措施和追責(zé)制度提升制度落實的效果。

4.3 電子文件風(fēng)險管理制度。馮惠玲教授及團(tuán)隊在《電子文件風(fēng)險管理》一書中率先將風(fēng)險管理理論引入我國電子文件管理領(lǐng)域，國家檔案局也將出臺《檔案館安全風(fēng)險評估指標(biāo)體系》[11]，對制定電子文件風(fēng)險管理制度具有參考作用。組織機構(gòu)應(yīng)識別本機構(gòu)電子文件安全風(fēng)險并參考《檔案信息系統(tǒng)安全等級保護(hù)定級工作指南》的侵害程度定級建議[12]，構(gòu)建風(fēng)險事故等級框架；建立風(fēng)險案例庫以備參考；結(jié)合定性與定量的分析方法，采取一定的程序與手段評估風(fēng)險等級[13]，并據(jù)此開展風(fēng)險規(guī)劃與控制工作。尤其應(yīng)強調(diào)備份工作在風(fēng)險管理中的關(guān)鍵意義，做好本地備份；有條件的機構(gòu)可積極對外聯(lián)系，尋覓適當(dāng)機構(gòu)互為異地備份單位。

4.4 安全審計認(rèn)證制度。鑒于組織機構(gòu)工作內(nèi)容的特殊性與保密性，建議其在參考國家標(biāo)準(zhǔn)、國際經(jīng)驗的基礎(chǔ)上結(jié)合實際情況確定認(rèn)證體系，由機構(gòu)內(nèi)部建立“認(rèn)證工作小組”進(jìn)行自我審計與反饋整改，再接受國家的統(tǒng)一認(rèn)證。檔案部門可以組織相關(guān)的專家、學(xué)者針對不同的機構(gòu)規(guī)模分批次開展認(rèn)證活動[14]。《可信數(shù)字倉儲的審計與認(rèn)證》（ISO16363-2012）和國家檔案局2012年發(fā)布的《數(shù)字檔案館評價指標(biāo)體系》（征求意見稿）對組織機構(gòu)進(jìn)行自我審計、選擇數(shù)字檔案館合作開發(fā)商或購買數(shù)字檔案館系統(tǒng)有著重要的參考價值。此外，應(yīng)注意對認(rèn)證工作的總結(jié)與反饋，完善涵蓋從業(yè)務(wù)活動到歸檔直至保存整個流程的信息系統(tǒng)認(rèn)證體系。

4.5 安全技術(shù)標(biāo)準(zhǔn)與規(guī)范的采用制度。電子文件管理的核心技術(shù)主要體現(xiàn)在OA、ERMS及TDR等涉及電子文件管理全程的應(yīng)用系統(tǒng)中，各組織機構(gòu)在上述系統(tǒng)的開發(fā)和購買時應(yīng)特別注意：（1）OA、ERP、人資等業(yè)務(wù)系統(tǒng)與ERMS及TDR系統(tǒng)的無縫集成。（2）系統(tǒng)應(yīng)依據(jù)《信息與文獻(xiàn) 文件管理流程 文件元數(shù)據(jù)》（ISO23081）設(shè)計元數(shù)據(jù)格式并嵌入自動捕獲功能。（3）應(yīng)選用符合《開放檔案信息系統(tǒng)：OAIS》（ISO14721）、《電子辦公環(huán)境中的文件管理原則與功能需求規(guī)范》（ISO16175）等國際、國家標(biāo)準(zhǔn)的應(yīng)用系統(tǒng)。此外，還應(yīng)關(guān)注：（1）機構(gòu)內(nèi)部應(yīng)采用一致的電子文件命名規(guī)范，可自行規(guī)定。（2）一般機構(gòu)可參考《電子文件歸檔與電子檔案管理規(guī)范》（GB/T18894-2016）中對保存格式的建議來指導(dǎo)本機構(gòu)工作，工作性質(zhì)較特殊的機構(gòu)可自行規(guī)定電子文件保存格式類型，但應(yīng)保證各部門一致。（3）存儲介質(zhì)的管理與更新制度可參考《電子文件歸檔與電子檔案管理規(guī)范》（GB/T18894-2016）中的存儲介質(zhì)優(yōu)先級規(guī)定自行制定。

4.6 相關(guān)配套制度。完善相關(guān)配套制度，促進(jìn)電子文件管理核心制度的落實。（1）人才培訓(xùn)。檔案專業(yè)人員和信息人員需接受專業(yè)知識技能的培訓(xùn)并不斷更新專業(yè)知識體系。（2）交流合作機制。組織機構(gòu)積極開展業(yè)務(wù)部門與檔案部門之間、檔案室與檔案館之間，以及與行業(yè)內(nèi)（外）的其他組織機構(gòu)在電子文件管理領(lǐng)域之間的密切交流與合作，實現(xiàn)跨部門、跨領(lǐng)域、多層次的人才與信息交流。

參考文獻(xiàn)：

[1]肖秋會.電子文件長期保存：理論與實踐[M].北京：社會科學(xué)文獻(xiàn)出版社，2014：243-252.

[2]馮惠玲等.電子文件風(fēng)險管理[M].北京：中國人民大學(xué)出版社，2008：112-114.

[3]傅榮校.化繁為簡：從檔案機構(gòu)角度看如何保障電子文件的真實性[J].檔案學(xué)通訊，2015（2）：50-55.

[4]金波，丁華東.電子文件管理學(xué)[M].上海：上海大學(xué)出版社，2015：56-58.

[5]肖秋會，許曉彤，石曉雨.電子文件安全保障現(xiàn)狀調(diào)查與評估：以武漢市為例[J].檔案管理，2018（3）：65-68.

[6]國家互聯(lián)網(wǎng)應(yīng)急中心. 2017年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[EB/OL].[2018-09-25]. http：//www.cert.org.cn/publish/main/upload/File/situation.pdf.

[7]王長全，艾雰，姚建文.云計算環(huán)境下數(shù)字圖書館信息資源安全策略研究[J].情報雜志， 2010（3）：184-186.

[8][9]劉越男，祁天嬌.我國省級、副省級檔案館電子文件接收及管理情況的追蹤調(diào)查[J].檔案學(xué)通訊，2014（6）：10-15.

[10]王良城.我國電子文件管理基本制度述略[J].中國檔案， 2012（3）：65-67.

[11]李明華.在全國檔案工作暨表彰先進(jìn)會議上的講話[J].中國檔案，2016（1）：16-23.

[12]國家檔案局.檔案信息系統(tǒng)安全等級保護(hù)定級工作指南[EB/OL].[2018-09-27]. http：//www.saac.gov.cn/uploadfile/daj/001aa0bea132137d002001.doc.

[13]張健.電子文件信息安全管理研究[M].上海：上海世界圖書出版公司，2012：170-172.

[14]程妍妍.我國數(shù)字檔案館認(rèn)證及實施策略研究[J].檔案學(xué)研究，2012（6）：56-60.

（作者單位：武漢大學(xué)信息管理學(xué)院，圖書情報國家級實驗教學(xué)示范中心（武漢大學(xué)） 來稿日期：2018-10-14）