趙凌云

數(shù)據(jù)時代快速發(fā)展的“云數(shù)智”技術(shù)在檔案業(yè)務(wù)中的廣泛應(yīng)用，使得檔案工作和管理模式愈加自動化、網(wǎng)絡(luò)化、數(shù)字化和智能化。大數(shù)據(jù)時代數(shù)據(jù)的核心地位、核心價值和核心動力日益凸顯，成為重要的戰(zhàn)略資源和無形資產(chǎn)。然而檔案數(shù)據(jù)爆發(fā)增長、海量集聚的特點，讓檔案信息面臨的安全風險日益增加，檔案數(shù)據(jù)保存狀態(tài)與檔案信息治理水平不相匹配，存在著“重創(chuàng)造輕管理、重數(shù)量輕質(zhì)量、重保管輕利用”的現(xiàn)象，在數(shù)據(jù)質(zhì)量、集成管理、開放共享、知識產(chǎn)權(quán)保護等方面面臨著越來越多的安全挑戰(zhàn)和風險。因此，在大數(shù)據(jù)時代探討檔案信息安全治理具有重要的理論意義和實踐價值。

一、檔案信息安全治理研究現(xiàn)狀與概念辨析

1.研究現(xiàn)狀

筆者分別以“信息安全”“檔案數(shù)據(jù)治理”“檔案信息安全治理”等為主題詞在中國知網(wǎng)數(shù)據(jù)庫（CNKI）檢索，發(fā)現(xiàn)關(guān)于“信息安全治理”這一主題的論文數(shù)量很少，理論研究內(nèi)容不全、深度不足，缺乏深層次研究，缺乏整體性思考，相關(guān)研究內(nèi)容較為零散，整體理論框架尚未建立。而圍繞“信息安全保護”和“檔案數(shù)據(jù)治理”研究主題的學術(shù)成果數(shù)量較多，其研究方向主要包含高校檔案管理系統(tǒng)安全優(yōu)化機制研究、檔案安全體系發(fā)展研究等方面。其中金波、楊鵬[1]結(jié)合數(shù)據(jù)安全治理已有的理論、技術(shù)和經(jīng)驗，探究大數(shù)據(jù)時代檔案數(shù)據(jù)安全治理策略;周林興[2]等通過對檔案數(shù)據(jù)安全治理能力成熟度等級的劃分，構(gòu)建了檔案數(shù)據(jù)安全治理能力成熟度模型;陳艷、譚必勇[3]以浙江省檔案館信息安全保護業(yè)務(wù)實踐為例，提出構(gòu)建我國省級檔案數(shù)據(jù)治理體系框架的構(gòu)想。上述研究均為我國信息安全治理能力的提升奠定了堅實的理論基礎(chǔ)，也給業(yè)務(wù)實踐帶來了極大啟迪。

2.概念辨析

檔案信息是檔案這個特定的物質(zhì)所呈現(xiàn)出一切有價值的內(nèi)容[4]，具體包括檔案記載的信息內(nèi)容和對檔案載體的信息記錄。筆者認為，廣義上的檔案信息安全治理指的是這兩部分，即檔案實體安全治理和信息內(nèi)容安全治理。本文主要研究的是狹義上的對內(nèi)容安全的治理，是指檔案部門、社會組織和公民等多元主體協(xié)同合作，依據(jù)一定的法規(guī)標準，充分利用大數(shù)據(jù)等現(xiàn)代信息技術(shù)，對檔案信息生成、收集、管理、存儲、利用整個過程進行科學規(guī)范的全程管理，挖掘檔案數(shù)據(jù)價值[1]，把控信息質(zhì)量，滿足社會利用需求，推動檔案信息協(xié)同共治，讓檔案工作在新時代擁有更加豐富的內(nèi)涵和生機。

二、數(shù)據(jù)時代檔案信息安全治理現(xiàn)狀

檔案數(shù)字化是信息化的基礎(chǔ)，網(wǎng)絡(luò)安全則是數(shù)據(jù)時代檔案工作的基礎(chǔ)保障。真實性、完整性、可用性和安全性是確保電子文件檔案性質(zhì)的重要屬性，對于發(fā)揮電子檔案的憑證價值、查考價值和保存價值具有重要意義。為防范復雜多變的網(wǎng)絡(luò)風險，近年來檔案部門在宏觀層面和微觀層面采取了一系列治理措施。

1.宏觀層面我國檔案信息安全保護現(xiàn)狀

（1）法規(guī)標準不斷健全完善，信息安全治理有法可依。

早在上世紀90年代，我國在信息立法和檔案法規(guī)建設(shè)的基礎(chǔ)上，順應(yīng)檔案信息化的要求，陸續(xù)制定和發(fā)布了針對檔案信息化建設(shè)、檔案信息安全的法規(guī)、規(guī)章與標準[1]。制定了《CAD電子文件光盤存儲、歸檔與檔案管理要求》，頒布并修訂《電子文件歸檔和電子檔案管理辦法》，其中重點強調(diào)了電子檔案以及檔案數(shù)據(jù)的安全保護問題。2019年初國家檔案局頒布的《檔案館安全風險評估指標體系》[5]指出要在檔案館庫安全、實體安全、信息安全、安全保障機制等方面健全風險評估指標體系，確定檔案館可能面臨的風險，并根據(jù)風險的可能危害程度及防控條件確定風險隱患控制的優(yōu)先順序，進而有效降低安全風險發(fā)生的概率，最大限度地確保檔案的安全。而且此前針對近日個別地方發(fā)生的檔案安全事故，國家檔案局印發(fā)《關(guān)于深入開展檔案安全檢查的緊急通知》[7]，并不定期地舉辦檔案實體與信息安全培訓班，一定程度上增強了檔案業(yè)務(wù)實踐部門檔案工作者的信息素養(yǎng)和工作技能。

（2）重視基礎(chǔ)設(shè)施建設(shè)，為信息安全治理提供硬件保障

信息基礎(chǔ)設(shè)施被視為國家的重要戰(zhàn)略資源，利用計算機開展檔案工作已經(jīng)成為一種常態(tài)，防止利用計算機病毒竊取檔案信息也是安全治理需解決的重要問題。目前檔案形成單位的檔案收集、整理、利用、統(tǒng)計等工作環(huán)節(jié)的順利推進都依賴于檔案信息管理系統(tǒng)，系統(tǒng)安全防范能力在一定程度上決定了檔案信息的安全。目前我國各級檔案機構(gòu)積極引進先進技術(shù)，健全檔案信息安全保護的硬件基礎(chǔ)設(shè)施，基本已配齊安全防護設(shè)備，監(jiān)控系統(tǒng)、門禁系統(tǒng)和入侵報警系統(tǒng)以及檔案庫房的溫濕度控制系統(tǒng)等，為檔案信息治理提供了硬件保障。

2.微觀層面我國檔案信息安全治理存在的問題

（1）信息安全治理意識缺乏，檔案機構(gòu)宣傳教育不到位

一方面，很多檔案工作者對數(shù)據(jù)時代檔案工作要求的轉(zhuǎn)變沒有清晰具體的認識，還沒有把工作重心從繁瑣的紙質(zhì)檔案整理中解放出來，檔案數(shù)字化和數(shù)據(jù)化過程中存在著錄信息不完整、不可讀或丟失的現(xiàn)象，部分檔案信息從源頭上缺少安全治理[8]。針對檔案數(shù)據(jù)在存儲、傳播、利用等運行過程中的各種安全風險，檔案部門缺乏必要的安全管理知識、安全控制技能，社會公眾對檔案數(shù)據(jù)的認知存在不足，缺乏基本的數(shù)據(jù)安全素養(yǎng)，檔案數(shù)據(jù)安全意識較薄弱，當面臨緊急情況時易導致檔案數(shù)據(jù)的泄露和損失。

另一方面，雖然當前我國社會公眾的檔案利用意識不斷增強，但信息安全治理意識仍有很大欠缺，檔案機構(gòu)對相關(guān)知識的宣傳教育不到位也是重要原因。譬如筆者在瀏覽青島市和天津市檔案館網(wǎng)站時，發(fā)現(xiàn)有關(guān)檔案安全保護的知識介紹均設(shè)置在“業(yè)務(wù)指導”板塊下，發(fā)布的內(nèi)容主要是關(guān)于檔案修復的工作指南，是較為淺顯的通用性的內(nèi)容介紹，缺乏地域特色與理論深度，更多地是起到指導檔案人員日常工作的作用，并且缺少對社會公眾檔案安全保護意識的宣傳教育，未將公民參與列入到信息治理大環(huán)境中來，因而對于檔案信息安全治理問題，檔案機構(gòu)在認識層面和頂層設(shè)計層面是有局限性的。

（2）重視安全技術(shù)，輕視安全管理

數(shù)據(jù)時代知識挖掘、加密技術(shù)、異地備份、入侵檢測、身份認證等眾多智能技術(shù)層出不窮，很大程度上保障了信息安全，但“事實上許多復雜、多變的安全威脅和隱患僅靠技術(shù)和產(chǎn)品是無法消除的”[6]。當前檔案工作部門往往把檔案信息安全的重點放在提升安全技術(shù)方面，而對信息安全管理體制和治理方式缺乏更高層次更深入的重視。數(shù)據(jù)時代，“三分技術(shù)， 七分管理”這個管理學原則或許也將適用于檔案信息安全治理領(lǐng)域。

（3）缺乏系統(tǒng)性的信息安全治理思維和頂層設(shè)計

根據(jù)文件生命周期理論，文件從產(chǎn)生到銷毀或永久保存是一個完整的過程，因此應(yīng)該用系統(tǒng)、發(fā)展的思維去發(fā)展檔案信息安全治理工作。然而目前我國檔案信息治理各環(huán)節(jié)缺乏連貫性，對檔案信息管理系統(tǒng)也未做到及時維護與實時更新，缺乏系統(tǒng)化的管理模式和邏輯思維。

三、電子時代確保我國檔案信息安全的措施

1.增強信息安全治理意識，強化多部門合作

檔案館（室）等部門要樹立科學的檔案信息安全治理理念，堅持“以防為主，防治結(jié)合”的方針，將檔案信息安全治理納入信息安全整體保障體系之中，強化檔案信息安全意識，開展信息安全教育，普及信息安全知識，消除信息安全認識上的誤區(qū)。譬如在2018年9月巴西博物館失火事件發(fā)生后短短幾天，我國應(yīng)急管理部部署文物建筑博物館火災(zāi)防控措施，頒布相關(guān)文件并召開文物安全相關(guān)會議，這為檔案部門面對緊急事件時的安全治理工作提供了良好借鑒。

檔案工作者要把安全保護意識貫穿工作始終，時刻樹立“安全第一”的意識，繃緊安全這根弦。通過建立崗位責任制，層層抓落實，把檔案安全保護工作落實到實處。檔案公眾在查詢和利用檔案的過程中應(yīng)增強檔案保護意識，不泄露，不污損檔案資料，同時也應(yīng)積極參與檔案部門舉辦的信息安全教育活動，學習檔案信息安全保護知識，遵守國家有關(guān)信息安全方面的規(guī)定。

2.制定完備的檔案信息安全法規(guī)體系

檔案信息安全保護標準主要包括檔案法制標準、管理標準、技術(shù)標準三個方面。國家及檔案館相關(guān)部門應(yīng)建立高效的檔案信息保護應(yīng)急防范機制，并納入整個國家和地區(qū)防御體系，提高信息安全防御能力[5]。要加強檔案信息安全領(lǐng)域的立法和標準建設(shè)，加強宏觀治理，建立完備的檔案信息安全法規(guī)體系，清晰地界定檔案信息權(quán)屬和各方安全責任，完善信息隱私保護的相關(guān)立法，為檔案信息安全體系建設(shè)提供法律支撐。

3.堅持信息安全治理技術(shù)與管理并重

如今，檔案部門對檔案信息安全治理的探討正從唯技術(shù)論發(fā)展到技術(shù)與管理并重，但由于信息技術(shù)的飛速發(fā)展，檔案生成和保管的內(nèi)外環(huán)境日益復雜，檔案安全治理的需求也隨之動態(tài)變化。所以，檔案安全已不能僅靠身份識別、數(shù)字加密、訪問控制等現(xiàn)有技術(shù)，或者制度管控的手段，而是要依靠科學管理和持續(xù)教育提升檔案信息相關(guān)者的信息安全保護素養(yǎng)。因而檔案館既要積極運用先進的信息安全治理技術(shù)，又要完善安全治理各個環(huán)節(jié)的管理手段，創(chuàng)新管理方式，強化對工作者、數(shù)據(jù)庫系統(tǒng)、信息系統(tǒng)、信息安全保障體系等全方位的管理。

4.加強信息安全治理平臺建設(shè)，建設(shè)安全保障體系

信息化平臺建設(shè)是制約檔案信息安全治理的瓶頸之一，檔案信息管理平臺應(yīng)該是整體信息化系統(tǒng)中的一個子系統(tǒng)，能夠?qū)崿F(xiàn)和其他各平臺的數(shù)據(jù)無縫對接，資源共享，在方便提供利用的同時還必須全方位保障平臺建設(shè)過程中的檔案信息安全。必須基于檔案資源評價，選擇性地開展數(shù)字化，有所為有所不為地加強檔案數(shù)字化建設(shè);同時在平臺建設(shè)過程中要設(shè)置數(shù)字檔案管理系統(tǒng)管理權(quán)限。針對不同級別的用戶設(shè)置相應(yīng)的訪問權(quán)限。

檔案信息安全保障體系，就是在檔案信息系統(tǒng)的整個生命周期內(nèi)，從技術(shù)、管理和標準法規(guī)多方面，以積極防御、適度安全和動態(tài)保障為安全治理原則，以基于等級保護制度下的風險評估為手段，保障檔案信息安全的保密性、完整性、可用性、真實性、可核查性和可控性屬性，并保障系統(tǒng)安全的持續(xù)性的體系[9]。在檔案信息化建設(shè)飛速發(fā)展的今天，對已建和在建的檔案信息系統(tǒng)建立基于風險評估的信息安全保障體系是學習先進國家經(jīng)驗和響應(yīng)我國信息安全保障政策的重大舉措，將檔案信息安全從事后“堵漏洞”轉(zhuǎn)化成“預(yù)防為主”的方式，保障檔案信息安全、數(shù)據(jù)安全、系統(tǒng)安全，保證數(shù)字檔案信息的可信、不泄密、不流失;保證數(shù)據(jù)可靠、長期可用;保持系統(tǒng)軟硬件的穩(wěn)定性、可靠性、可控性。

5.增強檔案信息安全保護工作的系統(tǒng)性、持續(xù)性

檔案信息安全治理不是一蹴而就的，而是一個系統(tǒng)完整的體系。從橫向檔案工作內(nèi)容來看，它不僅包括安全技術(shù)，還包括安全管理、法規(guī)標準等諸多方面的內(nèi)容。縱向而言，包括數(shù)據(jù)平臺的建設(shè)、風險控制以及系統(tǒng)及時更新、實時維護，表現(xiàn)在檔案管理各環(huán)節(jié)上的工作都應(yīng)保持連貫性，應(yīng)環(huán)環(huán)相扣，層層推進，形成系統(tǒng)完整的閉環(huán)，同時要重視檔案利用者的反饋意見，增加與社會公眾的互動交流，改變傳統(tǒng)的信息安全治理得不到及時的反饋這一現(xiàn)狀。

綜上所述，大數(shù)據(jù)時代的到來給檔案管理工作帶來新的的發(fā)展機遇，為檔案服務(wù)提供了極大的便利。但我們在合理利用大數(shù)據(jù)帶來的技術(shù)優(yōu)勢的同時，不能忽略數(shù)字檔案資源的安全問題。各方主體應(yīng)該統(tǒng)籌兼顧，重點突破，從檔案信息安全治理意識、制度建設(shè)、技術(shù)保障、數(shù)據(jù)管理平臺建設(shè)等多方面入手，構(gòu)建科學完備的檔案信息安全治理系統(tǒng)，為檔案信息安全保駕護航。