許夏媛
摘要:《檔案信息系統(tǒng)安全保護(hù)基本要求》(檔辦發(fā)〔2016〕1號)是國家檔案局為指導(dǎo)和規(guī)范檔案部門進(jìn)一步加強(qiáng)檔案信息系統(tǒng)建設(shè)和管理,提高檔案信息系統(tǒng)安全保護(hù)水平而制定的。該文件在等級保護(hù)要求的基礎(chǔ)上,根據(jù)檔案信息系統(tǒng)的特點(diǎn)提出了檔案行業(yè)要求,具有創(chuàng)新性和實(shí)踐性。文章介紹了文件發(fā)布的背景和意義,分析和解讀了核心內(nèi)容,并對文件的修改和完善提出了幾點(diǎn)建議。
關(guān)鍵詞:檔案信息系統(tǒng) 安全保護(hù) 基本要求
Abstract: The Basic Requirements for the Securi? ty Protection of Archives Information System was formulated by the National Archives Administration of China to guide and standardize the archives depart? ments to further strengthen the construction and management of archives information systems, and improve the level of security protection for archives information systems. On the basis of the require? ments of graded protection, this document puts for? ward the requirements of the archives industry ac? cording to the characteristics of the archive informa? tion system, which is innovative and practical. This study introduces the background and significance of the document release, analyzes and interprets the core content, and puts forward several suggestions for the revision and improvement of the document.
Keywords: Archives information system; Securi? ty protection; Basic requirements
隨著檔案信息化進(jìn)程的不斷加快,檔案部門通過檔案信息系統(tǒng)管理的數(shù)字檔案資源越來越多,提高檔案信息系統(tǒng)的安全防護(hù)能力和水平,已經(jīng)成為加強(qiáng)檔案信息安全管理、促進(jìn)檔案事業(yè)健康發(fā)展的一項(xiàng)重要內(nèi)容。2015年,國家檔案局為貫徹落實(shí)習(xí)近平總書記等中央領(lǐng)導(dǎo)同志關(guān)于安全生產(chǎn)的重要指示,召開了學(xué)習(xí)會,強(qiáng)調(diào)要“堅(jiān)持把確保檔案絕對安全放在首要位置”[1],并在這個(gè)背景下,要求技術(shù)部研究制定《檔案信息系統(tǒng)安全保護(hù)基本要求》(檔辦發(fā)〔2016〕1號,以下簡稱《基本要求》),并于2016年發(fā)布,以指導(dǎo)和規(guī)范檔案部門進(jìn)一步加強(qiáng)檔案信息系統(tǒng)建設(shè)和管理,提高檔案信息系統(tǒng)安全保護(hù)水平。
2021年,《“十四五”全國檔案事業(yè)發(fā)展規(guī)劃》中提出要繼續(xù)加強(qiáng)檔案安全保護(hù),進(jìn)一步提升信息安全保障能力,推進(jìn)檔案安全體系建設(shè);貫徹總體國家安全觀、統(tǒng)籌發(fā)展和安全,堅(jiān)持安全底線;完善檔案安全保護(hù)標(biāo)準(zhǔn)規(guī)范,并加強(qiáng)標(biāo)準(zhǔn)解讀和宣傳貫徹工作。檔案信息安全保護(hù)工作的建設(shè)和推進(jìn)已經(jīng)成為重中之重,在這個(gè)背景下,解讀《基本要求》具有現(xiàn)實(shí)意義和參考作用。
(一)體系性與協(xié)調(diào)性
《基本要求》是由國家檔案局在2016年1月印發(fā)的規(guī)范性文件,具有普遍約束力。在《基本要求》出臺之前,已有《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239—2008,以下簡稱“GB/T 22239—2008”)、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T 22240- 2008,以下簡稱“GB/T 22240—2008”)以及《檔案信息系統(tǒng)安全等級保護(hù)定級工作指南》(檔辦發(fā)〔2013〕5號,以下簡稱《工作指南》)等相關(guān)標(biāo)準(zhǔn)文件作為參照?!痘疽蟆分饕浴豆ぷ髦改稀分袛M定為二級或三級的系統(tǒng)為對象,而“等保二級要求”“等保三級要求”中的有關(guān)規(guī)定則來源于GB/T 22239—2008?!痘疽蟆返挠“l(fā),使檔案行業(yè)和信息系統(tǒng)行業(yè)的各個(gè)零散標(biāo)準(zhǔn)、規(guī)范性文件由點(diǎn)成線、由線成面,從整體到具體,從基本要求到如何定級,使這幾個(gè)標(biāo)準(zhǔn)互相支撐和整體配套,共同構(gòu)成了檔案信息系統(tǒng)安全保護(hù)的規(guī)范體系。
(二)范圍具有專指性
《基本要求》通過層層遞進(jìn)的概念限定,明確了本文件的適用對象。首先是在適用范圍中指出本文件是面向省級及以上非涉密檔案信息系統(tǒng)安全保護(hù)工作。其次在說明中進(jìn)一步限定,是以《工作指南》中擬定的二級或三級系統(tǒng)為討論對象,進(jìn)一步將非涉密檔案信息系統(tǒng)里的一、四、五級系統(tǒng)排除在外。最后再根據(jù)檔案信息系統(tǒng)的特點(diǎn)提出檔案行業(yè)要求,當(dāng)系統(tǒng)安全保護(hù)水平與同等級等保保護(hù)水平相同時(shí),需同時(shí)滿足等級保護(hù)要求和檔案行業(yè)要求,使檔案信息系統(tǒng)不僅具備信息系統(tǒng)的共同特點(diǎn),還具有檔案行業(yè)的特色。
所以,基本文件的討論對象專指省級及以上的、安全保護(hù)等級為二或三級的非涉密檔案信息系統(tǒng),且這些系統(tǒng)需滿足等級保護(hù)要求和檔案行業(yè)要求。
(三)要求具有創(chuàng)新性
在國家發(fā)布的檔案工作國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)或其他文件中,與檔案信息系統(tǒng)相關(guān)的有《檔案信息系統(tǒng)運(yùn)行維護(hù)規(guī)范》(DA/T 56—2014)、《電子檔案管理系統(tǒng)通用功能要求》(GB/T 39784—2021)、《電子檔案管理系統(tǒng)基本功能規(guī)定》(檔辦發(fā)〔2017〕3號),但與檔案信息系統(tǒng)安全有關(guān)的只有《工作指南》。《基本要求》的發(fā)布,填補(bǔ)了我國檔案信息系統(tǒng)在安全等級保護(hù)基本要求方面的空白,與《工作指南》分別從如何定級和如何保護(hù)兩方面雙管齊下,構(gòu)成更為完善的檔案信息系統(tǒng)安全保護(hù)規(guī)范體系。
另外,《基本要求》的創(chuàng)新性還體現(xiàn)在提出“檔案行業(yè)要求”一欄,體現(xiàn)出了檔案信息系統(tǒng)與其他信息系統(tǒng)的不同,不僅僅只是生搬硬套GB/T 22239—2008中的規(guī)定,這一創(chuàng)新性舉措,使基本要求在實(shí)踐中更具有指導(dǎo)意義。
(一)體例與內(nèi)容構(gòu)成
《基本要求》一共分為六個(gè)部分,分別為“適用范圍”“編制依據(jù)”“工作原則”“關(guān)于《基本要求》的說明”“檔案信息系統(tǒng)安全保護(hù)的管理要求”(以下簡稱“管理要求”)和“檔案信息系統(tǒng)安全保護(hù)的技術(shù)要求”(以下簡稱“技術(shù)要求”)。其中“管理要求”和“技術(shù)要求”以附件表格的形式展現(xiàn)。正文部分首先是對基本要求制定的目的和根據(jù)進(jìn)行簡要說明,明確適用范圍,并列出編制依據(jù)作為限定框架和橫向參照。接著提出安全保護(hù)工作的三大原則作為指導(dǎo),同時(shí)對要求中涉及到的對象、部分術(shù)語進(jìn)行說明和規(guī)范。最后對檔案信息系統(tǒng)安全保護(hù)提出了管理要求和技術(shù)要求。
(二)適用范圍和規(guī)范性引用文件
《基本要求》在第一部分適用范圍中明確強(qiáng)調(diào),僅“適用于省級及以上檔案局館的非涉密檔案信息系統(tǒng)安全保護(hù)工作”,這一表述分別用“級別”“檔案信息系統(tǒng)”“安全保護(hù)工作”三個(gè)關(guān)鍵詞對基本要求的適用范圍進(jìn)行嚴(yán)謹(jǐn)限定,將地市及以下各級檔案局館、涉密檔案信息系統(tǒng)及涉及密碼工作的情況排除在外,并指明其他情況應(yīng)參照的對應(yīng)規(guī)定標(biāo)準(zhǔn)。
《基本要求》的編制依據(jù)一共有11條,其中9條為國家標(biāo)準(zhǔn),2條為規(guī)范性文件,主要涉及信息系統(tǒng)的安全等級保護(hù)的要求、定級、實(shí)施以及相關(guān)安全技術(shù)、機(jī)房設(shè)計(jì)等主題,以這些標(biāo)準(zhǔn)和規(guī)定為編制依據(jù),通過進(jìn)一步深化,形成了《基本要求》。《基本要求》在對象、要求等方面與GB/ T 22239—2008、《工作指南》互為參照,在機(jī)房物理安全等方面以《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB 50174—2008)等標(biāo)準(zhǔn)為要求來源,既保持了《基本要求》的獨(dú)立和規(guī)范,又使各個(gè)標(biāo)準(zhǔn)間保持整體性和協(xié)調(diào)性。
(三)《基本要求》的術(shù)語和定義
《基本要求》中沒有同其他標(biāo)準(zhǔn)或規(guī)范性文件一樣,專門設(shè)置“術(shù)語和定義”一章,而是在工作原則一節(jié)后增加“說明部分”,指出《基本要求》中的安全保護(hù)對象,是《工作指南》中擬定為二級或三級的系統(tǒng),具體見表1。順著這一線索找到《工作指南》[2]中對“檔案信息系統(tǒng)”的定義:“檔案信息系統(tǒng)是指開展檔案業(yè)務(wù)所使用的檔案信息管理系統(tǒng)、檔案信息服務(wù)系統(tǒng)和檔案辦公系統(tǒng)等三類信息管理系統(tǒng)”,且每類信息管理系統(tǒng)下還包括各類子系統(tǒng)。在研讀《工作指南》的過程中,可以發(fā)現(xiàn),無論國家級還是省級的檔案信息系統(tǒng),其子系統(tǒng)所對應(yīng)的安全保護(hù)等級定級基本為二級或三級,僅有檔案信息管理系統(tǒng)大類下的國家級數(shù)字檔案管理系統(tǒng)定級建議為三級或四級,筆者認(rèn)為,這應(yīng)該是《基本要求》只以二級和三級系統(tǒng)為規(guī)定對象的主要原因。另外,“說明部分”還指明,《基本要求》中的“等保二級要求”和“等保三級要求”的有關(guān)規(guī)定均來源于GB/T 22239—2008,并結(jié)合自身行業(yè)特點(diǎn),提出“檔案行業(yè)要求”,所以,《基本要求》既繼承了信息系統(tǒng)的特點(diǎn),又在此基礎(chǔ)上發(fā)展出檔案信息系統(tǒng)的特色。
任何一門科學(xué),都必須有自己的術(shù)語概念。[3]在當(dāng)今科學(xué)高度分化和高度綜合的時(shí)代,許多學(xué)科都對檔案學(xué)產(chǎn)生了很大影響,檔案學(xué)在吸納融合其他學(xué)科的名詞基礎(chǔ)上,應(yīng)結(jié)合自身特點(diǎn)確立自己的名詞術(shù)語。[4]基本要求的“檔案信息系統(tǒng)”“安全保護(hù)工作”名詞也是受到信息領(lǐng)域的影響而來。名詞術(shù)語的統(tǒng)一,對檔案行業(yè)標(biāo)準(zhǔn)規(guī)定的影響力和權(quán)威性具有重要作用,通常標(biāo)準(zhǔn)、規(guī)范性文件在論述完適用范圍和規(guī)范性引用文件之后,會對本文所涉及的關(guān)鍵術(shù)語進(jìn)行界定,雖然《基本要求》沒有這一章節(jié),但其關(guān)鍵術(shù)語已蘊(yùn)含在“說明部分”,首先是與《工作指南》的第二、三等級系統(tǒng)對齊,則表明《基本要求》對檔案信息系統(tǒng)、檔案信息系統(tǒng)安全保護(hù)等級的概念界定遵從《工作指南》,從而明確了《基本要求》的主體、客體、客體關(guān)系、等級劃分等與《工作指南》的概念定義對齊,兩者密不可分,應(yīng)作為整體理解。其次,《基本要求》中明確“管理要求”與“技術(shù)要求”來源于《GB/T 22239—2008》,說明對五級安全保護(hù)能力的劃分、安全保護(hù)基本要求的內(nèi)涵及分類、“管理要求”和“技術(shù)要求”的制定思路都表示認(rèn)同,是在這些概念成立的前提下制定的《工作要求》,同時(shí)再進(jìn)一步溯源,GB/T 22239—2008與GB/T 22240—2008是同系列的兩個(gè)相關(guān)標(biāo)準(zhǔn),其術(shù)語也是互為參照且適用,在GB/T 22239—2008中未界定的“等級保護(hù)對象”一詞,應(yīng)參照GB/T 22240—2008中的定義進(jìn)行理解,才能構(gòu)成《基本要求》完整的術(shù)語定義體系。
(四)“管理要求”和“技術(shù)要求”
“管理要求”和“技術(shù)要求”以附件表格形式展現(xiàn),分別從等保二級要求、等保三級要求和檔案行業(yè)要求三個(gè)層次對檔案信息系統(tǒng)的安全保護(hù)提出要求,并提出了10個(gè)一級指標(biāo)和73個(gè)二級指標(biāo)。管理要求有5個(gè)一級指標(biāo), 37個(gè)二級指標(biāo);技術(shù)要求有5個(gè)一級指標(biāo),并細(xì)化為36個(gè)二級指標(biāo),同時(shí)每個(gè)指標(biāo)基本都有對應(yīng)的等保二級和三級要求。在這73個(gè)二級指標(biāo)中,只有19個(gè)有對應(yīng)的檔案行業(yè)要求(“管理要求”部分7個(gè),“技術(shù)要求”部分12個(gè))。
“管理要求”和“技術(shù)要求”里的等保二級要求和等保三級要求均來源于GB/T 22239—2008,檔案信息系統(tǒng)作為信息系統(tǒng)的子集,在內(nèi)容上與其保持一致,并在此基礎(chǔ)上,根據(jù)檔案信息系統(tǒng)的特點(diǎn),提出檔案行業(yè)要求,進(jìn)行進(jìn)一步深化。該部分將在下文進(jìn)行重點(diǎn)分析。
(五)《基本要求》核心要點(diǎn)解讀
1.將明確責(zé)任和職責(zé)作為原則貫穿整個(gè)要求?!痘疽蟆吩诠ぷ髟瓌t中強(qiáng)調(diào)等級保護(hù)工作“誰運(yùn)行誰管理誰負(fù)責(zé)”的要求,通過建立和完善相應(yīng)的規(guī)章制度、操作規(guī)程、管理機(jī)制從而達(dá)到明確檔案信息系統(tǒng)的領(lǐng)導(dǎo)責(zé)任和崗位職責(zé)的要求,因此,在管理要求和技術(shù)要求部分,也根據(jù)這一原則,細(xì)化了一級指標(biāo)及對應(yīng)的措施,使這一原則不是空中樓閣的大話,而能落實(shí)到具體實(shí)處。通過統(tǒng)計(jì),“管理要求”和“技術(shù)要求”里一共出現(xiàn)了9次“專人”,21次“負(fù)責(zé)”的字眼,如明確要求設(shè)置系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,由專人負(fù)責(zé)訪問監(jiān)督、文檔保管、維護(hù)管理、存儲管理和設(shè)備管理等。通過設(shè)置責(zé)任部門、責(zé)任小組、責(zé)任人員進(jìn)行定崗定責(zé),以及明確相應(yīng)的審批事項(xiàng)、審批權(quán)限和審批流程,使檔案信息系統(tǒng)的安全保護(hù)有據(jù)可依,有人可找,有規(guī)范來保障。
2.在GB/T 22239—2008的基礎(chǔ)上進(jìn)行深化
《基本要求》在說明部分指出,該文件根據(jù)檔案信息系統(tǒng)的特點(diǎn)提出了“檔案行業(yè)要求”,與GB/T 22239—2008相比,這一要求具有獨(dú)特性和專業(yè)性,是研究基本要求檔案特性的重要切入點(diǎn),文件所依據(jù)的“特點(diǎn)”是需要置于檔案行業(yè)、檔案專業(yè)以及檔案信息系統(tǒng)的環(huán)境下來分析的。筆者歸納出以下五個(gè)方面的特點(diǎn)以及體現(xiàn)這些特點(diǎn)的檔案行業(yè)要求:
特點(diǎn)一:檔案行業(yè)的行政機(jī)構(gòu)條線決定了責(zé)權(quán)利的設(shè)置。在新一輪機(jī)構(gòu)改革后,中央檔案館與國家檔案局是一個(gè)機(jī)構(gòu)兩塊牌子,履行檔案保管、利用和全國檔案事業(yè)行政管理職能,2020年新頒布的《中華人民共和國檔案法》的第二章“檔案機(jī)構(gòu)及其職責(zé)”中規(guī)定:“國家檔案主管部門主管全國的檔案工作,負(fù)責(zé)全國檔案事業(yè)的統(tǒng)籌規(guī)劃和組織協(xié)調(diào),建立統(tǒng)一制度,實(shí)行監(jiān)督和指導(dǎo)”“縣級以上地方檔案主管部門主管本行政區(qū)域內(nèi)的檔案工作,對本行政區(qū)域內(nèi)機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織的檔案工作實(shí)行監(jiān)督和指導(dǎo)”“機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織應(yīng)當(dāng)確定檔案機(jī)構(gòu)或者檔案工作人員負(fù)責(zé)管理本單位的檔案,并對所屬單位的檔案工作實(shí)行監(jiān)督和指導(dǎo)”,進(jìn)一步明確了檔案部門的主體地位,且在第三章檔案的管理第十二條規(guī)定“按照國家規(guī)定應(yīng)當(dāng)形成檔案的機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織,應(yīng)當(dāng)建立檔案工作責(zé)任制,依法健全檔案管理制度”,強(qiáng)調(diào)要將責(zé)任落實(shí)到實(shí)際工作中。從檔案法的排列設(shè)置來看,從國家級、縣級到鄉(xiāng)鎮(zhèn)再到機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位和其他組織,具有明顯的層級關(guān)系。我國長期以來實(shí)行“條塊結(jié)合”的檔案管理體制,其根本出發(fā)點(diǎn)是使專業(yè)主管機(jī)關(guān)和檔案行政部門形成合力[5],而從檔案行政部門內(nèi)部看,其垂直管理關(guān)系使“條條”關(guān)系更為明顯,因此決定了內(nèi)部具有明顯的層級關(guān)系,需要層層匯報(bào)、層層審批和層層落實(shí)。因此,由檔案行政部門內(nèi)部的條線管理特點(diǎn),決定了《基本要求》中相應(yīng)的安全制度需要有明確的程式和審批制度,且要適配檔案管理的各個(gè)環(huán)節(jié),如要求“安全管理制度、操作規(guī)程應(yīng)涵蓋檔案信息系統(tǒng)建設(shè)、運(yùn)維的所有工作環(huán)節(jié)”,出現(xiàn)重要安全情況要向上級檔案部門報(bào)告,在制度已制定的基礎(chǔ)上設(shè)置崗位及相應(yīng)的職責(zé),并通過將相應(yīng)崗位職責(zé)明確授權(quán)給部門及人員,從而將崗位和責(zé)任匹配到人員,如領(lǐng)導(dǎo)要負(fù)責(zé)對重要系統(tǒng)操作活動進(jìn)行審批、主機(jī)運(yùn)維部門工作人員根據(jù)職責(zé)來設(shè)置訪問權(quán)限、檔案數(shù)據(jù)資源的處置權(quán)限根據(jù)用戶工作權(quán)限來分配。圍繞系統(tǒng)在管理層面和物理層面設(shè)置角色分工,能夠檢查文件中的錯(cuò)誤和蓄意篡改,特別是在一些存在泄露或其他惡意行為風(fēng)險(xiǎn)的系統(tǒng)中尤為重要。[6]在這一整套體系中,請示和情況得到層層審批,任務(wù)和責(zé)任得到層層落實(shí),在《基本要求》中與此特點(diǎn)相關(guān)的檔案行業(yè)要求歸納見表2。
雖然這幾點(diǎn)要求分別是從制度、崗位、訪問控制、人員等角度提出,但其核心都是圍繞責(zé)任,在層級明確的行政體系內(nèi),制度的執(zhí)行、層級的設(shè)置、崗位的分配等,都與落實(shí)責(zé)任密切相關(guān),所以這幾點(diǎn)要求的提出是由檔案行業(yè)的機(jī)構(gòu)條線設(shè)置決定的。
特點(diǎn)二:檔案的原始記錄性決定了保存記錄意識強(qiáng)。檔案的本質(zhì)特性——原始記錄性,不僅是檔案區(qū)別于其他事物的根本所在,而且從根本上決定著其管理方法的基本取向。[7]因此在《基本要求》中提出了“重要審批授權(quán)記錄應(yīng)存檔備查”“審計(jì)記錄、報(bào)表等應(yīng)保存1年備查”、禁止非授權(quán)用戶對檔案數(shù)據(jù)進(jìn)行增刪改拷貝操作、應(yīng)記錄相關(guān)操作信息等要求,因?yàn)檫@些記錄、報(bào)表是確鑿的原始材料和歷史記錄,具有憑證價(jià)值,可以成為查考、研究和處理問題的依憑,認(rèn)定法律權(quán)利、義務(wù)與責(zé)任的證據(jù)。檔案的原始記錄性一方面決定了檔案是歷史的真憑實(shí)據(jù),具有憑證價(jià)值,另一方面又潛移默化地影響檔案學(xué)人,重視對原始記錄的保存,因此,在基本要求中,多處可見這種影響的痕跡,具體見表3。
特點(diǎn)三:檔案內(nèi)容的重要性及信息的敏感性,決定了安全要求高和保密意識強(qiáng)。所有信息,不管存儲在什么載體上,很可能發(fā)生無意或有意丟失或改變的情況。為了保護(hù)存儲的電子文件內(nèi)容,需要采取和實(shí)施安全措施以減少電子信息真實(shí)性受到破壞。在傳統(tǒng)意義上,信息安全就是要保密,以確保在本組織機(jī)構(gòu)規(guī)定范圍外無法獲取信息,因此要求“局域網(wǎng)與因特網(wǎng)物理隔離”“網(wǎng)絡(luò)設(shè)備應(yīng)封閉不需要的端口,關(guān)閉不需要的服務(wù)”。[8]另外,還需要采取必要的措施來確保存儲信息的完整性和可靠性,定期對存儲信息進(jìn)行備份,防止信息在生命周期內(nèi)被修改、不當(dāng)添加或刪除,同時(shí),還需要考慮將數(shù)據(jù)進(jìn)行異地備份,以確保安全。為了防止信息被篡改、復(fù)制、泄露從而影響檔案及相關(guān)數(shù)據(jù)的真實(shí)、完整、可靠,檔案行業(yè)要求提出了幾點(diǎn)要求來確保信息安全,如存儲介質(zhì)銷毀前清除數(shù)據(jù)并登記、“禁止單一賬戶多人使用”、“根據(jù)用戶工作權(quán)限分配檔案數(shù)據(jù)資源的處置權(quán)限”、“確保存儲設(shè)備再次分配使用時(shí)無任何檔案數(shù)據(jù)”等,具體見表4。
特點(diǎn)四:與檔案庫房“八防”有共通性,在物理安全方面提出更具體的要求,具體見表5。檔案學(xué)界通常將檔案庫房管理要求的防火、防水、防潮、防光、防塵、防盜、防蟲、防霉(有些是防高溫或防鼠,這里不做討論)合稱八防,《基本要求》里的物理安全二級指標(biāo)劃分,與八防具有共通性,同時(shí)也符合《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB 50174—2008)與《檔案館建筑設(shè)計(jì)規(guī)范》(JGJ 25—2010)的要求。在物理位置選擇的檔案行業(yè)要求中,提出“機(jī)房建筑抗震不應(yīng)低于丙類抗震要求”,該要求來源于《建筑工程抗震設(shè)防分類標(biāo)準(zhǔn)》(GB 50223—2008,以下簡稱“GB 50223—2008”),在GB 50223-2008中對丙類抗震的解釋是:“丙類即標(biāo)準(zhǔn)設(shè)防類,指大量的除特殊設(shè)防類、重點(diǎn)設(shè)防類及適度設(shè)防類以外按標(biāo)準(zhǔn)要求進(jìn)行設(shè)防的建筑”“應(yīng)按本地區(qū)抗震設(shè)防烈度確定其抗震措施和地震作用,達(dá)到在遭遇高于當(dāng)?shù)乜拐鹪O(shè)防烈度的預(yù)估罕遇地震影響時(shí)不致倒塌或發(fā)生危及生命安全的嚴(yán)重破壞的抗震設(shè)防目標(biāo)”。丙類抗震要求作為基本要求中的最低標(biāo)準(zhǔn),各級檔案館還應(yīng)根據(jù)自身情況,對照GB 50223—2008中對不同建筑設(shè)防類的劃分,規(guī)定本單位的抗震級別。
在物理訪問控制方面,《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB 50174—2008)中只提出“安全防范系統(tǒng)宜由視頻安防監(jiān)控系統(tǒng)、入侵報(bào)警系統(tǒng)和出入口控制系統(tǒng)組成,各系統(tǒng)之間應(yīng)具備聯(lián)動控制功能”,在《檔案館建筑設(shè)計(jì)規(guī)范》(JGJ 25-2010)中也同樣只有概括性要求“檔案館應(yīng)設(shè)置入侵報(bào)警、視頻監(jiān)控、出入口控制、電子巡查等安全防范系統(tǒng)”,未見“視頻監(jiān)控記錄至少需保存3個(gè)月”的規(guī)定,考慮保存成本及參照其他規(guī)定來看,對于重要場所的監(jiān)控視頻,通常要求保存3個(gè)月以上,如武漢市郵政管理局、兒童福利機(jī)構(gòu)等,因此《基本要求》的規(guī)定具有合理性。在同年發(fā)布的《數(shù)字檔案室建設(shè)評價(jià)辦法》(檔辦發(fā)〔2016〕3號)中對主機(jī)房的監(jiān)控也同樣提出了要求:“應(yīng)配備視頻監(jiān)控設(shè)施,監(jiān)控視頻保存周期至少三個(gè)月”,與《基本要求》保持了一致。
由于檔案在溫濕度保存方面非常重視,因此在GB/ T 22239—2008的技術(shù)要求基礎(chǔ)上,著重對機(jī)房的溫濕度范圍提出要求,體現(xiàn)了檔案行業(yè)的特點(diǎn)。《基本要求》中對溫濕度控制的要求來源于《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB 50174—2008)的附錄A各級電子信息系統(tǒng)機(jī)房技術(shù)要求。
特點(diǎn)五:從電子檔案長期保存和利用的角度提出要求。國內(nèi)檔案學(xué)者對電子檔案信息長期保存進(jìn)行了較全面的研究,取得了較為豐富的成果,在標(biāo)準(zhǔn)方面已有《文書類電子文件元數(shù)據(jù)方案》(DA/T 46—2009)、《版式電子文件長期保存格式需求》(DA/T 47—2009)、《基于XML的電子文件封裝規(guī)范》(DA/T 48—2009)等等,構(gòu)成了較為完整的體系,也影響了實(shí)踐過程中對電子檔案信息長期保存影響因素的認(rèn)知,因此基本要求中提出,為了確保電子檔案長期保存和可用,不宜采取技術(shù)加密手段,以避免因技術(shù)的快速迭代或人員更替等因素影響導(dǎo)致數(shù)據(jù)的不可用,具體見表6。
(一)設(shè)置目錄使內(nèi)容更加直觀清晰
因《基本要求》劃分的部分較多,建議參照GB/T 22239-2008和GB/T 22240—2008的編寫格式,在文件開頭設(shè)置目錄,使讀者可以更加清晰直觀地把握《基本要求》的層級脈絡(luò),特別是“管理要求”和“技術(shù)要求”作為全文的主體部分,可在正文做簡要介紹,羅列出一級指標(biāo)并指出要點(diǎn),使讀者在閱讀表格前能從整體把握管理和技術(shù)要求的設(shè)置邏輯。
(二)增加術(shù)語與定義使結(jié)構(gòu)更完善
《基本要求》雖然在說明中點(diǎn)明全文的對象和要求是與另外兩個(gè)標(biāo)準(zhǔn)對齊的,但讀者在閱讀時(shí)卻需要先翻找出其他標(biāo)準(zhǔn)出來,將相關(guān)概念全部對照理解后,才能開始研究基本要求,造成了極大的不便。建議《基本要求》可以參照其他規(guī)范性文件及標(biāo)準(zhǔn)的格式,增加術(shù)語與定義章節(jié),將相關(guān)概念按一定的邏輯順序羅列,使全文結(jié)構(gòu)更完善,定義更明確,理解更順暢。
(三)與時(shí)俱進(jìn),更新和完善內(nèi)容
本文件發(fā)布至今已有5年,隨著大數(shù)據(jù)、云計(jì)算、云儲存、移動互聯(lián)等新興技術(shù)的興起和發(fā)展,《基本要求》所依據(jù)的社會環(huán)境、技術(shù)條件、行業(yè)情況等都發(fā)生了很大的變化,GB/T 22239—2008也已在2019年做了多處調(diào)整,由《信息安全技術(shù):網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GBT 22239—2019)替代,《基本要求》也應(yīng)與時(shí)俱進(jìn),在技術(shù)革新、管理理念、內(nèi)容體系等方面進(jìn)行補(bǔ)充、修改和完善,以適應(yīng)新形勢,更好地為檔案安全保護(hù)工作提供指導(dǎo)。
*本文系深圳信息職業(yè)技術(shù)學(xué)院基金項(xiàng)目“中國高等教育學(xué)會檔案工作分會科研項(xiàng)目”(項(xiàng)目編號:ZGDY-2018-01)的研究成果。
注釋及參考文獻(xiàn):
[1]崔志華.堅(jiān)持把確保檔案絕對安全放在首要位置[N].中國檔案報(bào),2015-09-10(001).
[2]國家檔案局.檔案信息系統(tǒng)安全等級保護(hù)定級工作指南(檔辦發(fā)〔2013〕5號) [EB/OL].(2013-07-10).[2021-08-15]. https : // www. saac. gov. cn / daj/tzgg/ 201308/6123a256811743d386f8c9be4aa5d3b7.shtml.
[3]韓玉梅.論檔案術(shù)語的作用和類型──檔案術(shù)語研究探析之一[J].北京檔案,1994(3):11-12.
[4]林清澄.統(tǒng)一檔案學(xué)名詞術(shù)語的意義、原則和方法[J].北京檔案,1997(8):18-19.
[5]羅紫菡,喬健.從檔案行政管理部門到檔案主管部門——探析新修訂的《檔案法》[J].檔案管理,2021(3):17-19.
[6]國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,國家標(biāo)準(zhǔn)化管理委員會.文檔管理電子信息存儲真實(shí)性可靠性建議(GB/Z 26822—2011)[S].北京:商務(wù)印書館,2011:1.
[7][8]馮惠玲,張輯哲.檔案學(xué)概論[M].北京:中國人民大學(xué)出版社,2006:59.
作者單位:深圳信息職業(yè)技術(shù)學(xué)院