電子檔案安全管理策略

鞏淑芳，賈兆全

電子檔案安全管理策略：

1建立健全電子檔案安全法規(guī)制度，完善安全法規(guī)建設(shè)。當前，我國電子檔案安全法規(guī)還沒有形成完整的體系，相關(guān)部門應(yīng)在我國現(xiàn)有電子檔案安全法規(guī)制度的基礎(chǔ)上，借鑒國外先進經(jīng)驗，結(jié)合本單位、本地區(qū)實際情況，按照突出重點、填補空白、逐步完善的原則，制定出具有較強針對性和可操作性的電子檔案法規(guī)體系，健全安全管理機制。健全各項管理機制，使安全管理工作具有可操作性，包括：①人員安全管理機制：人才培養(yǎng)制度、崗位責任制、安全審查制度、離崗人員用戶身份撤銷制度等；②系統(tǒng)安全運行機制：機房管理制度、定期維護和定期檢測制度、運行管理制度、網(wǎng)絡(luò)管理制度、管理日志制度等；③災(zāi)害管理機制：災(zāi)害預(yù)警制度、突發(fā)事件應(yīng)急制度、常規(guī)備份和容災(zāi)備份制度、災(zāi)害搶救制度等；④風(fēng)險管理機制：風(fēng)險評估制度、安全等級管理制度等。

強化安全管理規(guī)范。強化落實各項安全管理規(guī)范，使安全管理工作程序化、制度化。包括：電子檔案安全存儲管理規(guī)范、應(yīng)用系統(tǒng)操作規(guī)范、服務(wù)器管理規(guī)范、技術(shù)變遷管理規(guī)范、加密儲存規(guī)范、環(huán)境控制規(guī)范、用戶權(quán)限設(shè)置規(guī)范等。

2選用適宜的電子檔案安全技術(shù)。電子檔案安全技術(shù)的實現(xiàn)，應(yīng)依據(jù)檔案信息系統(tǒng)的構(gòu)成、電子檔案所處的安全級別，進行安全風(fēng)險評估，得出安全需求，從而確定適宜應(yīng)用的安全技術(shù)。

基于載體的安全技術(shù)。①辦公自動化技術(shù)；②新材料技術(shù)；③磁帶、磁盤、光盤、軟盤等特殊檔案載體的管理與保護技術(shù)；④防電磁輻射技術(shù)；⑤電子檔案恢復(fù)與還原技術(shù)；⑥檔案損壞的測試與評估技術(shù)；⑦定期檢測和拷貝技術(shù)等。基于環(huán)境的安全技術(shù)。主要有：①庫房建筑標準與圍護結(jié)構(gòu)功能的設(shè)計、施工和實施；②檔案保管的設(shè)備、設(shè)施和有效裝具；③檔案庫房和利用環(huán)境的監(jiān)測技術(shù)；④溫濕度調(diào)節(jié)與控制技術(shù)；⑤有害因素的控制和防護技術(shù)等。基于信息的安全技術(shù)。主要有：①內(nèi)容的原始性技術(shù)：簽署技術(shù)、數(shù)字水印技術(shù)、加密技術(shù)、防寫技術(shù)、信息隱藏技術(shù)、防消息泄密技術(shù)、防拷貝技術(shù)等；②操作系統(tǒng)安全技術(shù)：身份標識驗證技術(shù)、訪問控制技術(shù)、審計跟蹤技術(shù)等；③數(shù)據(jù)安全技術(shù)：數(shù)據(jù)加密技術(shù)、應(yīng)急響應(yīng)技術(shù)、數(shù)據(jù)備份與容災(zāi)技術(shù)、數(shù)據(jù)庫安全技術(shù)等；④網(wǎng)絡(luò)安全技術(shù)：防火墻技術(shù)、防水墻技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)、物理隔離技術(shù)、代理服務(wù)技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)和虛擬網(wǎng)技術(shù)等；⑤用戶安全技術(shù)：身份認證技術(shù)、信息完整性校驗技術(shù)、數(shù)字簽名技術(shù)和訪問控制技術(shù)等；⑥安全測評認證技術(shù)。

基于長期可存取的保護技術(shù)：①軟件仿真技術(shù)；②過時格式數(shù)據(jù)遷移技術(shù)；③載體轉(zhuǎn)換技術(shù)；④版本跟蹤技術(shù)；⑤背景信息打包保存技術(shù)等。基于災(zāi)害的保護技術(shù)。主要有：①災(zāi)害的預(yù)警與防范技術(shù)；②容災(zāi)備份技術(shù)（本地容錯模式和異地容災(zāi)模式）；③安全事件的應(yīng)急處置技術(shù)；④災(zāi)后受損檔案的搶救與數(shù)據(jù)烣復(fù)技術(shù)等。

3引進先進的管理理念。前端控制：具體到電子檔案安全管理中，是指檔案管理工作提前介入電子文件的形成、運行和歸檔管理，建立起統(tǒng)一標準，互為保證、密切相關(guān)、相對獨立的運行模式，從而組成一個完整、嚴密的電子檔案原始性、真實性保障體系。

全程管理：是指將電子檔案的整個生命周期納入一個系統(tǒng)工程內(nèi)，全程實行安全管理。

安全等級保護：是指根據(jù)電子檔案的重要程度遭到破壞后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分電子檔案安全管理系統(tǒng)等級，實施相應(yīng)的保護措施。它可以使電子檔案安全工作更有效，資源配置更科學(xué)合理。

風(fēng)險管理：是基于系統(tǒng)、科學(xué)、全面、動態(tài)的安全風(fēng)險評估，體現(xiàn)預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)電子檔案安全原則的前提下，選擇合適的控制方式來保護電子檔案，使電子檔案安全風(fēng)險的發(fā)生概率和損失降低到可接受的水平。

4構(gòu)建電子檔案安全保障體系。是指從電子檔案安全技術(shù)和安全管理等方面，對電子檔案實體及信息系統(tǒng)進行安全防御，確保電子檔案的保密性、完整性、可用性、真實性、不可否認性、可控性和可追溯性。電子檔案安全保障體系的構(gòu)建包括管理保障體系、技術(shù)保障體系、法規(guī)標準保障體系、基礎(chǔ)設(shè)施體系、產(chǎn)業(yè)支撐體系、人才培養(yǎng)體系和安全評估體系。

（作者單位：鞏淑芳，鶴壁職業(yè)技術(shù)學(xué)院；賈兆全，新鄉(xiāng)市檔案局來稿日期：2012-08-16）