可信電子文件審計認證研究

劉國華　李澤鋒

摘 要：分析電子文件管理不僅要保障真實性與完整性，還要證明其真實性與完整性，進一步提出可信電子文件管理系統的概念，并分析其內涵與外延。據此概念研究證明真實性與完整性的途徑與方法——審計認證，將電子文件的審計認證分為四個層次：文件自身、管理過程、人員與機構，探討這四個層次的具體內容，重點分析了機構文件管理能力評測。

關鍵詞：可信；電子文件管理系統；審計認證；文件管理能力

從電子文件出現直到現在，雖然其研究取得了很多進展，得到了社會的廣泛認可，然而還有許多檔案人員甚至包括一些檔案專家在內對電子文件依然不認可。他們也承認電子文件是形成者在社會活動中直接形成的，具有原始記錄性，但他們對其法律效力表示疑惑，實際就是對電子文件長期保存中的真實性表示疑惑，他們認為電子文件在生成時固然有真實性，但經過長期保存，其真實性就難以確定，因為電子文件載體與信息是分離的，其修改難以被覺察。即使電子文件經過檔案人員的精心保管，其真實性、完整性、可用性得到了有效保障，人們在利用時依然會提出如何證明其真實性，即如何證明其真實性、完整性、可用性得到了有效保障。

造成上述問題的根本原因是電子文件的載體與信息出現了分離。傳統檔案載體與信息固化在一起，信息與載體所見即所得，其真實性較易被認可。電子文件則不然，看到了載體，依然需要相應的軟硬件才可利用其信息，而計算機、網絡等在人們心目中有太多的不確定性，造成了電子文件的真實性問題。

1 可信電子文件管理系統

電子文件保存的目的是跨越時空傳遞可信的電子信息（文件內容），同時利用者能夠合理判斷出其真實可信性，這樣的電子文件即為可信電子文件。因此，電子文件保存是一個從其創建就開始的持續不斷的過程，直到其生命結束。

可信是指文件自身的可信賴性，即文件是原始記錄、沒有被任何篡改。人們不能自動假定或推測一個電子文件是否可信，而是需要權衡那些能證明文件

原始記錄、沒有被篡改的證據，然后判斷文件是否可信。也就是說，可信并不是文件自身的性質，而是人們做的關于文件是真實的判斷。因此，可信是一個主觀判斷程度的表示，本文中提及的可信電子文件均指可合理判斷其可信性的文件，是指真實性、完整性與長期可讀性得到確認的電子文件[1]。

電子文件必須通過電子文件管理系統來實施管理。電子文件管理系統（Electronic Record Management System，ERMS）是在政府機構內部使用的，包括所有與文件、檔案管理有關的技術、管理、法律、標準、人員等相關因素在內，能保證政府電子文件的行政有效性和法律證據性，以實現文件、檔案的科學管理和高效利用為目的的信息系統[2]。在國家檔案局下發的《電子文件元數據標準（征求意見稿）》中將其描述為：為了滿足業務對電子文件管理需要而設計的系統，用以捕獲、保存、提供獲取業務處理過程中產生的有證據價值的文件的功能。

馮教授提出的定義含義較廣，包含因素眾多，尤其指出了“保證政府電子文件的行政有效性和法律證據性”，點明了系統的最主要作用；第二個定義則是從狹義著手，指出了系統的功能，簡潔容易理解，但忽略了電子文件的本質屬性——真實性。這兩個定義都沒有考慮到利用者的主觀因素，即對真實性的主觀判斷。為解決這一問題，本文提出可信電子文件管理系統概念。

可信電子文件管理系統（Trustworthy Electronic Record Management System，簡稱“TERMS”）。TERMS是一個對電子文件進行生成、收集、組織、分類，以便實現文件的保存、檢索、利用與處置等管理活動的廣義系統，包含人員、機構、應用軟件、基礎設施與操作規程，通過該系統所實現的管理活動來提供文件可信的保障與利用者合理判斷文件的可信性，即文件的真實性、完整性與長期可讀性。

定義中，應用軟件指生成或導入、存儲、分發電子文件的計算機程序；基礎設施指電子文件管理過程中使用的所有物理或管理上的資源，包括機房、計算機硬件、網絡設備等；操作規程則是對成功完成一項任務而所需活動的詳細說明，同時描述了如何執行這些活動，規程詳細表述一個機構如何滿足、實現其政策要求的，一般來說，規程用文檔確定下來。

再詳細點，電子文件管理系統包括：檔案工作者和文件使用者；授權政策、責任分配、權力授予、程序和做法；政策聲明、程序手冊、用戶指南和其他用以批準和頒布政策的文件、程序和做法；文件本身；控制和記錄的專門資料和文件系統；軟件、硬件、其他設備、必要工具等。

ERMS也只有從廣義上理解，而非狹義的計算機應用軟件，才能做到電子文件的可信管理。

電子文件管理系統中的人員、應用軟件、基礎設施與操作規程組成一個有機組合體，機構使用該組合體以滿足電子文件管理需要，這些需要明確規定在需求、政策、職責與業務中，可以把需求、政策、職責與業務稱為文件管理控制系統。所謂需求，是指施加在電子文件管理過程中的正式需求，可以由高一級檔案行政部門制定，如國家標準《電子文件管理系統通用功能要求》（GB/T29194-2012）；職責是指伴隨機構管理活動而產生的文件管理流程的需求；政策詳細表述機構的目標與目的；業務是指完成與文件相關工作或任務的通用方法與做法。這些組成部分之間有著相互制約關系，例如，機構規程清晰描繪出執行機構文件管理政策所需的行動，反過來，規程約束機構對電子文件的利用、約束應用軟件的操作行為，應用軟件按操作規程來執行。圖1表明了電子文件管理系統的組成及其相互關系。

圖1 電子文件管理系統組成

圖1中，文件管理需求、職責、政策、業務等共同組成了文件管理控制機制，體現了對機構文件管理的控制要求，實際上是通過電子文件管理系統來運作的。文件管理需求與職責可以是內部的，也可以是外部的。

機構嚴格按照管理控制形成的要求來實現電子文件管理，這種實現必須經由電子文件管理系統。應用軟件、基礎設施、人員、規程以及作為一個獨立實體的機構本身一起組成了電子文件管理系統，系統的運行滿足了文件控制要求。

通過該定義可知，檔案部門必須論證電子文件的真實性與完整性，保證電子文件從其生成沒有發生過任何意外或故意的篡改。這也就是電子文件管理的兩個方面：保障真實性與完整性、證明真實性與完整性。這兩個方面又必須由兩個關鍵工作來完成：全生命周期管理與審計認證，前者保障電子文件的可信，后者證明電子文件的可信。全生命周期一些學者已有相應論述，本文將關注點主要放在后者，即審計認證。

2 電子文件審計認證

根據前文可信電子文件管理系統的定義，要想更好指導電子文件管理實際工作，除了依據電子文件生命周期，從不同粒度功能角度拓展外，還需要從多種角度進行拓展，從而形成一個立體的、系統的管理指南。如，從角色與職責定義角度拓展，有電子文件自身質量控制的角色與職責，軟件設計開發的角色與職責，研究機構、政府部門、檔案部門的角色與職責等。見圖2所示。

圖2 電子文件可信管理認證

圖2中，首先對電子文件自身進行認證與評測，主要是電子文件自身質量控制方面，主要引入PKI、時間戳、數字簽名等技術與管理手段。詳見圖3。

圖3 檔案簽名與時間戳過程

通過圖3顯示的過程，利用者可以在將來某個時刻驗證電子文件的質量。利用者可以使用公鑰對電子文件摘要進行解密，通過對比摘要來判斷電子文件是否被篡改。進一步，通過數字簽名與時間戳，利用者可以認定電子文件歸檔時間、檔案管理人員的身份。

其次，通過對電子文件管理系統的評測來認證電子文件的管理過程。電子文件管理系統的評測，主要是利用測試平臺與工具，設計測試用例，創建初步檢驗表來實施。目前國外已有較為成熟的最佳實踐，如美國國防部《電子文件管理軟件設計評價標準》的C2.2.85部分對系統審計進行了詳細規定，同時針對標準符合度的軟件測試也作了規定：文件管理軟件一致性測試與評估（Record Management Application Compliance Test And Evaluation ），NARA承認該項測試的權威性，美國國防部及其所屬機構購買或自行開發的軟件必須經過測試。國內，中國人民大學電子文件研究中心的電子文件管理系統評測中心也正在嘗試開展此項工作，并取得了一定成果。

再次，是通過職業資格考試來對檔案工作人員進行認證。個人的職業認證有時也稱為人事認證。檔案工作人員根據自身的知識結構與工作經驗通過相關專業權威部門組織的資格考試，即認為經過了個人職業認證。對于電子文件歸檔或電子文件庫管理來說，這種認證是必要的。資格考試的內容應以檔案基礎理論為基礎，重點在于對電子文件、電子文件管理的理解上。

最后是對檔案保管機構的認證，看其是否具有電子文件管理能力。研究工作人員職業認證內容、程序，分析其文件管理能力、基礎設施、安全管理等方面，設計一個機構文件管理能力評估系統進行評估審計。該系統由數據收集、診斷模型與能力資源數據庫組成，用于審計認證機構全程管理電子文件的能力與所需技能、資源、規程等。機構應建立電子文件管理能力評估體系，明確管理能力評估指標，從電子文件管理涉及的諸多方面，對機構，尤其是對重要部門和關鍵行業的電子文件管理能力進行評估。下面對該能力含義及其評估內容進行簡要分析。

所謂機構電子文件管理能力，實質上就是機構對電子文件進行全生命周期管理（或與機構電子文件管理實際工作對應的生命周期特定階段），保證電子文件真實性、完整性與長期可用性的能力。這是一個綜合的能力，涉及管理責任、制度落實、系統建設、人員素質等多方面的因素。

以機構的電子文件管理制度與職責為例簡單列舉評估內容：首先，評估機構有沒有一個基本的文件管理制度，該制度確立了整體機構層面關于文件生成、捕獲、管理與保存的原則、指南；機構有沒有正式與特別明確將文件管理職責分配給特定的管理人員，這是第一檔次，可以賦予較低分數。其次，繼續評估這些制度是否在近五年進行了修訂；是否僅適用于一些特定的業務活動或部門（如僅適用于檔案室）；是否僅適用于限定載體，如紙質而不包括電子文件，或僅包含文書類電子文件而不包含數字音像檔案；是否雖然制定了制度，但被工作人員忽略、很大程度上沒有遵守執行。如果機構雖然制定政策對文件管理職責分配給了固定人員，但這些職責是否詳細規定在人員的崗位說明里，是否有監督人員以保證文件管理職責能強制履行與完成，這是中間檔次，相應賦予分數。最后，是較高檔次。機構有高級管理人員專職負責并確保電子文件管理政策擴大到整個機構，有責任確保工作人員對政策的執行與遵循，政策與職責可定期修正與更新，可支持特殊媒體的特殊規程與指南，如電子郵件、網頁內容等。

關于文件機構評估能力還有文件管理工具與規程、文件管理軟件與技術、文件管理人員配置與培訓、機構內部對文件管理的認知與意識、對文件管理政策與操作規程二者一致性遵從的監控等五個方面。這六個方面基本涵蓋了影響電子文件管理的全部因素，同時又與更具體的測試（如電子文件管理系統功能測試、管理人員資格認證等）區別開來，是對電子文件管理能力的綜合評估。

上述六個方面均可以按照制定高中低的內容并賦予相應分值范圍，每個檔次內可以繼續細分若干指標賦予分值，細分指標分值之和為機構該方面得分，最后通過對六個方面評測的總分判定其文件管理能力，并給出相應的改進建議。評估方法則可以采用問卷調查、專家評估、實地測評等方式。

這四個層次的審計認證有的可以由機構內部自查來完成，更多的則是通過中立的權威第三方來實施。如中國人民大學開展的電子文件管理系統評測。但實際的認證機制還要考慮相關方（如管理機構認證、第三方測評、研究機構規劃引導、軟件開發商設計開發、檔案部門應用、利用者信任等）之間的利益博弈關系與行為。

檔案人員在將數字檔案信息移植在檔案網站供利用者檢索之前，應先將相應認證及審計跟蹤過程掛在檔案網站。利用者檢索某一電子文件時，可隨時查找其檢索文件的認證信息，以此確認其文件的真實性。

注：本文是國家社科基金項目“檔案網站信息資源開發與利用研究”（09BTQ029）階段性成果。

參考文獻：

[1]李澤鋒. 電子文件可信管理關鍵問題分析[J].檔案學研究，2012（6）

[2]馮惠玲.政府電子文件管理[M].北京：中國人民大學出版社，2004年

（作者單位：鄭州航空工業管理學院 來稿日期：2013-08-20）