組織機構電子文件管理的安全風險分析與制度設計

覃潔清 許曉彤

摘 要：依據全程管理及前端控制原則，分析組織機構電子文件在形成流轉階段、歸檔保存階段和檔案館階段的安全風險及成因，并從電子文件業務流程安全管理制度、人員崗位安全責任制、電子文件風險管理制度、安全審計認證制度、安全技術標準與規范的采用制度及相關配套制度6個方面設計了面向一般組織機構的電子文件安全管理制度框架。

關鍵詞：電子文件；風險管理；組織機構；管理制度

Abstract： Based on the principle of whole course management and front control， the paper concentrates on the risks and causes of electronic records which are created from organizations and analyzes the issues from formation and circulation stage， archival repository stage and stage of archives. Electronic records security management system frame which is oriented to organizations is put forward from following 6 aspects： electronic records process security management， personal post security responsibility， electronic records risk management， security audit certification， adoption of security technical standard and supporting systems.

Keywords： Electronic records； Risk management； Organization； Management system

我國的電子文件管理實踐中，往往是由在人、財、物力方面較有優勢的國家檔案局（館）等專業的文化遺產機構率先制定行業規范、法規標準、工作制度，并擔負著留存社會共同記憶和公共文化遺產的主要責任。與之相對，一般的組織機構，如機關、企事業單位等則專注于本機構內部信息的保存以備審計、問責及作為憑證。因此，制定并完善機構電子文件管理制度是維護機構信息安全、符合機構發展長期利益的必要之策。InterPARES-2的《數字文件保存政策、策略、標準原則框架》中對數字文件的創建者的13條基本原則中提到“有關數字文件創建及維護的政策、策略和標準應該就確保文件的可靠性、準確性和真實性問題分別進行明確的闡述”[1]。本文基于全程管理視角與前端控制原則，分析組織機構電子文件在形成流轉階段、歸檔保存階段和檔案館階段所面臨的安全風險，對威脅電子文件真實性、可靠性、完整性和可用性的典型風險事故及成因進行研究，并在此基礎上設計了組織機構電子文件安全管理制度框架。

1 形成流轉階段電子文件管理的安全風險

1.1 形成流轉階段的電子文件管理特點。組織機構電子文件主要由OA（Office Automation，辦公自動化）系統和CMS（Content Management System，內容管理系統）等業務系統生成。在這一階段，機構電子文件主要在原形成機關實現其業務價值，業務活動涉及各部門多成員。例如某文件的批示，要經過經辦人提交申請、部門負責人通過、主管領導通過，甚至總裁（董事局）通過等復雜流程，文件批示后再交由業務部門辦理，多項業務并行開展。因此，電子文件管理在現行階段具有參與人員廣、檔案專業化程度低、管理較為分散的特點。

1.2 形成流轉階段電子文件管理主要風險分析。（1）不真實。包括偽造、篡改與信息失真。在形成流轉階段，各部門文書或業務人員均擁有OA系統高級權限，賬號管理不嚴，易導致權限擴散、身份假冒，從而造成數據篡改事故發生。另外，由于缺乏對統一工作規范的遵守，業務人員常在實際工作中利用職務之便“線下辦理”，忽視正規的OA工作流程，導致與該業務相關的電子文件流轉程序不合理，其信息的真實性也有待商榷。

（2）不完整。文件內容、元數據完全或部分丟失。實際工作中，組織機構多以電子文件的紙質載體流轉，易導致電子版本無法同步更新業務過程中改動的信息及相關元數據。而業務人員檔案意識薄弱，上傳文件不配套、不完整，導致電子文件歸檔時既無元數據記錄又缺相關內容信息。

（3）不可靠。文件信息與實際工作不符。一是非蓄意因素，主要表現為文件流轉程序的不合理導致文件不真實，與客觀事實脫節；二是出于某些特定的目的蓄意造假，隱瞞實際工作過程及成果[2]。

（4）不可用。不可被讀取及檢索。電子文件來源多樣，形成系統及軟件版本各異，易產生文件無法打開或亂碼現象。而文件命名不規范也會增大檢索難度。

2 歸檔保存階段電子文件管理的安全風險

2.1 歸檔保存階段的電子文件管理特點。電子文件歸檔保存階段也被稱作檔案室階段，即半現行階段，是賦予電子文件檔案屬性的過程[3]。機構往往采用自主開發或購買的ERMS（Electronic Records Management System，電子文件管理系統）對電子文件進行捕獲、識別、分類、保存使用和處置等一系列管理活動[4]。目前，大多數組織機構對電子文件全程管理認識不足，電子文件管理工作也尚在起步階段。

2.2 歸檔保存階段電子文件管理主要風險分析。（1）不完整。文件整體丟失或關聯文件與元數據缺損。在歸檔保存階段，工作人員業務不規范、分工不明確極易給電子文件的完整保存帶來困難，此外，遷移不合理，線下移交電子文件，也易造成文件或元數據記錄缺失。例如，肖秋會等調查發現，32.3%的機構未能對電子文件進行規范、合理的遷移[5]。

（2）不可用。不可讀取或不可被檢索。ERMS與OA系統間的不兼容常導致文件不可用，而在人工移交的機構中，讀取失敗的問題尤為顯著，具體原因為：部門間電子文件生成的軟件版本不同且缺乏格式標準規范，電子文件脫離原有業務環境致使原文中附加的鏈接信息不能正常讀取等。

（3）不真實與不可靠。電子文件的不真實與不可靠的風險多源于形成流轉階段的“遺留問題”，但已脫離原工作環境的電子文件依舊面臨被篡改的風險，在歸檔保存階段，檔案專業人員的權限監督和無關人員的越權訪問監控不到位，都將導致電子文件面臨被篡改的風險。

3 檔案館階段電子文件管理的安全風險

3.1 檔案館階段的電子文件管理特點。檔案館階段的電子文件管理工作面臨著長期保存及提供利用的任務。很多組織機構采用數字檔案館系統對電子文件進行接收、保管和提供利用。由于該階段與外部機構及網絡的聯系最為密切，電子文件管理工作存在著更多未知、復雜且不可控的風險因素。

3.2 檔案館階段電子文件管理主要風險分析。（1）不真實與不可靠。信息被越權訪問、非法篡改。據國家互聯網應急技術處理協調中心的《2017年我國互聯網網絡安全態勢綜述》，2017年，我國境內約2萬個網站被篡改，較2016年約1.7萬個增長20%；捕獲移動互聯網惡意程序數量253萬余個，同比增長23.4%[6]。網絡安全問題越來越突出，處于云環境中的數字檔案館計算機也面臨被云中其他節點非法訪問及竊取機密的風險，盡管所有云服務商都標榜相應的加密技術，但也僅指保障加密傳輸環節，仍無法控制數據在處理、存儲和傳播時的風險[7]。

（2）不完整。元數據缺損或丟失。電子文件雙軌管理、雙套保存的模式，易造成元數據缺失。主要在于紙質文件與電子文件的利用與修改信息被分別記錄，難以實施信息的實時傳遞與更新，事實上就生成了兩套元數據。從效用與價值方面看，紙質文件與電子文件從根本上來說是同一份文件，雙套制保存既增加了庫存與經濟負擔，又不利于為文件保存完整、系統的元數據。劉越男等2014年對我國各省級檔案館的調查顯示，僅22%的檔案館明確表示會對移交進館的電子文件持續形成元數據，按照《基于XML的電子文件封裝規范》（DA/T48-2009）封裝的只有1家[8]，文件在檔案館階段亦面臨著元數據缺失的風險。

（3）不可用。不可讀取。劉越男等的調查顯示，近一半的省級檔案館都曾遭遇電子文件不可讀的風險[9]。數字檔案館系統遭到攻擊而崩潰，或者是機構租用的云端意外遭受嚴重災害，都將不同程度上導致數據無法讀取，用戶無法訪問。

導致電子文件安全風險的因素除了天災人禍、物理環境變化等不可避免的客觀因素外，人為因素、組織管理因素等主觀因素也很突出。從各階段電子文件管理主要風險分析來看，有些問題較為普遍，如缺乏完整的機構電子文件安全管理制度框架；檔案管理人員與業務人員職責交叉現象嚴重；檔案工作流程不明晰，專業化程度較低；業務系統與電子文件管理系統缺乏認證與審計以及機構風險意識和控制能力不足。

4 組織機構電子文件安全管理制度設計

宏觀層面，我國已有的電子文件管理制度如部際聯席會議、館際互備、異質備份、館室聯動等在國家檔案館系統得到了較好的執行實施[10]。但微觀層面，國家檔案館之外的一般組織機構如企業、高校、社會團體的電子文件管理制度還較為薄弱，基本處于自行摸索階段。為此，筆者根據國內外電子文件管理實踐，參考相關的國際標準以及《電子文件歸檔與電子檔案管理規范》（GB/T18894-2016）、《電子文件管理系統建設指南》（GB/T 31914-2015）、《紙質檔案數字化規范》（DA/T 31-2017）等國家和行業標準，結合《數字檔案館建設指南》《數字檔案室建設指南》等指導性文件，設計了面向一般組織機構的電子文件安全管理制度框架。其包括電子文件業務流程安全管理制度、人員崗位安全責任制、電子文件風險管理制度、安全審計認證制度、安全技術標準與規范的采用制度及相關配套制度6個方面。

4.1 電子文件業務流程安全管理制度。電子文件流程管理制度體現了全程管理原則和前端控制思想。制定規范的制度，對電子文件流程進行控制，實現全過程管理，規定電子文件形成流轉、接收采集、鑒定處置、歸檔保存、檢索利用等工作環節的內容和操作要求，并輔以樹狀圖、流程圖等幫助理解，從前端統一規劃、統一要求，全程、動態地跟蹤和控制電子文件的生命運動。

4.2 人員崗位安全責任制。根據電子文件形成流轉直至歸檔保存的各個環節，進一步優化工作流程，明晰各相關崗位權責，實行嚴格的績效考核與追責制度。（1）形成（業務）部門：形成真實可靠的電子文件，及時捕獲并維護元數據，保證電子文件的移交質量。（2）檔案部門：開展電子文件規范管理、利用和長期保存工作，并對本機構的電子文件管理工作進行業務指導、全程監督及協調。（3）信息部門：對OA系統、電子文件管理系統和數字檔案館系統進行定期維護與升級，保證系統環境以及保存方案的優化，加強系統跟蹤日記的管理以及訪問權限的控制等。（4）領導層：把握本機構電子文件管理工作整體方向，采取相應的獎懲措施和追責制度提升制度落實的效果。

4.3 電子文件風險管理制度。馮惠玲教授及團隊在《電子文件風險管理》一書中率先將風險管理理論引入我國電子文件管理領域，國家檔案局也將出臺《檔案館安全風險評估指標體系》[11]，對制定電子文件風險管理制度具有參考作用。組織機構應識別本機構電子文件安全風險并參考《檔案信息系統安全等級保護定級工作指南》的侵害程度定級建議[12]，構建風險事故等級框架；建立風險案例庫以備參考；結合定性與定量的分析方法，采取一定的程序與手段評估風險等級[13]，并據此開展風險規劃與控制工作。尤其應強調備份工作在風險管理中的關鍵意義，做好本地備份；有條件的機構可積極對外聯系，尋覓適當機構互為異地備份單位。

4.4 安全審計認證制度。鑒于組織機構工作內容的特殊性與保密性，建議其在參考國家標準、國際經驗的基礎上結合實際情況確定認證體系，由機構內部建立“認證工作小組”進行自我審計與反饋整改，再接受國家的統一認證。檔案部門可以組織相關的專家、學者針對不同的機構規模分批次開展認證活動[14]。《可信數字倉儲的審計與認證》（ISO16363-2012）和國家檔案局2012年發布的《數字檔案館評價指標體系》（征求意見稿）對組織機構進行自我審計、選擇數字檔案館合作開發商或購買數字檔案館系統有著重要的參考價值。此外，應注意對認證工作的總結與反饋，完善涵蓋從業務活動到歸檔直至保存整個流程的信息系統認證體系。

4.5 安全技術標準與規范的采用制度。電子文件管理的核心技術主要體現在OA、ERMS及TDR等涉及電子文件管理全程的應用系統中，各組織機構在上述系統的開發和購買時應特別注意：（1）OA、ERP、人資等業務系統與ERMS及TDR系統的無縫集成。（2）系統應依據《信息與文獻 文件管理流程 文件元數據》（ISO23081）設計元數據格式并嵌入自動捕獲功能。（3）應選用符合《開放檔案信息系統：OAIS》（ISO14721）、《電子辦公環境中的文件管理原則與功能需求規范》（ISO16175）等國際、國家標準的應用系統。此外，還應關注：（1）機構內部應采用一致的電子文件命名規范，可自行規定。（2）一般機構可參考《電子文件歸檔與電子檔案管理規范》（GB/T18894-2016）中對保存格式的建議來指導本機構工作，工作性質較特殊的機構可自行規定電子文件保存格式類型，但應保證各部門一致。（3）存儲介質的管理與更新制度可參考《電子文件歸檔與電子檔案管理規范》（GB/T18894-2016）中的存儲介質優先級規定自行制定。

4.6 相關配套制度。完善相關配套制度，促進電子文件管理核心制度的落實。（1）人才培訓。檔案專業人員和信息人員需接受專業知識技能的培訓并不斷更新專業知識體系。（2）交流合作機制。組織機構積極開展業務部門與檔案部門之間、檔案室與檔案館之間，以及與行業內（外）的其他組織機構在電子文件管理領域之間的密切交流與合作，實現跨部門、跨領域、多層次的人才與信息交流。

參考文獻：

[1]肖秋會.電子文件長期保存：理論與實踐[M].北京：社會科學文獻出版社，2014：243-252.

[2]馮惠玲等.電子文件風險管理[M].北京：中國人民大學出版社，2008：112-114.

[3]傅榮校.化繁為簡：從檔案機構角度看如何保障電子文件的真實性[J].檔案學通訊，2015（2）：50-55.

[4]金波，丁華東.電子文件管理學[M].上海：上海大學出版社，2015：56-58.

[5]肖秋會，許曉彤，石曉雨.電子文件安全保障現狀調查與評估：以武漢市為例[J].檔案管理，2018（3）：65-68.

[6]國家互聯網應急中心. 2017年我國互聯網網絡安全態勢綜述[EB/OL].[2018-09-25]. http：//www.cert.org.cn/publish/main/upload/File/situation.pdf.

[7]王長全，艾雰，姚建文.云計算環境下數字圖書館信息資源安全策略研究[J].情報雜志， 2010（3）：184-186.

[8][9]劉越男，祁天嬌.我國省級、副省級檔案館電子文件接收及管理情況的追蹤調查[J].檔案學通訊，2014（6）：10-15.

[10]王良城.我國電子文件管理基本制度述略[J].中國檔案， 2012（3）：65-67.

[11]李明華.在全國檔案工作暨表彰先進會議上的講話[J].中國檔案，2016（1）：16-23.

[12]國家檔案局.檔案信息系統安全等級保護定級工作指南[EB/OL].[2018-09-27]. http：//www.saac.gov.cn/uploadfile/daj/001aa0bea132137d002001.doc.

[13]張健.電子文件信息安全管理研究[M].上海：上海世界圖書出版公司，2012：170-172.

[14]程妍妍.我國數字檔案館認證及實施策略研究[J].檔案學研究，2012（6）：56-60.

（作者單位：武漢大學信息管理學院，圖書情報國家級實驗教學示范中心（武漢大學） 來稿日期：2018-10-14）