關于加強檔案信息化安全保密工作的思考

郭 晶

（吉林油田檔案館，吉林 松原 138000）

1 加強檔案信息化安全保密工作的必要性

1）加強安全保密工作是國家檔案信息化戰略轉型的必然要求。2020年新修訂的《檔案法》第三十五條規定：“各級人民政府應當將檔案信息化納入信息化發展規劃，保障電子檔案、傳統載體檔案數字化成果等檔案數字資源的安全保存和有效利用。檔案館和機關、團體、企業事業單位以及其他組織應當加強檔案信息化建設，并采取措施保障檔案信息安全”。 第三十九條規定：“電子檔案應當通過符合安全管理要求的網絡或者存儲介質向檔案館移交。檔案館應當對接收的電子檔案進行檢測，確保電子檔案的真實性、完整性、可用性和安全性。檔案館可以對重要電子檔案進行異地備份保管”。 這些法律條款充分考慮到檔案數字資源生成、收集整理、保管利用等方面存在的安全隱患，為精準安全推進檔案信息化建設、提升檔案治理能力提供了法治保障和法律依據。本文所指的檔案信息化工作，尤其是可以實現資源共享服務的檔案數據，不包含涉密檔案信息。

2）加強安全保密工作是建設數字檔案館的基本前提。檔案信息化建設是指運用信息技術提高檔案工作現代化水平，重新思考檔案管理的新情況、新原則與新理論，確立網絡環境中檔案管理與檔案服務的基本框架與基本方法，從環境建設和資源建設方面實現檔案管理現代化。檔案信息化轉型是檔案工作發展的必然趨勢，近年來，吉林油田提出建設“管理創一流、服務創一流”數字化智能化檔案館建設目標，旨在助力數字油田建設，更好發揮檔案資源保障作用。眾所周知，企業檔案是一個企業發展歷史的印證，以不同形式和內容彰顯企業不同發展階段獨特的優勢和價值，這些信息資源具有基礎性、唯一性、不可替代性的特點，如果失去信息安全這個基本前提，一切工作都等于零。過去我們常說，檔案業務開展到哪里，保密工作就要做到哪里。一方面我們倡導順應大數據趨勢，利用信息化手段實現檔案規范化管理，整合優化館藏檔案資源，推進檔案資源共享，更好發揮檔案價值，另一方面，我們還要時刻關注檔案信息安全問題，開辟出檔案信息化建設的綠色通道。這是因為檔案信息化工作不僅涉及前期檔案數字化過程中信息安全保護，更涉及檔案信息系統建設和安全利用的問題，尤其是當前對于很多檔案管理部門和企業檔案管理機構而言，檔案信息化建設過程勢必需要專業信息化服務機構的介入和參與，這其中就存在著失泄密的風險和隱患，可以說檔案信息化時代保密工作是一項不同于傳統檔案信息保密的新課題，必須引起高度 重視。

2 加強檔案信息化保密工作的具體措施

檔案信息化是一個多要素綜合作用的過程。信息技術只是檔案信息化的一個要素，在應用信息技術生成、管理、開發利用檔案的過程中，還有管理業務、標準規范、管理體制與機制、人才隊伍等多個非技術因素共同起作用。“三分技術，七分管理”，因此我們要從多個層面綜合考量檔案信息化過程中的安全保密管理工作。

1）強化領導機制。在各企事業單位檔案信息化建設進程中，必須將安全保密工作作為檔案信息化建設的基本前提和重要內容，堅持系統觀念，統籌安排和部署，同時在開展本單位保密工作中，充分考慮的信息化建設的需求和特點，加大監管力度，確保萬無一失。各單位在信息化建設之初就要明確檔案信息化建設保密管理工作的領導小組、主管領導以及工作職責，堅決將安全保密工作要求貫徹落實到檔案信息化建設的每一個環節和領域。

2）強化制度機制。堅持“安全第一、預防為主”的原則，制定規范的檔案信息化安全保密管理制度，針對檔案信息化工作不同環節、不同崗位制定明確約束條款和執行標準，以制度形式固定下來，確保覆蓋檔案信息化全過程的管控，并建立實行嚴格監督和管理 機制。

3）強化源頭管控。在前期檔案信息化系統工程建設的規劃和設計上要充分考慮到安全保密措施，檔案信息化系統工程建設中各類軟、硬件系統的研制、開發和安裝，必須符合保密管理要求，做到防泄密、防竊密。涉及保密的檔案信息化系統工程所采取的安全保密措施應與所處理信息的密級管理要求相一致，并按其最高密級的防護要求進行防護。

4）強化資質審查。對于負責信息化工作的內部或外部隊伍，都要嚴格落實安全保密管理的要求和技術指標。對于外部隊伍要以合同文本的形式約定有關事項進行明確，對相關資質、業績、能力、人員、設備和加工軟件等進行考察，并了解是否存在違約行為、安全事故等不良記錄，并優先選用具有相關涉密資質的服務隊伍。

5）強化運行控制。要加強檔案信息化網絡環境過程管控和監督，所有涉及檔案信息化服務系統應當配備具有權限管理、設備管理、端口管理、日志管理和安全審計等功能的安全保護系統，準確記錄授權用戶的訪問行為、設備接入和電子檔案信息流向等信息，為檔案信息化建設提供信息安全支持和保障

6）強化硬件保障。應當配備滿足安全保密管理需要的視頻監控設備，確保檔案暫存處、信息加工工位、服務器、數據導出端及門窗等無監控死角。承擔檔案信息化建設的相應外部隊伍必須使用檔案部門提供的相關設備，確因技術原因需要使用服務機構設備的，檔案部門應當會同有關部門對其進行必要的安全檢查。階段性建設項目完成后要組織相關技術部門進行信息安全驗收，確保信息化成果的完整性、準確性、可用性和安全性。

7）強化人員管理。安全保密的主體是人。檔案信息化建設需要既懂檔案業務又懂信息技術的多面手以及復合型人才，只有真正認識到檔案工作的重要意義和價值的人才能真正熱愛檔案工作，積極投身檔案事業，才能將“檔案工作開展到哪里、保密就做到哪里”的要求落實到每一個工作環節。要加強對內外部檔案信息化工作人員的資格審查和管理，接受崗前保密教育和培訓，簽署保密協議，接受身份核查登記和安全保密檢查。要實行嚴格的追責問責監督機制，對于造成檔案實體損壞或檔案信息丟失、失密泄密的，依法依規予以處理。

檔案信息化是各級檔案管理部門面對新形勢新要求的積極回應，是檔案管理發展的必由之路，但檔案信息化是一個漸進的、動態的過程，不能一蹴而就。隨著社會整體信息化的推進發展，每一個新階段都會有不同的信息化需求，每一個新進展既是前一階段的成果，更是下個新階段的基礎和起點。因此，只有將檔案信息化安全要求一以貫之，與時俱進，不斷完善，適應新形勢新要求新變化，才能真正確保信息化建設的長期安全可靠和萬無一失。