事業單位檔案管理中信息安全的研究探索

趙海楠

（河北承德市圍場滿族蒙古族自治縣社會保險事業管理局，河北 承德 068150）

在當前的信息化潮流中，很多事業單位的檔案管理也探索實現現代化和信息化。由原來的人工管理傳統模式向著數字化、電子化管理的模式發展，電子檔案也得到了越來越廣泛的應用，但其中的風險矛盾也很突出。事業單位的檔案信息密級相對較高，發生網絡病毒、失密泄密問題的話，會產生很大的損失，加強信息化檔案的風險管理非常必要。

1 事業單位檔案管理風險種類

1.1 管理制度上的風險

目前事業單位在檔案管理信息化過程中，相關的法律法規進行保護和約束還不完善健全，數字化檔案的安全性保障還有所不足。在發生失密、泄密時對檔案信息定密的依據不足，只能用計算機相關管理條例予以監管。加之除銀行等特殊行業外，一般的事業單位對檔案管理信息安全缺乏專業性的保護，制度監管上的薄弱環節導致不法分子鋌而走險，對檔案信息進行竊取以及網絡攻擊。

1.2 外部攻擊帶來的風險

除了制度方面原因外，來自外界的各類風險也給事業單位檔案管理安全性帶來嚴重的影響。受單位類型影響，事業單位更容易成為黑客定點攻擊的目標。例如，在日常工作中經常遇到的計算機病毒入侵和黑客非法訪問等攻擊行為，各類電腦病毒是信息化社會危害性較大的威脅，尤其是電腦病毒的種類和感染方式不斷地增加，會造成檔案信息的丟失，非法的訪問還有可能造成檔案信息被篡改，這些都屬于比較嚴重的安全風險問題。

1.3 檔案管理人員責任缺位帶來的風險

大部分事業單位檔案管理人員素質較高、責任意識強，但如果檔案管理人員本身保密意識不夠、責任感不到位，會對檔案的日常管理帶來負面作用效果。比如，管理人員在工作中未嚴格遵守安全管理規定進行操作，例如內外網違規互聯、攜帶使用有病毒儲存載體U盤、硬盤等；或者信息技術專業素養不強，因為工作的疏忽將內部網絡的檔案管理賬號以及密碼泄露出去，對進出檔案管理室管理不嚴格，給外界不法分子入侵提供機會。

1.4 安全意識不足帶來的風險

同時不容忽視的是，有的事業單位對電子檔案安全工作的重要性認識存在不足：認為管好電腦就可以了，沒必要投入人力物力在安全性上。此外，在信息安全評估方面做得不到位，存在一定的安全管理風險，具體操作流程以及技術支持需要持續進行必要的改善。

2 檔案管理信息安全保障舉措

2.1 健全信息安全管理規章制度

以國家檔案局信息化建設準則為指導，結合自身實際情況，建立健全起“國家法規為本、單位規章為輔”的檔案安全管理規章制度，以適應越來越電子化、信息化的檔案管理實際情況，從而最大程度上確保單位的檔案信息的安全性與穩定性得到保障。定期對單位的網絡設置采取分段分級的物理隔離措施，這樣可以大大安全管理的強度。同時，結合工作熱點、安全難點對當前檔案管理中存在的安全問題進行調研分析，提出合理化的意見建議，促進相關管理制度更為合理規范。

2.2 嚴格內部管理

高效做好基礎工作，強化堵塞管理漏洞，比如在信息管理設備的購入時應該采用國家推薦的安全性能較高的電腦設備。對制定的規章制度嚴格執行，嚴格登記出入制度和按照權限訪問制度；采取嚴格的電子軟硬件識別使用制度，用指定的、專用存儲設備進行信息傳導，從而避免攜帶電腦病毒進入檔案管理使用系統。

2.3 持續開展檔案信息安全風險評估

定期對檔案管理使用的電腦硬件進行安全評估，提升安全管理系數。增強檔案信息安全調研，識別當前建立的信息管理體系，比如硬件、信息采集、篩選等方面的工作，對其重要作用進行綜合探究。在此基礎上，根據其蘊含的價值、面臨的安全隱患與風險等，對檔案信息資產進行安全級別標識，進行相應的分類分級管理。

在信息化社會發展中，事業單位也應該主動適應這個大趨勢，在不斷增強檔案管理的技術優勢的同時，做好安全方面管理，提升信息安全管理的水平，確保檔案管理完善和進步。