云環境下我國檔案數字資源信息安全保障體制建設

李貞貞 李金璐

摘要：檔案數字資源信息安全問題是檔案事業在信息化時代的重大挑戰。在技術飛躍發展的今天，構建安全、可靠的檔案數字資源信息安全保障體制具有迫切性和必要性。論文基于云環境下檔案數字資源信息安全保障體制的內涵及概念，分析了云環境下我國檔案數字資源信息安全保障體制建設中存在的不足，構建了政府、行業和社會“三位一體”的協同保障體制模型，并提出解決對策，以期為珍貴的檔案數字資源提供安全的生存環境，促進檔案事業發展。

關鍵詞：云環境 檔案數字資源 信息安全保障體制

Abstract：The information security of archival digi？ tal resources is a major challenge for archival career in the information age. With the rapid development of technology， it is urgent and necessary to build a safe and reliable information security system for ar？ chival digital resources. Based on the connotation and concept of the information security system for ar？ chival digital resources under the cloud environment， this paper analyzes the current deficiencies in the construction of the information security system for ar？ chival digital resources in China. Then， it constructs a"Trinity" collaborative security system model of gov？ ernment， industry and society. It also puts forward countermeasures in order to provide a safe living en？ vironment for the precious archives digital resources and promote the development of archives.

Keywords：Cloud environment ； Archival digital re？ sources ； Information security assurance system

新修訂的《中華人民共和國檔案法》增加了檔案信息化建設的內容，規定各級檔案機構應當將檔案信息化納入信息化發展規劃，促進檔案數字資源建設。在我國檔案數字資源建設中，云計算、云存儲等技術作為新的實現手段，既節約了成本，也提高了資源的利用效率。但云環境下數據的開放性、共享性和電子文件特有的脆弱性等特征嚴重威脅著檔案數字資源信息安全，我國檔案數字資源信息安全保障建設面臨著挑戰與沖擊。云環境下檔案數字資源信息安全保障建設，需要進行配套的體制建設，更好地保障檔案數字資源的信息安全，為各類檔案數字資源服務主體應用云計算提供良好的基礎環境。

《辭海》（第七版）中對“體制”的定義是國家機關、企業事業單位在機構設置、領導隸屬關系和管理權限劃分等方面的體系、制度、方法、形式等的總稱，如政治體制、經濟體制、教育體制等。[1]云環境下檔案數字資源信息安全風險復雜，保障檔案數字資源信息安全是一項系統工程。加強云環境下檔案數字資源信息安全保障體制建設，可以為檔案數字資源信息安全保障提供堅實的基礎，進一步優化檔案事業發展環境。根據已有研究，可以將檔案數字資源信息安全保障體制界定為：為保障檔案數字資源信息安全而進行的機構設置、隸屬和協作關系確定、權限劃分等方面的體系、制度、方法、形式的總稱。[2-4]其內容包括三個方面：檔案數字資源信息安全保障機構設置、機構間隸屬和協作關系確定及安全保障機構間權限和責任劃分。目前我國信息安全保障體制經過不斷改革已經初具規模，但面向檔案數字資源信息安全的保障體制亟待建立和完善。

通過梳理文獻，本部分主要從政府監督、行業自律、機構主體三方面分析當前云環境下檔案數字資源信息安全保障體制中存在的問題。

（一）政府監督體制

1.缺乏專門職能部門進行統籌監管。國家檔案局成立了檔案信息化工作領導小組，負責檔案信息化工作的總體設計、統籌協調和督促落實，以加強檔案信息化工作領導，提高檔案信息化水平。但就目前而言，檔案信息化工作領導小組對檔案數字資源信息安全的統籌和監管工作還處于起步階段。同時，云環境下檔案數字資源信息安全監管涉及多個職能部門，包括國家檔案局、工業和信息化部、國家網信部門等。雖然這些部門都承擔一定的檔案數字資源信息安全保障和監管職能，但信息安全保障和監管的職能相對較為分散，需要專門的國家檔案行政機構協調和統籌相關職能部門，做好檔案數字資源信息安全監管工作，提高檔案數字資源信息安全保障的效果。

2.法律法規和標準體系建設亟待推進。一方面，檔案專業領域尚未出臺關于檔案數字資源信息安全保障工作的專門法，對檔案數字資源信息安全保障工作相關工作條例的制定只能參照其他通用法律法規，如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》（以下簡稱《數據安全法》）等；另一方面，檔案數字資源信息安全保障工作所處的云環境比傳統檔案信息保障工作的環境更為復雜，有些頒布時間較早的法律規范未能考慮到云環境下的新技術特點，時效性較弱。如《檔案信息系統安全保護基本要求》《電子文件歸檔與管理規范》，這些較早頒布的法律法規雖然可以在檔案歸檔、系統安全等方面對檔案信息安全工作予以規范。但從時間跨度上來說，信息技術的功能、覆蓋率、影響力變化巨大，云環境下檔案數字資源信息安全保障工作急需一套時效性強的法律法規體系，為檔案數字資源信息安全保障工作提供法律依據。

信息安全標準的制定和推行是提升云環境下檔案數字資源信息安全保障能力和效果的重要途徑。目前我國雖然制定了以《信息安全技術云計算服務安全能力要求》（2014年）、《信息安全技術云計算服務安全能力評估方法》（2017年）、《信息安全技術云計算服務運行監管框架》（2019年）、《信息安全技術政府網站云計算服務安全指南》（2019年）等為代表的云計算服務通用標準，但是針對檔案數字資源信息的行業安全標準還處于空白狀態，對檔案數字資源信息安全保障標準化建設重視度不夠。可見，當前我國檔案數字資源信息安全保障關于法律法規體系和安全標準體系的建設落后于實踐發展的需要。

（二）行業自律體制

在云計算領域，我國已經開始了對云服務商的評估認證，以此來建立云計算服務的信任體系。對于檔案數字資源而言，檔案機構（包括各級檔案館、檔案室）和云服務商憑借面向云計算的可信云服務認證，一方面可以通過可信云服務評估指標，增強檔案機構對云服務商的信任度；另一方面，通過對可信云服務的披露，使云服務商在服務基本信息和承諾的規范性、真實性等方面實現對檔案機構的透明化。由我國工業和信息化部會同數據中心聯盟等行業自治組織開展的可信云服務認證工作已經取得了初步成效，但是當前的云服務評估認證主要是面向通用云計算應用，缺乏面向檔案數字資源應用的針對性。其原因在于，在我國檔案數字資源建設過程中，建設主體較為分散，未能開展多領域合作。[5]同時，大部分檔案機構對云服務商的選擇十分謹慎，一方面是因為檔案機構自身鑒別能力有限，另一方面是因為檔案數字資源一旦發生泄露，將會造成重大損失。

（三）機構主體保障體制

1.安全保障職能弱化。首先，為實現檔案數字資源的統一集中管理，我國檔案數字資源建設過程中一開始是以檔案數字資源整合和集中管理為主，而對檔案數字資源信息安全保障的關注力度不夠，同時欠缺技術上的指導，因此在信息安全保障方面的職能較弱。其次，云計算環境下，檔案館、機關檔案室等檔案機構委托云服務商將檔案數字資源部署在云平臺上，一定程度降低了對檔案信息系統和檔案數據資源的控制力，無法進行實時監管。最后，在傳統IT環境下，檔案數字資源信息安全保障基本上由各級檔案機構負責。而在云計算環境下，云服務商的參與使得各級檔案機構還需要承擔對云服務商的監管職責。由于檔案的保密性和云服務商的自身缺陷，檔案機構在監管過程中會出現“重監管、輕保障”的現象，過多將精力放在對云服務商的監管上，對自身作為安全保障主體的意識還不夠。

2.安全保障主體責任不明確。在云環境下，檔案數字資源建設往往以業務外包的形式委托云服務商進行，而檔案數字資源建設過程中所需的軟硬件及云服務平臺都是由云服務商負責購置、開發和管理的，這使得檔案機構不能對檔案數據進行直接控制和修改。隨著檔案數字資源管理與運營的外包，個別檔案機構也實現了部分安全保障具體工作的外包，部分檔案機構對自身需要承擔的安全保障責任缺乏清晰的認識，將“安全責任”和“安全管理職責”概念混淆，認為自身所承擔的安全責任已經隨著檔案數字資源業務的外包向云服務商轉移。事實上，在檔案數字資源管理業務外包的過程中，向云服務商轉移的是“安全管理職責”，并非“安全責任”。[6]在檔案數字資源信息安全保障過程中，檔案機構始終是檔案數字資源安全的最終責任主體，一旦發生云安全事故，檔案機構作為最終責任主體仍然是首要追責對象。

基于對以上問題的分析，為進一步建立和完善云環境下檔案數字資源信息安全保障體制，筆者構建了政府、行業和社會“三位一體”的協同保障體制模型，如圖1所示。

（一）設立面向檔案數字資源的信息安全職能部門

為保障檔案數字資源建設過程中的檔案信息安全，可以在檔案信息化工作領導小組的基礎上，設立面向檔案數字資源的業務部門和信息安全統籌監管部門，加強對檔案數字資源信息安全保障工作的統籌監管。設立面向檔案數字資源的信息安全職能部門，一方面是為了統籌協調相關部門的工作，提高各部門工作的協調性，最大限度發揮檔案數字資源建設過程中的協同效應。[7]另一方面是為了對云服務商提供的檔案數字資源信息安全保障工作進行監管，及時發現其在安全保障工作中的問題，確保檔案數字資源的安全性。面向檔案數字資源的信息安全職能部門應在國家檔案局的領導下，積極與工業和信息化部、科技部、保密局等部門交流信息安全工作，共同推進檔案數字資源信息安全保障體制建設。

（二）加快推進法律法規和標準體系建設

1.法律法規體系建設。（1）加快推進面向云環境的法律法規制度建設。由于信息技術的變革，我國較早頒布的法律法規對檔案數字資源信息安全保障的指導與規范作用逐漸減弱，因此需要從以下三個方面加快推進面向云環境的法律法規制度建設。首先，云環境下檔案數字資源信息安全及保密問題往往會涉及知識產權保護、責任追究等權益問題，國家檔案行政機構需要加快推進云環境下的法律法規制度建設，確保檔案機構與云服務商之間的合作有法可依。其次，檔案數字資源信息安全面臨著保密性和特殊性等管理要求，因此國家檔案行政機構要協同立法、司法等相關部門制定涉及檔案領域云安全的相關法規和政策，以適應檔案數字資源的特殊性管理要求。此外，云服務商自身也需要制定嚴格的管理制度和實施細則，確保云服務供應的安全性，更好地提升云服務商的信譽和形象，確保云環境下的檔案數字資源信息安全。（2）建立和完善面向檔案的數據安全規章制度。2021年6月10日頒布的《數據安全法》是數據安全領域的基礎性法律和國家安全領域的一部重要法律。從檔案數字資源的生命周期角度出發，《數據安全法》明確了檔案數據的收集、存儲、保管，利用等環節，為后續的標準制定、數據防護等指明了方向。[8]該法律不僅規制互聯網行業，同樣適用于檔案數據的收集、檔案數據保密以及對檔案數字資源共享的安全保障具有指導性作用。地方檔案機構可以通過制定本行政地區檔案數字資源的數據安全規章制度，應對實踐中存在的檔案數據泄露等安全風險，為檔案數字資源信息安全保駕護航。

2.標準體系建設。檔案數字資源信息安全標準建設有助于為云服務商、檔案數字資源服務主體的安全保障措施的實施提供依據，以獲得安全保障的最佳效果。檔案數字資源建設過程中的安全責任劃分、數據資源歸屬、安全管理要求等都需要標準來進行規范和引導。[9]基于此，云環境下檔案數字資源的標準體系建設可以從通用標準體系和行業標準體系兩方面著手。在通用標準體系建設上，國內外諸多云安全標準化研究組織正在開展云計算安全標準的制定工作，這對云環境下檔案數字資源信息安全標準建設而言是重大機遇，能夠切實為面向檔案數字資源信息安全標準體系建設提供指導和參考。因此，國家檔案機構也應該積極關注國際標準化組織之間的技術合作，積極借鑒國外信息安全標準建設經驗，盡快為云環境下檔案數字資源信息安全保障提供指導。在行業標準體系建設上，可以參考借鑒《檔案信息化標準體系建設指南》（2020年）和《檔案服務外包工作規范》（2020年）等系列標準，制定面向檔案數字資源的行業安全標準建設，增強對檔案數字資源信息安全保障指導的針對性。

（三）基于第三方權威認證機構的可信云服務認證

基于第三方權威認證機構的檔案數字資源可信云服務認證，可以建立檔案機構對云服務商的信任，減少選擇的盲目性，從而降低篩選成本。為更好地服務檔案機構，需要組織開展面向檔案數字資源的可信云服務認證，通過第三方權威認證機構對云服務商進行安全評估和認證。地方檔案機構應基于工業和信息化部公布的云計算通用可信云服務認證名單，積極與相關云服務商開展面向檔案數字資源的可信云服務認證，具體實施步驟如圖2所示。

首先，參與檔案數字資源建設的云服務商須獲得工業和信息化部可信云服務認證，并向國家檔案局下設的檔案信息安全統籌監管職能部門提出評估認證請求，將云服務相關信息（包括基本特征、平臺、服務器、網絡、應用、服務可用性和穩定性等）和云服務商基本信息認證（包括基本信息、人員和財務情況、資本關系、組織結構等）向監管部門及時匯報。[10]其次，統籌監管職能部門委托由檔案領域、云服務行業組織、協會及其他權威專家組成的第三方安全評估認證機構進行考評認證。再者，第三方安全評估認證機構根據檔案數字資源可信云服務認證標準對云服務商進行全面考評，并將考評結果提交給信息安全統籌監管部門。最后，檔案信息安全統籌監管職能部門對第三方考評結果進行審核，審核通過后對符合資格的云服務商進行可信認證授權，頒發可信云服務認證資格證明。

（四）落實安全保障主體責任

根據《關于加強黨政部門云計算服務網絡安全管理的意見》提出的“安全管理責任不變”要求，網絡安全管理責任不隨服務外包而外包。在云環境下檔案數字資源信息安全保障中，檔案機構作為信息安全服務的責任主體，應該從確定安全管理責任和職責范圍、明確檔案數據歸屬、加強對云服務商的監管等方面落實好安全保障主體責任。

第一，確定安全管理責任和職責范圍。地方檔案機構要正確認識“安全責任”不等于“安全管理職責”，在選擇安全可信的云服務商和云服務業務后，與云服務商簽訂安全協議或云服務合同，對檔案安全管理和數據保密做出規定，明確各自安全責任，確保檔案數據和業務的安全、完整、可用及可遷移。國家檔案機構可以協同法律部門，共同制定面向檔案數字資源的云服務協議或合同模板，以便為地方檔案機構提供規范和指導。地方檔案機構應該根據云服務模式、檔案管理辦法、簽訂的云服務合同具體分析檔案數字資源保障過程中可能面臨的安全問題，厘清檔案機構和云服務商的職責范圍邊界。

第二，明確檔案數據歸屬。國家檔案局出臺的《關于檔案部門使用政務云平臺過程中加強檔案信息安全管理的意見》中指出，在使用云服務過程中，要明確檔案部門部署在云平臺上的檔案數據及檔案業務系統產生的數據歸檔案部門所有，未經檔案部門授權，不得私自訪問、修改、披露、利用、轉讓、銷毀。[11]同時，檔案部門對存儲在云平臺上的檔案數據具有知情權，有權對侵犯檔案數字資源服務主體隱私權和知情權的云服務商進行警告甚至處罰。具體實施辦法可以通過云服務安全協議或合同來明確檔案數據歸屬，以此保障云平臺上檔案數據的可控和安全。

第三，加強對云服務商的監管。研究表明，對云服務商的監管缺失是導致云環境下檔案信息安全風險的主要因素之一。[12]由此可見，國家和地方各級檔案機構要加強對云服務商的監管，督促其履行安全管理職責。一方面，需要監督云服務商嚴格遵守檔案法律法規和標準，切實履行協議或合同規定的檔案安全管理和數據保密責任，確保檔案數字資源的安全；另一方面，檔案機構可以通過定期開展面向檔案云服務平臺的安全檢查和評估，協同云服務商對檔案數據可能遭受的被竊取、篡改、丟失等風險進行排查，從而督促云服務商開展技術維護工作，提升云平臺的檔案數據安全防護能力。

云服務商作為檔案數字資源安全保障的重要協同主體，需要從以下三個方面履行云平臺檔案數字資源安全管理職責。首先，云服務商按照檔案法律法規和標準開展檔案云存儲與管理工作，定期對部署在云平臺上的檔案數據進行風險預測，及時發現檔案數字資源面臨的安全風險。其次，要根據簽署的檔案云服務合同，切實履行檔案數字資源安全管理職責，采取對應的管理和技術措施確保檔案數字資源平臺和系統的保密性、安全性和可用性。最后，要自覺接受檔案數字資源安全監管，主動提供檔案機構需要的檔案數據，對檔案機構排查出的檔案數字資源安全問題及時進行技術維護，從而保證云環境下的檔案數字資源信息安全。

云環境下檔案數字資源信息安全保障體制建設是一項綜合性的系統工程，具有長期性和復雜性。各級檔案機構應該在國家檔案局的領導下，針對檔案數字資源信息安全保障體制中出現的各類問題，從職能部門設置、法律法規和標準體系、監管方式、保障主體責任劃分等方面進行完善，建立與之相配套的體制，更好地保障檔案數字資源的信息安全，從而為云環境下檔案數字資源共建共享提供堅實的基礎和保障。

*本文系湖北省教育廳2020年度哲學社科項目“大數據時代檔案信息資源保障體系建設”（項目編號：202011001301006）研究成果之一。

注釋及參考文獻：

[1]上海辭書出版社.辭海（網絡版）[EB/OL].（2021-5-27）[2021-12-31]. https ： // www. cihai.com.cn/yuci/detail？docLi？ bId=1107&docId=5729437&q=%E4%BD%93%E5%88%B6.

[2]丁華東，竇曉光.改革開放以來我國檔案管理體制改革發展的實踐成就[J].檔案學通訊， 2003（1）：13-16.

[3]徐擁軍，張臻，任瓊輝.我國檔案管理體制的演變：歷程、特點與方向[J].檔案學通訊，2019（1）：15-22.

[4]胡昌平，呂美嬌，林鑫.云環境下國家學術信息資源社會化安全保障的協同推進[J].情報理論與實踐，2018，41（2）：34-38.

[5]趙雪芹，黨昭，李天娥.數字人文視角下的檔案信息資源開發問題與對策[J].北京檔案，2021（1）：18-22.

[6]何思源，劉越男.政務云環境中的檔案安全保障生態模型與策略研究[J].圖書館論壇，2021，41（7）：68-77.

[7]張玉昭.基于協同效應視角的數字檔案資源多元化開發模式探析[J].檔案與建設，2021（2）：37-40；13.

[8]中華人民共和國數據安全法[N].人民日報，2021-06-19（007）.

[9]萬莉，呂美嬌.云環境下數字學術信息資源安全保障的標準化推進[J].數字圖書館論壇，2017（7）：20-23.

[10]林鑫，胡昌平.國外云環境下學術信息資源安全體制變革及啟示[J].情報科學，2018，36（5）：11-16.

[11]中央網絡安全和信息化領導小組辦公室.關于加強黨政部門云計算服務網絡安全管理的意見[EB/OL].（2014-12-30）[2020-07-23].http：//www.cac.gov.cn/2015-06/26/c_1115736157.htm.

[12]何思源，劉越男.檔案上云安全嗎？政務云環境中的檔案安全風險分析[J].檔案學研究，2021（3）：97-105.

作者單位：湖北大學歷史文化學院