電子檔案安全管理體系構建探究

文/貴州省人民醫院 黃朔

信息時代電子文件已經成為最重要的文件存儲模式。電子文件歸檔形成電子檔案，記錄著各方面的數據信息內容，人們能夠通過先進的技術手段對電子檔案進行查詢和利用，這無疑使其具備了高效、便捷、精確的特點。但是電子檔案由于具有電子文件屬性，容易受到安全威脅（被復制、被篡改、被攔截等）。因此，在越發復雜的信息網絡環境中，加強電子檔案安全管理體系建設勢在必行，更是保障電子檔案安全性的根本舉措。

一、電子檔案安全管理內容

（一）計算機實體及系統。電子檔案信息安全保護的基礎就是要確保存儲信息的計算機實體的安全性，同時由于檔案信息的安全性依靠計算機系統的加密性進行處理，所以也要確保計算機系統的安全性。

（二）計算機軟件及網絡。一方面，通過更加前沿的技術來確保軟件存儲、使用、通信方面的安全性，避免軟件受到破壞、篡改等；另一方面，要利用修復技術對網絡漏洞進行完善，避免檔案信息受到盜竊、入侵。

（三）檔案信息自身。信息的完整性、真實性是檔案安全管理最為重要的內容，也是檔案信息保護的關鍵所在。

二、電子檔案安全影響因素以及問題分析

電子檔案所涉及的內容較為龐雜，其安全影響因素也較為廣泛，包括政策法規、技術環境、管理制度等等，在實際操作時要對各因素進行整合控制。從現階段來看，絕大多數電子檔案的安全保護還處在發展初期，電子檔案信息安全管理存在多方面安全威脅，需要進一步完善電子檔案安全保護體系。總體來說，電子檔案安全影響因素主要涉及安全風險因素與管理保護因素。

（一）電子檔案安全的客觀風險。1.環境因素。惡劣的存儲環境是引發電子檔案載體損壞的重要原因，若檔案館外部區域受到極端環境影響，將會引發設備損害，造成永久性的電子數據損壞和檔案信息丟失。另外，相對于傳統紙質檔案來說，電子檔案存儲所用的光盤、磁帶、硬磁盤等載體更易受到檔案館內部及周邊溫濕度、電磁場等環境的干擾，對電子檔案存儲介質和信息數據安全造成影響。2.網絡攻擊。近年來，網絡信息的安全水平有了較大提升，對于網絡病毒的防御手段越發完善，但通過網絡進行的黑客攻擊行為仍然層出不窮，其發展較為迅速，對于信息數據產生了較大威脅。同時，某些不法分子會利用網絡手段竊取電子信息，通過網絡系統存在的安全漏洞，利用操作系統層、通信服務層等各種層級來對存儲終端進行攻擊，從而造成電子檔案信息遭到竊取和篡改。3.管理制度。部分電子檔案管理模式滯后，與機構檔案發展水平不相匹配，管理系統和網絡技術缺乏必要的維護升級，電子檔案管理制度和標準仍不夠健全，缺少對數字化信息加密保護等方面的了解，保管方式松散，這些都為信息被盜、泄露埋下了隱患。

（二）電子檔案保護的現實需求。1.安全體系需求。隨著信息技術的快速發展，電子檔案安全管理也從初期簡單的數據備份以及信息加密，轉變為防火墻、入侵檢測、身份驗證、權限管理等多種安全防護措施綜合應用，但當前電子檔案的安全管理主要偏重相應設備及硬件設施的優化升級，對于管理體系和流程建設的全面性、完整性重視不足。檔案管理機構需要在應用相關軟件進行檔案管理過程中實施更加有效的監管措施，如只是簡單地從技術層面對電子檔案信息實施維護，必然難以跟上快速發展的信息化步伐。因此，充分借鑒數據安全管理領域方面的經驗，將其充分融入電子檔案管理當中，才能夠構建更為完善的電子檔案安全管理體系，提升電子檔案的管理效能。2.管理規范需求。從目前情況來看，企事業單位電子檔案管理普遍存在著如下幾方面問題：缺少完善的制度和標準支撐；雖有標準但是涵蓋范圍有限，缺少可長期執行的程序，管理隨意性較強；電子檔案信息格式及保存方式不夠規范等。3.個人素養需求。檔案管理人員的安全意識直接影響著檔案的安全性，工作人員的安全意識關乎檔案信息是否能夠安全保管。此外，電子檔案信息安全和檔案管理人員的綜合素質直接相關。電子檔案管理具有保密性、科學性等特點，一旦檔案管理人員缺乏軟件運維、網絡安全防護等現代信息綜合能力，將很難確保電子檔案的安全、可靠、規范。目前我國檔案管理人員或許并不缺少較強安全意識以及較高綜合素質，但是能夠實現兩者兼具的則比較少。

三、電子檔案安全管理體系的建設

電子檔案安全治理手段較為復雜，其屬于綜合性較強的信息管理體系，在整個安全體系運行過程中相關功能相互融合、相互影響。所以在構建電子檔案安全體系過程中，需要充分考慮其所具有的多元化特點，結合技術手段、管理模式、法律規范、網絡安全、風險意識等內容開展協同治理，完善安全管理體系。

（一）電子檔案安全管理體系治理要素以及相關原則。1.管理安全原則。電子檔案的管理安全是評價檔案是否科學合理保管的重要指標。管理安全原則建立在法律法規基礎之上，一定程度上為保證電子檔案信息具有的真實性、準確性以及完整性提供了規范的執行標準。完善的管理措施、責任制度、監督授權能夠防止電子文件檔案受到人為損壞和隨意篡改、泄露和刪除。電子檔案在進行存儲、利用、銷毀過程中應遵照有效的管理標準，實施嚴格的審核機制，避免人為操作失誤、故意損害導致的泄密事件發生。電子檔案銷毀應以保管期限作為參考，留存規范的銷毀信息，形成完善的銷毀報告，避免任意銷毀。2.技術安全原則。技術安全原則通常涉及電子檔案產生、保存、傳輸、查閱相關環節的存儲載體和運行網絡的操作使用安全。為有效確保信息的保密安全，可通過設置網絡訪問權限，在授權范圍內對電子檔案信息開展整理利用，確保在此過程中電子檔案信息不會受到破壞及丟失，并且不會被非法訪問和入侵操作。同時，電子檔案信息的格式、代碼、壓縮包等快速地更新換代，讓部分電子檔案信息元數據很難進行識別或者處理，容易引發數據無法讀取。因此在電子檔案技術安全層面，必須保障信息內容、硬件設備和軟件系統三者間的可兼容性，確保電子檔案的長期可識讀性。3.環境安全原則。環境安全原則主要是指電子檔案存儲場地、運行軟件和管理網絡的安全規范要求。庫房、計算機、存儲介質在內的電子檔案存儲場地，其物理環境必須滿足檔案信息管理的實際要求，并對溫濕度變化、粉塵污染、災害故障等，規劃制定完善的監控和保護措施。所用設備型號以及存儲介質需滿足國家安全標準，避免因為突發狀況造成設備的永久性損壞或不可逆的檔案數據丟失。穩定的電子檔案運行軟件和網絡管理環境，能夠保障電子檔案信息創建及讀取過程中數據運行的安全可靠，因此電子檔案管理系統及辦公自動化系統等檔案管理軟件以及網絡系統的穩定運維，將是電子檔案得以長期保存和高效利用的關鍵基礎。

（二）電子檔案安全管理體系建設手段以及主要措施。1.管理方面。（1）不斷完善法律法規，完善網絡環境。以總體國家安全觀作為檔案信息化工作的指導思想，依托國家檔案法律法規，嚴懲對電子檔案信息進行惡意破壞的不法分子，使其承擔相應的法律責任，凈化網絡環境。另外，相關管理機構應建立起能夠量化的行業標準，以此對檔案信息管理人員進行必要約束，更好地監管電子檔案信息數據的采集和使用過程。同時，最大程度確保電子檔案安全管理的規范性，為檔案管理人員營造出更加安全、健康的網絡運行環境，降低工作人員的管理負擔和工作成本。（2）進一步健全電子檔案信息權限管理以及審批機制。不斷完善電子檔案系統的所有權限，特別是對于關鍵性、敏感性強的電子檔案信息，在進行查詢以及讀取時應加強權限管理，對于應用范圍進行一定限制。為確保電子檔案的安全，在其搜集、整理、存儲、利用、銷毀等各個方面要實施更加嚴格的審核和審批制度，不同等級人員要形成制約機制。按照相應人員的涉密級別對電子管理系統實施對應開放，如涉密權限不足的人員需要利用檔案，應通過領導審批。（3）建立完善的檔案信息安全責任制。電子檔案信息的易變性、不穩定性和技術依賴性是其最為顯著的薄弱環節，這也就使得想要確保電子檔案信息安全性需要安排專人對其實施監管。在日常檔案管理中形成完善的企事業單位風險防范機制，可以在電子檔案出現泄密、失竊等問題時，對相關責任人進行嚴格追責和處理，持續增強電子檔案安全約束機制。而實際工作中的風險也能夠通過信息安全制度進行及時反饋，不斷樹牢信息安全責任制，強化檔案信息的紅線意識。（4）加強檔案管理人員安全管理意識，建立起高素質的管理團隊。電子安全體系建設的主要任務在于強化檔案的安全意識。盡管電子檔案信息是建立在現代互聯網數字管理模式上，通過信息技術和網絡平臺實施的一項技術化管理，但管理主體仍然無法脫離人工處理。因此，加強檔案管理人員安全管理意識和綜合素質已成為檔案安全管理的重要內容。這不僅需要對檔案管理人員進行嚴格篩選，同時也要對人員定期開展思想和信息安全技術的專業教育，加強安全規范以及保密技術方面培訓，建立起高素質的管理團隊。2.技術方面的安全措施。（1）提升管理設備與存儲介質的環境安全。檔案信息設備和存儲介質所處環境的安全性至關重要，要按照載體實際特點，確定具體使用和保管環境的安全標準，避免存儲設備受到干擾和破壞。存放電子檔案的庫房位置與存儲技術設備應遠離災害和事故多發區域，保證存儲區域的安全性與可靠性。按照“三防（防水、防火、防塵）”要求，設置完善的溫濕度控制和火災報警系統，并遠離電磁物質，必要情況下通過防護設備隔離電子檔案，避免受到電磁輻射影響而引發檔案信息受到破壞或載體受到損壞，造成檔案信息的丟失，同時確保存放環境無污染源，避免有害氣體侵蝕。與此同時，對于非保密級別的電子檔案信息，可利用內部安全網絡環境對相應機構實施權限共享，而對于保密級別的電子檔案信息，則必須嚴格限定使用范圍與途徑，禁止使用互聯網進行信息傳輸，防止受到網絡病毒的攻擊和侵襲。（2）提升電子檔案安全管理的技術措施。對于現代電子檔案安全管理來說，先進的信息技術措施必不可少，成熟的信息安全技術不但能夠進一步增強電子檔案信息的安全性，同時也能夠提升電子檔案管理的規范性以及標準性。電子檔案在安全設備、安全服務、安全產品等信息技術的支持下，能夠一定程度上彌補檔案管理人員安全意識不足、能力素養較低、檔案管理條件缺失等問題，為檔案安全管理增添更加有效的控制手段，大大提升電子檔案安全管理水平。（3）對于重要和珍貴電子檔案采取“雙套制”保管模式。電子檔案在實現易于存儲和突破空間限制的同時，也帶來了高度依賴技術和信息載體不夠穩定的問題。鑒于此種情況，按照電子檔案和紙質檔案所具有的功能以及價值方面的差異，有必要制定出具有針對性的防護目標以及具體措施。由于電子檔案不穩定的特性，重要和珍貴的電子檔案應以紙質版或微縮膠片的方式進行備份保存，形成電子檔案與紙質檔案及雙重備份的“雙套制”的保管模式，進一步提升電子檔案信息的安全性。

四、結語

綜上所述，隨著社會信息化程度的不斷提高，電子檔案在經濟建設、商業管理和政府組織得到了廣泛運用，并成為了全新的檔案管理模式。只有充分掌握電子檔案系統整體安全狀況，分析存在的漏洞與威脅，采取針對性的安全措施，才能實現電子檔案科學規范管理，保障電子檔案安全，推動電子檔案安全管理體系構建。