郑秀梅

摘 要：在秘密档案管理过程中往往存在只管不用或重管轻用之现象，难以发挥其在经济和社会发展中的重要作用。在网络环境下，档案管理部门和管理人员必须遵循确保秘密信息安全，合理利用信息资源以及国家秘密优先、“最小化”和全程管控的基本管理原则，按照“形成档案目录-局域网发布-履行审批流程-全程技术管控-日志形成报告-及时处置违规行为”的基本流程，高质量管理并合理应用秘密档案，促进当地经济和社会的协调发展。

关键词：档案管理 秘密档案 合理利用 网络环境

中图分类号：C29 文献标识码：A 文章编号：1674-098X（2017）05（c）-0194-02

受到知悉范围的限制，在国家或商业秘密档案管理过程中，往往存在只管不用或重管輕用之现象，难以发挥其在经济和社会发展中的重要作用。该文在阐述网络环境下秘密档案管理基本知识的基础上，提出合理利用秘密档案的具体措施。

1 秘密档案及其管理

1.1 基本概念

秘密档案管理是指管理和利用国家或商业秘密档案，国家秘密档案和商业秘密档案是秘密档案管理的组成部分。

国家秘密档案是指关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围人员知悉的档案资料，根据其重要性可分为绝密、机密和秘密三个等级；商业秘密档案是指不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术和经营性的档案资料，可分为核心商密和普通商密两个等级。

两类档案之间既有共同点又有相应区别。两者都具有秘密性，都关系权利主体特定的利益或权益，都必须采取相应的保护措施；同时，两者涉及利益不同，所有权性质不同，定密主体不同，确定程序不同，处置权限不同。

1.2 秘密档案管理的构成要件

秘密档案的管理侧重于留存、保管和利用原始档案资料（包括纸介质、光介质、磁介质、电介质），目的在于有效利用和开发档案资源，充分发挥其在经济和社会发展中的重要作用，促进经济效益和社会效益的双丰收。

秘密档案管理环节包括3个阶段8个环节。3个阶段是指入库前、入库管理和出库后，8个环节是指收集、整理、鉴定、保管、统计、编目/检索、编研和利用秘密档案。在产生秘密档案时，包括定密、标密、制作、复制、销毁、收发、保存、传递、使用和建账等管理环节；在搜集、整理、鉴定秘密档案时，包括移交、签收、使用、保存、传递和建账等管理环节。

档案管理部门具体管理秘密档案，并按照《档案法》第十四条的规定完成秘密档案的管理和利用、密级的变更和解密，必须按照国家有关保密的法律或行政法规的规定办理。

2 秘密档案管理的原则

2.1 确保秘密信息安全，合理利用信息资源

秘密档案管理在确保秘密信息安全的前提下，应充分遵循信息资源利用和管理的客观规律，实现秘密信息保护和信息资源利用之间的平衡。

2.2 国家秘密优先原则

当国家秘密范围调整或在特殊情况下，如原来属于商业秘密的档案资料被纳入了国家秘密管理的范畴，必须优先按照国家秘密进行管理。只有在解密国家秘密档案资料后才能界定商业秘密。

2.3 “最小化”原则

秘密档案管理过程中严格落实相关保密制度，确保档案资料的知悉范围最小、管理环节最简、浏览权限满足使用，开放时间最短。

2.4 全程管控原则

秘密档案要严格按照规范和要求实施实现全过程、全方位的管理，做到该审批的审批、该留证的留证。

3 网络环境下合理利用秘密档案的具体措施

3.1 形成档案目录

档案目录中往往涉及不同密级的信息，所以在形成档案目录时应根据发布范围对档案目录进行适当的降密或脱密处理，确保发布范围中秘密等级最低的人员所允许接触到的秘密文件的密级不低于档案目录的密级。要根据本单位秘密事项变化及时调整档案目录。

3.2 局域网发布

编制好秘密档案目录后，要在本单位局域网上发布。发布时需要考虑局域网的秘密等级是否与秘密档案目录的密级相匹配。信息系统的秘密等级是按照其处理和存储信息的密级来确定的，只有是按照分级保护标准构建的信息系统，才能发布涉及国家秘密的档案目录。

在局域网发布档案目录可采用两种方式：（1）利用信息门户自身的身份鉴别和权限管理功能，先将档案目录放在门户，之后再对特定的用户开放浏览权限；（2）在档案管理应用系统中只对特定的用户开放档案浏览权限。

3.3 履行审批流程

审批先由查阅者发起，应在审批单中填写查阅档案的名称、用途；二是本部门领导审批，需要确认是否为工作需要；三是按照“谁归档谁审查”的原则，由原归档单位的定密责任人进行审批，以避免扩大知悉范围或产生知识产权等方面的纠纷；四是档案管理部门审批，查看流程中的表单信息是否完整；五是在保密管理部门备案以便于日常检查；六是档案管理人员提供借阅服务。如需复制，应按照秘密档案资料的复制要求进行管理。

3.4 全程技术管控

信息系统的技术防护对秘密档案的正常利用至关重要。全程技术管控是根据信息系统存储和处理数据的秘密等级，合理选择相应的防护标准和技术，实现有效防护全生命周期秘密数据，达到非授权用户“进不来、拿不走、看不懂、跑不了”的目的。

身份鉴别、访问控制、安全监控与审计、边界安全防护、恶意代码防护和加密防护为涉及到的6种防护技术，身份鉴别是通过硬件设备和软件系统登录时的身份识别，防范非授权用户进入档案信息管理系统；访问控制是通过采取强制访问控制策略防范越权访问；安全监控与审计是通过审计监控发现违规和异常行为且有效阻断，并记入审计日志；边界安全防护是通过划分安全域并在边界部署安全防护设备，防范违规接入或违规外联；恶意代码防护是通过在系统及关键入口部署查杀软件清除恶意代码；加密防护是通过采用密码技术对秘密信息存储和传输进行加密，非授权用户无法打开秘密档案文档。

3.5 日志形成报告

审计报告是安全审计人员综合分析操作系统、应用系统、网络设备、数据库、安全设备的审计日志后，定期发布信息系统运行情况报告。审计报告审计的是系统的安全情况和管理员、信息系统用户、企图或非法入侵者的行为，是对风险进行管控的依据，其质量的高低会直接影响到后续管控措施的针对性和有效性。

3.6 及时处置违规行为

档案管理部门应联合信息化和保密管理部门核查定期发布的审计报告中所反映的违规行为，如确认无误应依据相关的规定严格处理。处理违规行为时，要以事实为依据，全员通报，达到警示教育目的。

在秘密档案管理过程中往往存在只管不用或重管轻用之现象，难以发挥其在经济和社会发展中的重要作用。在网络环境下，档案管理部门和管理人员必须遵循确保秘密信息安全，合理利用信息资源以及国家秘密优先、“最小化”和全程管控的基本管理原则，按照“形成档案目录-局域网发布-履行审批流程-全程技术管控-日志形成报告-及时处置违规行为”的基本流程，高质量管理并合理应用秘密档案，促进当地经济和社会的协调发展。

参考文献

[1] 王俊勇.保密管理工作在企业商业秘密档案的应用[J].科技经济导刊，2016（13）：183.

[2] 陆国荣.浅谈档案利用中的档案安全[J].现代企业文化，2016（30）：92-93.

[3] 皮序宇.新形势下做好档案保密工作的思考[J].办公室业务，2016（13）：86-87.

[4] 邱若铣，牛柏超，潘强，等.试论档案数字化中的安全保密管理工作[J].山东档案，2016（6）：36-37.

[5] 郭建华.构筑企业涉密档案的安全防线刍议[J].陕西档案，2016（3）：56.

[6] 窦文岐.如何做好城建档案的保密与利用[J].办公室业务，2016（24）：108.