王东旭

摘要：随着经济的发展和社会的进步，尤其是网络信息技术的快速进步，使得档案信息的管理逐渐的网络化，极大地提升了管理工作的效率与水平。但目前来看，档案信息安全问题关系到小单位甚至国家的安全，档案信息的安全问题越来越严重。因此，对于保障体系的构建宏观上就上升到了国家的战略高度，十分必要要。要进行认真的研究与分析制定出相应的办法，全面建设档案信息安全保障体系，提高其应对网络安全风险的能力，推进档案信息安全保障工作全面的进步。

关键词：档案信息安全；保障体系建设；现状；方法

一、概述

档案信息安全保障问题最早是由美国提出的，他们总结了信息安全的各种特性以及信息系统的功能。信息安全保障主要包括信息安全技术和信息安全管理等方面。目前，我国对档案信息安全方面的投入不足，导致针对档案信息化建设安全保护的研究较少，且进展速度较慢。档案安全基础设施保护不强，在保护档案信息安全方面的管理制度，法律、法规建设不健全或不完善，档案信息安全技术方面的研究经验也有限。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。风险评估需要先根据档案信息系统的实际情况定级，填写等级保护定级备案表，并去有关公安机关备案；然后进行实际的风险评估，完成风险评估报告；最终根据报告内容，采取风险控制的措施，进一步完善档案信息系统，做好档案信息安全保障工作。

二、档案信息安全保障体系建设的现状

档案信息的安全保障工作具有非常重要的现实意义。从整体而言，我国的档案信息安全保障工作依然存在许多问题。具体讲，第一，档案存放的馆舍环境有待改善。许多档案馆舍设施陈旧、缺少必要的隔热、防潮、消防等功能，使众多的档案存放面临很大风险。第二，实体档案信息管理存在一定问题。首先，保存的早期档案信息的字迹难以辨认，多有破损或者是管理混乱。其次，对于档案进行管理中文书档案与照片档案的混合非常的严重。最后，对于保存的档案没有进行及时通风，出现损毁的情况。第三，我国的电子档案信息保存面临一些风险。首先，我国应用网络信息技术进行档案信息的管理时间短，对于众多的档案还没有完成应有的信息资源整合。其次，网络化的电子档案信息系统运行功能不完善。比如：安全系统的漏洞使得网络化的电子档案信息非常容易受到网络侵入或攻击。再次，我国没有对网络化电子档案信息管理制定出统一的管理规章制度，具体的管理不能有序的进行。最后，缺乏对于高素质、专业化网络电子档案信息管理人才的培养，使得有关工作严重的滞后。

三、档案信息安全保障体系建设的方法与措施

（1）档案信息安全法规标准体系建设。为促进档案信息化建设的顺利开展必须加强立法，使档案信息安全保障工作有法可依，进一步完善法规标准体系建设。国家制定档案安全法规后，地方就可以参照法律制定地方条例和标准，针对本地实际情况管理本地的档案信息安全工作。档案信息安全保障法规具有保护档案信息客体具有知识性和财产性、体现高新技术和法规规范渊源的广泛性的特征。档案信息安全立法层次为国家法律、行政法规、地方性法规、规章和规范性文件五个层次。按照不同的标准，安全保障法规体系框架由不同的部分构成。在法规制定中注意规范性和可操作性、系统性和兼容性、管理与发展并重、重点突出稳步推进等方面，及时清理和修订现有法规规章。 （2）档案信息安全基础设施体系建设。档案信息安全基础设施体系要为保障档案信息安全提供最有利的服务和支撑。这些基础设施涵盖面比较广泛，主要包括档案信息系统，这个系统需要档案管理部门的协调和引导，运用计算机数据加密和数字签名；档案信息灾备中心建设是档案信息安全保障中的一项基础设施，档案部门可以通过多种途径对档案信息进行灾难备份，以保障信息的长期性；档案信息系统应急响应的工作需要利用政府或商业机构的应急服务，这项支援服务的关键就是选择具有国家资质认可的服务机构，还要向缺乏信息安全专业人员的档案部门提供安全服务。（3）档案信息安全标准与技术体系建设。档案信息安全标准是档案信息安全保障的重要组成部分，我国档案部门应吸收和借鉴国外信息安全标准，研究制定新形势下我国档案信息安全现状的标准化体系。制定档案信息安全标准体系应遵循科学性原则、协调性原则、全面性原则、接轨性原则和前瞻性原则，力求层次清晰、结构合理、体系明确、标准齐全。档案信息安全技术不仅涉及到“防”和“治”，還扩展到涉及密码技术、访问控制技术、标识和鉴别技术、审计与监控技术、网络安全技术、系统安全技术、应用安全技术等多种现代信息新技术。共同构筑档案信息的安全屏障，做好档案信息安全技术的发展与更新，加快档案信息安全技术成果的应用、推广和转化。坚持自主创新，开发拥有独立自主知识产权的、保障档案信息安全的核心技术和关键设备。（4）档案信息安全管理体系建设。实施安全管理保障措施时需经过以下步骤进行：完善组织机构→进行风险评估→制定安全策略→开展安全管理培训→执行管理决策→评价并改善管理体系。其中，最重要的是进行风险评估。根据有关部门统计，“在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。”不难看出，属于内部人员方面的原因超过70%，而这些安全问题中的95%是可以通过科学的风险评估来避免的。加强风险评估的力度是档案信息安全管理的重中之重。（5）档案信息安全人才培养体系建设。档案信息安全保障的根本离不开档案信息安全人才的培养。为确保数字档案信息的安全，档案管理部门应采取切实可行的措施，比如，开展职业证书教育培训，档案部门吸收引进信息安全专门人才。分级分类、按需施教，通过项目带动等多种途径和形式，开展档案信息安全人才的继续教育，培养更多的适应信息时代背景下档案工作需要的应用型和复合型相结合的人才，为构建数字档案信息安全保障体系提供强有力的智力支持。

（作者单位：河南省工商行政管理学校）

参考文献

[1]陈莉.如何构建档案信息安全保障体系[J].浙江档案，2017，11.

[2]冯有辉.档案安全风险评估指标体系建设[J].兰台世界，2011，（30）.

[13许桂清，李映天.档案信息安全保障体系的建设与思考[J].档案学研究2017，03.