■肖 茜

近年来，随着信息技术的迅猛发展和广泛应用，数字档案的开发、利用成为高校档案工作的重要组成部分。信息技术在给我们带来方便的同时，也带来了安全隐患。档案信息安全是档案工作的生命线和底线。因此，构建数字档案信息安全保障体系已经成为当前高校档案管理的一个重要课题。数字档案信息安全保障体系涉及多个方面，鉴于目前该研究领域存在重技术轻管理，重防御轻预防，重外部安全轻内部安全的现状，本文拟从管理这一维度进行探讨。

一、高校数字档案信息安全保障管理体系的内涵

高校数字档案信息安全保障管理体系是高校数字档案信息安全保障体系的重要组成部分，是指以保证高校数字档案信息的利用安全和信息载体的运行安全为目的所建立的信息安全方针和目标，以及为实现这些目标所采取的方法的体系，包括数字档案信息安全保障管理体系的建立、实施、操作、监督、复查、维护和改进等一系列管理活动，表现为战略、人才、组织、制度、运作、技术等诸多要素的组合。

二、高校数字档案信息安全保障管理体系的内容

根据内涵，笔者认为高校数字档案信息安全保障管理体系包含信息安全战略的制订、管理平台的搭建、运作模式的构建、技术策略的选择四个方面。

（一） 信息安全战略的制订

信息安全战略是信息安全保障管理体系指导性的上层建筑，对体系的管理平台的搭建、运作模式的构建、技术策略的选择起着总体性和方向性的指导作用。高校数字档案信息安全战略的制订应以对高校档案管理机构内部环境和外部环境的进行的必要的、详略得当的研究和分析为基础，把握主动防御、全员参与、全过程控制、动态管理、持续改进的五项原则。

主动防御原则要求对信息利用和信息载体运行风险进行主动识别、分析与控制，同时兼顾成本效益原则，根据ABC分类法区分主次因素进行分类控制，以达到满意的信息安全状态。

全员参与原则强调从实质上提高档案管理机构全体工作人员的信息安全意识，强调发挥所有信息安全参与者的主观能动作用，而不是仅仅依靠信息管理者和信息技术支持人员。

全过程控制原则要求确保电子档案信息安全必须建立并执行一整套科学合理规范的管理制度,从每一个环节上堵塞电子档案信息安全的漏洞。这些环节包括从电子文件形成、处理、传输、收集、积累、整理、归档，到电子档案信息的保管、利用的全过程。

动态管理原则强调信息安全管理不是一成不变的，必须根据内外部环境的变化，适时地根据情况进行再次识别与评估，及时调整管理思路与手段。

持续改进原则要求信息安全管理体系必须根据实际运行结果进行阶段性评估，总结经验教训，不断调整，不断完善，以不断提高管理水平，实现跨越性发展。

（二）管理平台的搭建

管理平台的搭建是数字档案信息安全管理保障体系的一个重要组成部分，包括人员信息安全培训、信息安全组织机构的建设以及信息安全制度的建立。

1.人员信息安全培训

保障数字档案信息的安全，人是第一要素。档案人员及相关人员的信息安全意识、素质水平、创新能力直接影响到数字档案信息安全。根据有关部门统计，“在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。” 由此可见，属于内部人员方面的原因超过70%，对其进行信息安全培训具有重大意义。可从两方面入手：一是信息安全意识的培训，可通过办讲座、举行报告会、搞知识竞赛、办展览或观看展览、录像等形式，提升高校档案机构所有员工的信息安全意识，让每一个人都了解自己的安全信息职责，为信息安全构筑坚固的思想防线；二是信息安全技能的培训，旨在有针对性地对不同岗位人员传授相应岗位所需的安全知识和技能，以提升机构整体信息安全保障能力。

2.信息安全组织机构的建设

保障高校数字档案信息安全是一项技术性、专业性、综合性很强的工作，必须建立专门的组织机构以实施有效的组织与协调。笔者建议，高校档案机构应设立由部门领导、信息管理者、信息技术支持人员、有关的工作人员组所成的信息安全管理中心，负责实施和监控整个信息安全管理活动。其中部门领导对于全部数字档案信息体系的安全运行负有最终的责任，他们负责确定信息安全工作的任务、目标和优先顺序，并保证信息安全管理工作得到足够的资源支持；信息安全管理者指各科室（如普通档案科、人事档案科）负责人，其主要职责是指导日常数字档案信息安全管理工作，同时协调科室内外各相关因素以保障信息安全管理工作的顺利开展，并对工作情况和管理效果进行监督控制；信息技术支持人员包括数字档案信息系统的开发人员、运行维护人员和信息安全支持人员，这些人员负责将信息安全方面的要求通过技术手段加以实现，维护系统运行安全，对系统漏洞进行技术分析，保障信息系统安全、稳定、连续运行；有关的工作人员主要是指对数字档案信息安全管理提供支持的其他人员，如人力资源管理人员（负责涉密职位应聘人员的背景调查）、培训人员（负责数字档案信息安全意识和技能的培训工作）。

3.信息安全制度的建立

信息安全制度是对数字档案信息安全管理、运行和技术体系标准化、规范化后形成的一整套对信息安全的明文规定，通过文件体系的落实来规范管理、运行和技术，以保证数字档案信息安全管理的统一性和规范性，包括三方面内容：

一是规范化的管理制度，包括人员安全管理制度（安全审查制度、岗位安全考核制度、安全培训制度等）、文档管理制度（对已经存储的数字档案信息均应进行密级分类(绝密、机密、秘密与非保密)，对敏感信息与机密信息应当加密并脱机存储在安全的环境中，防止信息被窃听、变更与毁坏）。

二是规范化的运行制度，包括系统运行环境安全管理制度（机房出入控制、环境条件保障管理、自然灾害防护、防护设施管理、电磁波与磁场防护等）、应用系统运行安全管理制度（操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理、应用系统备份管理、应用软件维护安全管理等）。

三是规范化的技术标准，可参照国家、行业的相关技术标准，结合本单位实际情况制订，主要包括网络基础设施标准（基础通信平台工程建设、网络平台建设、网络互联互通技术方面的标准）、应用标准（数据源代码、电子公文格式方面的标准）、应用支撑标准、信息安全标准、管理标准。

（三）运作模式的构建

高校数字档案信息安全运作管理实质上是一个按照PDCA循环，不停顿地周而复始地运转的管理过程，风险管理理念贯穿这一过程的始终。因此，基于风险管理理念和持续改进模式构建的信息安全管理运作模式主要包括四个阶段，即P (Plan计划阶段：分析现状、找出问题，分析原因、查找要因，制定对策、制定计划)；D (Do实施阶段：实施计划)； C (Check检查阶段：检查验证、评估效果) ；A (Action处理阶段：标准化、固定成绩，问题总结、处理遗留问题 )。

具体而言，P阶段是风险识别和评估阶段，即利用定性或定量方法，借助于风险评估工具，对档案信息的利用安全和信息载体的运行安全进行评估，识别数字档案信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，以确定信息资产的风险等级和风险控制优先顺序，制定信息安全策略；D阶段是风险控制阶段，即信息安全策略的实施。在这一阶段，人是最关键的因素，应重点关注所有信息安全参与者安全意识的培训，确保信息安全策略得到有效的执行；C阶段是对风险控制的效果的评估，总结成功经验，制定标准，促进信息安全策略标准化、规范化，系统化，上升成为信息安全制度；A阶段是将未解决的和新出现的问题转入下一个PDCA循环，如此周而复始，螺旋上升。

信息安全运作模式

（四）技术策略的选择

信息安全运作流程需要相应的信息技术手段、安全基础服务和安全基础设施提供支持和保障，这涉及到技术策略的选择。根据国内外信息安全最佳实践,可以将在信息安全管理方面通用的信息技术手段分为八大类,分别是身份认证、访问管理、加密、恶意代码防护、加固、监控、审核跟踪和备份恢复。高校档案信息安全管理中心可在信息安全战略的指导下，根据总体规划、成本与效益相权衡、全面保障与重点保护相结合三大原则，选择技术策略组合。

总之，高校档案信息安全保障体系建设是档案信息化推进过程中出现的一个新问题，它不仅是技术问题，更是管理问题。因此建立高校档案信息安全保障管理体系对保障数字档案信息安全具有重大意义。