电子文件和电子档案管理中的信息安全问题
2020-10-12夏冰
夏冰
1引言
2019年12月以来,武汉等地发生了新型冠状病毒感染肺炎疫情,并蔓延到其他省市。由于疫情来势迅猛,为减少疫情影响和扩散,落实国务院联控机制疫情防控工作通知精神的要求,减少员工聚集和集体活动,尽快恢复正常工作秩序,各地纷纷出台措施鼓励通过网络等远程方式办公,减少病毒传播风险。各单位纷纷通过办公平台、网站、微信公众号、工作群、以及腾讯会议等媒介开展工作。网络办公具有高效灵活性,且基于全社会对疫情防控重要性的共识得到大规模推行,然而网络办公方便了工作的同时,电子文件和电子档案的安全不容忽视,在管理中还有一些问题需要解决。
2主要问题
2.1业务系统设计实施不符合信息安全要求,留下安全隐患
业务系统设计没有充分调研和分析,设计人员缺少档案信息化意识,对档案管理涉及的标准规范不了解,不知道如何才能实现电子文件和电子档案管理的专业要求。同时因为开发运维任务繁重,首先要保证以最少的时间实现最多的功能。为此,短期时间内系统功能越少经济效益越高,开发周期越快,最后实现的功能只是最简单地实现审批流程。
其实是在设计之后没有进行充分的需求调研,确认业务功能的细节以及能够达到的效果,最后信息系统的验收没有严格按照设计要求对照把控。
2.2非授权访问
非授权访问是指未经合规授权使用软件和网络资源。目前是一些单位采购的计算机已经使用多年,操作系统早已经不再支持更新,如早期的Windows XP、Vista或Windows7系统,早就停止了安全更新,而因为资金等原因,一些单位或个人缺少更新动力,仍然繼续使用过时软件,或者私自使用未授权软件,都有可能被放置木马程序,留下安全隐患。
2.3源文件易被更改难以确认合法性
很多时候,线上流程的电子文件却需要线下办理,无法全过程线上电子化。这种情况下,如何保证文件不被更改不出偏差,就需要全面考虑。
办公自动化系统应用一般由业务、档案和信息技术部门多头负责,文件、档案分段管理,在步调不一致时,易出现电子文件处置较随意、信息流失、损毁及泄密等安全风险。电子文件较难完整、准确、系统和高质量归档,不能长期有效保存,导致电子文件和电子档案管理工作存在隐患。究其原因是没有引入电子签名或电子认证体系追踪识别及确认唯一性。
2.4业务数据等电子文件未归档
业务数据在业务系统中存在,包括门卫收发、办公、财务、人力资源、采编、网站、电子邮件、资产、项目及档案管理系统等,还有一些存储介质是老式的磁带、磁盘、录像带及硬盘等。由于更新换代或部门人员更替,原有的设备系统被处置,但其中的文件、数据等电子文档没有被提取出来移交档案部门,这就是收集移交不规范。
3建议对策
3.1吸收档案专业人员参加信息系统设计规划
信息系统设计规划是基础,《电子文件归档与电子档案管理规范》总则提出,电子文件归档与电子档案管理应纳入单位信息化建设规划,并对基本功能提出要求;《机关档案管理规定》也强调档案信息化应纳入机关电子政务和信息化总体规划,软件系统应嵌入电子文件分类方案、归档范围与保管期限表和整理要求,开展鉴定、整理,实施预归档,规划设计还应参照《数字档案室建设指南》《电子文件管理系统通用功能要求》等。
可见规划时征求档案专业人员意见,配合确定相关事项非常必要,否则将会给档案管理带来很多麻烦。要顺利实现系统方案总体设计和处理过程的详细设计不是IT人员能独自解决的。
3.2根据岗位职责做好授权
在具备安全控制条件后,信息化应用系统要根据职责及时做好各个岗位的授权。系统应具备用户信息管理的功能,根据管理、保密和审计原则分开设置安全控制要求,支持用户分组、分类和授权,从而为数字档案资源的安全存储、管理提供保障。根据《电子档案管理系统基本功能规定》,系统还应具备日志及分类管理功能,记录用户访问、存取和使用情况,能对关键业务过程、操作行为和访问等审计、跟踪、记录,这样授权访问就能够形成闭环。
3.3引入电子签名和电子认证机制,避免随意更改
根据《电子文件归档与电子档案管理规范》,禁止修改电子档案背景、结构和管理过程元数据,对题名、责任者、编号、日期和人物等元数据的修改应合规,修改操作应记录于日志中。电子签名技术可以用技术手段保障数据安全及不被篡改,而电子认证则是引进第三方机制确认电子签名人的身份。
引入电子签名和电子认证机制,能够对需要归档的每一份文件都进行签名,这样使用时通过认证,就能发现此类文件是谁产生,经过了什么流转过程,从而能避免随意更改而又无法发现的情况。
3.4加强制度规范
在电子文件和电子档案管理中,要建立健全人防、物防和技防三位一体的信息安全防范体系,弥补不足,充分利用电子档案的长处,提高办事效率,促进工作开展。
要做好信息安全,最有效的是要有制度规范,必须靠制度约束。首先要明确档案工作责任制,完善管理制度,查遗补缺,规范档案信息化建设和信息安全保障、设施、设备配置和人员管理;其次将电子文件归档和信息安全工作纳入制度的同时,也要做为日常工作布置、考核,并不定期监督和检查。
4结束语
目前虽然已经初步建立电子文件归档和电子档案管理体系,但是大量电子文件和电子档案仍然没有得到妥善保管,存在漏存、错存等安全隐患。本文分析了电子文件和电子档案管理中存在的信息安全问题并提出解决措施。
