云环境下我国档案数字资源信息安全保障体制建设

2022-02-11李贞贞李金璐

北京档案 2022年1期

李贞贞李金璐

摘要：档案数字资源信息安全问题是档案事业在信息化时代的重大挑战。在技术飞跃发展的今天，构建安全、可靠的档案数字资源信息安全保障体制具有迫切性和必要性。论文基于云环境下档案数字资源信息安全保障体制的内涵及概念，分析了云环境下我国档案数字资源信息安全保障体制建设中存在的不足，构建了政府、行业和社会“三位一体”的协同保障体制模型，并提出解决对策，以期为珍贵的档案数字资源提供安全的生存环境，促进档案事业发展。

关键词：云环境档案数字资源信息安全保障体制

Abstract：The information security of archival digi？ tal resources is a major challenge for archival career in the information age. With the rapid development of technology， it is urgent and necessary to build a safe and reliable information security system for ar？ chival digital resources. Based on the connotation and concept of the information security system for ar？ chival digital resources under the cloud environment， this paper analyzes the current deficiencies in the construction of the information security system for ar？ chival digital resources in China. Then， it constructs a"Trinity" collaborative security system model of gov？ ernment， industry and society. It also puts forward countermeasures in order to provide a safe living en？ vironment for the precious archives digital resources and promote the development of archives.

Keywords：Cloud environment ； Archival digital re？ sources ； Information security assurance system

新修订的《中华人民共和国档案法》增加了档案信息化建设的内容，规定各级档案机构应当将档案信息化纳入信息化发展规划，促进档案数字资源建设。在我国档案数字资源建设中，云计算、云存储等技术作为新的实现手段，既节约了成本，也提高了资源的利用效率。但云环境下数据的开放性、共享性和电子文件特有的脆弱性等特征严重威胁着档案数字资源信息安全，我国档案数字资源信息安全保障建设面临着挑战与冲击。云环境下档案数字资源信息安全保障建设，需要进行配套的体制建设，更好地保障档案数字资源的信息安全，为各类档案数字资源服务主体应用云计算提供良好的基础环境。

《辞海》（第七版）中对“体制”的定义是国家机关、企业事业单位在机构设置、领导隶属关系和管理权限划分等方面的体系、制度、方法、形式等的总称，如政治体制、经济体制、教育体制等。[1]云环境下档案数字资源信息安全风险复杂，保障档案数字资源信息安全是一项系统工程。加强云环境下档案数字资源信息安全保障体制建设，可以为档案数字资源信息安全保障提供坚实的基础，进一步优化档案事业发展环境。根据已有研究，可以将档案数字资源信息安全保障体制界定为：为保障档案数字资源信息安全而进行的机构设置、隶属和协作关系确定、权限划分等方面的体系、制度、方法、形式的总称。[2-4]其内容包括三个方面：档案数字资源信息安全保障机构设置、机构间隶属和协作关系确定及安全保障机构间权限和责任划分。目前我国信息安全保障体制经过不断改革已经初具规模，但面向档案数字资源信息安全的保障体制亟待建立和完善。

通过梳理文献，本部分主要从政府监督、行业自律、机构主体三方面分析当前云环境下档案数字资源信息安全保障体制中存在的问题。

（一）政府监督体制

1.缺乏专门职能部门进行统筹监管。国家档案局成立了档案信息化工作领导小组，负责档案信息化工作的总体设计、统筹协调和督促落实，以加强档案信息化工作领导，提高档案信息化水平。但就目前而言，档案信息化工作领导小组对档案数字资源信息安全的统筹和监管工作还处于起步阶段。同时，云环境下档案数字资源信息安全监管涉及多个职能部门，包括国家档案局、工业和信息化部、国家网信部门等。虽然这些部门都承担一定的档案数字资源信息安全保障和监管职能，但信息安全保障和监管的职能相对较为分散，需要专门的国家档案行政机构协调和统筹相关职能部门，做好档案数字资源信息安全监管工作，提高档案数字资源信息安全保障的效果。

2.法律法规和标准体系建设亟待推进。一方面，档案专业领域尚未出台关于档案数字资源信息安全保障工作的专门法，对档案数字资源信息安全保障工作相关工作条例的制定只能参照其他通用法律法规，如《中华人民共和国网络安全法》《中华人民共和国数据安全法》（以下简称《数据安全法》）等；另一方面，档案数字资源信息安全保障工作所处的云环境比传统档案信息保障工作的环境更为复杂，有些颁布时间较早的法律规范未能考虑到云环境下的新技术特点，时效性较弱。如《档案信息系统安全保护基本要求》《电子文件归档与管理规范》，这些较早颁布的法律法规虽然可以在档案归档、系统安全等方面对档案信息安全工作予以规范。但从时间跨度上来说，信息技术的功能、覆盖率、影响力变化巨大，云环境下档案数字资源信息安全保障工作急需一套时效性强的法律法规体系，为档案数字资源信息安全保障工作提供法律依据。

信息安全标准的制定和推行是提升云环境下档案数字资源信息安全保障能力和效果的重要途径。目前我国虽然制定了以《信息安全技术云计算服务安全能力要求》（2014年）、《信息安全技术云计算服务安全能力评估方法》（2017年）、《信息安全技术云计算服务运行监管框架》（2019年）、《信息安全技术政府网站云计算服务安全指南》（2019年）等为代表的云计算服务通用标准，但是针对档案数字资源信息的行业安全标准还处于空白状态，对档案数字资源信息安全保障标准化建设重视度不够。可见，当前我国档案数字资源信息安全保障关于法律法规体系和安全标准体系的建设落后于实践发展的需要。

（二）行业自律体制

在云计算领域，我国已经开始了对云服务商的评估认证，以此来建立云计算服务的信任体系。对于档案数字资源而言，档案机构（包括各级档案馆、档案室）和云服务商凭借面向云计算的可信云服务认证，一方面可以通过可信云服务评估指标，增强档案机构对云服务商的信任度；另一方面，通过对可信云服务的披露，使云服务商在服务基本信息和承诺的规范性、真实性等方面实现对档案机构的透明化。由我国工业和信息化部会同数据中心联盟等行业自治组织开展的可信云服务认证工作已经取得了初步成效，但是当前的云服务评估认证主要是面向通用云计算应用，缺乏面向档案数字资源应用的针对性。其原因在于，在我国档案数字资源建设过程中，建设主体较为分散，未能开展多领域合作。[5]同时，大部分档案机构对云服务商的选择十分谨慎，一方面是因为档案机构自身鉴别能力有限，另一方面是因为档案数字资源一旦发生泄露，将会造成重大损失。

（三）机构主体保障体制

1.安全保障职能弱化。首先，为实现档案数字资源的统一集中管理，我国档案数字资源建设过程中一开始是以档案数字资源整合和集中管理为主，而对档案数字资源信息安全保障的关注力度不够，同时欠缺技术上的指导，因此在信息安全保障方面的职能较弱。其次，云计算环境下，档案馆、机关档案室等档案机构委托云服务商将档案数字资源部署在云平台上，一定程度降低了对档案信息系统和档案数据资源的控制力，无法进行实时监管。最后，在传统IT环境下，档案数字资源信息安全保障基本上由各级档案机构负责。而在云计算环境下，云服务商的参与使得各级档案机构还需要承担对云服务商的监管职责。由于档案的保密性和云服务商的自身缺陷，档案机构在监管过程中会出现“重监管、轻保障”的现象，过多将精力放在对云服务商的监管上，对自身作为安全保障主体的意识还不够。

2.安全保障主体责任不明确。在云环境下，档案数字资源建设往往以业务外包的形式委托云服务商进行，而档案数字资源建设过程中所需的软硬件及云服务平台都是由云服务商负责购置、开发和管理的，这使得档案机构不能对档案数据进行直接控制和修改。随着档案数字资源管理与运营的外包，个别档案机构也实现了部分安全保障具体工作的外包，部分档案机构对自身需要承担的安全保障责任缺乏清晰的认识，将“安全责任”和“安全管理职责”概念混淆，认为自身所承担的安全责任已经随着档案数字资源业务的外包向云服务商转移。事实上，在档案数字资源管理业务外包的过程中，向云服务商转移的是“安全管理职责”，并非“安全责任”。[6]在档案数字资源信息安全保障过程中，档案机构始终是档案数字资源安全的最终责任主体，一旦发生云安全事故，档案机构作为最终责任主体仍然是首要追责对象。

基于对以上问题的分析，为进一步建立和完善云环境下档案数字资源信息安全保障体制，笔者构建了政府、行业和社会“三位一体”的协同保障体制模型，如图1所示。

（一）设立面向档案数字资源的信息安全职能部门

为保障档案数字资源建设过程中的档案信息安全，可以在档案信息化工作领导小组的基础上，设立面向档案数字资源的业务部门和信息安全统筹监管部门，加强对档案数字资源信息安全保障工作的统筹监管。设立面向档案数字资源的信息安全职能部门，一方面是为了统筹协调相关部门的工作，提高各部门工作的协调性，最大限度发挥档案数字资源建设过程中的协同效应。[7]另一方面是为了对云服务商提供的档案数字资源信息安全保障工作进行监管，及时发现其在安全保障工作中的问题，确保档案数字资源的安全性。面向档案数字资源的信息安全职能部门应在国家档案局的领导下，积极与工业和信息化部、科技部、保密局等部门交流信息安全工作，共同推进档案数字资源信息安全保障体制建设。

（二）加快推进法律法规和标准体系建设

1.法律法规体系建设。（1）加快推进面向云环境的法律法规制度建设。由于信息技术的变革，我国较早颁布的法律法规对档案数字资源信息安全保障的指导与规范作用逐渐减弱，因此需要从以下三个方面加快推进面向云环境的法律法规制度建设。首先，云环境下档案数字资源信息安全及保密问题往往会涉及知识产权保护、责任追究等权益问题，国家档案行政机构需要加快推进云环境下的法律法规制度建设，确保档案机构与云服务商之间的合作有法可依。其次，档案数字资源信息安全面临着保密性和特殊性等管理要求，因此国家档案行政机构要协同立法、司法等相关部门制定涉及档案领域云安全的相关法规和政策，以适应档案数字资源的特殊性管理要求。此外，云服务商自身也需要制定严格的管理制度和实施细则，确保云服务供应的安全性，更好地提升云服务商的信誉和形象，确保云环境下的档案数字资源信息安全。（2）建立和完善面向档案的数据安全规章制度。2021年6月10日颁布的《数据安全法》是数据安全领域的基础性法律和国家安全领域的一部重要法律。从档案数字资源的生命周期角度出发，《数据安全法》明确了档案数据的收集、存储、保管，利用等环节，为后续的标准制定、数据防护等指明了方向。[8]该法律不仅规制互联网行业，同样适用于档案数据的收集、档案数据保密以及对档案数字资源共享的安全保障具有指导性作用。地方档案机构可以通过制定本行政地区档案数字资源的数据安全规章制度，应对实践中存在的档案数据泄露等安全风险，为档案数字资源信息安全保驾护航。

2.标准体系建设。档案数字资源信息安全标准建设有助于为云服务商、档案数字资源服务主体的安全保障措施的实施提供依据，以获得安全保障的最佳效果。档案数字资源建设过程中的安全责任划分、数据资源归属、安全管理要求等都需要标准来进行规范和引导。[9]基于此，云环境下档案数字资源的标准体系建设可以从通用标准体系和行业标准体系两方面着手。在通用标准体系建设上，国内外诸多云安全标准化研究组织正在开展云计算安全标准的制定工作，这对云环境下档案数字资源信息安全标准建设而言是重大机遇，能够切实为面向档案数字资源信息安全标准体系建设提供指导和参考。因此，国家档案机构也应该积极关注国际标准化组织之间的技术合作，积极借鉴国外信息安全标准建设经验，尽快为云环境下档案数字资源信息安全保障提供指导。在行业标准体系建设上，可以参考借鉴《档案信息化标准体系建设指南》（2020年）和《档案服务外包工作规范》（2020年）等系列标准，制定面向档案数字资源的行业安全标准建设，增强对档案数字资源信息安全保障指导的针对性。

（三）基于第三方权威认证机构的可信云服务认证

基于第三方权威认证机构的档案数字资源可信云服务认证，可以建立档案机构对云服务商的信任，减少选择的盲目性，从而降低筛选成本。为更好地服务档案机构，需要组织开展面向档案数字资源的可信云服务认证，通过第三方权威认证机构对云服务商进行安全评估和认证。地方档案机构应基于工业和信息化部公布的云计算通用可信云服务认证名单，积极与相关云服务商开展面向档案数字资源的可信云服务认证，具体实施步骤如图2所示。

首先，参与档案数字资源建设的云服务商须获得工业和信息化部可信云服务认证，并向国家档案局下设的档案信息安全统筹监管职能部门提出评估认证请求，将云服务相关信息（包括基本特征、平台、服务器、网络、应用、服务可用性和稳定性等）和云服务商基本信息认证（包括基本信息、人员和财务情况、资本关系、组织结构等）向监管部门及时汇报。[10]其次，统筹监管职能部门委托由档案领域、云服务行业组织、协会及其他权威专家组成的第三方安全评估认证机构进行考评认证。再者，第三方安全评估认证机构根据档案数字资源可信云服务认证标准对云服务商进行全面考评，并将考评结果提交给信息安全统筹监管部门。最后，档案信息安全统筹监管职能部门对第三方考评结果进行审核，审核通过后对符合资格的云服务商进行可信认证授权，颁发可信云服务认证资格证明。

（四）落实安全保障主体责任

根据《关于加强党政部门云计算服务网络安全管理的意见》提出的“安全管理责任不变”要求，网络安全管理责任不随服务外包而外包。在云环境下档案数字资源信息安全保障中，档案机构作为信息安全服务的责任主体，应该从确定安全管理责任和职责范围、明确档案数据归属、加强对云服务商的监管等方面落实好安全保障主体责任。

第一，确定安全管理责任和职责范围。地方档案机构要正确认识“安全责任”不等于“安全管理职责”，在选择安全可信的云服务商和云服务业务后，与云服务商签订安全协议或云服务合同，对档案安全管理和数据保密做出规定，明确各自安全责任，确保档案数据和业务的安全、完整、可用及可迁移。国家档案机构可以协同法律部门，共同制定面向档案数字资源的云服务协议或合同模板，以便为地方档案机构提供规范和指导。地方档案机构应该根据云服务模式、档案管理办法、签订的云服务合同具体分析档案数字资源保障过程中可能面临的安全问题，厘清档案机构和云服务商的职责范围边界。

第二，明确档案数据归属。国家档案局出台的《关于档案部门使用政务云平台过程中加强档案信息安全管理的意见》中指出，在使用云服务过程中，要明确档案部门部署在云平台上的档案数据及档案业务系统产生的数据归档案部门所有，未经档案部门授权，不得私自访问、修改、披露、利用、转让、销毁。[11]同时，档案部门对存储在云平台上的档案数据具有知情权，有权对侵犯档案数字资源服务主体隐私权和知情权的云服务商进行警告甚至处罚。具体实施办法可以通过云服务安全协议或合同来明确档案数据归属，以此保障云平台上档案数据的可控和安全。

第三，加強对云服务商的监管。研究表明，对云服务商的监管缺失是导致云环境下档案信息安全风险的主要因素之一。[12]由此可见，国家和地方各级档案机构要加强对云服务商的监管，督促其履行安全管理职责。一方面，需要监督云服务商严格遵守档案法律法规和标准，切实履行协议或合同规定的档案安全管理和数据保密责任，确保档案数字资源的安全；另一方面，档案机构可以通过定期开展面向档案云服务平台的安全检查和评估，协同云服务商对档案数据可能遭受的被窃取、篡改、丢失等风险进行排查，从而督促云服务商开展技术维护工作，提升云平台的档案数据安全防护能力。

云服务商作为档案数字资源安全保障的重要协同主体，需要从以下三个方面履行云平台档案数字资源安全管理职责。首先，云服务商按照档案法律法规和标准开展档案云存储与管理工作，定期对部署在云平台上的档案数据进行风险预测，及时发现档案数字资源面临的安全风险。其次，要根据签署的档案云服务合同，切实履行档案数字资源安全管理职责，采取对应的管理和技术措施确保档案数字资源平台和系统的保密性、安全性和可用性。最后，要自觉接受档案数字资源安全监管，主动提供档案机构需要的档案数据，对档案机构排查出的档案数字资源安全问题及时进行技术维护，从而保证云环境下的档案数字资源信息安全。

云环境下档案数字资源信息安全保障体制建设是一项综合性的系统工程，具有长期性和复杂性。各级档案机构应该在国家档案局的领导下，针对档案数字资源信息安全保障体制中出现的各类问题，从职能部门设置、法律法规和标准体系、监管方式、保障主体责任划分等方面进行完善，建立与之相配套的体制，更好地保障档案数字资源的信息安全，从而为云环境下档案数字资源共建共享提供坚实的基础和保障。

*本文系湖北省教育厅2020年度哲学社科项目“大数据时代档案信息资源保障体系建设”（项目编号：202011001301006）研究成果之一。

注释及参考文献：

[1]上海辞书出版社.辞海（网络版）[EB/OL].（2021-5-27）[2021-12-31]. https ： // www. cihai.com.cn/yuci/detail？docLi？ bId=1107&docId=5729437&q=%E4%BD%93%E5%88%B6.

[2]丁华东，窦晓光.改革开放以来我国档案管理体制改革发展的实践成就[J].档案学通讯， 2003（1）：13-16.

[3]徐拥军，张臻，任琼辉.我国档案管理体制的演变：历程、特点与方向[J].档案学通讯，2019（1）：15-22.

[4]胡昌平，呂美娇，林鑫.云环境下国家学术信息资源社会化安全保障的协同推进[J].情报理论与实践，2018，41（2）：34-38.

[5]赵雪芹，党昭，李天娥.数字人文视角下的档案信息资源开发问题与对策[J].北京档案，2021（1）：18-22.

[6]何思源，刘越男.政务云环境中的档案安全保障生态模型与策略研究[J].图书馆论坛，2021，41（7）：68-77.

[7]张玉昭.基于协同效应视角的数字档案资源多元化开发模式探析[J].档案与建设，2021（2）：37-40；13.

[8]中华人民共和国数据安全法[N].人民日报，2021-06-19（007）.

[9]万莉，吕美娇.云环境下数字学术信息资源安全保障的标准化推进[J].数字图书馆论坛，2017（7）：20-23.

[10]林鑫，胡昌平.国外云环境下学术信息资源安全体制变革及启示[J].情报科学，2018，36（5）：11-16.