电子档案安全管理体系构建探究

2022-11-14贵州省人民医院黄朔

办公室业务 2022年3期

文/贵州省人民医院黄朔

信息时代电子文件已经成为最重要的文件存储模式。电子文件归档形成电子档案，记录着各方面的数据信息内容，人们能够通过先进的技术手段对电子档案进行查询和利用，这无疑使其具备了高效、便捷、精确的特点。但是电子档案由于具有电子文件属性，容易受到安全威胁（被复制、被篡改、被拦截等）。因此，在越发复杂的信息网络环境中，加强电子档案安全管理体系建设势在必行，更是保障电子档案安全性的根本举措。

一、电子档案安全管理内容

（一）计算机实体及系统。电子档案信息安全保护的基础就是要确保存储信息的计算机实体的安全性，同时由于档案信息的安全性依靠计算机系统的加密性进行处理，所以也要确保计算机系统的安全性。

（二）计算机软件及网络。一方面，通过更加前沿的技术来确保软件存储、使用、通信方面的安全性，避免软件受到破坏、篡改等；另一方面，要利用修复技术对网络漏洞进行完善，避免档案信息受到盗窃、入侵。

（三）档案信息自身。信息的完整性、真实性是档案安全管理最为重要的内容，也是档案信息保护的关键所在。

二、电子档案安全影响因素以及问题分析

电子档案所涉及的内容较为庞杂，其安全影响因素也较为广泛，包括政策法规、技术环境、管理制度等等，在实际操作时要对各因素进行整合控制。从现阶段来看，绝大多数电子档案的安全保护还处在发展初期，电子档案信息安全管理存在多方面安全威胁，需要进一步完善电子档案安全保护体系。总体来说，电子档案安全影响因素主要涉及安全风险因素与管理保护因素。

（一）电子档案安全的客观风险。1.环境因素。恶劣的存储环境是引发电子档案载体损坏的重要原因，若档案馆外部区域受到极端环境影响，将会引发设备损害，造成永久性的电子数据损坏和档案信息丢失。另外，相对于传统纸质档案来说，电子档案存储所用的光盘、磁带、硬磁盘等载体更易受到档案馆内部及周边温湿度、电磁场等环境的干扰，对电子档案存储介质和信息数据安全造成影响。2.网络攻击。近年来，网络信息的安全水平有了较大提升，对于网络病毒的防御手段越发完善，但通过网络进行的黑客攻击行为仍然层出不穷，其发展较为迅速，对于信息数据产生了较大威胁。同时，某些不法分子会利用网络手段窃取电子信息，通过网络系统存在的安全漏洞，利用操作系统层、通信服务层等各种层级来对存储终端进行攻击，从而造成电子档案信息遭到窃取和篡改。3.管理制度。部分电子档案管理模式滞后，与机构档案发展水平不相匹配，管理系统和网络技术缺乏必要的维护升级，电子档案管理制度和标准仍不够健全，缺少对数字化信息加密保护等方面的了解，保管方式松散，这些都为信息被盗、泄露埋下了隐患。

（二）电子档案保护的现实需求。1.安全体系需求。随着信息技术的快速发展，电子档案安全管理也从初期简单的数据备份以及信息加密，转变为防火墙、入侵检测、身份验证、权限管理等多种安全防护措施综合应用，但当前电子档案的安全管理主要偏重相应设备及硬件设施的优化升级，对于管理体系和流程建设的全面性、完整性重视不足。档案管理机构需要在应用相关软件进行档案管理过程中实施更加有效的监管措施，如只是简单地从技术层面对电子档案信息实施维护，必然难以跟上快速发展的信息化步伐。因此，充分借鉴数据安全管理领域方面的经验，将其充分融入电子档案管理当中，才能够构建更为完善的电子档案安全管理体系，提升电子档案的管理效能。2.管理规范需求。从目前情况来看，企事业单位电子档案管理普遍存在着如下几方面问题：缺少完善的制度和标准支撑；虽有标准但是涵盖范围有限，缺少可长期执行的程序，管理随意性较强；电子档案信息格式及保存方式不够规范等。3.个人素养需求。档案管理人员的安全意识直接影响着档案的安全性，工作人员的安全意识关乎档案信息是否能够安全保管。此外，电子档案信息安全和档案管理人员的综合素质直接相关。电子档案管理具有保密性、科学性等特点，一旦档案管理人员缺乏软件运维、网络安全防护等现代信息综合能力，将很难确保电子档案的安全、可靠、规范。目前我国档案管理人员或许并不缺少较强安全意识以及较高综合素质，但是能够实现两者兼具的则比较少。

三、电子档案安全管理体系的建设

电子档案安全治理手段较为复杂，其属于综合性较强的信息管理体系，在整个安全体系运行过程中相关功能相互融合、相互影响。所以在构建电子档案安全体系过程中，需要充分考虑其所具有的多元化特点，结合技术手段、管理模式、法律规范、网络安全、风险意识等内容开展协同治理，完善安全管理体系。

（一）电子档案安全管理体系治理要素以及相关原则。1.管理安全原则。电子档案的管理安全是评价档案是否科学合理保管的重要指标。管理安全原则建立在法律法规基础之上，一定程度上为保证电子档案信息具有的真实性、准确性以及完整性提供了规范的执行标准。完善的管理措施、责任制度、监督授权能够防止电子文件档案受到人为损坏和随意篡改、泄露和删除。电子档案在进行存储、利用、销毁过程中应遵照有效的管理标准，实施严格的审核机制，避免人为操作失误、故意损害导致的泄密事件发生。电子档案销毁应以保管期限作为参考，留存规范的销毁信息，形成完善的销毁报告，避免任意销毁。2.技术安全原则。技术安全原则通常涉及电子档案产生、保存、传输、查阅相关环节的存储载体和运行网络的操作使用安全。为有效确保信息的保密安全，可通过设置网络访问权限，在授权范围内对电子档案信息开展整理利用，确保在此过程中电子档案信息不会受到破坏及丢失，并且不会被非法访问和入侵操作。同时，电子档案信息的格式、代码、压缩包等快速地更新换代，让部分电子档案信息元数据很难进行识别或者处理，容易引发数据无法读取。因此在电子档案技术安全层面，必须保障信息内容、硬件设备和软件系统三者间的可兼容性，确保电子档案的长期可识读性。3.环境安全原则。环境安全原则主要是指电子档案存储场地、运行软件和管理网络的安全规范要求。库房、计算机、存储介质在内的电子档案存储场地，其物理环境必须满足档案信息管理的实际要求，并对温湿度变化、粉尘污染、灾害故障等，规划制定完善的监控和保护措施。所用设备型号以及存储介质需满足国家安全标准，避免因为突发状况造成设备的永久性损坏或不可逆的档案数据丢失。稳定的电子档案运行软件和网络管理环境，能够保障电子档案信息创建及读取过程中数据运行的安全可靠，因此电子档案管理系统及办公自动化系统等档案管理软件以及网络系统的稳定运维，将是电子档案得以长期保存和高效利用的关键基础。

（二）电子档案安全管理体系建设手段以及主要措施。1.管理方面。（1）不断完善法律法规，完善网络环境。以总体国家安全观作为档案信息化工作的指导思想，依托国家档案法律法规，严惩对电子档案信息进行恶意破坏的不法分子，使其承担相应的法律责任，净化网络环境。另外，相关管理机构应建立起能够量化的行业标准，以此对档案信息管理人员进行必要约束，更好地监管电子档案信息数据的采集和使用过程。同时，最大程度确保电子档案安全管理的规范性，为档案管理人员营造出更加安全、健康的网络运行环境，降低工作人员的管理负担和工作成本。（2）进一步健全电子档案信息权限管理以及审批机制。不断完善电子档案系统的所有权限，特别是对于关键性、敏感性强的电子档案信息，在进行查询以及读取时应加强权限管理，对于应用范围进行一定限制。为确保电子档案的安全，在其搜集、整理、存储、利用、销毁等各个方面要实施更加严格的审核和审批制度，不同等级人员要形成制约机制。按照相应人员的涉密级别对电子管理系统实施对应开放，如涉密权限不足的人员需要利用档案，应通过领导审批。（3）建立完善的档案信息安全责任制。电子档案信息的易变性、不稳定性和技术依赖性是其最为显著的薄弱环节，这也就使得想要确保电子档案信息安全性需要安排专人对其实施监管。在日常档案管理中形成完善的企事业单位风险防范机制，可以在电子档案出现泄密、失窃等问题时，对相关责任人进行严格追责和处理，持续增强电子档案安全约束机制。而实际工作中的风险也能够通过信息安全制度进行及时反馈，不断树牢信息安全责任制，强化档案信息的红线意识。（4）加强档案管理人员安全管理意识，建立起高素质的管理团队。电子安全体系建设的主要任务在于强化档案的安全意识。尽管电子档案信息是建立在现代互联网数字管理模式上，通过信息技术和网络平台实施的一项技术化管理，但管理主体仍然无法脱离人工处理。因此，加强档案管理人员安全管理意识和综合素质已成为档案安全管理的重要内容。这不仅需要对档案管理人员进行严格筛选，同时也要对人员定期开展思想和信息安全技术的专业教育，加强安全规范以及保密技术方面培训，建立起高素质的管理团队。2.技术方面的安全措施。（1）提升管理设备与存储介质的环境安全。档案信息设备和存储介质所处环境的安全性至关重要，要按照载体实际特点，确定具体使用和保管环境的安全标准，避免存储设备受到干扰和破坏。存放电子档案的库房位置与存储技术设备应远离灾害和事故多发区域，保证存储区域的安全性与可靠性。按照“三防（防水、防火、防尘）”要求，设置完善的温湿度控制和火灾报警系统，并远离电磁物质，必要情况下通过防护设备隔离电子档案，避免受到电磁辐射影响而引发档案信息受到破坏或载体受到损坏，造成档案信息的丢失，同时确保存放环境无污染源，避免有害气体侵蚀。与此同时，对于非保密级别的电子档案信息，可利用内部安全网络环境对相应机构实施权限共享，而对于保密级别的电子档案信息，则必须严格限定使用范围与途径，禁止使用互联网进行信息传输，防止受到网络病毒的攻击和侵袭。（2）提升电子档案安全管理的技术措施。对于现代电子档案安全管理来说，先进的信息技术措施必不可少，成熟的信息安全技术不但能够进一步增强电子档案信息的安全性，同时也能够提升电子档案管理的规范性以及标准性。电子档案在安全设备、安全服务、安全产品等信息技术的支持下，能够一定程度上弥补档案管理人员安全意识不足、能力素养较低、档案管理条件缺失等问题，为档案安全管理增添更加有效的控制手段，大大提升电子档案安全管理水平。（3）对于重要和珍贵电子档案采取“双套制”保管模式。电子档案在实现易于存储和突破空间限制的同时，也带来了高度依赖技术和信息载体不够稳定的问题。鉴于此种情况，按照电子档案和纸质档案所具有的功能以及价值方面的差异，有必要制定出具有针对性的防护目标以及具体措施。由于电子档案不稳定的特性，重要和珍贵的电子档案应以纸质版或微缩胶片的方式进行备份保存，形成电子档案与纸质档案及双重备份的“双套制”的保管模式，进一步提升电子档案信息的安全性。