李贞贞 邓露露

摘要：云环境下档案数字资源信息安全保障问题显现。为保障云环境下档案数字资源信息安全，论文提出构建档案数字资源信息安全保障社会化推进模式。立足云环境下档案数字资源信息安全的多元主体保障体制，探究相关主体的工作责任与工作重点，对云环境下档案数字资源社会化安全保障的协同推进提出建议。构建云环境下以政府为主导，档案保管机构参与，云服务商、行业组织、第三方可信云服务认证机构、档案利用者及社会公众为社会协同力量的档案数字资源信息安全保障社会化协同推进模式。

关键词：云环境 档案数字资源 信息安全保障社会化协同

Abstract： The problem of information security of archives digital resources in the cloud environ？ ment becomes prominent. In order to ensure the information security of archival digital resources in the cloud environment， this paper proposes to con？ struct a socialized promotion model for safeguerd？ ing the information security of archival digital re？ sources. Based on the multi- subject guarantee system of archival digital resources information se？ curity in the cloud environment，this paper explores the responsibilities and work priorities of relevant subjects， and provides suggestions for the coordi？ nated promotion of information security guarantee of archives digital resources in the cloud environ？ ment. Under the cloud environment， a socialized collaborative promotion mode of information securi？ ty guarantee of archives digital resources is con？ structed， which is led by the government， partici？ pated by archives custodian institutions， and coordi？ nated by cloud service providers， industry organiza？ tions， trusted third-party cloud service certification institutions， archives users and the public.

Keywords： Cloud environment； Archives digital resources； Information security guarantee； Social synergy

2020年6月新修订的《中华人民共和国档案法》中提到要“提高档案信息化水平”，同时新增了“第五章档案信息化建设”的内容。中央网信办印发的《关于加强党政部门云计算服务网络安全管理的意见》（中网办〔2014〕14号）等文件中提到，使用云平台有利于节约资源和提高工作效率，提升档案信息化水平。[1]建设档案数字资源服务云平台，实现档案资源的集成与共享，有利于充分发挥档案的价值。在我国档案数字资源建设中，云计算技术的加入，为节约档案数字资源建设成本、提高档案数字资源利用效率带来优势。

云环境下，档案部门使用云计算技术必须高度重视档案数字资源的信息安全，而档案数字资源信息安全保障工作涉及的主体也愈来愈多元化。相较于传统档案数字资源的保护，由于云计算技术的特点，云服务商参与到档案数字资源安全保障过程中来。这一变化对档案数字资源安全保障提出了新的要求，需要云服务商、行业组织、第三方可信云服务认证机构、档案利用者及社会公众等多元主体参与到档案数字资源信息安全保障中来，推动档案数字资源信息安全保障向社会化方向发展。以此出发，本文将重点讨论云环境下档案数字资源信息安全保障的社会化发展及安全保障社会化协同推进模式的构建问题，为适应当前云环境下档案数字资源信息安全保障体制提供参考。

一、云环境下档案数字资源信息安全保障的社会化及其信息安全保障模式

采用云服务模式，推动档案上云，意味着云服务商成为档案数字资源服务的重要组成部分。云服务商的加入，使得档案数字资源安全保障工作不再仅涉及档案保管机构一方，还将档案数字资源信息安全保障推向社会化发展。為保障云环境下档案数字资源安全，加强对档案保管机构和云服务商的监督，需要吸引相关行业组织、第三方可信云服务认证机构、档案利用者及社会公众参与，共同推动档案数字资源信息安全保障的社会化发展。

（一）云环境下档案数字资源信息安全保障的社会化发展

在传统IT环境下，档案数字资源信息安全保障问题主要由档案保管机构负责。在云环境下，云服务商成为档案数字资源信息安全保障的重要部分。其原因在于，根据《信息安全技术云计算服务安全指南》（GB/T31167—2014）标准，一旦采用云服务模式，基础设施、硬件、资源抽象控制层的安全保障都由云服务商负责。[2]《信息安全技术网络安全等级保护基本要求》（GB/T22239—2019）标准中规范了不同云服务模式下云服务商与客户的安全责任范围。根据选择云服务商提供的服务类型，云计算平台有三种服务模式，包括软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）。[3]在SaaS模式下，云服务商负责设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件；在Paas模式下，云服务商负责设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；在IaaS模式下，云服务商负责设施、硬件、资源抽象控制层。由此可见，无论采取何种云服务模式，涉及档案数字资源信息安全的基础设施、硬件、资源抽象控制层的安全保障都由云服务商负责。在云环境下，云服务商对基础设施、硬件、资源抽象控制层的安全保障情况与档案数字资源的信息安全息息相关，档案保管机构无法对这一部分内容进行控制与修改。因此，档案数字资源的信息安全保障与云服务商密切相关，云服务商成为档案数字资源信息安全保障的重要主体。云服务商的重要主体地位促使档案数字资源信息安全保障的社会化发展。

在云环境下，行业组织、第三方可信云服务认证机构、档案利用者及社会公众共同参与档案数字资源信息安全保障。行业组织与政府协同合作，对参与档案数字资源建设的云服务商及档案保管机构进行工作评估与监督，为预防可能出现的档案数字资源信息安全问题提出建议；第三方可信云服务认证机构为档案保管机构选择云服务平台提供参考，推动档案保管机构选择更加可靠可信的云服务平台，降低档案数字资源信息安全问题出现风险的概率；档案利用者及社会公众在浏览和利用档案数字资源时，发现信息安全问题，将问题反馈给档案保管机构，帮助档案保管机构及时发现并解决档案数字资源信息安全问题。行业组织、第三方可信云服务认证机构、档案利用者及社会公众的参与促进了档案数字资源信息安全保障的社会化发展。

（二）云环境下档案数字资源信息安全保障社会化协同推进模式

为促进档案数字资源信息安全保障的社会化发展，提高云环境下档案数字资源信息安全保障水平，笔者构建云环境下档案数字资源信息安全保障社会化协同推进模式，如图1所示。

在IaaS、PaaS、SaaS三种服务模式下，云服务商负责的安全责任有所不同。[4]但无论在何种模式下，云服务商都参与档案数字资源信息安全保障，与此相适应，需要加强档案数字资源信息安全保障的社会化发展。因此，档案数字资源的信息安全保障首先与档案保管机构和云服务商联系紧密。同时，政府机关、随云服务商而产生的第三方可信云服务认证机构、参与档案数字资源建设的行业组织、档案利用者及社会公众成为档案数字资源信息安全保障的社会化协同力量的组成部分。

政府机关对档案数字资源的信息安全保障作总体规划，起主导作用。档案保管机构与云服务商分属不同领域，受不同部门管辖。为协调档案数字资源信息安全保障工作，实现对档案保管机构与云服务商的统一监管，提高档案数字资源信息安全保障工作的效率与协同，政府需要集中统一领导，打破各部门界限，促进档案数字资源信息安全保障社会化协同推进模式的建立。

档案保管机构作为档案数字资源的拥有者和管理者，是档案数字资源信息安全保障中的参与主体。在档案数字資源信息安全保障社会化协同推进模式中，档案保管机构要明确自身主体责任；要选择可信赖的云服务商合作，在合作过程中时刻保持对云服务商的监督；要建立相关组织协同机制，在相关组织的协同下推进档案数字资源信息安全保障工作；要完善内部管理机制，积极适应档案数字资源信息安全保障社会化协同推进模式。

云服务商、行业组织、第三方可信云服务认证机构、档案利用者及社会公众构成档案数字资源信息安全保障社会化协同推进的社会力量，它们从各自领域出发，为档案数字资源信息安全保障社会化协同推进模式的构建贡献力量。

二、云环境下档案数字资源信息安全保障中的政府主导

在档案数字资源信息安全保障社会化协同推进中，政府主导表现在相关职能部门的建立、云环境下档案数字资源信息安全问题的法律法规和标准建设、政府与相关社会组织的协同保障机制构建等方面。

（一）政府相关职能部门的建立

政府参与档案数字资源信息安全保障工作要通过设立面向档案数字资源的信息安全职能部门实现。一是面向档案保管机构的档案数字资源信息安全保障部门，对各级档案保管机构起领导作用，主要工作是对档案保管机构工作进行指导监督、制定具体的档案数字资源信息安全保障制度。二是面向云服务商的信息安全保障部门，即信息安全职能部门，其可以委托第三方可信云服务认证机构，吸纳档案领域、云计算行业的相关专家成立临时性监察小组，对云服务商的工作进行监督检查。三是档案数字资源信息安全保障的社会化议事协调部门，由于档案数字资源信息安全保障工作涉及主体多元化且隶属不同部门，沟通协调易受阻，为保障档案数字资源信息安全保障工作的统一性、协调性，设置信息安全保障议事协调部门有利于打破部门限制，提高工作效率。信息安全保障议事协调部门主要为档案保管机构与云服务商搭建桥梁，提供议事合作平台。

（二）相关法律法规和标准体系建设

目前，有关云环境下档案数字资源信息安全问题的法律法规和标准体系缺乏。尽管我国档案相关法律的制定与修订从未间断，但少见有关云环境下档案数字资源信息安全保障的相关规定，[5]相关标准体系仍然处于空白状态。目前，我国档案相关法律仍然显露出如对现实问题覆盖范围不够全面、时效性较弱和操作实践性有待提高等问题。由此可见，我国有关云环境下档案数字资源的法律法规和标准体系缺乏，这使得云环境下档案保管机构在处理出现的档案数字资源安全问题或云服务商为档案数字资源提供上云服务时，有时会面临无法可依、无制度可循的局面。因此，为适应构建档案数字资源信息安全保障的社会化协同推进模式，云环境下档案数字资源信息安全的相关法律法规和标准体系建设也尤为重要。

（三）政府与相关社会组织的协同保障机制构建

在政府主导下，为有效推动云环境下档案数字资源信息安全保障工作，需要构建政府与社会组织协同保障机制。一是与档案领域行业组织和云计算行业组织协同。政府与档案领域行业组织协同，加强对档案保管机构的监督，促进档案保管机构完善档案数字资源信息安全保障工作；与云计算行业组织协同，云计算行业组织可以从其自身专业角度出发，对云服务商的工作水平进行评估，同时对云服务商的工作进行监督。结合两个行业组织的建议，对档案数字资源信息安全保障工作的总体情况进行评估，为进一步提高档案数字资源信息安全保障水平提供建议。二是与第三方可信云服务认证机构协同，对云服务商的信息安全保障工作进行评估考证。为规范第三方可信云服务认证机构，政府要建立第三方可信云服务认证机构准入和监督机制，确保第三方可信云服务认证机构合法合理，其提供的考评认证信息可靠可信。[6]三是与档案利用者和社会公众协同，主要表现在了解档案利用者和社会公众接受档案数字资源服务时的体验与评价，以便发现档案数字资源信息安全保障中的问题，为信息安全监管提供依据。

三、云环境下档案数字资源安全保障中的档案保管机构参与

在云环境下，档案保管机构是档案数字资源信息安全保障的关键，直接對档案数字资源的信息安全问题负主要责任。为体现主体地位、落实主体责任，保障档案数字资源信息安全保障的社会化协同推进模式的构建，档案保管机构要做到明确主体责任、建立对云服务商的监督机制、构建与相关组织机构的协同机制、组织人员培训等工作。

（一）明确主体责任

档案保管机构既是档案数字资源信息安全保障的主体，也是信息安全的责任主体。云环境下，档案保管机构将档案数字资源上传至云服务平台，云服务平台的建设与维护由云服务商负责，档案保管机构降低了对档案数字资源的控制力。这意味着，档案数字资源上云后，其信息安全管理职责转移至云服务商。考虑到档案数字资源的信息安全，档案保管机构往往加强对云服务商的监督，从而容易忽视自身的信息安全保障主体身份。但事实上，档案数字资源的责任主体并未发生改变，即如果发生云安全事故，最终责任主体仍然是档案保管机构。因此，档案保管机构在进行档案数字资源信息安全保障工作时，要明确自身的信息安全保障主体与责任主体身份。[7-8]

（二）建立对云服务商的监督机制

档案数字资源信息安全保障与云服务商密切联系，对云服务商的监管缺失是云环境下档案数字资源信息安全风险的主要因素之一。[9]档案保管机构在开展档案数字资源信息安全保障工作时，需要建立对云服务商的监督机制，加强对云服务商的监督。一是在前期选择时，要选择发展成熟的云服务商，同时签订合同协议，明确规定云服务商的责任范围与工作质量要求，明确档案保管机构拥有的合法监督权，为监督提供依据。二是在云服务过程中，关注云服务商信息安全保障工作的开展情况，督促云服务商定期排查可能出现的安全风险，定期开展云服务平台安全检查和评估，[10]针对可能出现的信息安全风险，提前制定预防方案。三是要求云服务商定期汇报对档案数字资源云服务平台信息安全隐患排查情况、云计算平台软硬件的维护情况等工作，档案保管机构可以建立信息安全评估小组，对云服务商提交的工作汇报内容进行评估，并提出针对性意见。

（三）构建与相关组织机构的协同机制

档案保管机构在开展档案数字资源信息安全保障工作时要加强与相关组织机构的协同。一是与第三方可信云服务认证机构协同，充分利用第三方可信云服务认证机构对云服务商的评估结果，结合档案数字资源信息安全保障的特点，选择可信赖的云服务商，提高云服务商所提供服务的安全保障程度。二是与行业组织协同，吸收档案领域行业专家的建议，积极进行交流合作，听取经验教训，提高信息安全保障能力。三是与档案利用者和社会公众协同，主动接受档案利用者和社会公众的监督，通过反馈发现问题、解决问题。

（四）组织人员培训

云环境下档案数字资源信息安全保障工作的开展对档案工作人员要求严格，不仅要求档案工作人员具备档案专业能力，还需要拥有一定的信息技术水平。这是因为云环境下档案数字资源信息安全涉及的风险广泛，如物理环境安全、访问操作安全等，具有显著区别于传统IT环境下的信息安全问题。因此，档案保管机构在招聘档案工作人员时，需结合云环境下档案数字资源的特点，选择在云服务方面经验丰富的人员。同时，要加强对档案工作人员信息安全方面的培训，提升其信息安全意识与能力。开展针对性的信息安全培训，可以从以下几个方面展开：组织信息安全专题培训活动，帮助档案工作人员了解云环境下档案数字资源信息安全保障工作的特殊性，丰富其信息安全知识，提升其信息安全意识；制定考核机制，定期对档案工作人员的信息安全专业能力及工作情况进行考核，了解其信息安全工作开展情况；结合考核情况，制定阶段性的信息安全工作计划，推动档案工作人员信息安全能力的提高；完善信息安全工作的奖惩制度，以提高档案工作人员的工作积极性。

四、云环境下档案数字资源信息安全保障中的社会协同

云环境下，社会组织通过各种方式参与档案数字资源信息安全保障，共同促进档案数字资源信息安全保障社会化协同推进模式的构建。

（一）云服务商

云服务商是云环境下档案数字资源信息安全保障中的社会协同的主要角色，直接关系档案数字资源的信息安全。云服务商可以从以下四个方面参与档案数字资源信息安全保障。第一，保障云服务平台的安全性。在云服务环境下，云服务平台的档案数字资源随时可能遭受病毒和黑客攻击，云服务商要采取有效措施，保障云服务平台与档案数字资源的安全。第二，自觉接受政府、档案保管机构及其他社会组织的监督。遵守国家有关云服务及档案数字资源信息安全保障的法律法规及行业规范，听取意见建议，及时纠正工作中的不足。云服务商主动学习档案数字资源信息安全保障措施，与档案保管机构密切联系，将云服务工作与档案数字资源信息安全保障融合，提高档案数字资源的安全性。第三，加强云服务平台的管理，定期开展工作总结与反思。在云计算安全建设中，“三分靠技术，七分靠管理”的策略同样重要，[11]良好的管理有利于推动档案数字资源信息安全保障工作的开展。云服务商需要结合档案数字资源信息安全保障的特点，制定针对性管理计划，实施专门化、制度化管理，定期排查威胁档案数字资源信息安全的风险与隐患。第四，引进先进信息安全技术，提高面向档案数字资源的云服务水平。档案信息安全是档案工作的重中之重，云服务商需结合档案数字资源的特点，提高其信息安全保障的专业化水平。

（二）行业组织

参与档案数字资源信息安全保障的行业组织主要包括档案领域行业组织和云计算行业组织。档案领域行业组织和云计算行业组织作为云环境下档案数字资源信息安全保障中的社会协同的重要组成部分，与政府机关和档案保管机构合作，为保障档案数字资源信息安全贡献力量。档案领域行业组织与政府机关合作，为云环境下档案数字资源信息安全法规制度建设提出建议，参与相关行业标准制定；档案领域行业组织作为档案领域的重要力量与组成部分，要加强与档案保管机构的交流与合作，与档案保管机构协同推进档案数字资源信息安全保障工作的发展与进步。云计算行业组织可以参与云服务商工作评估，协同政府机关与档案保管机构对云服务商的信息安全保障工作进行监督。云计算行业组织要加强行业自律，严格遵守国家相关行业规范及档案数字资源信息安全保障规范，不断提高专业技术水平，促进云服务专业化发展，如结合档案数字资源信息安全问题的特点，制定档案数字资源信息安全保障的云服务策略，推动云计算行业组织的专业化、高质量发展。

（三）第三方可信云服务认证机构

第三方可信云服务认證机构的成员包括档案领域行业组织、云计算行业组织等相关专家，其为档案数字资源上云提供参考。第三方可信云服务认证机构对市场中的云服务商进行专业考评认证，考察内容包括云服务平台的安全等级及云服务平台作为档案数字资源服务平台是否安全可靠。通过考察生成考评结果，为档案机构选择云服务商提供数据参考。第三方可信云服务认证机构的考评结果为档案保管机构选择安全可信的云服务商提供参考，减少档案保管机构与不同云服务商沟通的成本，提高了云环境下档案数字资源信息安全保障工作的效率。

（四）档案利用者及社会公众

档案利用者及社会公众主要通过监督方式参与档案数字资源信息安全保障工作。当档案利用者及社会公众发现信息安全问题时，可以通过线下监督举报平台行使监督权，将发现的信息安全隐患曝光或反馈至档案保管机构，帮助档案保管机构发现和重视信息安全问题，避免出现更大的信息安全事故。此外，档案利用者及社会公众还可以利用线上电子邮件、系统评价、微博微信留言等方式将意见反馈至档案保管机构。

五、结语

云环境下，构建以政府为主导、档案保管机构为主体、社会力量协同的档案数字资源信息安全保障的社会化协同推进模式需要各参与主体的共同努力。档案数字资源信息安全保障社会化协同推进模式有利于档案数字资源信息安全保障工作顺利开展、工作效率与质量逐步提高。在这一模式下，云环境下的档案数字资源信息安全保障社会化程度进一步提高，信息安全保障效力进一步增强，能够有效面对更多机遇与挑战。

注释及参考文献：

[1]国家档案局办公室.关于档案部门使用政务云平台过程中加强档案信息安全管理的意见[EB/OL].[2020-05-28]. https： //www. saac. gov. cn /daj /tzgg/ 202005/9885bb218bb9452eb56c30aa27e28e1a.shtml.

[2][8]何思源，刘越男.政务云环境中的档案安全保障生态模型与策略研究[J].图书馆论坛，2021，41（7）：68-77.

[3]马力，祝国邦，陆磊.《信息安全技术网络安全等级保护基本要求》（GB/T22239—2019）标准解读[J].信息网络安全，2019 （2）：77-84.

[4][6]胡昌平，吕美娇，林鑫.云环境下国家学术信息资源社会化安全保障的协同推进[J].情报理论与实践，2018，41（2）：34-38.

[5]聂云霞，卢丹丹.云环境下数字档案资源利用的伦理审视[J].档案学通讯，2021（6）：22-30.

[7][10]李贞贞，李金璐.云环境下我国档案数字资源信息安全保障体制建设[J].北京档案，2022（1）：15-19.

[9]何思源，刘越男.档案上云安全吗？政务云环境中的档案安全风险分析[J].档案学研究，2021 （3）：97-105.

[11]曾萨，黄新荣.档案信息系统云安全等级保护需求与策略[J].档案管理，2019（6）：30-33；36.

作者单位：湖北大学历史文化学院