電子檔案安全管理策略

鞏淑芳，賈兆全

電子檔案安全管理策略：

1建立健全電子檔案安全法規(guī)制度，完善安全法規(guī)建設(shè)。當(dāng)前，我國(guó)電子檔案安全法規(guī)還沒(méi)有形成完整的體系，相關(guān)部門應(yīng)在我國(guó)現(xiàn)有電子檔案安全法規(guī)制度的基礎(chǔ)上，借鑒國(guó)外先進(jìn)經(jīng)驗(yàn)，結(jié)合本單位、本地區(qū)實(shí)際情況，按照突出重點(diǎn)、填補(bǔ)空白、逐步完善的原則，制定出具有較強(qiáng)針對(duì)性和可操作性的電子檔案法規(guī)體系，健全安全管理機(jī)制。健全各項(xiàng)管理機(jī)制，使安全管理工作具有可操作性，包括：①人員安全管理機(jī)制：人才培養(yǎng)制度、崗位責(zé)任制、安全審查制度、離崗人員用戶身份撤銷制度等；②系統(tǒng)安全運(yùn)行機(jī)制：機(jī)房管理制度、定期維護(hù)和定期檢測(cè)制度、運(yùn)行管理制度、網(wǎng)絡(luò)管理制度、管理日志制度等；③災(zāi)害管理機(jī)制：災(zāi)害預(yù)警制度、突發(fā)事件應(yīng)急制度、常規(guī)備份和容災(zāi)備份制度、災(zāi)害搶救制度等；④風(fēng)險(xiǎn)管理機(jī)制：風(fēng)險(xiǎn)評(píng)估制度、安全等級(jí)管理制度等。

強(qiáng)化安全管理規(guī)范。強(qiáng)化落實(shí)各項(xiàng)安全管理規(guī)范，使安全管理工作程序化、制度化。包括：電子檔案安全存儲(chǔ)管理規(guī)范、應(yīng)用系統(tǒng)操作規(guī)范、服務(wù)器管理規(guī)范、技術(shù)變遷管理規(guī)范、加密儲(chǔ)存規(guī)范、環(huán)境控制規(guī)范、用戶權(quán)限設(shè)置規(guī)范等。

2選用適宜的電子檔案安全技術(shù)。電子檔案安全技術(shù)的實(shí)現(xiàn)，應(yīng)依據(jù)檔案信息系統(tǒng)的構(gòu)成、電子檔案所處的安全級(jí)別，進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，得出安全需求，從而確定適宜應(yīng)用的安全技術(shù)。

基于載體的安全技術(shù)。①辦公自動(dòng)化技術(shù)；②新材料技術(shù)；③磁帶、磁盤、光盤、軟盤等特殊檔案載體的管理與保護(hù)技術(shù)；④防電磁輻射技術(shù)；⑤電子檔案恢復(fù)與還原技術(shù)；⑥檔案損壞的測(cè)試與評(píng)估技術(shù)；⑦定期檢測(cè)和拷貝技術(shù)等?；诃h(huán)境的安全技術(shù)。主要有：①庫(kù)房建筑標(biāo)準(zhǔn)與圍護(hù)結(jié)構(gòu)功能的設(shè)計(jì)、施工和實(shí)施；②檔案保管的設(shè)備、設(shè)施和有效裝具；③檔案庫(kù)房和利用環(huán)境的監(jiān)測(cè)技術(shù)；④溫濕度調(diào)節(jié)與控制技術(shù)；⑤有害因素的控制和防護(hù)技術(shù)等。基于信息的安全技術(shù)。主要有：①內(nèi)容的原始性技術(shù)：簽署技術(shù)、數(shù)字水印技術(shù)、加密技術(shù)、防寫(xiě)技術(shù)、信息隱藏技術(shù)、防消息泄密技術(shù)、防拷貝技術(shù)等；②操作系統(tǒng)安全技術(shù)：身份標(biāo)識(shí)驗(yàn)證技術(shù)、訪問(wèn)控制技術(shù)、審計(jì)跟蹤技術(shù)等；③數(shù)據(jù)安全技術(shù)：數(shù)據(jù)加密技術(shù)、應(yīng)急響應(yīng)技術(shù)、數(shù)據(jù)備份與容災(zāi)技術(shù)、數(shù)據(jù)庫(kù)安全技術(shù)等；④網(wǎng)絡(luò)安全技術(shù)：防火墻技術(shù)、防水墻技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)、物理隔離技術(shù)、代理服務(wù)技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)和虛擬網(wǎng)技術(shù)等；⑤用戶安全技術(shù)：身份認(rèn)證技術(shù)、信息完整性校驗(yàn)技術(shù)、數(shù)字簽名技術(shù)和訪問(wèn)控制技術(shù)等；⑥安全測(cè)評(píng)認(rèn)證技術(shù)。

基于長(zhǎng)期可存取的保護(hù)技術(shù)：①軟件仿真技術(shù)；②過(guò)時(shí)格式數(shù)據(jù)遷移技術(shù)；③載體轉(zhuǎn)換技術(shù)；④版本跟蹤技術(shù)；⑤背景信息打包保存技術(shù)等?；跒?zāi)害的保護(hù)技術(shù)。主要有：①災(zāi)害的預(yù)警與防范技術(shù)；②容災(zāi)備份技術(shù)（本地容錯(cuò)模式和異地容災(zāi)模式）；③安全事件的應(yīng)急處置技術(shù)；④災(zāi)后受損檔案的搶救與數(shù)據(jù)烣復(fù)技術(shù)等。

3引進(jìn)先進(jìn)的管理理念。前端控制：具體到電子檔案安全管理中，是指檔案管理工作提前介入電子文件的形成、運(yùn)行和歸檔管理，建立起統(tǒng)一標(biāo)準(zhǔn)，互為保證、密切相關(guān)、相對(duì)獨(dú)立的運(yùn)行模式，從而組成一個(gè)完整、嚴(yán)密的電子檔案原始性、真實(shí)性保障體系。

全程管理：是指將電子檔案的整個(gè)生命周期納入一個(gè)系統(tǒng)工程內(nèi)，全程實(shí)行安全管理。

安全等級(jí)保護(hù)：是指根據(jù)電子檔案的重要程度遭到破壞后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分電子檔案安全管理系統(tǒng)等級(jí)，實(shí)施相應(yīng)的保護(hù)措施。它可以使電子檔案安全工作更有效，資源配置更科學(xué)合理。

風(fēng)險(xiǎn)管理：是基于系統(tǒng)、科學(xué)、全面、動(dòng)態(tài)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)電子檔案安全原則的前提下，選擇合適的控制方式來(lái)保護(hù)電子檔案，使電子檔案安全風(fēng)險(xiǎn)的發(fā)生概率和損失降低到可接受的水平。

4構(gòu)建電子檔案安全保障體系。是指從電子檔案安全技術(shù)和安全管理等方面，對(duì)電子檔案實(shí)體及信息系統(tǒng)進(jìn)行安全防御，確保電子檔案的保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可控性和可追溯性。電子檔案安全保障體系的構(gòu)建包括管理保障體系、技術(shù)保障體系、法規(guī)標(biāo)準(zhǔn)保障體系、基礎(chǔ)設(shè)施體系、產(chǎn)業(yè)支撐體系、人才培養(yǎng)體系和安全評(píng)估體系。

（作者單位：鞏淑芳，鶴壁職業(yè)技術(shù)學(xué)院；賈兆全，新鄉(xiāng)市檔案局來(lái)稿日期：2012-08-16）