數(shù)字化檔案信息安全管理的幾點(diǎn)體會(huì)

【摘要】隨著現(xiàn)代企業(yè)信息化的快速發(fā)展，檔案信息逐步走向數(shù)字化勢(shì)不可擋，強(qiáng)化信息安全管理是確保檔案信息數(shù)字化的根本保證。本文結(jié)合實(shí)際，從安全職責(zé)、管理措施、技術(shù)措施等方面，談幾點(diǎn)數(shù)字化檔案信息安全管理的體會(huì)，供大家參考。

【關(guān)鍵詞】數(shù)字化；檔案信息；安全管理；體會(huì)

一、概述

隨著國(guó)家電網(wǎng)公司集團(tuán)化、標(biāo)準(zhǔn)化和信息化的快速推進(jìn)，各單位的辦公、財(cái)務(wù)、生產(chǎn)及工程項(xiàng)目等業(yè)務(wù)的信息管理系統(tǒng)已逐步建立和應(yīng)用，其中形成的電子文件、電子歸檔的數(shù)量也迅速增長(zhǎng)?，樼鹕诫娬竟こ添?xiàng)目為安徽省“十五”期間重點(diǎn)能源項(xiàng)目，電站樞紐主要有上水庫(kù)、輸水系統(tǒng)、地下廠房、下水庫(kù)和地面開關(guān)站五部分組成。電站裝設(shè)四臺(tái)15萬(wàn)千瓦的單級(jí)可逆式抽水蓄能機(jī)組，總裝機(jī)容量60萬(wàn)千瓦。2002年12月2日正式開工，2007年9月25日四臺(tái)機(jī)組全部并網(wǎng)發(fā)電，2009年通過國(guó)家檔案局檔案驗(yàn)收，2012年獲國(guó)家優(yōu)質(zhì)工程銀質(zhì)獎(jiǎng)。該工程從2002年開工以來，業(yè)主就對(duì)檔案信息進(jìn)行數(shù)字化，且信息量每年以“驚人”的速度遞增，目前實(shí)現(xiàn)了電子檔案查詢利用功能。

檔案信息資源是國(guó)家或企業(yè)寶貴財(cái)富和重要戰(zhàn)略資源，只有建立在安全的基礎(chǔ)上，才能使其價(jià)值得以真正實(shí)現(xiàn)，否則將會(huì)影響檔案信息作用的全面、有效的發(fā)揮。強(qiáng)化信息安全管理是檔案信息數(shù)字化順利進(jìn)行的根本保證。下面，我從安全職責(zé)、管理措施、技術(shù)措施等方面，談?wù)剶?shù)字化檔案信息安全管理的體會(huì)。

二、建立職責(zé)明確的責(zé)任體系

加強(qiáng)內(nèi)部管理，建立職責(zé)明確的責(zé)任體系，是確保檔案信息安全的一個(gè)重要方面。據(jù)統(tǒng)計(jì)，我國(guó)公安部門破獲的網(wǎng)絡(luò)入侵案件中，90%以上都可以通過加強(qiáng)管理來避免。據(jù)美國(guó)FBI調(diào)查，75%的公司報(bào)告財(cái)務(wù)損失是由計(jì)算機(jī)系統(tǒng)安全問題造成的，超過50%的安全來自于公司內(nèi)部。信息安全管理應(yīng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”原則，實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。單位主要負(fù)責(zé)人是本單位信息安全第一責(zé)任人。信息安全實(shí)行專業(yè)化管理、歸口監(jiān)督。信息工作辦公室是信息安全的管理和保障部門，安全監(jiān)察部是信息安全監(jiān)督部門。各部門職責(zé)明確，分工到位，形成了完善的信息安全責(zé)任體系。

建立信息安全責(zé)任體系，強(qiáng)化員工責(zé)任意識(shí)和安全意識(shí)，可以提高制度的執(zhí)行力，確保檔案信息數(shù)字化的順利進(jìn)行。在瑯琊山電站建設(shè)期，業(yè)主與監(jiān)理、施工、設(shè)計(jì)等參建單位組建了辦公自動(dòng)化網(wǎng)絡(luò)，在合同條款中對(duì)監(jiān)理、施工、設(shè)計(jì)等參建單位在檔案資料收集、整理、檔案信息錄入、信息安全等方面進(jìn)行了約束。同時(shí)在電站建設(shè)和生產(chǎn)不同時(shí)期，成立了檔案管理領(lǐng)導(dǎo)小組和信息安全領(lǐng)導(dǎo)小組，建立了由各參建單位和各部門人員參加的檔案工作網(wǎng)，全員簽訂了《安全生產(chǎn)責(zé)任書》、《信息安全承諾書》和《員工保密承諾書》，并定期開展網(wǎng)絡(luò)信息和保密教育培訓(xùn)，形成了“保障檔案信息安全，人人有責(zé)”的氛圍。同時(shí)，檔案管理部門不斷地對(duì)檔案信息安全現(xiàn)狀進(jìn)行認(rèn)真地分析，把檔案信息安全作為檔案信息部門、檔案工作者各項(xiàng)考核的首要指標(biāo)；對(duì)現(xiàn)有制度進(jìn)行認(rèn)真清理，完善數(shù)字檔案保管、編目、利用、編研、保護(hù)、保密等方面的制度，并對(duì)制度的執(zhí)行情況加強(qiáng)督促和檢查，定期進(jìn)行考核，確保各項(xiàng)制度能夠有效、正確執(zhí)行；對(duì)當(dāng)前電子文件和電子檔案，制定電子文件和電子檔案保管、保密和利用制度，加強(qiáng)電子文件的保管和檢修鑒定；在檔案信息提供利用中，認(rèn)真執(zhí)行國(guó)家信息安全和信息保密等規(guī)定，嚴(yán)格把握檔案利用審查關(guān)，加強(qiáng)對(duì)檔案信息利用的監(jiān)督和管理工作。

三、采取嚴(yán)格有效的管理措施

數(shù)字檔案信息安全包括網(wǎng)絡(luò)系統(tǒng)、檔案信息系統(tǒng)、數(shù)據(jù)、環(huán)境及人員管理的安全。要保證數(shù)字檔案信息安全，必須采取嚴(yán)格有效的管理措施。一是要不斷建立和完善檔案信息安全管理制度，定期或不定期對(duì)信息安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度及時(shí)進(jìn)行修訂，只有這樣，才能做到有法可依、有法必依、執(zhí)法必嚴(yán)、違法必究，才能更好地維護(hù)檔案信息安全。目前，我國(guó)已建立了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》等一系列信息安全方面的法規(guī)標(biāo)準(zhǔn)，這些法規(guī)為維護(hù)網(wǎng)絡(luò)安全提供了法律依據(jù)，有力地保障了信息安全工作的順利進(jìn)行。二是要明確安全管理機(jī)構(gòu)，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并明確各崗位職責(zé)。應(yīng)加強(qiáng)信息安全管理人員之間、信息只能部門和業(yè)務(wù)部門之間的合作與溝通，共同協(xié)作處理信息安全問題。三是要加強(qiáng)人員安全管理，關(guān)鍵崗位應(yīng)簽訂保密協(xié)議，及時(shí)終止離崗員工的所有訪問權(quán)限，嚴(yán)格外部人員訪問程序。四是在運(yùn)維管理方面，要嚴(yán)格執(zhí)行信息機(jī)房管理有關(guān)規(guī)定，確保機(jī)房運(yùn)行環(huán)境符合要求，嚴(yán)格機(jī)房出入管理。對(duì)終端計(jì)算機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備實(shí)行標(biāo)準(zhǔn)化作業(yè)。強(qiáng)化存儲(chǔ)介質(zhì)存放、使用、維護(hù)和銷毀等各項(xiàng)措施。對(duì)檔案信息服務(wù)器系統(tǒng)，要詳細(xì)記錄日常操作、運(yùn)行維護(hù)記錄和修改等內(nèi)容，嚴(yán)禁任何未經(jīng)授權(quán)的操作；要及時(shí)進(jìn)行軟件升級(jí)更新，定期進(jìn)行漏洞掃描，及時(shí)安裝補(bǔ)丁程序。要及時(shí)升級(jí)防病毒軟件和惡意代碼庫(kù)。五是要建立備份與恢復(fù)管理相關(guān)安全管理制度，嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過程，妥善保存?zhèn)浞萦涗洠瑘?zhí)行定期恢復(fù)程序。六是建立與完善應(yīng)急預(yù)案，加強(qiáng)培訓(xùn)和演練，確保人力、設(shè)備、技術(shù)和財(cái)務(wù)等應(yīng)急保障資源可用。七是要切實(shí)加強(qiáng)員工信息安全培訓(xùn)，提高全員信息安全意識(shí)。

我公司按照國(guó)家信息安全法律法規(guī)和上級(jí)主管部門要求，先后建立了網(wǎng)絡(luò)系統(tǒng)管理、檔案信息系統(tǒng)管理、數(shù)據(jù)備份管理、病毒防護(hù)、設(shè)備管理維護(hù)、信息機(jī)房管理、檔案信息部門人員管理、操作技術(shù)管理等有關(guān)制度，如：《信息安全管理標(biāo)準(zhǔn)》、《信息系統(tǒng)機(jī)房管理標(biāo)準(zhǔn)》、《信息系統(tǒng)終端使用管理標(biāo)準(zhǔn) 》、《信息系統(tǒng)檢修維護(hù)管理標(biāo)準(zhǔn) 》、《信息化設(shè)備管理標(biāo)準(zhǔn)》、《信息系統(tǒng)應(yīng)用管理標(biāo)準(zhǔn)》、《信息系統(tǒng)運(yùn)行管理標(biāo)準(zhǔn) 》、《檔案工作管理標(biāo)準(zhǔn)》、《保密工作管理標(biāo)準(zhǔn)》、《檔案工作應(yīng)急預(yù)案》等。

四、采用安全可靠的技術(shù)措施

技術(shù)措施是保證數(shù)字化檔案信息安全的重要手段，主要反映在網(wǎng)絡(luò)系統(tǒng)、信息機(jī)房、數(shù)據(jù)存儲(chǔ)和用戶使用和檔案信息庫(kù)房的安全。以瑯琊山電站工程項(xiàng)目為例，在建設(shè)初期，由于參建單位多、駐扎分散、臨時(shí)辦公等原因，計(jì)算機(jī)網(wǎng)絡(luò)采用局域和無線組網(wǎng)，技術(shù)措施難以保證，主要采用管理手段進(jìn)行約束。隨著永久辦公樓的建成，我公司按照上級(jí)主管部門要求，將信息內(nèi)網(wǎng)和互聯(lián)網(wǎng)進(jìn)行了物理隔離，內(nèi)、外網(wǎng)安裝防火墻，對(duì)內(nèi)網(wǎng)邊界實(shí)施訪問審查和控制，并對(duì)用戶地址進(jìn)行了綁定；在機(jī)房安全方面，信息機(jī)房按要求設(shè)置避雷裝置，安裝門禁系統(tǒng)、滅火和火災(zāi)自動(dòng)報(bào)警系統(tǒng)，配備機(jī)房專用空調(diào)和提供8小時(shí)以上的UPS備用電源，保證電源穩(wěn)定和雙路供電，并對(duì)全部機(jī)房設(shè)備進(jìn)行安全接地；在數(shù)據(jù)安全方面，對(duì)服務(wù)器數(shù)據(jù)采用自動(dòng)備份設(shè)備實(shí)行自動(dòng)、定期備份，同時(shí)做好定期檢查工作，確保數(shù)字檔案信息萬(wàn)無一失；在用戶安全方面，用戶終端安裝防病毒軟件，并及時(shí)安裝系統(tǒng)補(bǔ)丁程序和更新病毒庫(kù)，按要求設(shè)置用戶口令，并要求定期更換口令，按規(guī)定設(shè)置保密交換U盤，定期開展用戶終端計(jì)算機(jī)數(shù)據(jù)備份工作。另外，按國(guó)家有關(guān)規(guī)定，認(rèn)真做好檔案信息庫(kù)房“九防”工作。