趙凌云

數(shù)據(jù)時(shí)代快速發(fā)展的“云數(shù)智”技術(shù)在檔案業(yè)務(wù)中的廣泛應(yīng)用，使得檔案工作和管理模式愈加自動(dòng)化、網(wǎng)絡(luò)化、數(shù)字化和智能化。大數(shù)據(jù)時(shí)代數(shù)據(jù)的核心地位、核心價(jià)值和核心動(dòng)力日益凸顯，成為重要的戰(zhàn)略資源和無(wú)形資產(chǎn)。然而檔案數(shù)據(jù)爆發(fā)增長(zhǎng)、海量集聚的特點(diǎn)，讓檔案信息面臨的安全風(fēng)險(xiǎn)日益增加，檔案數(shù)據(jù)保存狀態(tài)與檔案信息治理水平不相匹配，存在著“重創(chuàng)造輕管理、重?cái)?shù)量輕質(zhì)量、重保管輕利用”的現(xiàn)象，在數(shù)據(jù)質(zhì)量、集成管理、開(kāi)放共享、知識(shí)產(chǎn)權(quán)保護(hù)等方面面臨著越來(lái)越多的安全挑戰(zhàn)和風(fēng)險(xiǎn)。因此，在大數(shù)據(jù)時(shí)代探討檔案信息安全治理具有重要的理論意義和實(shí)踐價(jià)值。

一、檔案信息安全治理研究現(xiàn)狀與概念辨析

1.研究現(xiàn)狀

筆者分別以“信息安全”“檔案數(shù)據(jù)治理”“檔案信息安全治理”等為主題詞在中國(guó)知網(wǎng)數(shù)據(jù)庫(kù)（CNKI）檢索，發(fā)現(xiàn)關(guān)于“信息安全治理”這一主題的論文數(shù)量很少，理論研究?jī)?nèi)容不全、深度不足，缺乏深層次研究，缺乏整體性思考，相關(guān)研究?jī)?nèi)容較為零散，整體理論框架尚未建立。而圍繞“信息安全保護(hù)”和“檔案數(shù)據(jù)治理”研究主題的學(xué)術(shù)成果數(shù)量較多，其研究方向主要包含高校檔案管理系統(tǒng)安全優(yōu)化機(jī)制研究、檔案安全體系發(fā)展研究等方面。其中金波、楊鵬[1]結(jié)合數(shù)據(jù)安全治理已有的理論、技術(shù)和經(jīng)驗(yàn)，探究大數(shù)據(jù)時(shí)代檔案數(shù)據(jù)安全治理策略;周林興[2]等通過(guò)對(duì)檔案數(shù)據(jù)安全治理能力成熟度等級(jí)的劃分，構(gòu)建了檔案數(shù)據(jù)安全治理能力成熟度模型;陳艷、譚必勇[3]以浙江省檔案館信息安全保護(hù)業(yè)務(wù)實(shí)踐為例，提出構(gòu)建我國(guó)省級(jí)檔案數(shù)據(jù)治理體系框架的構(gòu)想。上述研究均為我國(guó)信息安全治理能力的提升奠定了堅(jiān)實(shí)的理論基礎(chǔ)，也給業(yè)務(wù)實(shí)踐帶來(lái)了極大啟迪。

2.概念辨析

檔案信息是檔案這個(gè)特定的物質(zhì)所呈現(xiàn)出一切有價(jià)值的內(nèi)容[4]，具體包括檔案記載的信息內(nèi)容和對(duì)檔案載體的信息記錄。筆者認(rèn)為，廣義上的檔案信息安全治理指的是這兩部分，即檔案實(shí)體安全治理和信息內(nèi)容安全治理。本文主要研究的是狹義上的對(duì)內(nèi)容安全的治理，是指檔案部門、社會(huì)組織和公民等多元主體協(xié)同合作，依據(jù)一定的法規(guī)標(biāo)準(zhǔn)，充分利用大數(shù)據(jù)等現(xiàn)代信息技術(shù)，對(duì)檔案信息生成、收集、管理、存儲(chǔ)、利用整個(gè)過(guò)程進(jìn)行科學(xué)規(guī)范的全程管理，挖掘檔案數(shù)據(jù)價(jià)值[1]，把控信息質(zhì)量，滿足社會(huì)利用需求，推動(dòng)檔案信息協(xié)同共治，讓檔案工作在新時(shí)代擁有更加豐富的內(nèi)涵和生機(jī)。

二、數(shù)據(jù)時(shí)代檔案信息安全治理現(xiàn)狀

檔案數(shù)字化是信息化的基礎(chǔ)，網(wǎng)絡(luò)安全則是數(shù)據(jù)時(shí)代檔案工作的基礎(chǔ)保障。真實(shí)性、完整性、可用性和安全性是確保電子文件檔案性質(zhì)的重要屬性，對(duì)于發(fā)揮電子檔案的憑證價(jià)值、查考價(jià)值和保存價(jià)值具有重要意義。為防范復(fù)雜多變的網(wǎng)絡(luò)風(fēng)險(xiǎn)，近年來(lái)檔案部門在宏觀層面和微觀層面采取了一系列治理措施。

1.宏觀層面我國(guó)檔案信息安全保護(hù)現(xiàn)狀

（1）法規(guī)標(biāo)準(zhǔn)不斷健全完善，信息安全治理有法可依。

早在上世紀(jì)90年代，我國(guó)在信息立法和檔案法規(guī)建設(shè)的基礎(chǔ)上，順應(yīng)檔案信息化的要求，陸續(xù)制定和發(fā)布了針對(duì)檔案信息化建設(shè)、檔案信息安全的法規(guī)、規(guī)章與標(biāo)準(zhǔn)[1]。制定了《CAD電子文件光盤存儲(chǔ)、歸檔與檔案管理要求》，頒布并修訂《電子文件歸檔和電子檔案管理辦法》，其中重點(diǎn)強(qiáng)調(diào)了電子檔案以及檔案數(shù)據(jù)的安全保護(hù)問(wèn)題。2019年初國(guó)家檔案局頒布的《檔案館安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系》[5]指出要在檔案館庫(kù)安全、實(shí)體安全、信息安全、安全保障機(jī)制等方面健全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，確定檔案館可能面臨的風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的可能危害程度及防控條件確定風(fēng)險(xiǎn)隱患控制的優(yōu)先順序，進(jìn)而有效降低安全風(fēng)險(xiǎn)發(fā)生的概率，最大限度地確保檔案的安全。而且此前針對(duì)近日個(gè)別地方發(fā)生的檔案安全事故，國(guó)家檔案局印發(fā)《關(guān)于深入開(kāi)展檔案安全檢查的緊急通知》[7]，并不定期地舉辦檔案實(shí)體與信息安全培訓(xùn)班，一定程度上增強(qiáng)了檔案業(yè)務(wù)實(shí)踐部門檔案工作者的信息素養(yǎng)和工作技能。

（2）重視基礎(chǔ)設(shè)施建設(shè)，為信息安全治理提供硬件保障

信息基礎(chǔ)設(shè)施被視為國(guó)家的重要戰(zhàn)略資源，利用計(jì)算機(jī)開(kāi)展檔案工作已經(jīng)成為一種常態(tài)，防止利用計(jì)算機(jī)病毒竊取檔案信息也是安全治理需解決的重要問(wèn)題。目前檔案形成單位的檔案收集、整理、利用、統(tǒng)計(jì)等工作環(huán)節(jié)的順利推進(jìn)都依賴于檔案信息管理系統(tǒng)，系統(tǒng)安全防范能力在一定程度上決定了檔案信息的安全。目前我國(guó)各級(jí)檔案機(jī)構(gòu)積極引進(jìn)先進(jìn)技術(shù)，健全檔案信息安全保護(hù)的硬件基礎(chǔ)設(shè)施，基本已配齊安全防護(hù)設(shè)備，監(jiān)控系統(tǒng)、門禁系統(tǒng)和入侵報(bào)警系統(tǒng)以及檔案庫(kù)房的溫濕度控制系統(tǒng)等，為檔案信息治理提供了硬件保障。

2.微觀層面我國(guó)檔案信息安全治理存在的問(wèn)題

（1）信息安全治理意識(shí)缺乏，檔案機(jī)構(gòu)宣傳教育不到位

一方面，很多檔案工作者對(duì)數(shù)據(jù)時(shí)代檔案工作要求的轉(zhuǎn)變沒(méi)有清晰具體的認(rèn)識(shí)，還沒(méi)有把工作重心從繁瑣的紙質(zhì)檔案整理中解放出來(lái)，檔案數(shù)字化和數(shù)據(jù)化過(guò)程中存在著錄信息不完整、不可讀或丟失的現(xiàn)象，部分檔案信息從源頭上缺少安全治理[8]。針對(duì)檔案數(shù)據(jù)在存儲(chǔ)、傳播、利用等運(yùn)行過(guò)程中的各種安全風(fēng)險(xiǎn)，檔案部門缺乏必要的安全管理知識(shí)、安全控制技能，社會(huì)公眾對(duì)檔案數(shù)據(jù)的認(rèn)知存在不足，缺乏基本的數(shù)據(jù)安全素養(yǎng)，檔案數(shù)據(jù)安全意識(shí)較薄弱，當(dāng)面臨緊急情況時(shí)易導(dǎo)致檔案數(shù)據(jù)的泄露和損失。

另一方面，雖然當(dāng)前我國(guó)社會(huì)公眾的檔案利用意識(shí)不斷增強(qiáng)，但信息安全治理意識(shí)仍有很大欠缺，檔案機(jī)構(gòu)對(duì)相關(guān)知識(shí)的宣傳教育不到位也是重要原因。譬如筆者在瀏覽青島市和天津市檔案館網(wǎng)站時(shí)，發(fā)現(xiàn)有關(guān)檔案安全保護(hù)的知識(shí)介紹均設(shè)置在“業(yè)務(wù)指導(dǎo)”板塊下，發(fā)布的內(nèi)容主要是關(guān)于檔案修復(fù)的工作指南，是較為淺顯的通用性的內(nèi)容介紹，缺乏地域特色與理論深度，更多地是起到指導(dǎo)檔案人員日常工作的作用，并且缺少對(duì)社會(huì)公眾檔案安全保護(hù)意識(shí)的宣傳教育，未將公民參與列入到信息治理大環(huán)境中來(lái)，因而對(duì)于檔案信息安全治理問(wèn)題，檔案機(jī)構(gòu)在認(rèn)識(shí)層面和頂層設(shè)計(jì)層面是有局限性的。

（2）重視安全技術(shù)，輕視安全管理

數(shù)據(jù)時(shí)代知識(shí)挖掘、加密技術(shù)、異地備份、入侵檢測(cè)、身份認(rèn)證等眾多智能技術(shù)層出不窮，很大程度上保障了信息安全，但“事實(shí)上許多復(fù)雜、多變的安全威脅和隱患僅靠技術(shù)和產(chǎn)品是無(wú)法消除的”[6]。當(dāng)前檔案工作部門往往把檔案信息安全的重點(diǎn)放在提升安全技術(shù)方面，而對(duì)信息安全管理體制和治理方式缺乏更高層次更深入的重視。數(shù)據(jù)時(shí)代，“三分技術(shù)， 七分管理”這個(gè)管理學(xué)原則或許也將適用于檔案信息安全治理領(lǐng)域。

（3）缺乏系統(tǒng)性的信息安全治理思維和頂層設(shè)計(jì)

根據(jù)文件生命周期理論，文件從產(chǎn)生到銷毀或永久保存是一個(gè)完整的過(guò)程，因此應(yīng)該用系統(tǒng)、發(fā)展的思維去發(fā)展檔案信息安全治理工作。然而目前我國(guó)檔案信息治理各環(huán)節(jié)缺乏連貫性，對(duì)檔案信息管理系統(tǒng)也未做到及時(shí)維護(hù)與實(shí)時(shí)更新，缺乏系統(tǒng)化的管理模式和邏輯思維。

三、電子時(shí)代確保我國(guó)檔案信息安全的措施

1.增強(qiáng)信息安全治理意識(shí)，強(qiáng)化多部門合作

檔案館（室）等部門要樹(shù)立科學(xué)的檔案信息安全治理理念，堅(jiān)持“以防為主，防治結(jié)合”的方針，將檔案信息安全治理納入信息安全整體保障體系之中，強(qiáng)化檔案信息安全意識(shí)，開(kāi)展信息安全教育，普及信息安全知識(shí)，消除信息安全認(rèn)識(shí)上的誤區(qū)。譬如在2018年9月巴西博物館失火事件發(fā)生后短短幾天，我國(guó)應(yīng)急管理部部署文物建筑博物館火災(zāi)防控措施，頒布相關(guān)文件并召開(kāi)文物安全相關(guān)會(huì)議，這為檔案部門面對(duì)緊急事件時(shí)的安全治理工作提供了良好借鑒。

檔案工作者要把安全保護(hù)意識(shí)貫穿工作始終，時(shí)刻樹(shù)立“安全第一”的意識(shí)，繃緊安全這根弦。通過(guò)建立崗位責(zé)任制，層層抓落實(shí)，把檔案安全保護(hù)工作落實(shí)到實(shí)處。檔案公眾在查詢和利用檔案的過(guò)程中應(yīng)增強(qiáng)檔案保護(hù)意識(shí)，不泄露，不污損檔案資料，同時(shí)也應(yīng)積極參與檔案部門舉辦的信息安全教育活動(dòng)，學(xué)習(xí)檔案信息安全保護(hù)知識(shí)，遵守國(guó)家有關(guān)信息安全方面的規(guī)定。

2.制定完備的檔案信息安全法規(guī)體系

檔案信息安全保護(hù)標(biāo)準(zhǔn)主要包括檔案法制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)三個(gè)方面。國(guó)家及檔案館相關(guān)部門應(yīng)建立高效的檔案信息保護(hù)應(yīng)急防范機(jī)制，并納入整個(gè)國(guó)家和地區(qū)防御體系，提高信息安全防御能力[5]。要加強(qiáng)檔案信息安全領(lǐng)域的立法和標(biāo)準(zhǔn)建設(shè)，加強(qiáng)宏觀治理，建立完備的檔案信息安全法規(guī)體系，清晰地界定檔案信息權(quán)屬和各方安全責(zé)任，完善信息隱私保護(hù)的相關(guān)立法，為檔案信息安全體系建設(shè)提供法律支撐。

3.堅(jiān)持信息安全治理技術(shù)與管理并重

如今，檔案部門對(duì)檔案信息安全治理的探討正從唯技術(shù)論發(fā)展到技術(shù)與管理并重，但由于信息技術(shù)的飛速發(fā)展，檔案生成和保管的內(nèi)外環(huán)境日益復(fù)雜，檔案安全治理的需求也隨之動(dòng)態(tài)變化。所以，檔案安全已不能僅靠身份識(shí)別、數(shù)字加密、訪問(wèn)控制等現(xiàn)有技術(shù)，或者制度管控的手段，而是要依靠科學(xué)管理和持續(xù)教育提升檔案信息相關(guān)者的信息安全保護(hù)素養(yǎng)。因而檔案館既要積極運(yùn)用先進(jìn)的信息安全治理技術(shù)，又要完善安全治理各個(gè)環(huán)節(jié)的管理手段，創(chuàng)新管理方式，強(qiáng)化對(duì)工作者、數(shù)據(jù)庫(kù)系統(tǒng)、信息系統(tǒng)、信息安全保障體系等全方位的管理。

4.加強(qiáng)信息安全治理平臺(tái)建設(shè)，建設(shè)安全保障體系

信息化平臺(tái)建設(shè)是制約檔案信息安全治理的瓶頸之一，檔案信息管理平臺(tái)應(yīng)該是整體信息化系統(tǒng)中的一個(gè)子系統(tǒng)，能夠?qū)崿F(xiàn)和其他各平臺(tái)的數(shù)據(jù)無(wú)縫對(duì)接，資源共享，在方便提供利用的同時(shí)還必須全方位保障平臺(tái)建設(shè)過(guò)程中的檔案信息安全。必須基于檔案資源評(píng)價(jià)，選擇性地開(kāi)展數(shù)字化，有所為有所不為地加強(qiáng)檔案數(shù)字化建設(shè);同時(shí)在平臺(tái)建設(shè)過(guò)程中要設(shè)置數(shù)字檔案管理系統(tǒng)管理權(quán)限。針對(duì)不同級(jí)別的用戶設(shè)置相應(yīng)的訪問(wèn)權(quán)限。

檔案信息安全保障體系，就是在檔案信息系統(tǒng)的整個(gè)生命周期內(nèi)，從技術(shù)、管理和標(biāo)準(zhǔn)法規(guī)多方面，以積極防御、適度安全和動(dòng)態(tài)保障為安全治理原則，以基于等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估為手段，保障檔案信息安全的保密性、完整性、可用性、真實(shí)性、可核查性和可控性屬性，并保障系統(tǒng)安全的持續(xù)性的體系[9]。在檔案信息化建設(shè)飛速發(fā)展的今天，對(duì)已建和在建的檔案信息系統(tǒng)建立基于風(fēng)險(xiǎn)評(píng)估的信息安全保障體系是學(xué)習(xí)先進(jìn)國(guó)家經(jīng)驗(yàn)和響應(yīng)我國(guó)信息安全保障政策的重大舉措，將檔案信息安全從事后“堵漏洞”轉(zhuǎn)化成“預(yù)防為主”的方式，保障檔案信息安全、數(shù)據(jù)安全、系統(tǒng)安全，保證數(shù)字檔案信息的可信、不泄密、不流失;保證數(shù)據(jù)可靠、長(zhǎng)期可用;保持系統(tǒng)軟硬件的穩(wěn)定性、可靠性、可控性。

5.增強(qiáng)檔案信息安全保護(hù)工作的系統(tǒng)性、持續(xù)性

檔案信息安全治理不是一蹴而就的，而是一個(gè)系統(tǒng)完整的體系。從橫向檔案工作內(nèi)容來(lái)看，它不僅包括安全技術(shù)，還包括安全管理、法規(guī)標(biāo)準(zhǔn)等諸多方面的內(nèi)容?？v向而言，包括數(shù)據(jù)平臺(tái)的建設(shè)、風(fēng)險(xiǎn)控制以及系統(tǒng)及時(shí)更新、實(shí)時(shí)維護(hù)，表現(xiàn)在檔案管理各環(huán)節(jié)上的工作都應(yīng)保持連貫性，應(yīng)環(huán)環(huán)相扣，層層推進(jìn)，形成系統(tǒng)完整的閉環(huán)，同時(shí)要重視檔案利用者的反饋意見(jiàn)，增加與社會(huì)公眾的互動(dòng)交流，改變傳統(tǒng)的信息安全治理得不到及時(shí)的反饋這一現(xiàn)狀。

綜上所述，大數(shù)據(jù)時(shí)代的到來(lái)給檔案管理工作帶來(lái)新的的發(fā)展機(jī)遇，為檔案服務(wù)提供了極大的便利。但我們?cè)诤侠砝么髷?shù)據(jù)帶來(lái)的技術(shù)優(yōu)勢(shì)的同時(shí)，不能忽略數(shù)字檔案資源的安全問(wèn)題。各方主體應(yīng)該統(tǒng)籌兼顧，重點(diǎn)突破，從檔案信息安全治理意識(shí)、制度建設(shè)、技術(shù)保障、數(shù)據(jù)管理平臺(tái)建設(shè)等多方面入手，構(gòu)建科學(xué)完備的檔案信息安全治理系統(tǒng)，為檔案信息安全保駕護(hù)航。