張秀梅

（德州經(jīng)濟技術(shù)開發(fā)區(qū)社會事務(wù)服務(wù)中心，山東 德州 253000）

混沌理論認為安全危機是系統(tǒng)從有序變?yōu)闊o序狀態(tài)的演化，數(shù)字檔案信息安全問題即是從有序向無序轉(zhuǎn)化的危險，數(shù)字檔案載體的脆弱，信息的可移動、更改，以及數(shù)字信息對硬件、軟件和技術(shù)的過分依賴，使其極易受到安全威脅。

1 國內(nèi)數(shù)字檔案安全研究現(xiàn)狀

與國外的研究相比，我國數(shù)字檔案信息安全問題的研究還略顯落后。一是我國對數(shù)字檔案信息安全的著作一般是停留在探討階段；二是我國數(shù)字檔案安全保護的相關(guān)政策法規(guī)研究整體水平不夠高，加強法治建設(shè)及網(wǎng)絡(luò)規(guī)劃與建設(shè)仍是今后的重點內(nèi)容；三是我國電子檔案安全保護的技術(shù)保障方面略顯疲憊。

2 網(wǎng)絡(luò)環(huán)境下數(shù)字檔案管理安全

2.1 管理措施

首先是更新思想觀念。第一是樹立數(shù)字化理念，檔案文件的數(shù)字化是網(wǎng)絡(luò)時代的整體發(fā)展趨勢。第二是精確控制理念，必須有效監(jiān)督數(shù)字檔案的復制和流通環(huán)節(jié)，做到精確控制。第三是更新知識理念，必須自覺學習信息安全和保密技術(shù)知識，了解泄露機密的原理和預防措施。其次是成立安全組織機構(gòu)。有條件的部門或單位應(yīng)該有一個安全防護領(lǐng)導小組或兼職安全員來保護數(shù)字檔案的安全。安全員對單位人員進行安全教育和防護管理，并定期向有關(guān)管理部門報告安全管理情況。安排專崗專職人員負責網(wǎng)絡(luò)安全的保護管理，并定期向相關(guān)管理部門報告安全工作狀況。然后是制定安全保密策略。安全和保密策略是結(jié)合實際情況采取的方法和措施，旨在實現(xiàn)數(shù)字檔案使用中的安全和保密目標。比如說根據(jù)數(shù)字檔案的重要程度來判斷其在網(wǎng)絡(luò)利用中的安全等級，然后根據(jù)等級確立安全管理范圍。最后是建立健全安全保護管理制度。建立登記制度，從歸檔、審查、保存等各個環(huán)節(jié)完善數(shù)字檔案的登記記錄；建立流程監(jiān)管制度，確保有效監(jiān)視、存儲、刪除和備份數(shù)字檔案的系統(tǒng)；建立操作人員角色管理制度，管理人員權(quán)限要明確地加以安全方面的限制；建立機房管理制度，對于存儲更高安全級別數(shù)字文件的計算機房，實施分區(qū)控制以限制人員訪問。

2.2 樹立檔案資源共享思維

針對數(shù)字檔案資源的共享，檔案服務(wù)要樹立協(xié)同理念，消除檔案信息資源服務(wù)方面存在的界限，推動邊界融合，構(gòu)建資源共享體系。在實施過程中，要重視網(wǎng)絡(luò)技術(shù)的應(yīng)用，整合檔案資源，基于用戶需求推進共建共享。數(shù)字檔案資源針對共享性服務(wù)要依托網(wǎng)絡(luò)技術(shù)，借助對用戶的分析并結(jié)合所處場景提供針對性的檔案資源服務(wù)。該模式構(gòu)建的重點是借助終端為用戶提供服務(wù)，并保證檔案資源服務(wù)接入的便捷性。

2.3 確保檔案安全

安全保障策略要實現(xiàn)制度、管理、技術(shù)的共同作用，從治理入手，實現(xiàn)作用于全生命周期的安全防護。借助組織設(shè)計構(gòu)建自上而下的組織結(jié)構(gòu)體系，包括治理組織、管理組織、執(zhí)行組織。治理組織要成立專門的保障機構(gòu)，明確大數(shù)據(jù)條件下的安全規(guī)劃，還要推動法規(guī)標準的完善，實現(xiàn)宏觀層面上的監(jiān)導，確保檔案服務(wù)遵循法規(guī)標準。安全管理體系要借助風險管理促進持續(xù)改進，要關(guān)注數(shù)據(jù)采集、開發(fā)、利用、傳輸、存儲與刪除等環(huán)節(jié)的安全。數(shù)據(jù)安全通過完善規(guī)則并結(jié)合數(shù)據(jù)安全技術(shù)完成探查、驗證、監(jiān)控等，以保證數(shù)據(jù)控制的質(zhì)量。

2.4 把握關(guān)鍵環(huán)節(jié)，平穩(wěn)推進項目

一是質(zhì)量管理。基層檔案管理部門要基于ISO質(zhì)量體系開展數(shù)字檔案建設(shè)，在項目啟動時就要明確質(zhì)量方針，做好質(zhì)量計劃；在項目實施中要善于運用質(zhì)量控制和質(zhì)量保證工具，如經(jīng)典的直方圖、雷達圖、親和圖等圖表類工具，既強調(diào)數(shù)據(jù)意義上的質(zhì)量，也重視文字分析方面的質(zhì)量；適時采取檢查、測試、評審等方法，確保數(shù)字檔案建設(shè)項目符合質(zhì)量要求。二是進度管理?；鶎訖n案管理部門對于數(shù)字檔案建設(shè)進度超前或滯后都要警覺，做好分析研判，可以采取進度控制指數(shù)SPI與進度計劃的對比計算，衡量進度狀態(tài)；也可以采取里程碑控制法，在理清項目主要任務(wù)關(guān)系的基礎(chǔ)上，對項目重大節(jié)點、重大事項設(shè)定里程碑并將其分級，應(yīng)用關(guān)鍵鏈法將里程碑相連。三是溝通管理。數(shù)字檔案項目涉及的干系人十分廣泛，各方都有自己的動機和目的。常見的溝通障礙包括因職責職位不同而形成的角色障礙、因思想觀點價值觀念不同而形成的個性障礙、因組織機構(gòu)不同而形成的渠道障礙等?，F(xiàn)代社會溝通方式多元，溝通類型也復雜多樣，在數(shù)字檔案建設(shè)項目中，檔案相關(guān)人員除了要掌握溝通技巧外，還要考慮溝通方向與模式，如面對領(lǐng)導可多采取正式溝通方法，而平級或與承建單位溝通可考慮采用非正式溝通更高效。

2.5 基于云存儲的數(shù)字檔案信息資源安全管理

一是完善信息安全法規(guī)。在數(shù)字檔案館的建設(shè)中應(yīng)用云存儲是檔案數(shù)字化改革的新嘗試，涉及的技術(shù)和網(wǎng)絡(luò)環(huán)境都異常復雜，更存在權(quán)責不清的問題，不具備相應(yīng)的法律保障。由此，相關(guān)檔案管理機關(guān)必須聯(lián)系立法機關(guān)，與其溝通信息資源安全保護的訴求以及相關(guān)的合理化建議，明確相關(guān)的規(guī)定和責任。其中應(yīng)包括侵權(quán)責任的界定和賠償，以及數(shù)據(jù)存放和跨界遷移的具體規(guī)則，利用法律手段有效確定數(shù)字檔案業(yè)務(wù)規(guī)范與工作條例，讓法律介入數(shù)字檔案安全管理工作。二是規(guī)范服務(wù)合同。基于云存儲的容易流動、超低成本的優(yōu)勢，服務(wù)商為了規(guī)避風險絞盡腦汁，非常抵觸承擔過多責任的服務(wù)合同，不愿意承擔合同中規(guī)定的更多義務(wù)。所以，針對各級檔案部門，要想保證存儲信息的安全，除了要求云儲存服務(wù)商對數(shù)據(jù)安全進行保證外，還要考慮數(shù)字檔案信息資源的特殊性，在合同中添加系統(tǒng)安全性的條款；務(wù)必要把檔案部門對云服務(wù)商進行系統(tǒng)安全監(jiān)督的內(nèi)容添加至條款中；務(wù)必在條款中明確規(guī)定一旦發(fā)生系統(tǒng)漏洞或者系統(tǒng)被變更的情況，服務(wù)商必須進行安保承諾同時采取及時的安保措施、變更合同、解除合同等項目，并制定針對所有損失的賠償方案。例如，英國國家檔案館為了維護檔案管理云系統(tǒng)合法權(quán)益和絕對的安全，與服務(wù)商簽訂了20條內(nèi)容的合同，其中包括元數(shù)據(jù)、保護數(shù)據(jù)、可用性、數(shù)據(jù)歸屬權(quán)、安全性等。三是加強人員管理。第一，檔案機構(gòu)在進行數(shù)據(jù)存儲云平臺時，必須有效保護數(shù)字檔案信息的產(chǎn)品和相關(guān)衍生產(chǎn)品，選擇云服務(wù)商要本著發(fā)展前景好、資質(zhì)高、穩(wěn)定性強的原則。第二，選擇運維人員時，必須詳細查明身份和背景，簽訂密保協(xié)議，并加強運維人員的保密教育，保證其具備符合要求的道德修養(yǎng)和業(yè)務(wù)素質(zhì)，確保數(shù)字檔案信息正確操作，降低泄露信息、知識產(chǎn)權(quán)被侵害的風險。

3 結(jié)語

信息化時代下，電子檔案的智能管理不僅依賴計算機、網(wǎng)絡(luò)技術(shù)，對工作人員的信息素養(yǎng)要求也更高。這些工作人員主要包括參與電子文件智能管理系統(tǒng)開發(fā)和維護的IT人員、業(yè)務(wù)分析人員、具有較高信息管理素質(zhì)的檔案管理人員以及與電子文件形成直接聯(lián)系的領(lǐng)導和相關(guān)工作人員。應(yīng)要求相關(guān)人員專職專責，全面了解數(shù)字檔案管理系統(tǒng)的內(nèi)涵、功能、實施方法和使用要求等，定期參加繼續(xù)教育培訓、外出學習交流等，以適應(yīng)檔案信息化建設(shè)的要求。