李貞貞 李金璐

摘要：檔案數(shù)字資源信息安全問題是檔案事業(yè)在信息化時(shí)代的重大挑戰(zhàn)。在技術(shù)飛躍發(fā)展的今天，構(gòu)建安全、可靠的檔案數(shù)字資源信息安全保障體制具有迫切性和必要性。論文基于云環(huán)境下檔案數(shù)字資源信息安全保障體制的內(nèi)涵及概念，分析了云環(huán)境下我國檔案數(shù)字資源信息安全保障體制建設(shè)中存在的不足，構(gòu)建了政府、行業(yè)和社會(huì)“三位一體”的協(xié)同保障體制模型，并提出解決對(duì)策，以期為珍貴的檔案數(shù)字資源提供安全的生存環(huán)境，促進(jìn)檔案事業(yè)發(fā)展。

關(guān)鍵詞：云環(huán)境 檔案數(shù)字資源 信息安全保障體制

Abstract：The information security of archival digi？ tal resources is a major challenge for archival career in the information age. With the rapid development of technology， it is urgent and necessary to build a safe and reliable information security system for ar？ chival digital resources. Based on the connotation and concept of the information security system for ar？ chival digital resources under the cloud environment， this paper analyzes the current deficiencies in the construction of the information security system for ar？ chival digital resources in China. Then， it constructs a"Trinity" collaborative security system model of gov？ ernment， industry and society. It also puts forward countermeasures in order to provide a safe living en？ vironment for the precious archives digital resources and promote the development of archives.

Keywords：Cloud environment ； Archival digital re？ sources ； Information security assurance system

新修訂的《中華人民共和國檔案法》增加了檔案信息化建設(shè)的內(nèi)容，規(guī)定各級(jí)檔案機(jī)構(gòu)應(yīng)當(dāng)將檔案信息化納入信息化發(fā)展規(guī)劃，促進(jìn)檔案數(shù)字資源建設(shè)。在我國檔案數(shù)字資源建設(shè)中，云計(jì)算、云存儲(chǔ)等技術(shù)作為新的實(shí)現(xiàn)手段，既節(jié)約了成本，也提高了資源的利用效率。但云環(huán)境下數(shù)據(jù)的開放性、共享性和電子文件特有的脆弱性等特征嚴(yán)重威脅著檔案數(shù)字資源信息安全，我國檔案數(shù)字資源信息安全保障建設(shè)面臨著挑戰(zhàn)與沖擊。云環(huán)境下檔案數(shù)字資源信息安全保障建設(shè)，需要進(jìn)行配套的體制建設(shè)，更好地保障檔案數(shù)字資源的信息安全，為各類檔案數(shù)字資源服務(wù)主體應(yīng)用云計(jì)算提供良好的基礎(chǔ)環(huán)境。

《辭海》（第七版）中對(duì)“體制”的定義是國家機(jī)關(guān)、企業(yè)事業(yè)單位在機(jī)構(gòu)設(shè)置、領(lǐng)導(dǎo)隸屬關(guān)系和管理權(quán)限劃分等方面的體系、制度、方法、形式等的總稱，如政治體制、經(jīng)濟(jì)體制、教育體制等。[1]云環(huán)境下檔案數(shù)字資源信息安全風(fēng)險(xiǎn)復(fù)雜，保障檔案數(shù)字資源信息安全是一項(xiàng)系統(tǒng)工程。加強(qiáng)云環(huán)境下檔案數(shù)字資源信息安全保障體制建設(shè)，可以為檔案數(shù)字資源信息安全保障提供堅(jiān)實(shí)的基礎(chǔ)，進(jìn)一步優(yōu)化檔案事業(yè)發(fā)展環(huán)境。根據(jù)已有研究，可以將檔案數(shù)字資源信息安全保障體制界定為：為保障檔案數(shù)字資源信息安全而進(jìn)行的機(jī)構(gòu)設(shè)置、隸屬和協(xié)作關(guān)系確定、權(quán)限劃分等方面的體系、制度、方法、形式的總稱。[2-4]其內(nèi)容包括三個(gè)方面：檔案數(shù)字資源信息安全保障機(jī)構(gòu)設(shè)置、機(jī)構(gòu)間隸屬和協(xié)作關(guān)系確定及安全保障機(jī)構(gòu)間權(quán)限和責(zé)任劃分。目前我國信息安全保障體制經(jīng)過不斷改革已經(jīng)初具規(guī)模，但面向檔案數(shù)字資源信息安全的保障體制亟待建立和完善。

通過梳理文獻(xiàn)，本部分主要從政府監(jiān)督、行業(yè)自律、機(jī)構(gòu)主體三方面分析當(dāng)前云環(huán)境下檔案數(shù)字資源信息安全保障體制中存在的問題。

（一）政府監(jiān)督體制

1.缺乏專門職能部門進(jìn)行統(tǒng)籌監(jiān)管。國家檔案局成立了檔案信息化工作領(lǐng)導(dǎo)小組，負(fù)責(zé)檔案信息化工作的總體設(shè)計(jì)、統(tǒng)籌協(xié)調(diào)和督促落實(shí)，以加強(qiáng)檔案信息化工作領(lǐng)導(dǎo)，提高檔案信息化水平。但就目前而言，檔案信息化工作領(lǐng)導(dǎo)小組對(duì)檔案數(shù)字資源信息安全的統(tǒng)籌和監(jiān)管工作還處于起步階段。同時(shí)，云環(huán)境下檔案數(shù)字資源信息安全監(jiān)管涉及多個(gè)職能部門，包括國家檔案局、工業(yè)和信息化部、國家網(wǎng)信部門等。雖然這些部門都承擔(dān)一定的檔案數(shù)字資源信息安全保障和監(jiān)管職能，但信息安全保障和監(jiān)管的職能相對(duì)較為分散，需要專門的國家檔案行政機(jī)構(gòu)協(xié)調(diào)和統(tǒng)籌相關(guān)職能部門，做好檔案數(shù)字資源信息安全監(jiān)管工作，提高檔案數(shù)字資源信息安全保障的效果。

2.法律法規(guī)和標(biāo)準(zhǔn)體系建設(shè)亟待推進(jìn)。一方面，檔案專業(yè)領(lǐng)域尚未出臺(tái)關(guān)于檔案數(shù)字資源信息安全保障工作的專門法，對(duì)檔案數(shù)字資源信息安全保障工作相關(guān)工作條例的制定只能參照其他通用法律法規(guī)，如《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）等；另一方面，檔案數(shù)字資源信息安全保障工作所處的云環(huán)境比傳統(tǒng)檔案信息保障工作的環(huán)境更為復(fù)雜，有些頒布時(shí)間較早的法律規(guī)范未能考慮到云環(huán)境下的新技術(shù)特點(diǎn)，時(shí)效性較弱。如《檔案信息系統(tǒng)安全保護(hù)基本要求》《電子文件歸檔與管理規(guī)范》，這些較早頒布的法律法規(guī)雖然可以在檔案歸檔、系統(tǒng)安全等方面對(duì)檔案信息安全工作予以規(guī)范。但從時(shí)間跨度上來說，信息技術(shù)的功能、覆蓋率、影響力變化巨大，云環(huán)境下檔案數(shù)字資源信息安全保障工作急需一套時(shí)效性強(qiáng)的法律法規(guī)體系，為檔案數(shù)字資源信息安全保障工作提供法律依據(jù)。

信息安全標(biāo)準(zhǔn)的制定和推行是提升云環(huán)境下檔案數(shù)字資源信息安全保障能力和效果的重要途徑。目前我國雖然制定了以《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》（2014年）、《信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法》（2017年）、《信息安全技術(shù)云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》（2019年）、《信息安全技術(shù)政府網(wǎng)站云計(jì)算服務(wù)安全指南》（2019年）等為代表的云計(jì)算服務(wù)通用標(biāo)準(zhǔn)，但是針對(duì)檔案數(shù)字資源信息的行業(yè)安全標(biāo)準(zhǔn)還處于空白狀態(tài)，對(duì)檔案數(shù)字資源信息安全保障標(biāo)準(zhǔn)化建設(shè)重視度不夠。可見，當(dāng)前我國檔案數(shù)字資源信息安全保障關(guān)于法律法規(guī)體系和安全標(biāo)準(zhǔn)體系的建設(shè)落后于實(shí)踐發(fā)展的需要。

（二）行業(yè)自律體制

在云計(jì)算領(lǐng)域，我國已經(jīng)開始了對(duì)云服務(wù)商的評(píng)估認(rèn)證，以此來建立云計(jì)算服務(wù)的信任體系。對(duì)于檔案數(shù)字資源而言，檔案機(jī)構(gòu)（包括各級(jí)檔案館、檔案室）和云服務(wù)商憑借面向云計(jì)算的可信云服務(wù)認(rèn)證，一方面可以通過可信云服務(wù)評(píng)估指標(biāo)，增強(qiáng)檔案機(jī)構(gòu)對(duì)云服務(wù)商的信任度；另一方面，通過對(duì)可信云服務(wù)的披露，使云服務(wù)商在服務(wù)基本信息和承諾的規(guī)范性、真實(shí)性等方面實(shí)現(xiàn)對(duì)檔案機(jī)構(gòu)的透明化。由我國工業(yè)和信息化部會(huì)同數(shù)據(jù)中心聯(lián)盟等行業(yè)自治組織開展的可信云服務(wù)認(rèn)證工作已經(jīng)取得了初步成效，但是當(dāng)前的云服務(wù)評(píng)估認(rèn)證主要是面向通用云計(jì)算應(yīng)用，缺乏面向檔案數(shù)字資源應(yīng)用的針對(duì)性。其原因在于，在我國檔案數(shù)字資源建設(shè)過程中，建設(shè)主體較為分散，未能開展多領(lǐng)域合作。[5]同時(shí)，大部分檔案機(jī)構(gòu)對(duì)云服務(wù)商的選擇十分謹(jǐn)慎，一方面是因?yàn)闄n案機(jī)構(gòu)自身鑒別能力有限，另一方面是因?yàn)闄n案數(shù)字資源一旦發(fā)生泄露，將會(huì)造成重大損失。

（三）機(jī)構(gòu)主體保障體制

1.安全保障職能弱化。首先，為實(shí)現(xiàn)檔案數(shù)字資源的統(tǒng)一集中管理，我國檔案數(shù)字資源建設(shè)過程中一開始是以檔案數(shù)字資源整合和集中管理為主，而對(duì)檔案數(shù)字資源信息安全保障的關(guān)注力度不夠，同時(shí)欠缺技術(shù)上的指導(dǎo)，因此在信息安全保障方面的職能較弱。其次，云計(jì)算環(huán)境下，檔案館、機(jī)關(guān)檔案室等檔案機(jī)構(gòu)委托云服務(wù)商將檔案數(shù)字資源部署在云平臺(tái)上，一定程度降低了對(duì)檔案信息系統(tǒng)和檔案數(shù)據(jù)資源的控制力，無法進(jìn)行實(shí)時(shí)監(jiān)管。最后，在傳統(tǒng)IT環(huán)境下，檔案數(shù)字資源信息安全保障基本上由各級(jí)檔案機(jī)構(gòu)負(fù)責(zé)。而在云計(jì)算環(huán)境下，云服務(wù)商的參與使得各級(jí)檔案機(jī)構(gòu)還需要承擔(dān)對(duì)云服務(wù)商的監(jiān)管職責(zé)。由于檔案的保密性和云服務(wù)商的自身缺陷，檔案機(jī)構(gòu)在監(jiān)管過程中會(huì)出現(xiàn)“重監(jiān)管、輕保障”的現(xiàn)象，過多將精力放在對(duì)云服務(wù)商的監(jiān)管上，對(duì)自身作為安全保障主體的意識(shí)還不夠。

2.安全保障主體責(zé)任不明確。在云環(huán)境下，檔案數(shù)字資源建設(shè)往往以業(yè)務(wù)外包的形式委托云服務(wù)商進(jìn)行，而檔案數(shù)字資源建設(shè)過程中所需的軟硬件及云服務(wù)平臺(tái)都是由云服務(wù)商負(fù)責(zé)購置、開發(fā)和管理的，這使得檔案機(jī)構(gòu)不能對(duì)檔案數(shù)據(jù)進(jìn)行直接控制和修改。隨著檔案數(shù)字資源管理與運(yùn)營的外包，個(gè)別檔案機(jī)構(gòu)也實(shí)現(xiàn)了部分安全保障具體工作的外包，部分檔案機(jī)構(gòu)對(duì)自身需要承擔(dān)的安全保障責(zé)任缺乏清晰的認(rèn)識(shí)，將“安全責(zé)任”和“安全管理職責(zé)”概念混淆，認(rèn)為自身所承擔(dān)的安全責(zé)任已經(jīng)隨著檔案數(shù)字資源業(yè)務(wù)的外包向云服務(wù)商轉(zhuǎn)移。事實(shí)上，在檔案數(shù)字資源管理業(yè)務(wù)外包的過程中，向云服務(wù)商轉(zhuǎn)移的是“安全管理職責(zé)”，并非“安全責(zé)任”。[6]在檔案數(shù)字資源信息安全保障過程中，檔案機(jī)構(gòu)始終是檔案數(shù)字資源安全的最終責(zé)任主體，一旦發(fā)生云安全事故，檔案機(jī)構(gòu)作為最終責(zé)任主體仍然是首要追責(zé)對(duì)象。

基于對(duì)以上問題的分析，為進(jìn)一步建立和完善云環(huán)境下檔案數(shù)字資源信息安全保障體制，筆者構(gòu)建了政府、行業(yè)和社會(huì)“三位一體”的協(xié)同保障體制模型，如圖1所示。

（一）設(shè)立面向檔案數(shù)字資源的信息安全職能部門

為保障檔案數(shù)字資源建設(shè)過程中的檔案信息安全，可以在檔案信息化工作領(lǐng)導(dǎo)小組的基礎(chǔ)上，設(shè)立面向檔案數(shù)字資源的業(yè)務(wù)部門和信息安全統(tǒng)籌監(jiān)管部門，加強(qiáng)對(duì)檔案數(shù)字資源信息安全保障工作的統(tǒng)籌監(jiān)管。設(shè)立面向檔案數(shù)字資源的信息安全職能部門，一方面是為了統(tǒng)籌協(xié)調(diào)相關(guān)部門的工作，提高各部門工作的協(xié)調(diào)性，最大限度發(fā)揮檔案數(shù)字資源建設(shè)過程中的協(xié)同效應(yīng)。[7]另一方面是為了對(duì)云服務(wù)商提供的檔案數(shù)字資源信息安全保障工作進(jìn)行監(jiān)管，及時(shí)發(fā)現(xiàn)其在安全保障工作中的問題，確保檔案數(shù)字資源的安全性。面向檔案數(shù)字資源的信息安全職能部門應(yīng)在國家檔案局的領(lǐng)導(dǎo)下，積極與工業(yè)和信息化部、科技部、保密局等部門交流信息安全工作，共同推進(jìn)檔案數(shù)字資源信息安全保障體制建設(shè)。

（二）加快推進(jìn)法律法規(guī)和標(biāo)準(zhǔn)體系建設(shè)

1.法律法規(guī)體系建設(shè)。（1）加快推進(jìn)面向云環(huán)境的法律法規(guī)制度建設(shè)。由于信息技術(shù)的變革，我國較早頒布的法律法規(guī)對(duì)檔案數(shù)字資源信息安全保障的指導(dǎo)與規(guī)范作用逐漸減弱，因此需要從以下三個(gè)方面加快推進(jìn)面向云環(huán)境的法律法規(guī)制度建設(shè)。首先，云環(huán)境下檔案數(shù)字資源信息安全及保密問題往往會(huì)涉及知識(shí)產(chǎn)權(quán)保護(hù)、責(zé)任追究等權(quán)益問題，國家檔案行政機(jī)構(gòu)需要加快推進(jìn)云環(huán)境下的法律法規(guī)制度建設(shè)，確保檔案機(jī)構(gòu)與云服務(wù)商之間的合作有法可依。其次，檔案數(shù)字資源信息安全面臨著保密性和特殊性等管理要求，因此國家檔案行政機(jī)構(gòu)要協(xié)同立法、司法等相關(guān)部門制定涉及檔案領(lǐng)域云安全的相關(guān)法規(guī)和政策，以適應(yīng)檔案數(shù)字資源的特殊性管理要求。此外，云服務(wù)商自身也需要制定嚴(yán)格的管理制度和實(shí)施細(xì)則，確保云服務(wù)供應(yīng)的安全性，更好地提升云服務(wù)商的信譽(yù)和形象，確保云環(huán)境下的檔案數(shù)字資源信息安全。（2）建立和完善面向檔案的數(shù)據(jù)安全規(guī)章制度。2021年6月10日頒布的《數(shù)據(jù)安全法》是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律和國家安全領(lǐng)域的一部重要法律。從檔案數(shù)字資源的生命周期角度出發(fā)，《數(shù)據(jù)安全法》明確了檔案數(shù)據(jù)的收集、存儲(chǔ)、保管，利用等環(huán)節(jié)，為后續(xù)的標(biāo)準(zhǔn)制定、數(shù)據(jù)防護(hù)等指明了方向。[8]該法律不僅規(guī)制互聯(lián)網(wǎng)行業(yè)，同樣適用于檔案數(shù)據(jù)的收集、檔案數(shù)據(jù)保密以及對(duì)檔案數(shù)字資源共享的安全保障具有指導(dǎo)性作用。地方檔案機(jī)構(gòu)可以通過制定本行政地區(qū)檔案數(shù)字資源的數(shù)據(jù)安全規(guī)章制度，應(yīng)對(duì)實(shí)踐中存在的檔案數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)，為檔案數(shù)字資源信息安全保駕護(hù)航。

2.標(biāo)準(zhǔn)體系建設(shè)。檔案數(shù)字資源信息安全標(biāo)準(zhǔn)建設(shè)有助于為云服務(wù)商、檔案數(shù)字資源服務(wù)主體的安全保障措施的實(shí)施提供依據(jù)，以獲得安全保障的最佳效果。檔案數(shù)字資源建設(shè)過程中的安全責(zé)任劃分、數(shù)據(jù)資源歸屬、安全管理要求等都需要標(biāo)準(zhǔn)來進(jìn)行規(guī)范和引導(dǎo)。[9]基于此，云環(huán)境下檔案數(shù)字資源的標(biāo)準(zhǔn)體系建設(shè)可以從通用標(biāo)準(zhǔn)體系和行業(yè)標(biāo)準(zhǔn)體系兩方面著手。在通用標(biāo)準(zhǔn)體系建設(shè)上，國內(nèi)外諸多云安全標(biāo)準(zhǔn)化研究組織正在開展云計(jì)算安全標(biāo)準(zhǔn)的制定工作，這對(duì)云環(huán)境下檔案數(shù)字資源信息安全標(biāo)準(zhǔn)建設(shè)而言是重大機(jī)遇，能夠切實(shí)為面向檔案數(shù)字資源信息安全標(biāo)準(zhǔn)體系建設(shè)提供指導(dǎo)和參考。因此，國家檔案機(jī)構(gòu)也應(yīng)該積極關(guān)注國際標(biāo)準(zhǔn)化組織之間的技術(shù)合作，積極借鑒國外信息安全標(biāo)準(zhǔn)建設(shè)經(jīng)驗(yàn)，盡快為云環(huán)境下檔案數(shù)字資源信息安全保障提供指導(dǎo)。在行業(yè)標(biāo)準(zhǔn)體系建設(shè)上，可以參考借鑒《檔案信息化標(biāo)準(zhǔn)體系建設(shè)指南》（2020年）和《檔案服務(wù)外包工作規(guī)范》（2020年）等系列標(biāo)準(zhǔn)，制定面向檔案數(shù)字資源的行業(yè)安全標(biāo)準(zhǔn)建設(shè)，增強(qiáng)對(duì)檔案數(shù)字資源信息安全保障指導(dǎo)的針對(duì)性。

（三）基于第三方權(quán)威認(rèn)證機(jī)構(gòu)的可信云服務(wù)認(rèn)證

基于第三方權(quán)威認(rèn)證機(jī)構(gòu)的檔案數(shù)字資源可信云服務(wù)認(rèn)證，可以建立檔案機(jī)構(gòu)對(duì)云服務(wù)商的信任，減少選擇的盲目性，從而降低篩選成本。為更好地服務(wù)檔案機(jī)構(gòu)，需要組織開展面向檔案數(shù)字資源的可信云服務(wù)認(rèn)證，通過第三方權(quán)威認(rèn)證機(jī)構(gòu)對(duì)云服務(wù)商進(jìn)行安全評(píng)估和認(rèn)證。地方檔案機(jī)構(gòu)應(yīng)基于工業(yè)和信息化部公布的云計(jì)算通用可信云服務(wù)認(rèn)證名單，積極與相關(guān)云服務(wù)商開展面向檔案數(shù)字資源的可信云服務(wù)認(rèn)證，具體實(shí)施步驟如圖2所示。

首先，參與檔案數(shù)字資源建設(shè)的云服務(wù)商須獲得工業(yè)和信息化部可信云服務(wù)認(rèn)證，并向國家檔案局下設(shè)的檔案信息安全統(tǒng)籌監(jiān)管職能部門提出評(píng)估認(rèn)證請(qǐng)求，將云服務(wù)相關(guān)信息（包括基本特征、平臺(tái)、服務(wù)器、網(wǎng)絡(luò)、應(yīng)用、服務(wù)可用性和穩(wěn)定性等）和云服務(wù)商基本信息認(rèn)證（包括基本信息、人員和財(cái)務(wù)情況、資本關(guān)系、組織結(jié)構(gòu)等）向監(jiān)管部門及時(shí)匯報(bào)。[10]其次，統(tǒng)籌監(jiān)管職能部門委托由檔案領(lǐng)域、云服務(wù)行業(yè)組織、協(xié)會(huì)及其他權(quán)威專家組成的第三方安全評(píng)估認(rèn)證機(jī)構(gòu)進(jìn)行考評(píng)認(rèn)證。再者，第三方安全評(píng)估認(rèn)證機(jī)構(gòu)根據(jù)檔案數(shù)字資源可信云服務(wù)認(rèn)證標(biāo)準(zhǔn)對(duì)云服務(wù)商進(jìn)行全面考評(píng)，并將考評(píng)結(jié)果提交給信息安全統(tǒng)籌監(jiān)管部門。最后，檔案信息安全統(tǒng)籌監(jiān)管職能部門對(duì)第三方考評(píng)結(jié)果進(jìn)行審核，審核通過后對(duì)符合資格的云服務(wù)商進(jìn)行可信認(rèn)證授權(quán)，頒發(fā)可信云服務(wù)認(rèn)證資格證明。

（四）落實(shí)安全保障主體責(zé)任

根據(jù)《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》提出的“安全管理責(zé)任不變”要求，網(wǎng)絡(luò)安全管理責(zé)任不隨服務(wù)外包而外包。在云環(huán)境下檔案數(shù)字資源信息安全保障中，檔案機(jī)構(gòu)作為信息安全服務(wù)的責(zé)任主體，應(yīng)該從確定安全管理責(zé)任和職責(zé)范圍、明確檔案數(shù)據(jù)歸屬、加強(qiáng)對(duì)云服務(wù)商的監(jiān)管等方面落實(shí)好安全保障主體責(zé)任。

第一，確定安全管理責(zé)任和職責(zé)范圍。地方檔案機(jī)構(gòu)要正確認(rèn)識(shí)“安全責(zé)任”不等于“安全管理職責(zé)”，在選擇安全可信的云服務(wù)商和云服務(wù)業(yè)務(wù)后，與云服務(wù)商簽訂安全協(xié)議或云服務(wù)合同，對(duì)檔案安全管理和數(shù)據(jù)保密做出規(guī)定，明確各自安全責(zé)任，確保檔案數(shù)據(jù)和業(yè)務(wù)的安全、完整、可用及可遷移。國家檔案機(jī)構(gòu)可以協(xié)同法律部門，共同制定面向檔案數(shù)字資源的云服務(wù)協(xié)議或合同模板，以便為地方檔案機(jī)構(gòu)提供規(guī)范和指導(dǎo)。地方檔案機(jī)構(gòu)應(yīng)該根據(jù)云服務(wù)模式、檔案管理辦法、簽訂的云服務(wù)合同具體分析檔案數(shù)字資源保障過程中可能面臨的安全問題，厘清檔案機(jī)構(gòu)和云服務(wù)商的職責(zé)范圍邊界。

第二，明確檔案數(shù)據(jù)歸屬。國家檔案局出臺(tái)的《關(guān)于檔案部門使用政務(wù)云平臺(tái)過程中加強(qiáng)檔案信息安全管理的意見》中指出，在使用云服務(wù)過程中，要明確檔案部門部署在云平臺(tái)上的檔案數(shù)據(jù)及檔案業(yè)務(wù)系統(tǒng)產(chǎn)生的數(shù)據(jù)歸檔案部門所有，未經(jīng)檔案部門授權(quán)，不得私自訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀。[11]同時(shí)，檔案部門對(duì)存儲(chǔ)在云平臺(tái)上的檔案數(shù)據(jù)具有知情權(quán)，有權(quán)對(duì)侵犯檔案數(shù)字資源服務(wù)主體隱私權(quán)和知情權(quán)的云服務(wù)商進(jìn)行警告甚至處罰。具體實(shí)施辦法可以通過云服務(wù)安全協(xié)議或合同來明確檔案數(shù)據(jù)歸屬，以此保障云平臺(tái)上檔案數(shù)據(jù)的可控和安全。

第三，加強(qiáng)對(duì)云服務(wù)商的監(jiān)管。研究表明，對(duì)云服務(wù)商的監(jiān)管缺失是導(dǎo)致云環(huán)境下檔案信息安全風(fēng)險(xiǎn)的主要因素之一。[12]由此可見，國家和地方各級(jí)檔案機(jī)構(gòu)要加強(qiáng)對(duì)云服務(wù)商的監(jiān)管，督促其履行安全管理職責(zé)。一方面，需要監(jiān)督云服務(wù)商嚴(yán)格遵守檔案法律法規(guī)和標(biāo)準(zhǔn)，切實(shí)履行協(xié)議或合同規(guī)定的檔案安全管理和數(shù)據(jù)保密責(zé)任，確保檔案數(shù)字資源的安全；另一方面，檔案機(jī)構(gòu)可以通過定期開展面向檔案云服務(wù)平臺(tái)的安全檢查和評(píng)估，協(xié)同云服務(wù)商對(duì)檔案數(shù)據(jù)可能遭受的被竊取、篡改、丟失等風(fēng)險(xiǎn)進(jìn)行排查，從而督促云服務(wù)商開展技術(shù)維護(hù)工作，提升云平臺(tái)的檔案數(shù)據(jù)安全防護(hù)能力。

云服務(wù)商作為檔案數(shù)字資源安全保障的重要協(xié)同主體，需要從以下三個(gè)方面履行云平臺(tái)檔案數(shù)字資源安全管理職責(zé)。首先，云服務(wù)商按照檔案法律法規(guī)和標(biāo)準(zhǔn)開展檔案云存儲(chǔ)與管理工作，定期對(duì)部署在云平臺(tái)上的檔案數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)，及時(shí)發(fā)現(xiàn)檔案數(shù)字資源面臨的安全風(fēng)險(xiǎn)。其次，要根據(jù)簽署的檔案云服務(wù)合同，切實(shí)履行檔案數(shù)字資源安全管理職責(zé)，采取對(duì)應(yīng)的管理和技術(shù)措施確保檔案數(shù)字資源平臺(tái)和系統(tǒng)的保密性、安全性和可用性。最后，要自覺接受檔案數(shù)字資源安全監(jiān)管，主動(dòng)提供檔案機(jī)構(gòu)需要的檔案數(shù)據(jù)，對(duì)檔案機(jī)構(gòu)排查出的檔案數(shù)字資源安全問題及時(shí)進(jìn)行技術(shù)維護(hù)，從而保證云環(huán)境下的檔案數(shù)字資源信息安全。

云環(huán)境下檔案數(shù)字資源信息安全保障體制建設(shè)是一項(xiàng)綜合性的系統(tǒng)工程，具有長期性和復(fù)雜性。各級(jí)檔案機(jī)構(gòu)應(yīng)該在國家檔案局的領(lǐng)導(dǎo)下，針對(duì)檔案數(shù)字資源信息安全保障體制中出現(xiàn)的各類問題，從職能部門設(shè)置、法律法規(guī)和標(biāo)準(zhǔn)體系、監(jiān)管方式、保障主體責(zé)任劃分等方面進(jìn)行完善，建立與之相配套的體制，更好地保障檔案數(shù)字資源的信息安全，從而為云環(huán)境下檔案數(shù)字資源共建共享提供堅(jiān)實(shí)的基礎(chǔ)和保障。

*本文系湖北省教育廳2020年度哲學(xué)社科項(xiàng)目“大數(shù)據(jù)時(shí)代檔案信息資源保障體系建設(shè)”（項(xiàng)目編號(hào)：202011001301006）研究成果之一。

注釋及參考文獻(xiàn)：

[1]上海辭書出版社.辭海（網(wǎng)絡(luò)版）[EB/OL].（2021-5-27）[2021-12-31]. https ： // www. cihai.com.cn/yuci/detail？docLi？ bId=1107&docId=5729437&q=%E4%BD%93%E5%88%B6.

[2]丁華東，竇曉光.改革開放以來我國檔案管理體制改革發(fā)展的實(shí)踐成就[J].檔案學(xué)通訊， 2003（1）：13-16.

[3]徐擁軍，張臻，任瓊輝.我國檔案管理體制的演變：歷程、特點(diǎn)與方向[J].檔案學(xué)通訊，2019（1）：15-22.

[4]胡昌平，呂美嬌，林鑫.云環(huán)境下國家學(xué)術(shù)信息資源社會(huì)化安全保障的協(xié)同推進(jìn)[J].情報(bào)理論與實(shí)踐，2018，41（2）：34-38.

[5]趙雪芹，黨昭，李天娥.數(shù)字人文視角下的檔案信息資源開發(fā)問題與對(duì)策[J].北京檔案，2021（1）：18-22.

[6]何思源，劉越男.政務(wù)云環(huán)境中的檔案安全保障生態(tài)模型與策略研究[J].圖書館論壇，2021，41（7）：68-77.

[7]張玉昭.基于協(xié)同效應(yīng)視角的數(shù)字檔案資源多元化開發(fā)模式探析[J].檔案與建設(shè)，2021（2）：37-40；13.

[8]中華人民共和國數(shù)據(jù)安全法[N].人民日?qǐng)?bào)，2021-06-19（007）.

[9]萬莉，呂美嬌.云環(huán)境下數(shù)字學(xué)術(shù)信息資源安全保障的標(biāo)準(zhǔn)化推進(jìn)[J].數(shù)字圖書館論壇，2017（7）：20-23.

[10]林鑫，胡昌平.國外云環(huán)境下學(xué)術(shù)信息資源安全體制變革及啟示[J].情報(bào)科學(xué)，2018，36（5）：11-16.

[11]中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室.關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見[EB/OL].（2014-12-30）[2020-07-23].http：//www.cac.gov.cn/2015-06/26/c_1115736157.htm.

[12]何思源，劉越男.檔案上云安全嗎？政務(wù)云環(huán)境中的檔案安全風(fēng)險(xiǎn)分析[J].檔案學(xué)研究，2021（3）：97-105.

作者單位：湖北大學(xué)歷史文化學(xué)院