摘要:信息化时代,档案信息资源高度依赖软硬件系统,同时还具有存储密度高、载体内容可分离的特点,这给我国档案事业的创新和发展带来了新的机遇,同时也带来了新的信息安全问题。对此,本文从意识、保障技术、信息安全风险评估和管理的角度提出了加强档案信息安全管理的对策,以供同仁参考。
关键词:信息化;档案;信息安全
一、信息化背景下档案信息资源的特点
(一)对软硬件系统的依赖
传统档案信息的记录都直接依赖于纸张等实物载体,这些记录符号一般都直接可以通过人工进行识别,而在信息化环境下档案信息的录入和管理都是以数字编码的形式记录在电子化的载体上,如磁盘、硬盘等。信息化背景下档案信息安全的重点已从人工识别转移到机器识别,这也使得档案信息安全很大程度上依赖软硬件设备。另一方面,技术上的更新也会导致信息识别和存储方法的改变,给档案信息管理带来了很大困难。
(二)存储密度高
在电子档案存储刚兴起时,磁盘和光盘是最主要的保存方式,以光盘为例,一张光盘所能存储的文字数大约为35万张纸质档案的数量,而如今随着信息技术的不断发展,一个小小的移动硬盘就可以存储多达几T的内容。这种高密度性的存储大大节省了档案存储的空间,但同时也给信息安全提出了更高的要求,因为存储设备的一点点损坏就可能导致大批量档案资料无法读取而造成的损坏与丢失,信息化背景下档案存储密度高的特点也要求档案管理部门做好存储设备的维护工作。
(三)载体之间可分离
在信息化背景下,档案信息能够脱离实体档案的束缚,更加自由的进行加工和管理,这种可分离性的特点使得档案能够很轻易的被修改并且不留下任何的痕迹。同时,还能够进行直接的复制,并且与原始电子档案资料毫无区别。这种可分离性也使得档案的传输更加便利,在网络化的环境下档案信息资料能够快速的流通和传输,档案需求的发起者能够通过PC端或者移动端突破空间的界限在线调阅档案资料。载体的可分离性也使得档案信息安全面临着极大的挑战,档案管理部门在保障电子存储设备安全的同时还要保证网络环境的安全。在互联网环境下,档案信息流通的任何一个环节都可能被截取、伪造和篡改,这也要求档案管理部门必须综合采用各种技术手段来保障档案流通和传输的安全。
(四)信息构成复杂
传统档案的信息构成较为单一,一种载体通常只能存储一种格式的文件,如纸质载体就仅能存储文字或者图像类的文件,磁带就只能处理声音类的档案资料。在信息化背景下,档案信息的构成就更加多元化,多种格式的档案信息能够同时集成在一个文件资料上,能够以更为直观和生动的方式展现档案记录的真实情况。这种多媒体的继承性就使得电子档案信息的构成十分复杂。档案的可分离性也使得档案信息的构成较为复杂,传统档案由于具备原始性,因此,在其管理中能够始终保持档案的真实和完整,易于管理者的确认。而信息化背景下如果要对档案的真实性和原始性进行确认,就必须综合收集档案在各个时期和阶段所呈现出的内容,包括背景信息、元数据、软硬件特点等,这也就造成了档案信息构成的复杂性,因此,在档案信息安全保护中,还要充分的考虑到软硬件的兼容性和档案各个时期的特点。
二、档案信息资源信息安全防护存在的问题
(一)信息安全防护过度影响档案利用
档案信息安全保护的原则之一即为适度保护。与其他信息资源有所不同的是,档案具有原始性、真实性的特点,具备参考、凭证等多元价值,因此,档案管理工作的重点不仅是管理,还在于对其的利用。同样的,档案价值越高,面临的信息安全风险就会越高,其信息安全管理工作就更加重要。我国档案信息安全管理普遍缺乏信息安全评估体系,这也导致了档案保护的不足或过度。一方面,由于上级档案管理部门没有对信息安全等级进行划分或指导,一线管理单位也缺乏档案价值标准体系,这就使得在日常的档案信息安全管理中主观性和随意性较强,通常由人工对档案价值进行初步的判断直接定级,对此采取相应的信息安全管理措施。同时,由于责任不够明确,也使得工作人员为了规避信息安全风险对档案进行更为封闭的保护和管理,限制了档案的利用。另一方面,对于普通或者不重要的档案完全放任自流,但在互联网环境档案大规模传播进一步增加了档案丢失的危害,因此,更需要一套完善的标准来保障档案的适度保护。
(二)信息安全防护策略偏重安全技术
信息化背景下档案信息安全保障体系应包括多个方面,包括最基础的安全管理制度、安全管理的执行层和安全技术的支撑层等。但长期以来,我国档案管理部门普遍存在着过度依赖信息安全技术的情况。从信息化建设初期的加密技术、数据备份手段到互联网环境下的防火墙技术、认证技术和入侵检测等方式。但由于互联网环境的复杂性和信息技术发展的快速性,单纯依靠信息安全技术和相关产品来进行信息安全防护工作的效果启示并不理想,由于信息安全威胁事件的突发性和不确定性,大多数的信息安全隐患是无法消除的。而从我国频发的信息安全事件上来看,由于信息安全意识缺乏和信息安全制度不完善所导致的问题屡见不鲜,如近年来高校对学生个人信息的泄露、医院患者个人信息的流失等大规模信息安全事件,都是人为导致而不是技术问题。据统计约有70%的安全事件是由于安全管理的疏忽导致的,这也提醒我们档案信息安全应不断构建完善的安全管理体系。
(三)信息安全体系缺乏评估体系
当前我国各单位的档案信息安全工作还较为孤立,处于各自为政阶段,没有形成一个适应性强、普适性强的档案信息安全保障体系。没有综合运用各种元素对档案面临的信息安全风险进行评估,这也就导致了各单位档案信息安全管理工作的方向和目标不够明确,造成了本单位的信息安全管理工作的针对性不强。同时,在采取相应的信息安全防护措施之后,无法准确地了解到本单位的信息网络和软硬件系统是否符合相关的安全要求,存在哪方面的安全漏洞、可能造成的后果、相应的解决措施,以及对软硬件系统进行更新后又会面临到哪些新的信息安全风险等。而完善的信息安全风险评估体系,则可以较好地解决这些问题,对于档案管理者尤其是面向社会的档案管理者来说,信息安全评估体系的建设意义重大。
(四)信息安全管理缺乏持续性
目前,我国档案信息安全管理普遍缺乏持续性,这也导致整个单位的信息安全工作缺乏长效性。由于信息安全问题的突发性和不确定性,对于未发生信息安全事件的单位来说,信息安全保护的成效和价值无法在短期之内显现出来,这也就导致了多数单位在平时放松了信息安全管理,而在发生了信息安全事件时进行紧急的抢救工作。但在信息化环境下,档案管理工作面临的风险更加多元化,同时,由于档案服务利用的不断丰富,档案信息安全事件的破坏性和覆盖面更大,过去集中式和突发式的档案信息安全管理措施已经无法满足当前的网络环境。档案管理部门必须提高对信息安全问题的重视,建立长效的档案信息安全保护机制进而保障档案安全。
三、加强档案信息安全的对策
(一)提高档案安全保护意识
提高信息安全意识是构建和维护良好信息环境的基础。在现代化的档案管理模式下,档案信息安全的保护不仅是档案日常管理工作有序进行的重要基础,更是保护公民个人信息安全的必然要求,这也要求了公民、档案管理人员都要具备良好的信心安全意识。加强档案保护意识,首先,提高公众的信息安全意识,公众是档案来源的重要组成部分,也是档案信息安全受损的受害者。对此,相关管理部门和档案管理部门应注重档案信息安全知识的宣传和普及,开展各种路演活动和专题宣传活动提高公众的信息安全意识;其次,着重加强档案管理人员的信息安全意识。档案管理部门应牵头组织,联合开展培训活动,吸收专业的档案管理人才参加,不断推动档案培训的系统化、组织化和长期化。由于在信息化背景下档案管理工作的社会化和服务化特点逐渐突出,还应注重服务管理方面的培训,同步展开、异地联动,借助专题讲座、定期培训培养专业人员的信息安全意识。
(二)建立信息安全风险评估体系
建立信息安全风险评估体系,要以2018年底国家档案局办公室印发的《档案馆安全风险评估指标体系》(以下简称《指标体系》)内容为基础,结合现单位的工作实际情况来进行制定。其中,档案信息安全包含系统安全、数据安全、档案开放和利用安全三项二级指标。其中,系统安全包括机房安全、网络安全、设备安全、软件安全和运行安全,机房安全的安全评估主要参考国家档案局印发的《数据中心设计规范》和《数字档案馆建设指南》等文件。数据安全包括数据管理、数据信息资源保存与备份、档案数字化加工,这一部分在参考文件的基础上结合档案管理部门的数字化档案建设进程进行建立。档案开放和利用包括档案开放、档案解密、涉密和未开放档案利用、开放档案利用、档案公布和编辑出版。在这一方向上的安全风险评估要注重档案的保密性和利用性的平衡,根据本单位的档案服务方式和服务能力进行具体化的制定。
(三)建立长效信息安全保护机制
建立长效信息安全保护机制的重点就在于完善顶层设计,进而推动档案信息安全管理的常态化和规范化管理。在管理层加强档案信息安全管理的顶层设计与规范,有助于保障档案信息安全工作的有序开展,同时也为档案信息安全保障提供了完善的制度支撑。对此,领导层面应不断加强信息安全管理流程的合理性和灵活性,以规范化和常态化的信息安全管理提高整个单位档案信息安全保障体系的稳定性。对信息化背景下档案信息安全管理流程进行解构,从计划、执行、检查、改进的角度开展循环管理。对主要进行问题梳理和目标制定工作,通过对信息化建设中和档案日常管理中涉及到的本单位、其他单位和公众的信息安全风险进行全面梳理,进而制定管理目标。同时,发现尚未解决的信息问题或者效果不佳的策略,进入新一轮的循环管理,保证信息安全管理的流程能够始终面向问题、发现问题、解决问题。
参考文献
1.宗文萍.郭莉珠.档案信息安全保障体系建设研究[J].档案学通讯,2006.1
2.项文新.档案信息安全保障状况需进行风险评估[J].中国档案,2007.12
3.李爽.影响数字档案信息安全的因素与对策[C].“决策论坛——经营管理决策的应用与分析学术研讨会”,2016
作者:黄富才 单位:海南省人民医院
