档案安全风险评估(通用12篇)
档案安全风险评估 篇1
天津港“8·12”瑞海公司危险品仓库特别重大火灾爆炸事故再一次证明了安全风险防范的重要性。2014 年马来西亚遭遇的严重洪水灾害,众多重要政府档案受到洪灾影响。事后马来西亚国家档案馆馆长Azemi呼吁各机构重新评估内部档案保管体系的安全性,采取措施防范类似的自然灾害,以减少未来可能的损失[1]65。档案安全风险评估,是对档案实体和档案信息资源所面临的威胁及其可能造成的影响的可能性的评估。其目的是以最小的成本来减少或消除风险因素,把风险发生的概率和损失幅度降到最低限度,获得最大的安全保障,在档案安全保障体系建设中发挥着极其重要的作用。而档案安全风险评估工作的推进是一个系统工程,需要一系列动力要素的推动,这些动力因素的构成及其相互影响、相互作用的方式和原理就构成档案安全风险评估的动力机制。
档案安全风险评估动力机制的构建是一个系统的工程,包括文化动力、制度动力、组织动力、权力动力、舆论动力等五个要素。
一、文化动力
这里的文化动力,主要指档案安全风险管理文化。培育和塑造良好的档案安全风险管理文化,能够增强档案安全风险评估的内生动力。档案安全风险评估动力系统的内在本源性动力主要来自档案部门、档案工作者保障档案安全的职责、使命。这一正确的价值观念的形成和实现是一个长期、复杂的过程,得益于良好的档案安全风险管理文化,其能为档案安全风险评估提供强大、稳固的精神动力。
档案安全风险管理文化是蕴含于组织文化之中的核心内容,是在档案安全风险管理活动中逐步形成的集安全风险理念、安全风险价值观和安全风险防控策略于一体的人文文化。档案安全风险管理文化既是制度的环境,又是一种非正式的制度安排,是一种无形的力量,能够直接并且深刻地影响着组织和个人在档案安全风险管理中的选择和行为方式。档案安全风险管理文化的优劣直接决定着档案安全风险管理制度实际执行的力度,以及档案安全风险管理目标实现的程度。良好的档案安全风险管理文化能够使组织成员树立正确的风险管理理念,具有较强的风险管理意识、较强的保障档案安全职责使命感,对于档案安全风险评估的一系列重要内容达成共识,例如档案安全风险评估的重要性、档案安全风险评估的技术、方法、手段等,并自觉地转化为行动,为建立系统、规范、高效的风险管理机制,实现档案安全保障的目标而努力。
良好的档案安全风险管理文化可以通过以下途径进行培育和塑造:一是将安全风险管理与档案业务发展有机结合起来。安全风险管理应该贯穿整个档案业务工作环节,包括档案收集整理、保管、利用等各方面,从中找出隐患或薄弱环节,及时加以消除和弥补,确保档案安全,从而带动各项档案基础业务全面发展。二是加强安全风险管理的培训和教育。安全风险管理的理念、技术和方法仅掌握在少数专家手里,是达不到风险控制效果的,必须让组织的每个成员都去学习、掌握、执行,因此要让成员的每个人都加入到档案安全风险培训和教育中来。根据组织成员职责权限的不同,还应分为领导层、管理层、一般成员进行有针对性的层级培训。在培训的内容上,应增加案例警示教育,从有关典型案例中吸取教训。
二、制度动力
新制度经济学家道格拉斯·诺斯认为“制度是一系列被制定出来的规则、守法程序和行为的道德伦理规范,旨在约束追求主体福利或效用最大化利益的个人行为”[2]225。制度动力实质是一种规范力,一种矫正性、控制性的动力,是组织得以良好运行的规则体系和有效保证。制度通过其激励和约束功能的发挥,保障个人与组织在制度框架内运动,从而有效地推动档案安全风险评估的开展。
制度动力作用的有效发挥首先基于制度本身的科学性。因此需建立健全档案安全风险评估政策法规体系,为档案安全风险评估动力机制良性运行提供法规基础。把档案安全风险评估的目标、标准、方法、程序、组织原则、经费保障及奖惩措施等以规章的形式加以明确。此外,还需尽快出台科学、统一、规范的档案安全风险评估技术标准,为档案安全风险评估提供技术保障。档案安全风险评估,并不是传统的粗放的安全检查,而是基于一系列具体细致的安全风险评估技术指标而得出的结论,因此评估标准的科学规范直接关系到风险评估的准确性或效果。制度发挥其正向动力作用必须基于科学合理的法律规范、技术标准。
“创新是民族进步的灵魂”,制度动力的驱动作用还表现在制度创新对档案安全风险评估的驱动。例如,济南市档案局首创的档案安全风险告知制度,就是档案安全风险管理制度的创新,档案安全风险告知制度通过确定风险的范围,明确应进行告知或提醒的相关情况,强化了档案行政监管职能,增强了社会档案安全意识,提高了档案安全事故预防能力。因此,应大力发挥制度创新的作用,用制度创新的思维,把档案安全风险评估中的一些经实践证明具有可行性、普遍性的新的制度安排在档案部门推广应用,以此推动档案安全风险评估的有效开展。
三、组织动力
组织既是一种社会实体,也是管理的一项重要职能。组织理论学家理查德L.达夫特和多萝西·马西克认为“组织就是配置组织资源以实现战略目标”[3]143。组织行为学家斯蒂芬·P·罗宾斯认为“组织是对完成特定使命的人们的系统性安排”[4]4。组织通过对个人和部门下达档案安全风险评估任务并进行任务分解,制定工作计划,合理配置资源,协调部门间关系,以此为档案安全风险评估提供强大的推动力量。
档案安全风险评估,组织动力的驱动首先体现在明确档案行政管理部门、档案机构、档案安全风险评估服务机构和评估专家库之间的关系及各自的具体职责。档案行政管理部门负责制定档案安全风险评估的政策、法规、标准,对风险评估的实施进行指导、监督、检查。承担档案安全风险评估工作的机构,可以是档案部门内部组成的具备相应条件的相对独立机构,也可以是具备相应资质的档案部门外部的社会专业机构。评估专家负责对评估方案、评估结果进行评审,在风险评估中提供相应的技术指导。
培根的《习惯论》中指出:“思想决定行为;行为决定习惯;习惯决定性格;性格决定命运。”思想决定行动,是行动的先导和动力。组织的管理者或成员对风险所持的态度,特别是领导者对待风险的态度,直接影响着组织对风险采取的行动。风险管理专家彼得·杨、马丁·冯认为组织内部由于阶层的差异,不同的阶层对风险管理的看法不尽相同。因此,组织动力的驱动还需解决两个问题,一是组织的领导层与管理层对档案安全风险评估要达成共识,从而才能对档案安全风险评估实践提供有力的支持。二是对组织全员思想上的动员。包括表明档案风险评估对组织的重要性,风险评估所涉及范围及相关部门,参与的必要性,组织对圆满完成评估活动的期望和决心。人员参与的程度和范围将影响风险评估的效果。没有全员的参与,安全风险评估有可能“走形式,走过场”。
风险评估领导小组科学配置与否关系档案安全风险评估的效果。领导小组应由组织领导、专家型人员构成,以下三种类型专家型人员不可或缺:一是风险评估专家,熟悉风险评估的流程、方法,可以从总体上对风险评估进行把握,引入风险评估理念。二是技术专家,指的是档案保护技术、计算机技术、工程技术等方面的专家,从技术的层面对档案安全风险进行评估,增强风险评估的技术性、专业性,同时也为安全风险的消除提供后续技术支持。三是档案业务专家,对档案工作熟悉,能把握档案工作的全过程。
四、权力动力
德国社会学家马克斯·韦伯的行政组织定理核心内容“法定权力是行政组织体系的基础”,认为任何组织都必须以某种形式的权力作为基础,没有某种形式的权力,任何组织都不能达到自己的目标。权力运行具有不平等的特性,档案安全风险评估正是基于权力“命令与服从”不平等的特性而得以推动。由国家档案局,档案最高行政管理部门发起的在全国范围内进行的各档案部门的档案安全风险评估,正是基于档案行政部门自上而下的行政命令,这是目前最为有效地推进档案安全风险评估实践的动力。档案安全风险评估过程中,档案部门通过权力合法性、威慑力和影响力等权力要素的作用,使组织内部一些零散的、无序的管理力量得以整合,共同致力于档案安全风险评估。档案安全风险评估离不开人力、物力、财力的支持。档案部门领导通过物质、资金、人力、荣誉等权力资源作用于档案工作者,确定档案安全风险评估各项任务的分配与责任的归属,由于权力非平等性的本质特征驱使档案工作者对领导命令的服从,从而有效完成档案安全风险评估任务,保障档案的安全。
五、舆论动力
19 世纪的作家和《大西洋月刊》的第一任主编詹姆斯?拉塞尔·洛厄尔说过,“舆论的压力就像大气层一样,虽然你看不到它,但是,它仍然是每平方英寸16 英镑”[5]214。现在,舆论的力量更加威力巨大。舆论所表达的是具有公开性、评价性和倾向性的社会群体意见,在客观上对档案部门、档案工作者会产生一定的心理压力、道德压力和社会影响,从而形成一种无形的督促、制约力量,正是这种正向导向和监督功能推动了档案安全风险评估工作的开展,是重要的外部动力。新闻媒介的监督是较为常见的、最有力的舆论监督的一种形式。新闻媒体对档案安全事故发生的原因、造成的损失进行客观的报道,加大档案安全事故的曝光率,引起社会的关注,提高全民的档案安全和防灾减灾的意识,加强了社会各界对档案安全事故的社会监督,从而推动档案安全风险评估工作的开展。例如,在汶川大地震中,新闻媒体对在这次地震中档案遭受的惨重损失进行的报道,引起社会各界,特别是档案部门、档案工作者的强烈震撼,激发了人们强烈地保障档案安全的情感和欲望,促使档案安全风险评估提上日程。舆论动力作用有效的发挥,要加强档案的宣传。特别是对档案的作用、档案法规的宣传,让公众了解档案的现实作用和意义。舆论动力作用有效发挥的过程同时也是社会公众档案意识提高的过程。此外,档案宣传要利用多种媒介,特别是一些公众喜闻乐见的新兴媒介。例如,天津市档案馆微信平台受到了市民的喜爱和追捧,7 月份天津市档案馆微信平台总阅读量达25 万次,平均日阅读量达8000 次[6],在档案宣传上取得了显著的效果。
摘要:档案安全风险评估,是对档案实体和档案信息资源所面临的威胁及其可能造成的影响的可能性的评估,是档案安全风险防范的切入点和关键环节。文化、制度、组织、权力、舆论等一系列动力要素相互作用、相互影响共同构成了强有力的档案安全风险评估动力机制,从而有效地推动档案安全风险评估的开展。
关键词:档案安全风险评估,动力机制制度,风险管理文化
参考文献
[1]黄霄羽国外档案新闻工作室.国外档案新闻集萃[J].中国档案,2015(4).
[2]道格拉斯·C·诺斯.经济史中的结构与变迁[M].陈郁,罗华平等译.上海:上海人民出版社,1994:225-226.
[3]理查德L·达夫特,多萝西·马西克.管理学原理[M].高增安,马永红等译.北京:机械工业出版社,2005:143.
[4]斯蒂芬·P·罗宾斯.管理学(第4版)[M].黄卫伟,孙建敏等译.北京:中国人民大学出版社,1997:4.
[5]斯各特·卡特里普,艾伦·森特,格伦·布鲁姆.公共关系教程[M].明安香译.北京:华夏出版社,2001:214.
[6]天津市档案馆微信平台受市民追捧[EB/OL].[2015-8-12].http://www.chinaarchives.cn/news/china/2015/0812/106160.shtml
档案安全风险评估 篇2
一、深入开展档案安全警示教育,抓好档案安全责任落实。各档案管理部门要在全体教职工中深入开展档案安全警示教育,把档案安全视为重中之中抓紧抓好。分管档案工作的各党总支、直属党支部书记,各部门负责人作为档案安全的第一责任人,确保档案安全是其职责所在,对档案安全直接抓、直接管,经常开展安全自查和问题整改,确保档案安全不出纰漏。
二、开展档案安全风险排查,完善档案安全防护措施。文书档案、人事档案、财会档案、资产管理档案、教学档案、教务考务档案、学籍档案、声像档案、基建档案、设备档案、科研档案、项目档案、实验实训档案、图书档案、信息化建设档案、外事档案、校企合作档案、合同档案、出版物档案、实物人物档案、创新创业档案、职业技能培训档案等各类档案管理部门要做好档案安全工作。根据20xx年印发的《关于进一步筑牢安全防线确保档案安全的通知》和《档案馆安全风险评估指标体系》,对本部门档案安全情况进行一次深入的排查。重点检查防火、防盗、防水、防爆、防泄密工作,对检查发现的风险隐患要提出有效的整改措施。
浅谈新时期档案安全风险因素 篇3
关键词:新时期 档案安全 风险因素 规避策略
0 引言
改革开放以来,我国发生了巨大的变化。二十一世纪更是进入了信息时代,科技让人类的生产和生活方式发生了巨大的变革,知识的更新日新月异,信息量爆炸式增长,而档案是记录历史事实的重要手段,是还原历史的重要依据,是信息资源的重要组成部分,具有十分重要的意义。但是新时期档案安全存在一定的风险,会危害国家和企业的发展,所以规避档案安全风险十分的必要。
1 新时期档案安全风险因素分析
1.1 档案机构内部因素
档案管理受到档案管理机构内部包括档案管理的流程、档案管理的制度、档案管理室的设施、档案管理工作人员的素质等因素的影响。档案的接受、审核和管理都有一定的流程,也有相应的制度要求,然而有些档案管理部门不按流程办事,档案的存档和使用任意而为,不执行相应的档案管理制度或者制度陈旧不与时俱进等,都会危害档案的安全。由于现在是新时期,信息爆炸,一些档案机构的基础设施,如电脑等已经落后于时代,不能满足档案统计的需要。还有的档案机构的总体设计不能应对一些紧急情况如洪水、地震、火灾等,紧急情况发生时不能及时的保护档案的安全。还有一些工作人员缺乏安全意识和职业素养,不重视档案的保护、保密工作,工作不认真负责,导致档案的丢失、散落和损坏,等等。
1.2 社会环境因素
法律法规是规范行为的重要手段。目前我国对档案安全保护的法律、法规和一些制度并不是十分的健全,对档案管理工作中的一些细节并没有十分明确的要求。并且人们的法律意识也比较淡薄,对《档案法》并不是十分的了解,不懂法更不会守法,对档案的安全重视度不高。还有一些不可控的人为因素,如偷盗、失火、战争等对档案的安全危害是特别大的。此外,一些档案机构的预警机制不完善,没有对档案开展相应的备份工作,档案遭到破坏后不能弥补,不仅档案的安全没有保证,损失也巨大。
1.3 自然环境因素
危害档案安全的有人祸也有天灾。俗话说“天有不测风云”,档案安全因素还包括狂风暴雨、地震海啸、火灾泥石流等自然因素。这些自然因素都是不定时发生的,人类的技术还不能做到百分之百准确的预报,对档案的危害是瞬间的、爆发性的、不可逆的,人们事后补救的工程量是巨大的。例如,地震的破坏力巨大,如果不做好防护措施,损失将会十分惨重。日本是地震多发国家,但是日本建筑的抗震系数非常的高,基本都可以达到8级以上,地震发生对档案的危害也不是十分大。而我国唐山发生地震时档案馆几乎遭到了毁灭性的破坏,汶川地震时不仅是300万卷档案遭到了极大破坏,许多档案的抢救人员也被灾害夺去了生命。
2 档案安全风险规避策略浅谈
2.1 积极拯救纸质档案
虽然信息时代已经来临,但是仍有部分档案为纸质档案,并且有重要的意义和作用,不能取缔。但是一些纸质档案已经严重受损,处在危险的边缘,因此我们必须积极拯救纸质档案。对字迹不清、缺页破损的档案及时进行修补,最大程度地复原或重新登记资料;纸质档案要分门别类地摆放好,方便有序查阅,保证档案不散不乱不坏不丢;对纸质档案的查阅和借出,要严格按照要求进行,不允许随便进入档案库房或使用档案查阅电脑,保证档案安全;对一些极其珍贵的档案,可以用扫描仪扫描或者数码相机拍摄下来,储存到电脑里;为了避免人为对纸质档案的损坏,还要尽快对档案进行电子备案,可以到网上查阅档案。
2.2 加强档案管理系统的管理和维护
纸质档案与电子档案结合,一方面利用纸质档案确保档案的真实性和完整性,另一方面利用电子档案方便人们的查阅和使用,并减少对纸质档案的损坏。因此,纸质档案要有专门的档案库房存放,即使没有独立的库房,也应该与其他办公场所分离,采用防盗门窗等防盗措施,库房内做好安全保护措施,防火、防盗、防水、防虫。电子档案室也要有独立的机房,严禁闲杂人等进入,保证机房内的洁净卫生,安装灭火器、报警器等保护措施,并且电脑要装有安全保护网,设置独立的验证密码,防止黑客、木马、病毒入侵损坏档案系统。
2.3 提高人员安全意识,完善档案安全管理体制
鉴于一些档案管理人员的责任意识差、安全意识低、综合素质不高,我们应该提高档案管理人员的安全意识,完善档案安全管理体制。档案管理人员是与档案接触最多的人,他们的安全意识对档案保护起着直接的作用。企业可以通过档案安全讲座宣传档案管理安全的重要性,增强档案管理人员的危机意识和安全意识。企业也可以通过档案管理安全标准或条例来约束档案管理人员的行为,依照规则行事,强化档案管理的采集、统计、整理、保管、借出、审核、销毁等各个环节。
2.4 抓细节,保安全,促发展
细节决定成败,档案管理安全细节不可忽视。针对档案安全存在的风险因素,我们应从各方面对档案实施保护,尤其是一些安全细节。例如档案库房和机房的安全设施是否齐全,防火的灭火器、加湿器,防盗的安全门、安全窗、电子监控设备,防虫的防虫喷雾、粘鼠板,防强光的深色窗帘,防尘的清洁设备,防潮的温度计和干燥剂等都应配备齐全。除此之外,电子档案的存储设备如光盘、U盘、硬盘等都应有保护措施,防止人为因素或者自然因素的破坏。只有把细节做到位,才能不使百密有一疏,才能保证档案的安全,促进企业的发展。
3 结语
档案安全是档案管理工作的重中之重,是档案管理部门和工作人员的第一工作要务。规避档案安全风险,从档案机构内部整合,从制度上严格要求,从人员上严厉规定,积极拯救纸质档案,加强档案管理系统的管理和维护,提高管理人员的安全意识,完善档案管理体制,从细节抓起,促进企业的发展。只有严格按照这些要求,企业才能规避档案安全风险,促进档案管理工作健康顺利的开展。
参考文献:
[1]杨志睿,张芳,杜坤.知识管理视角下档案信息资源建设研究[J].信息管理(上海),2009(4).
[2]冯惠玲,等.电子文件风险管理[M].北京:中国人民大学出版社,2008.
档案信息安全风险评估的组织管理 篇4
一、风险评估原则
根据我国构建国家信息安全保障体系的基本要求,档案信息安全风险评估应该坚持统一管理、逐级负责的方针,实行谁主管、谁负责的总体原则。同时,为保障档案信息的保密性、完整性和可用性等安全属性,开展风险评估工作还应遵循保密性原则、可恢复性原则、最小影响原则、可控性原则、完整性原则等,即在风险评估过程中不可泄密档案信息;应当明确风险评估过程中万一发生意外情况系统恢复的手段;对档案信息系统正常运作影响最小;对评估人员、评估工具和评估项目管理可控;既要对安全技术评估还需对安全管理评估。
二、风险评估开展方式
根据档案信息安全风险评估工作发起者的不同,可以将风险评估分为自评估和检查评估两种形式。我国《关于开展信息安全风险评估工作的意见》(国信办[2006]5号文件)中指出,“风险评估以自评估为主,自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。”
新建、扩建或者改建的档案信息系统,在设计、验收、运行维护阶段均应当进行自评估;废弃、瘫痪而修复运行或者发生重大变更的档案信息系统,也应当及时进行自评估。自评估由档案信息系统的建设单位或者使用单位自主开展。
档案信息系统检查评估可以由信息化主管部门或上级档案行政主管部门开展,并实现双备案。由于检查评估涉及的单位多,可在各档案部门自评估的基础上开展检查评估,并主要对自评估结果进行验证。例如在《江苏省信息安全风险评估管理办法(试行)》中要求:“检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。”
无论是自评估还是检查评估档案信息安全风险评估可采取定期和不定期两种,可每一年开展一次自评估和每两年开展一次检查评估的定期评估,但在新建档案信息系统投入运行前、档案信息系统发生变化时需开展不定期自评估。档案信息系统的建设、运营或者使用单位需将开展信息安全风险评估工作制度化,定期组织实施信息系统安全风险自评估,并积极配合有关部门的检查评估,将开展信息安全风险评估作为档案信息系统规划、建设和落实等级保护工作要求的重要内容。
三、风险评估机构资质要求
承担档案信息安全风险评估工作的机构,可以是档案部门外部的社会专业机构,也可以是档案行业内部具备相应条件的相对独立部门。从美国等发达国家信息安全服务现状来看,一般以社会专业服务机构提供安全服务为主,特殊行业根据实际情况可成立内部风险评估机构。中国信息安全认证中心于2010年6月30日公布了首批国家级信息安全风险评估服务资质认证获证的18家组织名单,目前已达41家。国家级信息安全风险评估资质目前分为一级、二级、三级三个安全服务等级。
档案信息安全风险评估目前处于研究和起步阶段,档案管理部门自身不具备自评估条件,各级档案行政主管部门也不具备检查评估条件,因此目前无论是自评估还是检查评估均适合委托社会专业机构开展,而保障档案信息安全风险评估质量的前提是设定风险评估机构资质条件。鉴于档案信息对保密性要求高,从事档案信息安全风险评估机构应具备以下条件:
1、依法在中国境内注册成立并由中国公民、法人投资或者由其它组织投资的机构;
2、具有由国家权威机构认定的信息安全风险评估服务资
3、专业评估人员均为中国公民,无违法记录,其中主要评估人员2人以上,具有由国家权威机构认定的信息安全服务资质,具备独立实施风险评估的技术能力;
4、评估使用的技术装备、设施符合国家信息安全产品要求;
5、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;
6、具有涉密信息系统集成资质。
档案行业内部从事信息安全风险评估的机构,除应具备上述条件外,还应具备必须独立于档案信息系统开发部门、运营部门和管理部门条件。
质,具备独立实施风险评估的技术能力,并在各省、市信息安全管理部门进行服务资质审查备案、登记的机构。
四、风险评估参与成员及其职责
档案信息安全风险评估工作开展初期档案部门缺乏相关风险评估专业人员、风险评估辅助软件和脆弱性检测工具等,需委托第三方风险评估机构进行开展评估或聘请风险评估专家进行现场指导,通过一段时间的实践和总结,逐步过渡到完全依靠自身力量进行风险评估。因此,在风险评估工作开展初期,主要涉及成员包括:档案信息化主管部门、档案管理部门、档案信息系统开发商、风险评估服务方和相关方。各成员主要现职如下:
1、档案信息化主管部门
档案信息系统是电子政务系统的重要组成部分,其主管部门应包括政府信息化主管部门和档案行政主管部门,其职责为:(1)负责制定档案信息安全风险评估的政策、法规、标准,对风险评估的实施进行指导、监督、检查;(2)领导和组织风险评估的检查评估,定期或不定期地开展风险评估工作;(3)对第三方风险评估服务机构资质提出要求并进行资格认证。
2、档案管理部门
档案管理部门为档案信息系统建设、运营或者使用单位,其职责为:(1)组织实施风险评估的自评估工作;(2)配合风险评估的检查评估工作;(3)改善信息安全防护措施,控制风险;(4)在档案信息系统生命周期不同阶段开展风险评估。
3、档案信息系统开发商
档案信息系统开发商职责为:(1)规范档案信息系统开发建设,减少在开发建设阶段引入新的风险;(2)在档案信息系统的分析、设计、验收及运行维护和废弃阶段配合档案部门进行信息安全风险评估;(3)根据对档案信息系统各阶段的风险评估结果,及时调整信息安全措施、积极有效地控制风险;(4)向风险评估人员提供相应的技术支持。
4、风险评估服务机构
目前我国专业从事信息安全风险评估的服务方主要有:(1)国家级信息安全测评中心;(2)省市级信息安全测评中心的分中心;(3)专业化信息安全风险评估机构,2006年《关于信息安全风险评估工作的意见》(国信办[2006]5号)的颁布,从事信息安全风险评估的公司如雨后春笋般地涌现。
风险评估服务方为第三方专业风险评估机构,应具有专业安全技术人员和项目管理人员,熟悉风险评估工作机制和相关技术,具有提供独立风险评估服务能力,其职责为:(1)完成对信息系统中信息资产、潜在威胁、脆弱性、威胁产生的影响等进行评估;(2)判断已有风险控制措施的有效性及尚且存在的安全风险,给出减小或规避安全风险建议。
5、档案信息化相关方
档案信息化相关方是指档案信息系统的互联方(如与档案信息系统互联的政务内网、OA系统等)、档案信息资源共享和交换方(如档案信息资源交换单位和共享用户等)、档案信息系统供应方(如硬件提供商、服务提供商等)等,其职责为:(1)配合档案信息安全风险评估工作的开展;(2)提供必要的安全需求和相关资料等。
6、风险评估专家组
档案信息安全风险评估专家组由在信息安全领域或档案行业中具有权威技术水平的专家组成,其职责为:(1)对风险评估方案进行评审;(2)负责在风险评估中提供相应的技术指导;(3)对评估结果进行评审。
五、风险评估实施步骤
档案信息安全风险评估由档案管理部门发起自评估,档案信息化主管部门发起检查评估。风险评估需遵守我国已颁布的《关于开展信息安全风险评估工作的意见》和GBT 20984-2007《信息安全技术信息安全风险评估规范》。
1、自评估实施步骤
(1)档案管理部门向主管部门提出申请
档案管理部门在开展风险评估工作前编写《风险评估申请报告》,内容包括:档案信息系统简述、评估范围、评估目标、评估计划、评估预算、技术保障和安全保障等,并向主管部门提出申请。主管部门组织专家进行项目论证,对《风险评估申请报告》进行审核并批复。
(2)成立风险评估小组
通过公开招标或邀标的方式选择由信息化主管部门认定的风险评估服务机构进行风险评估,并双方签订档案信息安全风险评估项目合同,然后由双方人员成立风险评估小组。档案信息安全风险评估小组由管理层、相关业务骨干、IT技术等人员组成。同时,组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。
风险评估小组应做好评估前的评估工作详细计划、各类表格、检测工具等各项准备工作,进行风险评估全员动员、技术培训和保密教育,制定风险评估过程管理相关规定。根据被评估方要求,双方签署保密合同,并签署个人保密协议。
(3)评估实施阶段
风险评估小组根据对档案信息系统的了解制定《风险评估实施方案》,重点描述风险评估的实施过程、人员分工与配合、阶段性成果等内容。《风险评估实施方案》经过专家组论证后,通过风险评估领导小组负责人书面授权批准后,方可进行实施工作。
实施过程中必须进行书面形式的记录,内容包括评估环境描述、操作的详细过程记录、问题简要分析、相关测试数据保存等。敏感系统的测试,参加评估实施人员要求至少两人以上,实施前必须制定风险规避措施和应急处理措施,且必须通过风险评估小组负责人书面授权批准。在整个风险评估过程中产生的评估过程文档和评估结果文档,一般包括:《风险评估实施方案》、《资产清单》、《重要资产清单》、《威胁列表》、《脆弱性列表》、《风险处理计划》等,其将构成完整的《风险评估报告》。
(4)评估总结阶段
风险评估完成后,应形成完整的风险评估报告。风险评估报告至少包括以下内容:风险评估项目的目的、被评估对象和评估范围、评估内容;风险评估项目的组织形式、标准依据、实施方案、时间安排;本次风险评估对象的管理现状、已有安全措施;被评估对象资产价值、面临的威胁、存在的脆弱点、风险描述及分布;安全风险处置及改进建议。
(5)评估验收阶段
项目完成后由档案管理部门向主管部门提出验收申请,由主管部门组织专家组对风险评估结果进行验收,风险评估小组向专家组提供风险评估工作相应文档并汇报风险评估情况,介绍信息系统所面临的风险,清晰地表达所面临的威胁状况、威胁所利用的脆弱性、产生的影响等状况,并在描述安全风险之后所采取何种对策防范威胁、减少脆弱性,以及问题的轻重缓急程度,并最终形成项目验收报告。
2、检查评估实施步骤
检查评估则是由上级信息安全主管部门或档案信息化主管部门发起的、具有强制性的安全检查活动,旨在依据已经颁布的法规或标准,检查关键节点的信息安全风险是否在可接受的范围内,也是通过行政手段加强信息安全保障的重要措施。
检查评估是在自评估过程记录与评估结果的基础上,验证和确认档案信息系统实施自评估后所采取风险控制措施取得的效果。因此,在检查评估开展之前应先通过行政手段通知各档案管理部门在规定期限内进行安全风险自评估并已经采取安全风险防备措施。
检查评估也可委托风险评估服务机构实施,但评估结果仅对检查评估的发起单位负责。由于检查评估代表了主管部门,涉及评估单位也往往较多,因此要对实施检查评估机构的资质进行更严格管理,但检查评估实施步骤较自评估简单。
(1)成立检查评估工作组
由档案信息化主管部门及相关专家成立检查评估工作小组,对所管辖行政区域内的档案信息系统进行检查评估管理。
(2)确定检查评估内容
检查评估是在自评估实施的基础上,对关键环节或重点内容实施抽样评估,评估内容主要包括:自评估方法的检查、自评估过程记录检查验证、自评估结果跟踪检查和现有安全加固措施的检查验证等。
(3)选择第三方评估机构
通过公开招标或邀标的方式选择由信息化主管部门认定的风险评估服务机构进行检查评估,并双方签订档案信息安全风险检查评估项目合同。
(4)实施风险评估
根据检查评估内容对各档案信息系统进行风险评估,由专业评估机构借助辅助评估工具、安全检测工具等进行安全管理与安全技术验证。重点对自评估的实施过程、风险计算方法、评估结果等重要环节的科学合理性进行分析和验证,得出检查评估结果,并针对不同单位评估结果给出不同安全加固建议。
(5)检查评估总结
对若干档案信息系统检查评估完成后,对各单位检查评估结果进行分析,并召开风险评估工作总结会议,提出各单位自评估中普遍存在的问题,并提出合理化建议。同时,为制订档案信息全风险评估法规和标准提供依据。
六、建立风险评估工作长效机制
档案信息安全风险评估项是一项长期工作,需不断总结风险评估经验和教训,逐步培养档案行业内部的风险评估人员和机构,建立风险评估工作长效机制,为下一次风险自评估或检查评估打好坚实的基础。
参考文献
①范红等著:信息安全风险评估方法与应用[M].清华大学出版社,2006年5月第1版.
②吴亚非等著:信息安全风评估[M].清华大学出版社,2007年4月第1版.
③绿盟科技:绿盟科技风险评估实例[EB/OL].[M].http://www.itgov.org.cn.
档案安全风险评估 篇5
一、电子档案的安全管理
由于电子档案存在着一定风险因素,所以,加强安全管理很有必要。主要可以通过人员监管、严格制度、技术措施、人才培养、政府监管等几个方面加强管理。(一)具体人员监管。电子档案存在着高度保密性,需要具体人员专门对电子档案进行负责和监管,对保存的相关文字、图表、数据和图像等需要一个有经验、有知识、有责任心的专人负责此项工作,做到精益求精。要对工作人员进行专业培训,使他们能够用专业知识加强安全管理,强化责任监督,把电子档案的安全性通过专业技能加以提升。除了有专业人员负责这项工作外,还需要有专门人员加强网络监管,随时对网络进行安全管理,通过技术防备进行监督和处理。(二)落实严格的保护制度。有了专门的人员负责之外,还需要严格的制度加以落实。从制度上要对档案的`真实性、完整性、保密性加以落实,对于那些需要经过处理的电子档案应该加强技术完善,以确保电子档案的准确性。同时还要保证电子档案是否与纸质版文本的内容相一致,是否完成最终稿本,以及是否有病毒存在,是否已经保存完整等等,这些都需要严格的执行与落实。对所有的归档落实保护制度,对于转换硬件和软件的时候要转换打开格式,防止信息失效,在发生安全隐患存在时,要及时进行安全处理,进行修复或者拷贝。(三)技术措施的处理。技术措施的处理需要专门精通计算机网络使用的人来操作和处理,当遇到一些技术性难题时,需要对电子档案的真实性、保密性、安全性进行技术处理。当电子档案需要变更载体时,需要做好防护措施,对每份电子档案做好修改、删除、保存的措施,以密码形式进行保存。(四)专业人员培训和政府监管。定期对专业人员进行培训,及时更新计算机网络新的知识,用最新知识武装自己,在遇到电子档案处理时,能够用新的知识及时处理,以保证信息的安全性和真实性。政府作为社会监管者,有责任把网络监管到位,解决和打击网络犯罪。当然,加强电子档案安全管理的措施不止这些,只有把以上措施落实得当就基本可以保障电子档案的安全性和真实性。
二、电子档案的风险防范
电子档案的风险是多方面的,必须采取牢固的风险防范措施,加强网络监管,这也是做好电子档案工作的必备要求。主要可以从以下几个方面入手,加强风险防范。(一)实施规范化管理。规范化管理首先对人的管理,因为电子档案从建立到流转到存储甚至销毁都是人在操作,所以加强人的职业素质培训很重要。其次,应对整个内部流程进行规范化管理,每一个环节都应该高度重视,防范风险应该从每个环节开始防范。加强内部管理显得很重要。确保电子档案的形成、鉴定、销毁整个流程的把握,保障工作的连续。(二)技术措施处理。电子档案进行安全处理需要高端技术措施,这是风险防范的必用手段,这些常用的技术措施有数据加密处理、网络安全技术、病毒防护技术、身份认证技术和病毒修复以及防火墙等。所以,计算机网络技术的前沿知识必须让责任人员学习和理解透彻,各种规范应该让操作人员灵活掌握,在遇到各种技术问题时还得加强学习或者资料的查阅,保障电子档案信息的真实性、准确性、连续性。(三)风险处理。当风险即将发生之时,应该立即通过一定的技术处理把风险进行拦截或者解除。这就需要采取预期措施在即将出现时立刻处理,进行事先控制,防止风险的继续恶化和蔓延。当风险已经发生后,应该立即通过技术手段把风险带来的损失降至最低。所以,对风险的处理对于防范风险来说也非常重要,要做到识别风险、回避风险、转移风险、分散风险、控制风险等每个步骤。(四)相关法规的完善。形成一个健全的法规体系,依法防范和控制风险是完善电子档案工作的必要前提。虽然电子文件归档与管理的相关规范已经在实施,但是,电子档案的效率化、规范化还是应该加强与改善。电子档案的安全管理与风险防范是各位电子档案工作人员理应具备的基础知识,只有强化理论与实践规范化、实践化、效率化,才可以满足在信息技术高速发展下的各项需求。
【参考文献】
[1]罗芳,谢钰荣.电子档案安全管理措施的研究[J].兰台世界,(14):76-77.
[2]罗金光.从风险管理视角透视电子档案安全管理[J].兰台世界,2013(26):95-96.
[3]乔振涛.从风险管理视角加强电子档案安全管理[J].档案管理,(05):43.
结合高校评估 强化档案管理 篇6
1加强领导,建立健全档案管理网络
高校必须把档案工作纳入学校总体规划,纳入领导议事日程,经常检查并具体指导档案工作。使档案管理全面实行“三纳入”、“四同步”,即纳入学校计划和规划,纳入管理制度,纳入有关人员的职责范围,给予档案工作以各方面的支持;在布置、检查、总结、验收各项工作的同时,布置、检查、总结、验收档案工作。
进一步完善档案管理网络,建立由主要校领导挂帅,各处(室)、系(部)负责人和兼职档案员参加的档案工作网络。各部门的兼职档案员要做好本部门的档案收集、整理、立卷、移交、保管等工作,将档案管理职责明确列入兼职档案员岗位职责。
2加强宣传,切实提高全员档案意识
高校评估工作需要大规模、大范围地抽调档案材料,评估资料的整理也需要学校各个部门、单位每位员工共同参与。在评估的过程中,全校的师生员工充分认识到档案的重要性,增强了对档案工作的重视程度。所以我们要进一步大力宣传高校评估中档案利用成果,表彰评估中档案材料收集齐全、规范的部门和个人,通过网络、校报、信息简报等多种形式宣传档案在高校评估中的重要作用,为提高档案工作在学校管理工作中的地位打下良好的思想基础,大力提高全员档案意识,增强档案工作者的责任感。
3规范管理,完善档案管理工作制度
建立完善的档案管理工作制度,是档案工作逐步实现规范化管理的有力措施和可靠保证。要逐步建立各门类档案立卷归档制度、档案人员岗位职责、档案的保管、借阅制度、各门类文件材料的归档范围和保管期限等,并对各部门的档案管理者提出明确的工作目标和工作要求。学校各部门都要对工作中形成的文件材料进行收集和整理,定期或不定期地移交到学校综合档案室。
通过建立档案管理制度,使学校各部门归档有范围,立卷有标准,借阅有规定,保密有条例,库房管理有措施,开发利用有目标。从制度上保证档案管理的顺利开展。
4加强培训,提高档案管理人员素质
档案工作水平的高低、质量的优劣,取决于档案工作人员的素质。加强队伍建设,提高档案管理人员的素质是搞好档案管理工作的基础。因此。必须加大对档案人员的档案业务培训力度,采用多种形式,有计划、有步骤地对他们进行档案专业知识、专业技能的培训,切实提高档案员的业务素质,使其掌握档案管理工作的基本知识和技能,贯彻落实好相关档案规范标准。此外,学校应制定相应的政策和措施,努力为档案人员的学习、工作、生活创造良好条件。使他们更安心于本职工作,提高业务水平,集中精力搞好档案管理和各项服务。
5转变理念,切实加强档案开发利用
高校档案部门在职能上从传统的管理型向服务型转变,围绕高校的教育教学工作,为各级领导科学决策,为高校教学、科研,为广大师生员工提供全面、及时、有效的服务。档案工作者要抓住服务这个根本,不断拓展服务领域。深化服务内容,优化服务方式,增强服务功能,充分发挥档案巨大的社会和经济效益。
依据档案管理规律,档案材料的收集、整理、编目,这一系列工作力求做到统一标准,整齐划一,减少随意性:档案的保存要分门别类,形成体系,案卷的排放位置相对固定,使分散、庞杂的档案资料变得规范有条理,利于检索,为档案的充分利用提供便利条件。
6强化监督,建立档案工作考核机制
档案安全风险评估 篇7
关键词:档案,数字化管理,安全风险, 评估
一、构建高校档案数字化管理安全风险评估体系之困境
(一) 对安全风险评估体系存在认识误区。随着高校档案数字化管理工作的不断展开, 相对而言, 部分地方或高校领导对于档案信息系统中存在的安全风险认识片面, 他们认为高校档案数字化管理不过是配置电脑, 安装配套管理软件足矣, 忽略了信息化技术的建设, 构建安全风险评估体系更是遥遥无期。从管理学的角度来看, 应当及时纠正在安全管理方面的错误认识, 将视线转移到档案信息系统的安全风险评估工作中。
(二) 高校档案数字化管理与安全风险评估相脱节。高校档案的数字化管理与安全风险评估体系难以实现有效的衔接, 究其原因, 研究者专注于对安全风险评估体系本身的研究, 忽略了其在高校档案数字化管理中应有的作用, 使得安全风险评估体系缺乏相应的针对性, 高校在体系选择上也更加局限。在实践中, 不仅要强调建立安全风险评估体系的必要性, 更要注重其实效性的发挥。
(三) 安全风险评估工作流程和技术标准有待完善。在数字化管理的背景下, 对档案信息的存储、处理、保密等工作应当按照国家有关信息安全技术标准予以进行。现实却是, 多数高校的档案信息资源建设还处于简单的信息管理和实物处理阶段, 致使无法集中档案信息, 实现互联网与计算机设备信息资源的共享。
(四) 安全风险评估工具的发展相对滞后。高校档案数字化管理工作的正常开展依赖于完整、准确的安全风险评估体系, 然而, 基于现实生活中的客观因素及风险评估工具自身的原因, 档案信息安全可能遭受来自内部破坏、外部攻击、内外勾结的破坏。鉴于安全风险评估工具的脆弱性或可能面临的威胁, 创新风险评估技术, 发展风险评估工具迫在眉睫。
(五) 高校档案数字化管理中安全风险评估人才有限。在档案管理工作队伍中, 存在人员素质不高、数量不足以及后继乏人的现象。结合档案管理工作实际, 工作人员既需要对档案进行熟练地数字化管理, 还需要对档案信息具备安全风险评估的能力, 综合型人才稀缺;在当前的高校档案管理人员中, 数字化档案管理的安全风险意识, 以及安全评估的专业知识和经验都严重不足;加之高校档案管理岗位缺乏吸引力, 工作默默无闻, 重复枯燥, 待遇偏低, 职称评定困难, 使得很多工作人员只是以应付的心态进行工作。
二、高校档案数字化管理安全风险评估体系之构建
安全风险评估是有效保证档案信息安全的前提条件, 也是制定安全管理措施的重要依据。识别高校档案数字化管理中潜在的安全风险, 采取及时、有效的措施, 消除安全隐患, 是建立安全风险评估体系的最终目标。具体而言, 构建高校档案数字化管理中的安全风险评估体系包含以下几个步骤:
(一) 开展安全风险评估工作。档案学视域下的安全风险评估是指对影响、威胁档案及其信息资源的可能性因素进行预估。确立评估内容, 制定评估指标是开展安全风险评估工作的前提, 也是建立和推行安全风险评估体系的重要依据。总的来说, 根据档案安全防护设施、档案安全应急机制和档案信息保密制度建设等内容, 制定安全风险评估目标。
(二) 实行安全风险评估体系的动态化管理。根据安全风险评估内容及评估指标, 进行安全评估体系的动态化管理。高校档案信息管理系统面向的主体是学生, 其安全风险评估的方法和过程应当具有规范性、系统性和动态性等特征。就档案信息系统而言, 不同的高校有着不同的规模、用途等, 各自所使用的技术、设备也不尽相同, 加之时间与地点的不同, 即使采用同一个安全风险评估体系, 最后的安全风险评估结果也是有差异的。
根据高校档案信息管理系统动态性和灵活性的需要, 参照各个高校具体的档案信息数据, 将评估体系与解决实际问题相结合, 构建不同的档案管理安全风险评估体系, 实现动态型的高校档案数字化管理。
(三) 拓展安全风险评估体系的方式和途径。高校集中了多种优秀资源, 包括丰富的校园文化、各类高尖端人才, 这为档案数字化管理提供了新方向。安全风险评估工作需要一支知识储备充足的工作队伍, 他们可以适应瞬息万变的网络环境和技术规律, 迎合师生不断变化的需求, 在档案数字化管理中占有主导地位, 为档案管理系统延伸安全风险评估的空间, 健全档案信息管理平台。
(四) 强化人才队伍建设, 落实安全评估体系。加强高校档案管理人员能力、素质的培养;帮助其树立正确的网络观, 合理使用网络资源, 遵守网络道德规范, 强化其法制观念和道德意识, 实现身心全面健康发展。
在档案管理工作中, 通过建立档案安全责任制, 加强对档案信息系统运行、管理的定期检查;采取奖惩制度, 将档案管理人员的具体表现与个人利益相挂钩, 发挥各项制度应有作用, 落实安全评估体系。
三、结语
随着信息技术的发展, 构建高校档案数字化管理安全评估体系具有紧迫性和必要性, 在现实生活中, 仅仅依赖于一些安全评估技巧是远远不够的, 还需要以各个高校实际情况为基础, 借鉴国内外高校档案数字化管理安全风险评估工作的有效方法和成功经验, 制定科学性、合理性的档案安全风险评估内容和指标, 开展多形式、多层次的安全评估体系建设工作, 保障高校档案工作的保密性和安全性。
参考文献
[1]吴绍忠.数字化档案馆信息安全风险评估[J].中国档案, 2009 (06) .
档案安全风险评估 篇8
一、数字档案信息安全存在的问题
(一) 管理制度尚未形成体系。先进的安全技术手段是保障数字档案信息安全的关键, 它是数字档案信息安全保障体系建设能够获得成功的重要支撑, 对数字档案信息服务、编研工作及档案信息化建设效益的发挥起着重要的作用。但是, 随着现代社会网络应用技术的迅猛发展, 数字档案信息对网络技术的过分依赖使得数字档案信息的安全保障问题日益凸显, 安全保障技术更新过快, 管理体制跟不上技术更新的步伐, 我国数字档案信息安全管理的水平相对落后, 管理制度尚未形成体系。档案部门虽然大多都制定了档案信息安全管理制度, 但是大部分只是为了应付上级检查而定, 互相抄袭的情况偏多, 没有根据具体的实际情况而定, 也没有结合本单位、本部门、本应用系统制定, 致使管理体制执行起来比较困难, 最终导致技术更新过快, 制度与管理工作脱节, 管理制定无法形成完整的体系。
(二) 风险预判能力相对薄弱。保障数字档案信息安全不仅是档案工作永恒的主题, 而且也是国家信息安全工作的一项重要内容。档案部门在学习、宣传、贯彻国家关于数字档案信息安全管理规定方面的力度相对较弱, 且目前我国档案部门普遍面临的现实问题是档案管理专业人员对于数字档案可能面临的安全风险缺乏准确的预判能力, 无法树立科学正确的数字档案信息安全观念, 不能坚持以预防为主的数字档案安全保护原则, 对数字档案安全保护能力相对薄弱, 突发紧急情况的应变能力较差, 各种威胁因素可能直接或间接导致数字档案信息的不真实、不完整或者不可用, 造成参考价值失去意义, 无法将数字档案信息安全纳入到档案信息安全整体保障体系之中。
(三) 信息安全存储格式不一。数字档案信息安全是构成整个数字档案信息安全保障体系的重要方面。目前, 大多数的数字档案信息系统除了日常进行杀毒软件的升级和数据备份以及简单的信息系统安全维护以外, 基本没有其他的保护措施。这主要表现在存储方面和读取方面, 我国的现行存储技术还不能完全解决数字档案信息的长期保存问题, 且现有的常用数字档案存储介质的使用年限与传统的介质也相差甚远, 受温度、湿度、磁场等因素的影响也比较大。这不仅增加了数字档案信息的安全风险, 而且造成了安全保护不能够长久的持续在数字档案信息安全保护的整个生命周期中。而风险评估正是将安全保护一直贯穿于整个数字档案信息系统的整个生命周期内的一项有效措施, 使数字档案信息安全保护具有持久性。
二、健全数字档案信息安全保障风险评估的基本途径
(一) 健全安全管理保障体系。信息安全风险评估是一种重要的安全保障手段, 可以解决我国数字档案信息安全管理的安全定位不准、安全规定不够全面、规范, 安全制度的执行不严格, 缺乏统一的规则、安全管理体系不够健全等问题。并且可以促使我们运用多种技术和管理手段, 不断地进行创新, 建立起完善的数字档案信息系统安全保障体系, 来保障数字档案信息化建设的顺利进行。就目前我国数字档案信息安全管理现状分析, 加入安全风险评估也可以健全数字档案信息管理制度, 尤其是在数字档案信息系统的初始设计阶段就应将安全风险评估纳入其中, 通过自我评估、认证评估和监督评估等方式, 来达到防患于未然的目的。
(二) 科学预判潜在安全风险。在数字档案信息保存中存在许多不确定因素, 这些不确定的因素可能会转化成潜在的安全风险, 其中包括技术风险、突发事件风险、信息保存中的管理风险以及保存中的其他安全风险。加入安全风险评估可以从更深层次的角度来分析产生这些问题的原因, 提高风险判断和预防的能力, 也能及时发现现行的数字档案信息安全管理中存在的潜在问题和风险, 改变以往事后补漏的管理形式。并且通过各种风险评估手段和方法以及工具来分析和查找威胁数字档案信息管理中的安全问题, 是对一般性数字档案信息管理的有益补充, 是解决如何确切掌握数字档案本身以及赖以生存的档案信息管理系统、网络系统的安全程度问题的有效方法, 并提出相应的数字档案信息安全保障的管理措施。
(三) 确保信息存储长期有效。信息安全风险评估是建立数字档案信息安全保障机制中的一种切实可行的科学手段和方法, 通过风险评估, 可以使信息安全风险控制在可接受的范围内, 从而使数字档案系统达到稳定运行的目的, 且为保障数字档案信息系统的安全建设提供了技术支持和参考。信息安全风险评估可以改善我国数字档案信息安全保障体系建设尚未成熟的现状, 促使各地档案馆对数字档案的了解更加全面透彻。且随着网络技术的不断发展、数字档案信息系统软硬件设施的升级调整、信息系统数据量的增大、网络环境的变化和数字档案信息安全要求的调整等都会影响数字档案信息的安全状况, 造成了数字档案安全保护不能长久持续, 这就需要信息安全风险评估来保障数字档案信息的安全管理长期有效。
参考文献
[1] .蒋贺.数字档案信息保存中的风险评估研究[C].2010年全国档案工作者年会论文集, 2010
[2] .项文新.档案信息安全保障状况需进行风险评估[J].中国档案, 2007.12
档案安全风险评估 篇9
我国是发展中国家, 社会风险对我国社会生活也即群体聚合态势的影响, 有些地方体现了发达国家社会风险的特点, 有些具有自己国情特点。这些对社会发展具有重要影响力的时代走向, 深刻影响了相关学科的策略研究工作。档案文件, 作为辅助社会管理的重要文书凭证, 对解决社会矛盾, 熨平我国转型期社会风险剧烈波动具有重要作用。本文拟以风险社会理论为背景, 谈谈国有企业档案安全有利于社会管理的价值。
一、风险社会理论
风险社会理论是德国社会学家贝克在1986 年出版的《风险社会》一书中首先提出来的概念, 最初主要是指技术因素在越发紧密地聚合社会的同时, 也带来了风险社会扩散的高危性。这个理论开始并没有引起德国学界的重视, 这主要是因为技术因素将会带来的社会风险影响的具体内容方面还没有得到足够的发掘。不过在传播过程中, 英国学者吉登斯对这个理论做了制度维度的重要补充, 具体化了风险社会理论的内容, 从而引起了更多学者的共鸣。此后, 有很多学者对这一理论进行了深入阐释, 理论影响遂蔚为大观。20 世纪90 年代之后, 风险社会理论引起了我国学者的重视。
风险社会理论有技术和制度两个主要维度。技术之维探讨的是伴随科技对社会聚集状态影响的深入, 社会风险的科技高效特征与之并行。比如由信息技术推动的舆论传播成倍加速, 基于网络时代信息便利促成的网络虚拟社区等。制度之维探讨的是基于社会越发紧密联系在一起的背景下, 制度对社会运行的影响力越发强大, 社会风险的制度诱发性可能性也越发突出。英国社会学家吉登斯列举了四个方面, 比如世界民族国家体系会带来极权主义、世界资本主义经济会产生经济崩溃、国际劳动分工体系带来了生态恶化、世界军事秩序会诱发核大战的爆发。在这两个主要维度之外, 风险社会理论还存在着其他两个重要阐释、补充声音。一个是以英国文化学者斯科特·拉什为代表的文化维度。拉什认为风险作为一种心理认知的结果, 在不同文化背景中有不同的解释话语, 不同群体对于风险的应对都有自己的理想图景, 因此风险在当代的突显更是一种文化现象, 而不是一种阶级结构性质的社会秩序。一个是以荷兰学者阿赫特贝格为代表的政治维度。他认为基于技术进步带来的社会后果就是市民社会的充分发展, 在社会———国家这个结构框架中, 当今社会, 由单个市民引发的能够对整个社会运行起到影响力的可能性事件几率增大, 由于社会事件的个体性引线增多, 单纯依靠强制力的国家机构无法高效约束社会事件爆发的轨迹, 社会治理走更加民主协商的道路是必然趋势。
风险社会理论讨论的问题实质是科技对现代社会人与人之间相互影响力的改变, 以及在此种社会聚合状态下的社会博弈策略:科技不仅改变了人类征服自然的能力, 也改变了人与人之间的群体状态, 人与人之间的群体状态下的博弈模式。
二、风险社会对国有企业档案安全工作带来的影响
1.风险社会理论“技术之维”对国企档案文件安全工作的影响。重视档案安全, 是应对技术性高风险社会的时代性要求。贝克认为由于现代科技缩短了人与人之间交往的距离, 社会事件的爆发出现了比以往传播速度更为迅速、传播范围更为广泛的特点。我国档案管理工作现在正在迈向档案信息化阶段, 但相关档案网络安全工作还没有得到充分重视。由于普通民众对电子档案的不了解, 这个领域被人利用, 造假骗人, 带来的后果可比传统纸质档案带来的危害更加严重, 甚至能够引起大规模的群体事件。现在网上学历造假, 就有人宣称自己的证书在某某网站上能够查到, 或者更有甚至竟然宣称能够在正规部门的网站上查到。这其中的或因技术性因素, 或因管理漏洞带来的潜在危害, 如不重视防范, 发觉不易, 危害却十分严重。在我国现有体制下, 国有企业既承担着生产功能, 也承担着一定的社会责任, 普通民众对国企存有较高的信任度, 如果国企不注意档案安全防范, 一旦电子档案方面为人所乘隙而入、加以利用, 企业则极易承担经济和社会责任双重责难。
2.风险社会理论“制度之维”对国企档案文件安全工作的影响。重视国企档案文件安全工作, 是助理社会改革的使命要求。吉登斯认为由于现代社会制度控制力的空前提高, 一旦制度运行出现问题, 制度受益方与受损方极易陷入尖锐对立状态, 势必形成涉及范围十分广泛的群体事件, 甚至危及整个社会能否持续运行。我国正步入改革的深水区, 这一阶段涉及的利益平衡问题很多涉及制度设计、执行。国有企业在其长期发展过程中, 利益损益, 体现着深刻的制度痕迹, 由此连带的档案社会责任也越发重大。但我国国有企业档案安全利用方面存在着落后于时代需求的缺点, 这一方面有些国企怕相关档案查询公开后会给自己找麻烦, 于是千方百计地不让查。一方面有些国企放任档案利用的正常监管。这一方面造成了档案对社会矛盾的化解功能, 一方面造成了档案证明可信性的丧失。这些都不利于良性的社会运行, 没有起到对社会风险预防、解决应有的积极作用。
同时意义更为深远的是不利于社会正式规则和潜规则的引导, 不利于社会制度博弈模型的再构, 论之细者, 一旦相关不利于制度博弈方的档案文件, 被趁着国企档案安全制度的不健全, 在体制范围内被以借口毁掉, 社会正义难以实现, 则群体性事件的危险极易增大。
3.风险社会理论“文化之维”对国企档案安全工作的影响。深化档案安全意识, 既是档案服务精神深化的要求, 也是企业越来越多承担社会责任的要求。英国社会学家拉什认为风险意识需要通过文化释义才能具体到行动中来, 而文化内涵则是一个个人有个人理解的人文指向, 这就造成了社会风险的个体性特点即不同的人有不同的风险关注, 而对这些各异的风险意识的排解, 需要有文化内涵的关注。国有企业档案的保管, 是一个介于政府部门的正式规章与私营企业无序管理的中间状态。有些档案文件国企有意识地保留了, 而有些档案文件, 国企则丝毫没有意识到其对个体性员工、社会建设的价值, 由此疏于整理, 保管。正如前所述, 由于国企既承担着生产功能, 也承担着社会功能, 处于社会改革步入深水区的阶段, 一旦相关档案文件的社会利益补偿的证明价值得以需要, 则国企则难以逃脱被相关方面诟病甚至反复纠缠的尴尬处境。
4.风险社会理论“政治之维”, 对国企档案安全工作的影响。重视档案安全, 会逐渐成为政府相关部门对国企的重要考核指标。荷兰政治学家沃特·阿赫特贝格认为, 随着市场经济的发展, 社会自主性增强, 政府不能再直接干预社会生活层面, 这就为政府更加重视社会问题的协商解决留出了发展空间。政府要重视协商共识, 就必然更多地借助档案文件的凭证功能, 一旦凭证不在, 政府指导企业承担社会责任的工作必然遇到困难, 必然阻碍协商政治转向, 从而政府必然会更加重视企业的档案安全检查、指导工作。
三、国有企业档案安全存在的问题
1.基于档案社会责任的服务意识与安全意识欠缺。随着公共档案馆信息服务功能的大力实施, 尤其是《政府信息公开条例》正式实施, 对国有企业档案信息服务业提出了新的标准和要求, 因此作为国企档案工作最新课题:档案信息的服务意识与安全意识也被众多档案工作者和学者所重视。但一方面一些地方缺少档案社会责任的使命感, 缺乏服务意识, 抱着少做事无责任的心理对正常查档怕麻烦、不耐烦。凡此种种, 都不利于社会和谐, 甚至容易激发群体性事件。
2.新技术条件下数字档案信息安全建设还不成熟。随着现代信息技术的快速发展, 电子文件似火山喷发一样, 猛烈袭来, 数量巨大, 给国有企业档案工作的管理带来了新的课题、新的考验、新的难题。因为电子文件具有容易被修改、被篡改、被窃取、传播速度快、删除速度快的特点, 尤其是它的验证体系还没有成熟和被更多的人知晓。对电子文件的管理, 必须解决好它的保真、保密、保存、保读取等巨大难题, 尤其是如何普及对电子档案文件安全意识的民众知晓, 是一个需要特别注意的重大问题。
3.档案管理安全制度措施有待加强。档案是珍贵的凭证, 在社会转型期, 其涉及到利益主体方方面面, 如果缺少制度强制介入, 则很容易出现为人所乘之机。例如, 在利用工作中, 提供档案原件时没有做好保密措施, 被利用者窃取到相关信息, 造成档案泄密, 有时利用完毕的档案不及时入库, 被乱放搞错, 导致档案不能正确归位, 下落不明, 丢失等情况, 还有的档案工作者责任心不重, 缺乏必要的制度制约, 利用完毕的档案出库后, 放在自己的办公室内, 没有及时入库, 脱离了监督和管理, 也可能造成档案的安全隐患。还有就是档案库房没有做到安全管理, 漏水、生虫、发霉等情况也给档案的实体安全带来了严重的威胁。种种情况的存在, 说明档案管理如果制度不健全, 再有监管不力的情况存在, 那么危害档案安全的漏洞就很多, 因此要从源头上补救才行。
四、档案安全工作应对风险社会的对策
1.重视档案社会责任意识, 强化档案工作者的使命感。重视档案安全是档案学一贯的研究议题, 但风险社会的来临促使档案安全议题出现了新的背景———高风险社会的档案社会责任问题。随着我国改革的逐步深入, 社会转型期各种矛盾集中爆发, 这些促使档案的社会发展见证功能得到极大的利益补偿功能赋予, 档案工作者要重视深刻理解档案的社会价值, 只有这样, 才能跳出传统认识, 发现档案有助于社会变迁的价值。也只有这样才能有意识地保护档案安全, 推动档案安全建设。
2.重视技术安全防范体系建设, 加强档案安全技术研究。档案安全防范体系的建设, 要严格遵照国家规定的信息安全分级标准建立国有企业电子文件和档案的信息系统, 采取各种安全措施, 加强国有企业网络安全管理, 国有企业各部门要严格执行企业设置的各种安全管理制度, 及时检查, 才能保障机器设备的安全使用, 及时更新软件, 才能保障企业档案信息不被轻易地泄密、篡改、丢失、窃取。另外还要加强对国有企业涉密计算机以及涉密载体的安全, 采取必要的安全措施, 严禁国有企业档案信息、文件在企业内部传输使用过程中丢失和被窃密。对于电子文件的存储介质方面也要采取严格的检验和信息认证等措施, 以此保证电子文件的存储介质安全、长期使用。
3.明确制定对外服务规章制度。在我国, 国有企业文件和档案存在着较强的专业性和保密性, 因此在大力推广国有企业信息对外服务的同时, 还要有针对性地制定国有企业文件和档案对外服务相关的规章制度, 在这些规章制度中, 要严格规定国有企业文件和档案信息资源哪些是可以提供给所有用户使用的, 哪些是保密档案是绝对不能对外公开的, 此外, 在规章制度中要明确国有企业文件和档案对外利用的收费标准等等, 这样才为国有企业文件和档案对外服务提供社会化信息服务提供可靠的制度保障。
参考文献
[1]杨冬权.在全国档案安全体系建设工作会议上的讲话[J].档案学研究, 2010 (3) .
档案安全风险评估 篇10
关键词:云计算,数字档案馆,安全问题
有人把云计算比喻成自来水公司的供水服务, 每个家庭或单位无需自己挖井, 也无需自己管理井水, 而只需要支付一定的费用就可以满足用水需求。云计算也是类似的, 它是将大量用网络连接的分布式计算资源统一管理和调度, 构成一个计算资源池向用户提供按需服务。云计算这种新型服务模式给IT界带来了巨大的冲击, 它有着超大的存储容量、强大的计算能力、安全可靠的数据存储、便于信息交流共享和客户端要求低等特点。
数字档案馆是以电子档案为对象, 以电子计算机等数字设备为手段, 基于网络实现档案接收、整理、保管、鉴定、保护、共享利用的档案管理模式。数字档案馆是随着计算机技术、多媒体技术、网络技术的不断发展而产生的, 是由高新技术支持的数字档案信息系统, 具有着档案信息数字化、信息传输网络化、利用方式多样化、服务模式个性化、管理环境虚拟化等特点。
充分利用云计算服务模式的各种有利条件, 建设基于云计算的新型数字档案馆, 将成为下一代数字档案馆建设的必然趋势。首先, 云计算将改变数字档案馆的工作职能。在云计算环境下, 数字档案馆已经不再需要花过多功夫来考虑基础设施和系统搭建了, 也无需担心由于病毒攻击等原因造成档案信息资源的丢失了, 其工作重心主要转变为档案信息资源建设和档案服务模式的创新。其次, 云计算可以降低数字档案馆建设成本。云计算环境下, 档案馆不必再购买昂贵的服务器和大容量的存储设备了, 只需要向云计算服务提供商支付一定费用即可实现数字档案信息系统的构建, 同时还可以降低对计算机人才的依赖, 从而实现对人力资源成本的降低。最后, 云计算还可以全面提升数字档案馆的工作质量, 包括系统运行能力、服务层次及用户体验等。
尽管如此, 由于云计算的特点以及各种技术障碍原因, 在云计算环境下建设数字档案馆依然存在着很多安全风险, 主要包括:
信息安全风险:在云计算环境下, 档案馆将失去对物理安全的控制, 加之云计算网络化和开放性的特点, 数字档案馆的档案信息就存在着极大的安全风险。系统安全漏洞、云计算基础设施、黑客攻击、信息传输中的窃取破坏、管理人员无意操作……都会对档案信息的安全性造成极大的威胁, 造成档案泄密、篡改或损毁。
长期保存风险:档案作为历史最原始的记录, 往往都需要长期保存。数字档案馆的档案信息一般都以数字编码形式存储, 对软硬件系统有着极强的依赖性。在信息技术飞速发展, 不断革新的时代, 保证数字档案信息长久的可读、可识别就显得非常重要了。
云计算平台运行风险:云计算平台任何的硬件设备问题、系统故障、网络传输故障等等, 都会影响数字档案馆的正常运行, 甚至造成服务中断, 这会严重影响档案工作的开展。
服务商经营风险:基于云计算的数字档案馆对云有着严重的依赖, 如果云服务商突然破产或者改变业务范围及运营方式, 那这将给数字档案馆带来极大的麻烦。
法律风险:我国《档案法》中对实体档案的出入境管理有着明确的规定, 但到目前为止, 国内尚无对数字档案信息的存储位置、跨境网络传输等问题做出明确规定。但可以预见的是, 随着电子文件的普及, 相关的法律规定肯定会相应出台。在云计算环境下, 特别是对于跨国大型云计算服务而言, 数字档案馆无从得知自己的档案信息存在什么位置, 存在哪个国家;档案信息在传输过程中经过的线路更是难以控制。这无形中就为数字档案馆的工作带来了一定的法律风险。
面对云计算环境下数字档案馆建设存在的各种安全风险, 我们不可因噎废食, 放弃将云计算服务与数字档案馆建设工作的结合。只要通过适当的管理方案、技术手段以及云服务商和档案馆的共同努力, 就一定能尽可能地规避风险, 发挥出在云计算环境下建设数字档案馆的巨大优势。
第一, 云计算服务商的选择。在云计算环境下建设数字档案馆, 云计算服务商的选择至关重要。选择适合数字档案馆建设所需要的云计算平台, 不仅可以有效促进数字档案馆建设工作的开展, 还可以避免因云计算平台本身的各种问题而带来的不必要的麻烦。云计算服务商的选择可以从基础设施、服务内容、技术水平、法律法规、标准认证、商业信誉、经营状况、服务费用等方面进行考察选择。
第二, 合同谈判。为了保证数字档案馆的正当权益及档案信息安全, 在选定好云计算服务提供商之后, 合同内容的谈判就显得非常重要了。数字档案馆首先要对自己的业务需求和安全需求做出详细论证分析, 明确自身需求, 并在合同中体现出来。此外, 数字档案馆还需注意计费方式、监督检查、违约责任、终止条款等方面的内容。
第三, 安全管理策略。事实上, 正确而完备的管理策略往往才是安全保障的灵魂。基于云计算的数字档案馆在管理方面应该注意:“入云鉴定”, 对于保密需求较高, 信息内容珍贵的档案, 可以选择本地脱机保存, 避免在云中遭受泄密、破坏等威胁;内部管理, 加强对工作人员的培训和安全教育, 并控制操作权限;用户管理, 做好访问权限控制;监督检查, 定期对数字档案管系统进行安全检查评估;建立系统日志, 全面记录档案信息资源的形成、管理及使用情况;做好应急预案, 提高应急处理效率等。
第四, 推动法律体系建设, 完善标准制定。随着云计算在各行各业的广泛应用, 各种各样的问题随之产生, 急需建立健全相关法律法规和行业标准, 从国家法律层面和行业标准层面对云计算的发展和应用加以引导、规范和约束。对于云计算在数字档案馆中的应用, 需要档案馆和云计算服务商一起, 针对云计算应用过程中的信息存储、管理权限、数据保密等问题制定相应的行业标准和行为规范, 明确档案馆与云计算服务提供商之间的权利、义务和责任, 从而全面推动云计算在数字档案馆建设中的应用。
论新时期的高校档案评估工作 篇11
关键词高校档案 评估 档案管理
一、强化档案行政管理职能,为高校档案工作奠定坚实的基础
(一)完善科学的管理体制。
各高校要本着对历史负责,为现实服务,替未来着想的政治意识,增强做好档案工作的使命感、责任感和紧迫感,强化高校档案管理工作的组织领导。各高校要由一位校级领导直接负责本校的档案工作,并根据本校档案工作的实际,切实解决档案工作中存在的各种突出问题。校级档案工作领导的主要责任是:贯彻国家关于档案工作的法律法规;审批本校有关档案工作的发展规划、规章制度,结合本校档案工作实际提出指导性意见;保证档案工作的必要投入;保障档案工作与学校其它工作的同步发展;主持全校性档案工作会议,研究和决定本校档案工作发展中的重大问题和奖惩事宜;积极为本校档案工作的开展营造宽松的政策环境。
(二)加强高校档案队伍建设。
各高校档案部门的编制由各高校根据在校生人数比例及馆藏档案数量等具体情况确定。根据教育部《关于加强高等学校档案工作的几点意见》中的文件精神,结合近年来各高校档案工作的发展形势,高校专职档案人员的配备标准应为:在校生人数在 5000人以下的配备专职档案人员2-3人;在校生人数在5000人到10000人的配备专职档案人员4-6人;在校生人数在10000-20000人的配备专职档案人员7-10人;在校生在20000人以上的每增加2000人配备1名专职档案人员。
各高校配备的专职档案人员,要具有相应的档案专业知识和工作能力,经过岗位培训并取得证书,并拥有较强的责任心与事业心。另外,高校档案部门还应配备计算机专业人员以适应档案管理现代化的需要。档案部门负责人应由有一定档案管理工作经验的干部担任,要重视高校档案管理人员的队伍建设,支持鼓励他们多参加省、市档案局举办的各种档案业务培训,及时评聘档案业务职称,规模较大的院校应当设立档案专业高级技术职称岗位,保证他们与其它专业技术人员享有同等待遇,从而保证各高校档案人员的相对稳定,以适应档案事业发展的需要。
(三)强化高校档案工作制度建设。
各高校要及时制定、修订档案工作中的各项管理制度,编入学校的制度汇编。建立健全学校的档案管理办法、文件材料归档立卷办法,强化档案岗位责任制、档案保密制度等等,制定档案在接收、鉴定、保管、销毁等一系列工作中的规章制度,并在全校范围内进行广泛的宣传,提高各高校的档案意识,从而保障各高校档案管理工作的顺利进行。
二、提升高校档案管理水平,保障高校档案工作有序开展
(一)构建完备的硬件环境。
各高校要保证档案部门的库房、办公室、阅档室三室分开,并根据在校生人数达标库房面积。各高校档案库房使用面积可参照以下标准设置:在校生人数在 5000人以下的,库房使用面积应为300平方米以上;在校生人数在5000人-10000人的,库房面积应为500平方米以上;在校生人数在10000人以上的,库房面积应为1000平方米以上;在校生人数在20000人以上的,可视学校实际情况按比例增加库房面积。有条件的院校可单独建设馆库。各高校要配置足够的档案库房,并留有发展余地,换建改建和重建校舍的学校要把档案馆(室)及校史馆的建设列入学校的基本建设总体规划。其中,校史馆应具有500平方米以上的使用面积。
(二)提供坚实有力的经费保障。
各高校要提高对档案工作的重视程度,将档案工作经费列入学校预算,并在人、财、物方面提供重要支持。确保每年划拨的档案工作办公经费能够满足档案工作的实际需要。
(三)注重业务建设,提升管理水平。
高校档案评估工作的核心目的就是督促各高校档案人员注重学习,积累经验,在平时的工作中不断加强业务建设,提升档案管理水平,提高归档案卷的质量。
1.加强档案信息化建设,逐步实现档案管理现代化。
随着各高校办公自动化进程的加快,电子文件日益代替纸质文件。学校档案载体发生着巨大的变化,学校应加大档案管理现代化的力度,在实现归档双轨制的基础上,逐渐加强电子文件的归档管理,加快档案馆藏数字化的进程,建设档案信息网站,在校园网发布信息,内容充实并及时更新,并逐步以现代化管理手段取代手工管理。
2.加大高校档案开发力度,不断提升服务水平。
加强高校档案工作的根本目的,是为了及时、准确地提供档案材料,进而为学校的发展和社会的进步服务。高校档案部门必须明确树立全心全意为教学、科研和各项管理工作服务的思想,从实际出发,逐步完善各种服务手段,编制必要的检索工具,健全网络检索系统,认真开展编研工作和咨询服务,主动为利用者提供系统的档案材料,积极开展多形式、多途径的利用工作,从而提高服务质量,最大限度地发挥档案的作用。
总之,高校档案工作是一项系统工程,需要各高校档案人员在平时的工作中严格按照标准进行规范管理,并持之以恒。各高校应该以档案考核评估工作的为契机,以评促改,以评促建,认真总结各高校在档案管理工作方面的经验与教训,寻找差距,创造条件,认真整改,集中力量解决本校档案工作中长期存在的突出问题。一定不能为评估而评估,搞形式主义,突击应付或敷衍了事,这样就违背了评估工作的宗旨。各高校要进一步提升档案管理工作的整体水平,使本校的档案工作再上一个新台阶,为学校乃至高等教育事业的发展做出积极的贡献。
参考文献:
[1]石敦良.浅谈高校档案评估工作的作用和原则[J].成都电子机械高等专科学校学报,2010,03.
档案安全风险评估 篇12
关键词:公路工程档案,信息安全,风险识别
一、档案信息安全风险要素及公路工程档案中的问题分析
(一)档案信息安全风险要素。
信息技术的飞速发展,使得信息技术的应用于普及都处于新的发展阶段。档案信息安全管理工作所面临的风险主要来自技术和管理两方面。首先,由于现代档案信息的复杂性为信息档案管理工作的进行带来了全新的挑战和风险。做好档案信息安全管理工作,不但要做好档案载体的接收、保管以及利用,更要做好网络信息环境中产生的电子文件的接收、管理以及网络化利用和存储备份工作。档案信息安全管理工作中,电子文件因其具有格式多样、数字资源保存困难等特点,其风险还处于渐进改善的动态发展过程,信息化助推档案管理的理念与方法、策略与思路、手段与对象的变革与提升。其次,网络、计算机和档案管理信息系统作为数字档案信息依附的软硬件网络环境,存在先天不足和技术方面的不足这也是引发档案信息管理安全问题的风险所在。
当前,档案馆接收档案的主流模式为双套制(也称为双轨制)。将电子文件制作成电子文件时,信息容易丢失,纸质文件的原貌也难以得到长期保存,同时多媒体档案也难以制成纸质拷贝。档案管理工作者在传统知识结构和传统归档方式影响下,技术不熟练、操作不规范甚至误操作等行为时有发生。档案利用开发和提供的主要手段是馆藏档案的数字化开发。数字化开发过程中,会引起档案原件磨损、丢失、泄密等。这些也都无疑增加了档案信息的完整性、规范性以及有效性的风险要素。随着档案载体形式的多变,档案内容信息的准确性、完整性以及非变更性都是档案信息安全管理工作需要重点保障的。管理工作者的知识结构的单一、不合理,操作技术的不规范,数据迁移的不能及时、有效,也是引发各种载体档案信息无法读取,信息有效性得不到保证,档案内容或形式发生改变等风险。
(二)公路工程档案管理中存在的问题。
公路工程具有周期长、流程长、阶段多等特点,公路工程档案管理也因之呈现出复杂、多样及成套的特点。实际工程中,建设单位及管理单位对工程本身的过分重视而忽略了内业管理。公路工程档案资料的收集整理与归档工作不能与工程建设协调开展,档案管理严重滞后,进而为工程建设带来了一定的影响。公路工程档案管理中存在的问题主要表现在:档案意识不强,档案信息收集标准不统一,人员素质待提高以及规章制度落实不到位等。档案意识不强,工程中档案管理的重视度还不够,档案管理相关结构未能起到应有的作用形同虚设。公路工程档案体制机制缺乏激励保障措施还不够健全。很多工程技术人员对档案工作认识不到位,造成档案管理与工程项目脱节。
二、公路工程档案信息安全风险应对策略
对于档案信息技术方面的风险,需要从网络技术的各个方面进行防护。通过防火墙技术加固网络访问控制,病毒防护软件和查杀技术防止系统文件被破坏,通过对档案信息文件加密技术防止信息泄露,容灾备份技术避免设备故障风险等。管理方面的风险则要从现代档案管理业务的特点和需求出发,建立各种防范制度和治理措施。根据IT技术动态发展,内部IT资源管理特点采取技术变迁管理方式,及时实施格式转换、数据迁移和版本跟踪管理,以及多人协同负责,定期轮换岗位和相互制约方法,降低单人集中管理之安全风险。档案信息安全风险防范中技术方面的防范与管理方面的防范是相互作用,相互渗透。技术防范措施的有效实施需要工作者按照管理制度、操作规程以及标准规范的执行和监控,管理方面风险防范的方法措施也需要随着网络技术的发展以及档案信息业务范围的扩大,及时进行修订、完善。在档案信息安全风险的防范中,建立安全防护体系时,档案信息安全风险中技术与管理两个方面需要有机结合,根据档案管理的需求,在充分了解技术防护产品和使用方法的基础上,配合安全管理方法加以实施落实。
三、公路工程档案信息风险安全保障体系
保障档案信息安全既要建立安全保障体系提高网络系统免疫力,又要建立科学管理制度和培养正确的行为规范,将二者有机结合。
安全保障体系的建立要保障网络与计算机系统、档案数据、应用软件的安全以及病毒防范与治理工作。首先,通过入侵检测和访问控制服务,保障网络与计算机系统的安全。入侵检测和访问控制服务工作主要从基础设施、计算机设备等硬件设备的无故障运行以及合法用户的正常与规范使用的保障两个方面进行;其次对档案数据做好加密、双套制及容灾备份工作,保障档案信息数据的安全。保障档案信息安全的有效措施有数据加密、容灾备份以及硬盘加密等,最终保障档案信息的完整、真实有效;通过防偷窃和生物识别身份认证措施保障应用软件的安全。合法用户在合法的权限范围内执行合法操作是档案信息系统安全运行的保障,因而要从内部安全管理、数据加密以及权限管理方面确保合法用户的使用权限;建立网络化病毒防范体系,实现病毒库的同步升级确保病毒的治理与防范。工作者提高自身安全意识,规范操作将病毒彻底扼杀。
科学管理制度建立和正确行为规范的培养,要通过建立组织保障体系,加强安全防护的制约性与综合治理的持续性。建立制度保障体系,规范现代档案管理业务的工作流程。制定综合管理制度和相应操作规范,对网络服务器等规范管理保障服务管理科学有效。按照档案信息的安全级别和保密程度,规范档案信息的安全存储管理。另外也要对档案应用系统的安全操作及技术变迁进行规范管理。强化过程跟踪与控制,监督执行体系确保措施执行有力和落实到位。
档案信息安全风险多种多样,安全保障体系的建立是一向长期、连续的工作。档案信息安全保障体系的广泛、深入研究不仅是档案信息安全保障工作开展的基础,更是确定宏观战略发展的保证。
参考文献
[1]马丽娟.风险管理视角下的电子文件安全管理研究[J].晋图学刊,2009(5).
[2]薛四新.档案馆信息安全管理策略研究[J].档案管理,2004(5).