■肖 茜

近年來，隨著信息技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，數(shù)字檔案的開發(fā)、利用成為高校檔案工作的重要組成部分。信息技術(shù)在給我們帶來方便的同時(shí)，也帶來了安全隱患。檔案信息安全是檔案工作的生命線和底線。因此，構(gòu)建數(shù)字檔案信息安全保障體系已經(jīng)成為當(dāng)前高校檔案管理的一個(gè)重要課題。數(shù)字檔案信息安全保障體系涉及多個(gè)方面，鑒于目前該研究領(lǐng)域存在重技術(shù)輕管理，重防御輕預(yù)防，重外部安全輕內(nèi)部安全的現(xiàn)狀，本文擬從管理這一維度進(jìn)行探討。

一、高校數(shù)字檔案信息安全保障管理體系的內(nèi)涵

高校數(shù)字檔案信息安全保障管理體系是高校數(shù)字檔案信息安全保障體系的重要組成部分，是指以保證高校數(shù)字檔案信息的利用安全和信息載體的運(yùn)行安全為目的所建立的信息安全方針和目標(biāo)，以及為實(shí)現(xiàn)這些目標(biāo)所采取的方法的體系，包括數(shù)字檔案信息安全保障管理體系的建立、實(shí)施、操作、監(jiān)督、復(fù)查、維護(hù)和改進(jìn)等一系列管理活動(dòng)，表現(xiàn)為戰(zhàn)略、人才、組織、制度、運(yùn)作、技術(shù)等諸多要素的組合。

二、高校數(shù)字檔案信息安全保障管理體系的內(nèi)容

根據(jù)內(nèi)涵，筆者認(rèn)為高校數(shù)字檔案信息安全保障管理體系包含信息安全戰(zhàn)略的制訂、管理平臺(tái)的搭建、運(yùn)作模式的構(gòu)建、技術(shù)策略的選擇四個(gè)方面。

（一） 信息安全戰(zhàn)略的制訂

信息安全戰(zhàn)略是信息安全保障管理體系指導(dǎo)性的上層建筑，對(duì)體系的管理平臺(tái)的搭建、運(yùn)作模式的構(gòu)建、技術(shù)策略的選擇起著總體性和方向性的指導(dǎo)作用。高校數(shù)字檔案信息安全戰(zhàn)略的制訂應(yīng)以對(duì)高校檔案管理機(jī)構(gòu)內(nèi)部環(huán)境和外部環(huán)境的進(jìn)行的必要的、詳略得當(dāng)?shù)难芯亢头治鰹榛A(chǔ)，把握主動(dòng)防御、全員參與、全過程控制、動(dòng)態(tài)管理、持續(xù)改進(jìn)的五項(xiàng)原則。

主動(dòng)防御原則要求對(duì)信息利用和信息載體運(yùn)行風(fēng)險(xiǎn)進(jìn)行主動(dòng)識(shí)別、分析與控制，同時(shí)兼顧成本效益原則，根據(jù)ABC分類法區(qū)分主次因素進(jìn)行分類控制，以達(dá)到滿意的信息安全狀態(tài)。

全員參與原則強(qiáng)調(diào)從實(shí)質(zhì)上提高檔案管理機(jī)構(gòu)全體工作人員的信息安全意識(shí)，強(qiáng)調(diào)發(fā)揮所有信息安全參與者的主觀能動(dòng)作用，而不是僅僅依靠信息管理者和信息技術(shù)支持人員。

全過程控制原則要求確保電子檔案信息安全必須建立并執(zhí)行一整套科學(xué)合理規(guī)范的管理制度,從每一個(gè)環(huán)節(jié)上堵塞電子檔案信息安全的漏洞。這些環(huán)節(jié)包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔，到電子檔案信息的保管、利用的全過程。

動(dòng)態(tài)管理原則強(qiáng)調(diào)信息安全管理不是一成不變的，必須根據(jù)內(nèi)外部環(huán)境的變化，適時(shí)地根據(jù)情況進(jìn)行再次識(shí)別與評(píng)估，及時(shí)調(diào)整管理思路與手段。

持續(xù)改進(jìn)原則要求信息安全管理體系必須根據(jù)實(shí)際運(yùn)行結(jié)果進(jìn)行階段性評(píng)估，總結(jié)經(jīng)驗(yàn)教訓(xùn)，不斷調(diào)整，不斷完善，以不斷提高管理水平，實(shí)現(xiàn)跨越性發(fā)展。

（二）管理平臺(tái)的搭建

管理平臺(tái)的搭建是數(shù)字檔案信息安全管理保障體系的一個(gè)重要組成部分，包括人員信息安全培訓(xùn)、信息安全組織機(jī)構(gòu)的建設(shè)以及信息安全制度的建立。

1.人員信息安全培訓(xùn)

保障數(shù)字檔案信息的安全，人是第一要素。檔案人員及相關(guān)人員的信息安全意識(shí)、素質(zhì)水平、創(chuàng)新能力直接影響到數(shù)字檔案信息安全。根據(jù)有關(guān)部門統(tǒng)計(jì)，“在所有的計(jì)算機(jī)安全事件中，約有52%是人為因素造成的，25%是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯(cuò)誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。” 由此可見，屬于內(nèi)部人員方面的原因超過70%，對(duì)其進(jìn)行信息安全培訓(xùn)具有重大意義。可從兩方面入手：一是信息安全意識(shí)的培訓(xùn)，可通過辦講座、舉行報(bào)告會(huì)、搞知識(shí)競賽、辦展覽或觀看展覽、錄像等形式，提升高校檔案機(jī)構(gòu)所有員工的信息安全意識(shí)，讓每一個(gè)人都了解自己的安全信息職責(zé)，為信息安全構(gòu)筑堅(jiān)固的思想防線；二是信息安全技能的培訓(xùn)，旨在有針對(duì)性地對(duì)不同崗位人員傳授相應(yīng)崗位所需的安全知識(shí)和技能，以提升機(jī)構(gòu)整體信息安全保障能力。

2.信息安全組織機(jī)構(gòu)的建設(shè)

保障高校數(shù)字檔案信息安全是一項(xiàng)技術(shù)性、專業(yè)性、綜合性很強(qiáng)的工作，必須建立專門的組織機(jī)構(gòu)以實(shí)施有效的組織與協(xié)調(diào)。筆者建議，高校檔案機(jī)構(gòu)應(yīng)設(shè)立由部門領(lǐng)導(dǎo)、信息管理者、信息技術(shù)支持人員、有關(guān)的工作人員組所成的信息安全管理中心，負(fù)責(zé)實(shí)施和監(jiān)控整個(gè)信息安全管理活動(dòng)。其中部門領(lǐng)導(dǎo)對(duì)于全部數(shù)字檔案信息體系的安全運(yùn)行負(fù)有最終的責(zé)任，他們負(fù)責(zé)確定信息安全工作的任務(wù)、目標(biāo)和優(yōu)先順序，并保證信息安全管理工作得到足夠的資源支持；信息安全管理者指各科室（如普通檔案科、人事檔案科）負(fù)責(zé)人，其主要職責(zé)是指導(dǎo)日常數(shù)字檔案信息安全管理工作，同時(shí)協(xié)調(diào)科室內(nèi)外各相關(guān)因素以保障信息安全管理工作的順利開展，并對(duì)工作情況和管理效果進(jìn)行監(jiān)督控制；信息技術(shù)支持人員包括數(shù)字檔案信息系統(tǒng)的開發(fā)人員、運(yùn)行維護(hù)人員和信息安全支持人員，這些人員負(fù)責(zé)將信息安全方面的要求通過技術(shù)手段加以實(shí)現(xiàn)，維護(hù)系統(tǒng)運(yùn)行安全，對(duì)系統(tǒng)漏洞進(jìn)行技術(shù)分析，保障信息系統(tǒng)安全、穩(wěn)定、連續(xù)運(yùn)行；有關(guān)的工作人員主要是指對(duì)數(shù)字檔案信息安全管理提供支持的其他人員，如人力資源管理人員（負(fù)責(zé)涉密職位應(yīng)聘人員的背景調(diào)查）、培訓(xùn)人員（負(fù)責(zé)數(shù)字檔案信息安全意識(shí)和技能的培訓(xùn)工作）。

3.信息安全制度的建立

信息安全制度是對(duì)數(shù)字檔案信息安全管理、運(yùn)行和技術(shù)體系標(biāo)準(zhǔn)化、規(guī)范化后形成的一整套對(duì)信息安全的明文規(guī)定，通過文件體系的落實(shí)來規(guī)范管理、運(yùn)行和技術(shù)，以保證數(shù)字檔案信息安全管理的統(tǒng)一性和規(guī)范性，包括三方面內(nèi)容：

一是規(guī)范化的管理制度，包括人員安全管理制度（安全審查制度、崗位安全考核制度、安全培訓(xùn)制度等）、文檔管理制度（對(duì)已經(jīng)存儲(chǔ)的數(shù)字檔案信息均應(yīng)進(jìn)行密級(jí)分類(絕密、機(jī)密、秘密與非保密)，對(duì)敏感信息與機(jī)密信息應(yīng)當(dāng)加密并脫機(jī)存儲(chǔ)在安全的環(huán)境中，防止信息被竊聽、變更與毀壞）。

二是規(guī)范化的運(yùn)行制度，包括系統(tǒng)運(yùn)行環(huán)境安全管理制度（機(jī)房出入控制、環(huán)境條件保障管理、自然災(zāi)害防護(hù)、防護(hù)設(shè)施管理、電磁波與磁場防護(hù)等）、應(yīng)用系統(tǒng)運(yùn)行安全管理制度（操作安全管理、操作權(quán)限管理、操作規(guī)范管理、操作責(zé)任管理、操作監(jiān)督管理、操作恢復(fù)管理、應(yīng)用系統(tǒng)備份管理、應(yīng)用軟件維護(hù)安全管理等）。

三是規(guī)范化的技術(shù)標(biāo)準(zhǔn)，可參照國家、行業(yè)的相關(guān)技術(shù)標(biāo)準(zhǔn)，結(jié)合本單位實(shí)際情況制訂，主要包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施標(biāo)準(zhǔn)（基礎(chǔ)通信平臺(tái)工程建設(shè)、網(wǎng)絡(luò)平臺(tái)建設(shè)、網(wǎng)絡(luò)互聯(lián)互通技術(shù)方面的標(biāo)準(zhǔn)）、應(yīng)用標(biāo)準(zhǔn)（數(shù)據(jù)源代碼、電子公文格式方面的標(biāo)準(zhǔn)）、應(yīng)用支撐標(biāo)準(zhǔn)、信息安全標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)。

（三）運(yùn)作模式的構(gòu)建

高校數(shù)字檔案信息安全運(yùn)作管理實(shí)質(zhì)上是一個(gè)按照PDCA循環(huán)，不停頓地周而復(fù)始地運(yùn)轉(zhuǎn)的管理過程，風(fēng)險(xiǎn)管理理念貫穿這一過程的始終。因此，基于風(fēng)險(xiǎn)管理理念和持續(xù)改進(jìn)模式構(gòu)建的信息安全管理運(yùn)作模式主要包括四個(gè)階段，即P (Plan計(jì)劃階段：分析現(xiàn)狀、找出問題，分析原因、查找要因，制定對(duì)策、制定計(jì)劃)；D (Do實(shí)施階段：實(shí)施計(jì)劃)； C (Check檢查階段：檢查驗(yàn)證、評(píng)估效果) ；A (Action處理階段：標(biāo)準(zhǔn)化、固定成績，問題總結(jié)、處理遺留問題 )。

具體而言，P階段是風(fēng)險(xiǎn)識(shí)別和評(píng)估階段，即利用定性或定量方法，借助于風(fēng)險(xiǎn)評(píng)估工具，對(duì)檔案信息的利用安全和信息載體的運(yùn)行安全進(jìn)行評(píng)估，識(shí)別數(shù)字檔案信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn)，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來的威脅和影響，以確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)控制優(yōu)先順序，制定信息安全策略；D階段是風(fēng)險(xiǎn)控制階段，即信息安全策略的實(shí)施。在這一階段，人是最關(guān)鍵的因素，應(yīng)重點(diǎn)關(guān)注所有信息安全參與者安全意識(shí)的培訓(xùn)，確保信息安全策略得到有效的執(zhí)行；C階段是對(duì)風(fēng)險(xiǎn)控制的效果的評(píng)估，總結(jié)成功經(jīng)驗(yàn)，制定標(biāo)準(zhǔn)，促進(jìn)信息安全策略標(biāo)準(zhǔn)化、規(guī)范化，系統(tǒng)化，上升成為信息安全制度；A階段是將未解決的和新出現(xiàn)的問題轉(zhuǎn)入下一個(gè)PDCA循環(huán)，如此周而復(fù)始，螺旋上升。

信息安全運(yùn)作模式

（四）技術(shù)策略的選擇

信息安全運(yùn)作流程需要相應(yīng)的信息技術(shù)手段、安全基礎(chǔ)服務(wù)和安全基礎(chǔ)設(shè)施提供支持和保障，這涉及到技術(shù)策略的選擇。根據(jù)國內(nèi)外信息安全最佳實(shí)踐,可以將在信息安全管理方面通用的信息技術(shù)手段分為八大類,分別是身份認(rèn)證、訪問管理、加密、惡意代碼防護(hù)、加固、監(jiān)控、審核跟蹤和備份恢復(fù)。高校檔案信息安全管理中心可在信息安全戰(zhàn)略的指導(dǎo)下，根據(jù)總體規(guī)劃、成本與效益相權(quán)衡、全面保障與重點(diǎn)保護(hù)相結(jié)合三大原則，選擇技術(shù)策略組合。

總之，高校檔案信息安全保障體系建設(shè)是檔案信息化推進(jìn)過程中出現(xiàn)的一個(gè)新問題，它不僅是技術(shù)問題，更是管理問題。因此建立高校檔案信息安全保障管理體系對(duì)保障數(shù)字檔案信息安全具有重大意義。