關于構建高校數字檔案信息安全保障管理體系的探討

■肖 茜

近年來，隨著信息技術的迅猛發展和廣泛應用，數字檔案的開發、利用成為高校檔案工作的重要組成部分。信息技術在給我們帶來方便的同時，也帶來了安全隱患。檔案信息安全是檔案工作的生命線和底線。因此，構建數字檔案信息安全保障體系已經成為當前高校檔案管理的一個重要課題。數字檔案信息安全保障體系涉及多個方面，鑒于目前該研究領域存在重技術輕管理，重防御輕預防，重外部安全輕內部安全的現狀，本文擬從管理這一維度進行探討。

一、高校數字檔案信息安全保障管理體系的內涵

高校數字檔案信息安全保障管理體系是高校數字檔案信息安全保障體系的重要組成部分，是指以保證高校數字檔案信息的利用安全和信息載體的運行安全為目的所建立的信息安全方針和目標，以及為實現這些目標所采取的方法的體系，包括數字檔案信息安全保障管理體系的建立、實施、操作、監督、復查、維護和改進等一系列管理活動，表現為戰略、人才、組織、制度、運作、技術等諸多要素的組合。

二、高校數字檔案信息安全保障管理體系的內容

根據內涵，筆者認為高校數字檔案信息安全保障管理體系包含信息安全戰略的制訂、管理平臺的搭建、運作模式的構建、技術策略的選擇四個方面。

（一） 信息安全戰略的制訂

信息安全戰略是信息安全保障管理體系指導性的上層建筑，對體系的管理平臺的搭建、運作模式的構建、技術策略的選擇起著總體性和方向性的指導作用。高校數字檔案信息安全戰略的制訂應以對高校檔案管理機構內部環境和外部環境的進行的必要的、詳略得當的研究和分析為基礎，把握主動防御、全員參與、全過程控制、動態管理、持續改進的五項原則。

主動防御原則要求對信息利用和信息載體運行風險進行主動識別、分析與控制，同時兼顧成本效益原則，根據ABC分類法區分主次因素進行分類控制，以達到滿意的信息安全狀態。

全員參與原則強調從實質上提高檔案管理機構全體工作人員的信息安全意識，強調發揮所有信息安全參與者的主觀能動作用，而不是僅僅依靠信息管理者和信息技術支持人員。

全過程控制原則要求確保電子檔案信息安全必須建立并執行一整套科學合理規范的管理制度,從每一個環節上堵塞電子檔案信息安全的漏洞。這些環節包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔，到電子檔案信息的保管、利用的全過程。

動態管理原則強調信息安全管理不是一成不變的，必須根據內外部環境的變化，適時地根據情況進行再次識別與評估，及時調整管理思路與手段。

持續改進原則要求信息安全管理體系必須根據實際運行結果進行階段性評估，總結經驗教訓，不斷調整，不斷完善，以不斷提高管理水平，實現跨越性發展。

（二）管理平臺的搭建

管理平臺的搭建是數字檔案信息安全管理保障體系的一個重要組成部分，包括人員信息安全培訓、信息安全組織機構的建設以及信息安全制度的建立。

1.人員信息安全培訓

保障數字檔案信息的安全，人是第一要素。檔案人員及相關人員的信息安全意識、素質水平、創新能力直接影響到數字檔案信息安全。根據有關部門統計，“在所有的計算機安全事件中，約有52%是人為因素造成的，25%是由火災、水災等自然災害引起的，技術錯誤占10%，組織內部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。” 由此可見，屬于內部人員方面的原因超過70%，對其進行信息安全培訓具有重大意義。可從兩方面入手：一是信息安全意識的培訓，可通過辦講座、舉行報告會、搞知識競賽、辦展覽或觀看展覽、錄像等形式，提升高校檔案機構所有員工的信息安全意識，讓每一個人都了解自己的安全信息職責，為信息安全構筑堅固的思想防線；二是信息安全技能的培訓，旨在有針對性地對不同崗位人員傳授相應崗位所需的安全知識和技能，以提升機構整體信息安全保障能力。

2.信息安全組織機構的建設

保障高校數字檔案信息安全是一項技術性、專業性、綜合性很強的工作，必須建立專門的組織機構以實施有效的組織與協調。筆者建議，高校檔案機構應設立由部門領導、信息管理者、信息技術支持人員、有關的工作人員組所成的信息安全管理中心，負責實施和監控整個信息安全管理活動。其中部門領導對于全部數字檔案信息體系的安全運行負有最終的責任，他們負責確定信息安全工作的任務、目標和優先順序，并保證信息安全管理工作得到足夠的資源支持；信息安全管理者指各科室（如普通檔案科、人事檔案科）負責人，其主要職責是指導日常數字檔案信息安全管理工作，同時協調科室內外各相關因素以保障信息安全管理工作的順利開展，并對工作情況和管理效果進行監督控制；信息技術支持人員包括數字檔案信息系統的開發人員、運行維護人員和信息安全支持人員，這些人員負責將信息安全方面的要求通過技術手段加以實現，維護系統運行安全，對系統漏洞進行技術分析，保障信息系統安全、穩定、連續運行；有關的工作人員主要是指對數字檔案信息安全管理提供支持的其他人員，如人力資源管理人員（負責涉密職位應聘人員的背景調查）、培訓人員（負責數字檔案信息安全意識和技能的培訓工作）。

3.信息安全制度的建立

信息安全制度是對數字檔案信息安全管理、運行和技術體系標準化、規范化后形成的一整套對信息安全的明文規定，通過文件體系的落實來規范管理、運行和技術，以保證數字檔案信息安全管理的統一性和規范性，包括三方面內容：

一是規范化的管理制度，包括人員安全管理制度（安全審查制度、崗位安全考核制度、安全培訓制度等）、文檔管理制度（對已經存儲的數字檔案信息均應進行密級分類(絕密、機密、秘密與非保密)，對敏感信息與機密信息應當加密并脫機存儲在安全的環境中，防止信息被竊聽、變更與毀壞）。

二是規范化的運行制度，包括系統運行環境安全管理制度（機房出入控制、環境條件保障管理、自然災害防護、防護設施管理、電磁波與磁場防護等）、應用系統運行安全管理制度（操作安全管理、操作權限管理、操作規范管理、操作責任管理、操作監督管理、操作恢復管理、應用系統備份管理、應用軟件維護安全管理等）。

三是規范化的技術標準，可參照國家、行業的相關技術標準，結合本單位實際情況制訂，主要包括網絡基礎設施標準（基礎通信平臺工程建設、網絡平臺建設、網絡互聯互通技術方面的標準）、應用標準（數據源代碼、電子公文格式方面的標準）、應用支撐標準、信息安全標準、管理標準。

（三）運作模式的構建

高校數字檔案信息安全運作管理實質上是一個按照PDCA循環，不停頓地周而復始地運轉的管理過程，風險管理理念貫穿這一過程的始終。因此，基于風險管理理念和持續改進模式構建的信息安全管理運作模式主要包括四個階段，即P (Plan計劃階段：分析現狀、找出問題，分析原因、查找要因，制定對策、制定計劃)；D (Do實施階段：實施計劃)； C (Check檢查階段：檢查驗證、評估效果) ；A (Action處理階段：標準化、固定成績，問題總結、處理遺留問題 )。

具體而言，P階段是風險識別和評估階段，即利用定性或定量方法，借助于風險評估工具，對檔案信息的利用安全和信息載體的運行安全進行評估，識別數字檔案信息系統現有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響，以確定信息資產的風險等級和風險控制優先順序，制定信息安全策略；D階段是風險控制階段，即信息安全策略的實施。在這一階段，人是最關鍵的因素，應重點關注所有信息安全參與者安全意識的培訓，確保信息安全策略得到有效的執行；C階段是對風險控制的效果的評估，總結成功經驗，制定標準，促進信息安全策略標準化、規范化，系統化，上升成為信息安全制度；A階段是將未解決的和新出現的問題轉入下一個PDCA循環，如此周而復始，螺旋上升。

信息安全運作模式

（四）技術策略的選擇

信息安全運作流程需要相應的信息技術手段、安全基礎服務和安全基礎設施提供支持和保障，這涉及到技術策略的選擇。根據國內外信息安全最佳實踐,可以將在信息安全管理方面通用的信息技術手段分為八大類,分別是身份認證、訪問管理、加密、惡意代碼防護、加固、監控、審核跟蹤和備份恢復。高校檔案信息安全管理中心可在信息安全戰略的指導下，根據總體規劃、成本與效益相權衡、全面保障與重點保護相結合三大原則，選擇技術策略組合。

總之，高校檔案信息安全保障體系建設是檔案信息化推進過程中出現的一個新問題，它不僅是技術問題，更是管理問題。因此建立高校檔案信息安全保障管理體系對保障數字檔案信息安全具有重大意義。