探讨数字档案安全管理制度保障体系的建立

探讨数字档案安全管理制度保障体系的建立

张津瑞

张津瑞（黑龙江省农垦总局局长信访电话办公室，黑龙江哈尔滨150000）

摘要：保障网络、系统和档案信息安全的永久性措施应该是监理程序化、制度化管理模式并严格执行、落实到位。这同样需要在网络层、系统层、数据层和应用层分布制定相应的正常与规范，并采取必要的措施强化落实，做到制度正确，落实见效。本文现就数字档案安全管理制度保障体系的建立做客观分析与探讨。

关键词：档案安全管理；数字档案信息；个人PC；服务器；规范

在数字设备及环境中生成，以数码形式存储于磁带、磁盘、光盘等载体，依赖计算机等数字设备阅读、处理，并可在通信网络上传送的文件电子档案整理、归档过程的安全管理包括要建立和执行科学的归档制度，保证电子档案内容逻辑上的准确，归档时要尽可能地以主流技术统一电子档案的保存格式。

要保证电子档案载体物理上的安全、对电子档案载体进行有效的检测与维护、密切关注计算机技术的发展方向，不断对历年来电子档案使用的软件升级、更新情况进行记录、保存，适时对电子档案的格式进行转换；加强对电子文件利用活动的管理，保证电子档案的信息安全；电子档案运行环境主要是计算机系统，保证电子档案运行环境的安全管理就是对计算机系统的安全管理。

1网络、机房、服务器管理规范

主要包括制定保障网络线路、通信设备、交换机、服务器、主机房内和网络、支持档案管理机构内部档案信息系统运行的网络基础设施的防火防盗管理制度，以及保障该机构局域网内部用户访问内部档案信息资源和访问互联网的操作规范，制定本想操作规范的依据是业务部门的实际需求，制定规范的决策者是CIO，执行者是NA和SA两个重要的角色，任何用户只是按照备份盘的权限进行操作，不能越位执行。

2数字档案信息安全存储管理规范

根据档案信息的安全级别和保密程度的不同，需要分门别类地制定不同的管理规范，确定不同的存储方案。密级档案信息应实行物理隔离，专人操作，必要情况下对硬盘采取强安全加密措施。内部处理的档案业务数据在开展网络化共享与维护的过程中，严格区分用户的访问权限，对外开放的数据重点制定方法数据被篡改的策略和方法。制定本项操作规范的依据是档案法及机构规定的档案管理制度。

3个人PC和客户端的安全操作规范

客户端的安全操作规范主要是指客户端的上网制度、客户端的安全配置规范、客户端应用系统的安装、运行和围护方法、客户端及个人用户在使用档案管理信息系统是的操作规范等方面的要求，这将涉及到组织中每一位员工，任何人都不能轻视。制定该项制度的依据是整个档案业务管理机构全网安全和信息安全的总体要求。

4数字档案应用系统的安全操作规范

电子文件归档系统、馆藏档案数字化系统、档案系想你发布与提供利用的网站系统等应用程序是我们访问数字档案信息的重要工具建立有效的操作规范，确定科学的数据转换与图像处理的技术参数，采取数据加密措施，实施严格的权限管理制度，是制定应用系统安全管理的重要内容。该项制度一旦确定，重要的是需要做到持久执行，并在执行的过程中逐步完善。

5建立组织保障体系，促进安全保障的有效性

目前，在我国档案行业，确保网络和档案信息安全的组织保障体系（以下建厂为信息管理组织体系）与行政管理和实际业务管理过程中的组织体系（以下简称业务管理组织体系）往往是不同的，其主要区别在于，信息管理组织体系中的成员几乎不参与决策，更无权支配和调配信息化项目的资金和团队成员，日常工作中扮演的几乎都是“救火队”的角色。主要原因是，业务管理和信息化应用没有真正融为一体，两者之间隔着观念和认识上的鸿沟。事实上，理想的管理模式是二者合一，要求机构的决策层是既懂业务有熟悉信息化应用的现代化管理人才，要求档案业务工作者也是掌握多项技能的复合型人才，要求机构中的每位员工把信息化和档案业务作为同等重要的基础性工作来开展。

用户的上网和访问系统与数据的权限是有NA和SA根据档案管理业务的实际需要和网络安全管理的制度进行分配的。信息管理组织体系中一个重要的管理理念是任何角色都不能越位操作，即便是CIO、SA和NA也不能不顾制度约束而随意更改业务数据。制定系统内每个用户操作权限的依据必须是业务组织体系中岗位职能的正确、合理和有效的对应与体现。

6建立安全监控体系，落实安全保障的有效性

档案信息安全运行的法规、制度、标准与规范将随着信息系统的建设和运行逐渐得到发展和完善，但档案信息系统和档案信息是否能够真正获得安全保障，关键还在于这些安全法规和标准制度是否能够得到有效的执行和应用。因此，在健全网络安全法律法规的同时，还应加大执法力度，加强运行管理与监督控制的力度，为网络与系统的安全运行提供法律保障和运行保障的长效机制。这一目标的实现不仅需要档案管理部门及所有人员付出努力，更需要国家立法机构的支持，还需要建设、使用和围护档案管理信息系统安全运行的所有参与者不断加强安全意识，执行安全制度，随需求改变和完善安全管理策略确保系统运行和档案信息存储的持续安全。

安全审计、安全监控等都是网络与系统安全运行的监控手段和方法。安全审计和监控的对象主要是网络、服务器和计算机系统的环境安全、实体安全、机房设备的防电磁泄漏、软件安全技术、软件加密技术、操作系统的安全管理、数据库的安全与加密、数据传输的安全与加密、局域网安全控制、计算机病毒的诊断与消除、系统的运行安全，以及整个系统的安全解解决方案和安全评估等，都属于将纳入安全审计和安全监控的范围。

安全监控的具体措施包括：各级保密工作部门和机构负责本地区、本部门网上信息的保密检查，发现问题，及时处理；涉密信息网络必须与公共信息网实行物理隔离；在与公共信息网相连的设备上不得存储、处理和传递国家秘密信息；及对工作人员进行监督与管理，明确责任，确保在公共信息网上不发生泄漏涉及国家安全秘密的事件。

随着信息安全的专业化发展和复杂程度的提高，保障信息安全的技术与方法难度也在逐渐加大，同时，由于信息安全是个动态的、发展的构成，不可能一步到位。因此，基于成本考虑和技术先进性考虑，信息安全外包成为一种趋势，信息安全服务是信息安全外包的一项最重要内容，也逐渐被市场所接收。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施，安全服务分层次和内容进行开展，主要包括信息安全咨询和信息安全策略服务、安全监控和安全审计服务、安全响应和安全产品支持服务等。

7结论

对于数字化档案的安全监控体系的建设，首先应根据各单位执行安全审计和安全监控的能力，选择是否采取专业化服务来开展，其次是要确定安全监控的层次和内容，最后要选择合适的安全监控服务的专业机构或团队来确保安全监控体系的建设与执行。