论文部分内容阅读
摘 要:现代信息技术在飞速发展,建设数字档案馆是大势所趋,人事档案信息化管理是数字档案馆的组成部分。然而,人事档案信息化也是一把双刃剑,在给工作带来极大便利的同时也存在着风险。人事档案数字化加工、信息资源共享、网上查阅等等各个环节都会存在一些风险,如发生档案信息被篡改、泄露等失泄密事件,怎样趋利避害,采取有效措施防范风险,保证人事档案信息化管理中档案信息的安全,是目前人事档案管理部门面临的重大课题。
关键词:人事档案;内部控制;风险管理;档案安全
一、人事档案安全风险分析
(一)档案信息真实性风险
人事档案材料对政府部门、组织人事部门和个人来说具有重要的意义,为了保证人事档案的客观性,就要求人事档案数字化数据的真实性。然而档案信息数字化后,随之带来的就是数据主体的易复制性、易篡改性和易丢失性等风险,这就需要采取多种安全措施尽可能杜绝这类失泄密事件的发生。
(二)病毒性风险
为了方便档案管理人员对档案信息进行查询、调阅,需要通过信息管理系统实现档案数据的共享。信息管理系统承载着整个政府机关、企事业单位等人事档案信息,其所在服务器就是违法者的主要攻击目标,病毒性攻击又是最常见的针对服务器、用户终端、数据库的攻击手段。人们在服务器中读写数据的时候,如果使用带有病毒的介质,可能会使人事档案管理服务器染上病毒,从而造成档案信息的恶意拷贝、丢失或损坏。
(三)电磁泄漏风险
档案数据通过电子产品存储、传输,相应地就会面临电子产品的电磁泄漏问题。这类用于存储、传输的电子产品和其他电磁类产品如果存在一定的同步性就会面临风险。如将某些电磁设备放到存储有人事档案信息的服务器旁边,这些电磁设备会影响服务器磁盘的运作,受到电磁影响的磁盘会使数据化的档案信息失真或丢失;同时服务器、用户终端的电磁设备所散发出的磁场若与另一种电磁波同步,对方就能通过技术手段还原部分档案数据,这些都是电磁泄漏带来的风险。
(四)档案信息的输入输出风险
档案信息的输入输出是档案资料失泄密的主要因素之一,授权人员在访问和管理档案信息的过程中通常都涉及档案的复印、打印、刻录和扫描等操作,在这些操作中如果未做好登记审批记录工作,通常会造成档案信息的不可追溯性,很多档案信息在这些操作中有意无意地丢失,会造成严重的失泄密风险。
二、人事档案安全风险管理的完善
(一)人事档案风险要素完善
人事档案信息资源中的风险可从人事档案信息资源的形成过程与内容组成两个维度进行把握,将两个维度的各要素进行匹配,系统考察各要素的风险相关度。
1.形成过程中的风险
人事档案信息资源的形成基于传统业务工作环节,具体包括收集、整理、鉴定、保管、检索、利用,以及创造和生产新的信息产品的开发活动,由于档案信息资源可分为传统与网络档案信息资源,针对传统档案信息资源的开发主要是加工、编纂活动,针对网络档案信息资源的开发包括档案网站的建设、传统档案及编研成果的网络化、档案专题数据库以及网络检索开发等活动。各环节中的风险,如收集造成的档案不完整、档案载体与符号质量问题,整理过程中造成的不同卷宗的混乱,鉴定造成的对有价值的档案鉴定失误,此外保管不善、利用泄密以及开发过程中的信息安全问题等共同构成形成过程中的风险总和。
2.人事档案信息资源的组成要素的风险
人事档案信息资源以档案信息为核心,此外包括机构、人员、资金、库房、软硬件设施、信息管理系统以及管理制度等档案机构内一切人力、物力、财力所组成的资源系统。
3.各要素之间的风险相关度把握
如收集、整理、鉴定环节的风险主要与组成要素中的归档制度、整理制度、鉴定制度以及工作人员水平有较高相关性;保管存在的风险则主要与机构、资金、库房环境、软硬件设施、管理人员相关;检索存在的风险主要与工作人员知识业务水平、检索系统优良度相关;利用存在的风险主要与利用制度、保密制度、工作人员保密意识、利用者利用规范相关;与开发风险相关的要素较为复杂,主要有档案信息质量,IT技术、软硬件设施、人员、资金等要素。
(二)人事档案风险管理机制完善
1.全面树立档案风险意识机制
风险意识是对风险存在的一种警惕、预测与责任,以便随时做好风险防范,使风险管理具有主动性、前瞻性、规划性和预防性。对于人事档案而言,任何风险带来的都将是不可挽回的损失,是纯粹风险,因此人事档案工作人员在工作中要居安思危,瞻前顾后,从全局、全程角度出发树立人事档案风险意识,对于防止风险事故发生和尽量减少事故损失具有重要的作用。
2.实行技术与管理全面推进机制
人事档案风险管理活动存在重技术、轻管理的现象主要有两个方面的原因。首先,人事档案风险管理是以确保人事档案的安全为目标的活动,与人事档案保护研究有密不可分的联系性,而长期以来对人事档案保护的研究十分重视技术成果的开发,往往忽略管理因素。其次,人事檔案风险管理的思想与应用在电子文件大量产生的背景下而越发显示其优越性,电子文件与计算机、网络、通讯等技术有密切联系,决定了风险管理活动对技术的大量投入与重视。
风险管理不仅仅是技术问题,非技术因素也应当得到重视。如管理机构、业务机构、科研机构、教育机构、法律法规建设、物质条件与经费投入等影响人事档案安全的内部因素,以及政治体制、经济实力和社会意识等社会环境因素和人为因素等。
3.构建人事档案风险管理长效运行机制
人事档案部门设立风险管理部门、安排专职风险管理人员,制定风险管理制度,保证人力、物力、财力的持续性投入,实现组织、人员、制度与资金上的保障。风险管理有专门的理论与方法,流程包括风险目标的制定、风险识别、风险评估、风险控制与应对,是一个系统工程。在风险计划的制定、专业人员培训、应对突发事件上有组织性和计划性,有利于提高风险管理的效率。
三、结语
档案管理部门需定期进行安全保密培训,不断强化整个档案管理部门的安全保密意识,同时严格按照制度中规定的奖惩措施执行,不能人为随意改变制度处罚力度,由此全面提升人事档案部门制度的贯彻落实,为人事档案安全管理保驾护航。
参考文献:
[1]牛成品.COSO框架下的内部控制[M].北京:经济科学出版社,2005.
[2]王晓群.风险管理[M].上海:上海财经大学出版社,2003.
[3]王萍,宋雪雁.电子档案管理基础[M].北京:清华大学出版社,2006.
[4]科飞管理咨询公司.信息安全管理概论[M].北京:机械工业出版社,2002.
关键词:人事档案;内部控制;风险管理;档案安全
一、人事档案安全风险分析
(一)档案信息真实性风险
人事档案材料对政府部门、组织人事部门和个人来说具有重要的意义,为了保证人事档案的客观性,就要求人事档案数字化数据的真实性。然而档案信息数字化后,随之带来的就是数据主体的易复制性、易篡改性和易丢失性等风险,这就需要采取多种安全措施尽可能杜绝这类失泄密事件的发生。
(二)病毒性风险
为了方便档案管理人员对档案信息进行查询、调阅,需要通过信息管理系统实现档案数据的共享。信息管理系统承载着整个政府机关、企事业单位等人事档案信息,其所在服务器就是违法者的主要攻击目标,病毒性攻击又是最常见的针对服务器、用户终端、数据库的攻击手段。人们在服务器中读写数据的时候,如果使用带有病毒的介质,可能会使人事档案管理服务器染上病毒,从而造成档案信息的恶意拷贝、丢失或损坏。
(三)电磁泄漏风险
档案数据通过电子产品存储、传输,相应地就会面临电子产品的电磁泄漏问题。这类用于存储、传输的电子产品和其他电磁类产品如果存在一定的同步性就会面临风险。如将某些电磁设备放到存储有人事档案信息的服务器旁边,这些电磁设备会影响服务器磁盘的运作,受到电磁影响的磁盘会使数据化的档案信息失真或丢失;同时服务器、用户终端的电磁设备所散发出的磁场若与另一种电磁波同步,对方就能通过技术手段还原部分档案数据,这些都是电磁泄漏带来的风险。
(四)档案信息的输入输出风险
档案信息的输入输出是档案资料失泄密的主要因素之一,授权人员在访问和管理档案信息的过程中通常都涉及档案的复印、打印、刻录和扫描等操作,在这些操作中如果未做好登记审批记录工作,通常会造成档案信息的不可追溯性,很多档案信息在这些操作中有意无意地丢失,会造成严重的失泄密风险。
二、人事档案安全风险管理的完善
(一)人事档案风险要素完善
人事档案信息资源中的风险可从人事档案信息资源的形成过程与内容组成两个维度进行把握,将两个维度的各要素进行匹配,系统考察各要素的风险相关度。
1.形成过程中的风险
人事档案信息资源的形成基于传统业务工作环节,具体包括收集、整理、鉴定、保管、检索、利用,以及创造和生产新的信息产品的开发活动,由于档案信息资源可分为传统与网络档案信息资源,针对传统档案信息资源的开发主要是加工、编纂活动,针对网络档案信息资源的开发包括档案网站的建设、传统档案及编研成果的网络化、档案专题数据库以及网络检索开发等活动。各环节中的风险,如收集造成的档案不完整、档案载体与符号质量问题,整理过程中造成的不同卷宗的混乱,鉴定造成的对有价值的档案鉴定失误,此外保管不善、利用泄密以及开发过程中的信息安全问题等共同构成形成过程中的风险总和。
2.人事档案信息资源的组成要素的风险
人事档案信息资源以档案信息为核心,此外包括机构、人员、资金、库房、软硬件设施、信息管理系统以及管理制度等档案机构内一切人力、物力、财力所组成的资源系统。
3.各要素之间的风险相关度把握
如收集、整理、鉴定环节的风险主要与组成要素中的归档制度、整理制度、鉴定制度以及工作人员水平有较高相关性;保管存在的风险则主要与机构、资金、库房环境、软硬件设施、管理人员相关;检索存在的风险主要与工作人员知识业务水平、检索系统优良度相关;利用存在的风险主要与利用制度、保密制度、工作人员保密意识、利用者利用规范相关;与开发风险相关的要素较为复杂,主要有档案信息质量,IT技术、软硬件设施、人员、资金等要素。
(二)人事档案风险管理机制完善
1.全面树立档案风险意识机制
风险意识是对风险存在的一种警惕、预测与责任,以便随时做好风险防范,使风险管理具有主动性、前瞻性、规划性和预防性。对于人事档案而言,任何风险带来的都将是不可挽回的损失,是纯粹风险,因此人事档案工作人员在工作中要居安思危,瞻前顾后,从全局、全程角度出发树立人事档案风险意识,对于防止风险事故发生和尽量减少事故损失具有重要的作用。
2.实行技术与管理全面推进机制
人事档案风险管理活动存在重技术、轻管理的现象主要有两个方面的原因。首先,人事档案风险管理是以确保人事档案的安全为目标的活动,与人事档案保护研究有密不可分的联系性,而长期以来对人事档案保护的研究十分重视技术成果的开发,往往忽略管理因素。其次,人事檔案风险管理的思想与应用在电子文件大量产生的背景下而越发显示其优越性,电子文件与计算机、网络、通讯等技术有密切联系,决定了风险管理活动对技术的大量投入与重视。
风险管理不仅仅是技术问题,非技术因素也应当得到重视。如管理机构、业务机构、科研机构、教育机构、法律法规建设、物质条件与经费投入等影响人事档案安全的内部因素,以及政治体制、经济实力和社会意识等社会环境因素和人为因素等。
3.构建人事档案风险管理长效运行机制
人事档案部门设立风险管理部门、安排专职风险管理人员,制定风险管理制度,保证人力、物力、财力的持续性投入,实现组织、人员、制度与资金上的保障。风险管理有专门的理论与方法,流程包括风险目标的制定、风险识别、风险评估、风险控制与应对,是一个系统工程。在风险计划的制定、专业人员培训、应对突发事件上有组织性和计划性,有利于提高风险管理的效率。
三、结语
档案管理部门需定期进行安全保密培训,不断强化整个档案管理部门的安全保密意识,同时严格按照制度中规定的奖惩措施执行,不能人为随意改变制度处罚力度,由此全面提升人事档案部门制度的贯彻落实,为人事档案安全管理保驾护航。
参考文献:
[1]牛成品.COSO框架下的内部控制[M].北京:经济科学出版社,2005.
[2]王晓群.风险管理[M].上海:上海财经大学出版社,2003.
[3]王萍,宋雪雁.电子档案管理基础[M].北京:清华大学出版社,2006.
[4]科飞管理咨询公司.信息安全管理概论[M].北京:机械工业出版社,2002.