论文部分内容阅读
数据时代快速发展的“云数智”技术在档案业务中的广泛应用,使得档案工作和管理模式愈加自动化、网络化、数字化和智能化。大数据时代数据的核心地位、核心价值和核心动力日益凸显,成为重要的战略资源和无形资产。然而档案数据爆发增长、海量集聚的特点,让档案信息面临的安全风险日益增加,档案数据保存状态与档案信息治理水平不相匹配,存在着“重创造轻管理、重数量轻质量、重保管轻利用”的现象,在数据质量、集成管理、开放共享、知识产权保护等方面面临着越来越多的安全挑战和风险。因此,在大数据时代探讨档案信息安全治理具有重要的理论意义和实践价值。
一、档案信息安全治理研究现状与概念辨析
1.研究现状
笔者分别以“信息安全”“档案数据治理”“档案信息安全治理”等为主题词在中国知网数据库(CNKI)检索,发现关于“信息安全治理”这一主题的论文数量很少,理论研究内容不全、深度不足,缺乏深层次研究,缺乏整体性思考,相关研究内容较为零散,整体理论框架尚未建立。而围绕“信息安全保护”和“档案数据治理”研究主题的学术成果数量较多,其研究方向主要包含高校档案管理系统安全优化机制研究、档案安全体系发展研究等方面。其中金波、杨鹏[1]结合数据安全治理已有的理论、技术和经验,探究大数据时代档案数据安全治理策略;周林兴[2]等通过对档案数据安全治理能力成熟度等级的划分,构建了档案数据安全治理能力成熟度模型;陈艳、谭必勇[3]以浙江省档案馆信息安全保护业务实践为例,提出构建我国省级档案数据治理体系框架的构想。上述研究均为我国信息安全治理能力的提升奠定了坚实的理论基础,也给业务实践带来了极大启迪。
2.概念辨析
档案信息是档案这个特定的物质所呈现出一切有价值的内容[4],具体包括档案记载的信息内容和对档案载体的信息记录。笔者认为,广义上的档案信息安全治理指的是这两部分,即档案实体安全治理和信息内容安全治理。本文主要研究的是狭义上的对内容安全的治理,是指档案部门、社会组织和公民等多元主体协同合作,依据一定的法规标准,充分利用大数据等现代信息技术,对档案信息生成、收集、管理、存储、利用整个过程进行科学规范的全程管理,挖掘档案数据价值[1],把控信息质量,满足社会利用需求,推动档案信息协同共治,让档案工作在新时代拥有更加丰富的内涵和生机。
二、数据时代档案信息安全治理现状
档案数字化是信息化的基础,网络安全则是数据时代档案工作的基础保障。真实性、完整性、可用性和安全性是确保电子文件档案性质的重要属性,对于发挥电子档案的凭证价值、查考价值和保存价值具有重要意义。为防范复杂多变的网络风险,近年来档案部门在宏观层面和微观层面采取了一系列治理措施。
1.宏观层面我国档案信息安全保护现状
(1)法规标准不断健全完善,信息安全治理有法可依。
早在上世纪90年代,我国在信息立法和档案法规建设的基础上,顺应档案信息化的要求,陆续制定和发布了针对档案信息化建设、档案信息安全的法规、规章与标准[1]。制定了《CAD电子文件光盘存储、归档与档案管理要求》,颁布并修订《电子文件归档和电子档案管理办法》,其中重点强调了电子档案以及档案数据的安全保护问题。2019年初国家档案局颁布的《档案馆安全风险评估指标体系》[5]指出要在档案馆库安全、实体安全、信息安全、安全保障机制等方面健全风险评估指标体系,确定档案馆可能面临的风险,并根据风险的可能危害程度及防控条件确定风险隐患控制的优先顺序,进而有效降低安全风险发生的概率,最大限度地确保档案的安全。而且此前针对近日个别地方发生的档案安全事故,国家档案局印发《关于深入开展档案安全检查的紧急通知》[7],并不定期地举办档案实体与信息安全培训班,一定程度上增强了档案业务实践部门档案工作者的信息素养和工作技能。
(2)重视基础设施建设,为信息安全治理提供硬件保障
信息基础设施被视为国家的重要战略资源,利用计算机开展档案工作已经成为一种常态,防止利用计算机病毒窃取档案信息也是安全治理需解决的重要问题。目前档案形成单位的档案收集、整理、利用、统计等工作环节的顺利推进都依赖于档案信息管理系统,系统安全防范能力在一定程度上决定了档案信息的安全。目前我国各级档案机构积极引进先进技术,健全档案信息安全保护的硬件基础设施,基本已配齐安全防护设备,监控系统、门禁系统和入侵报警系统以及档案库房的温湿度控制系统等,为档案信息治理提供了硬件保障。
2.微观层面我国档案信息安全治理存在的问题
(1)信息安全治理意识缺乏,档案机构宣传教育不到位
一方面,很多档案工作者对数据时代档案工作要求的转变没有清晰具体的认识,还没有把工作重心从繁琐的纸质档案整理中解放出来,档案数字化和数据化过程中存在著录信息不完整、不可读或丢失的现象,部分档案信息从源头上缺少安全治理[8]。针对檔案数据在存储、传播、利用等运行过程中的各种安全风险,档案部门缺乏必要的安全管理知识、安全控制技能,社会公众对档案数据的认知存在不足,缺乏基本的数据安全素养,档案数据安全意识较薄弱,当面临紧急情况时易导致档案数据的泄露和损失。
另一方面,虽然当前我国社会公众的档案利用意识不断增强,但信息安全治理意识仍有很大欠缺,档案机构对相关知识的宣传教育不到位也是重要原因。譬如笔者在浏览青岛市和天津市档案馆网站时,发现有关档案安全保护的知识介绍均设置在“业务指导”板块下,发布的内容主要是关于档案修复的工作指南,是较为浅显的通用性的内容介绍,缺乏地域特色与理论深度,更多地是起到指导档案人员日常工作的作用,并且缺少对社会公众档案安全保护意识的宣传教育,未将公民参与列入到信息治理大环境中来,因而对于档案信息安全治理问题,档案机构在认识层面和顶层设计层面是有局限性的。
(2)重视安全技术,轻视安全管理 数据时代知识挖掘、加密技术、异地备份、入侵检测、身份认证等众多智能技术层出不穷,很大程度上保障了信息安全,但“事实上许多复杂、多变的安全威胁和隐患仅靠技术和产品是无法消除的”[6]。当前档案工作部门往往把档案信息安全的重点放在提升安全技术方面,而对信息安全管理体制和治理方式缺乏更高层次更深入的重视。数据时代,“三分技术, 七分管理”这个管理学原则或许也将适用于档案信息安全治理领域。
(3)缺乏系统性的信息安全治理思维和顶层设计
根据文件生命周期理论,文件从产生到销毁或永久保存是一个完整的过程,因此应该用系统、发展的思维去发展档案信息安全治理工作。然而目前我国档案信息治理各环节缺乏连贯性,对档案信息管理系统也未做到及时维护与实时更新,缺乏系统化的管理模式和逻辑思维。
三、电子时代确保我国档案信息安全的措施
1.增强信息安全治理意识,强化多部门合作
档案馆(室)等部门要树立科学的档案信息安全治理理念,堅持“以防为主,防治结合”的方针,将档案信息安全治理纳入信息安全整体保障体系之中,强化档案信息安全意识,开展信息安全教育,普及信息安全知识,消除信息安全认识上的误区。譬如在2018年9月巴西博物馆失火事件发生后短短几天,我国应急管理部部署文物建筑博物馆火灾防控措施,颁布相关文件并召开文物安全相关会议,这为档案部门面对紧急事件时的安全治理工作提供了良好借鉴。
档案工作者要把安全保护意识贯穿工作始终,时刻树立“安全第一”的意识,绷紧安全这根弦。通过建立岗位责任制,层层抓落实,把档案安全保护工作落实到实处。档案公众在查询和利用档案的过程中应增强档案保护意识,不泄露,不污损档案资料,同时也应积极参与档案部门举办的信息安全教育活动,学习档案信息安全保护知识,遵守国家有关信息安全方面的规定。
2.制定完备的档案信息安全法规体系
档案信息安全保护标准主要包括档案法制标准、管理标准、技术标准三个方面。国家及档案馆相关部门应建立高效的档案信息保护应急防范机制,并纳入整个国家和地区防御体系,提高信息安全防御能力[5]。要加强档案信息安全领域的立法和标准建设,加强宏观治理,建立完备的档案信息安全法规体系,清晰地界定档案信息权属和各方安全责任,完善信息隐私保护的相关立法,为档案信息安全体系建设提供法律支撑。
3.坚持信息安全治理技术与管理并重
如今,档案部门对档案信息安全治理的探讨正从唯技术论发展到技术与管理并重,但由于信息技术的飞速发展,档案生成和保管的内外环境日益复杂,档案安全治理的需求也随之动态变化。所以,档案安全已不能仅靠身份识别、数字加密、访问控制等现有技术,或者制度管控的手段,而是要依靠科学管理和持续教育提升档案信息相关者的信息安全保护素养。因而档案馆既要积极运用先进的信息安全治理技术,又要完善安全治理各个环节的管理手段,创新管理方式,强化对工作者、数据库系统、信息系统、信息安全保障体系等全方位的管理。
4.加强信息安全治理平台建设,建设安全保障体系
信息化平台建设是制约档案信息安全治理的瓶颈之一,档案信息管理平台应该是整体信息化系统中的一个子系统,能够实现和其他各平台的数据无缝对接,资源共享,在方便提供利用的同时还必须全方位保障平台建设过程中的档案信息安全。必须基于档案资源评价,选择性地开展数字化,有所为有所不为地加强档案数字化建设;同时在平台建设过程中要设置数字档案管理系统管理权限。针对不同级别的用户设置相应的访问权限。
档案信息安全保障体系,就是在档案信息系统的整个生命周期内,从技术、管理和标准法规多方面,以积极防御、适度安全和动态保障为安全治理原则,以基于等级保护制度下的风险评估为手段,保障档案信息安全的保密性、完整性、可用性、真实性、可核查性和可控性属性,并保障系统安全的持续性的体系[9]。在档案信息化建设飞速发展的今天,对已建和在建的档案信息系统建立基于风险评估的信息安全保障体系是学习先进国家经验和响应我国信息安全保障政策的重大举措,将档案信息安全从事后“堵漏洞”转化成“预防为主”的方式,保障档案信息安全、数据安全、系统安全,保证数字档案信息的可信、不泄密、不流失;保证数据可靠、长期可用;保持系统软硬件的稳定性、可靠性、可控性。
5.增强档案信息安全保护工作的系统性、持续性
档案信息安全治理不是一蹴而就的,而是一个系统完整的体系。从横向档案工作内容来看,它不仅包括安全技术,还包括安全管理、法规标准等诸多方面的内容。纵向而言,包括数据平台的建设、风险控制以及系统及时更新、实时维护,表现在档案管理各环节上的工作都应保持连贯性,应环环相扣,层层推进,形成系统完整的闭环,同时要重视档案利用者的反馈意见,增加与社会公众的互动交流,改变传统的信息安全治理得不到及时的反馈这一现状。
综上所述,大数据时代的到来给档案管理工作带来新的的发展机遇,为档案服务提供了极大的便利。但我们在合理利用大数据带来的技术优势的同时,不能忽略数字档案资源的安全问题。各方主体应该统筹兼顾,重点突破,从档案信息安全治理意识、制度建设、技术保障、数据管理平台建设等多方面入手,构建科学完备的档案信息安全治理系统,为档案信息安全保驾护航。
一、档案信息安全治理研究现状与概念辨析
1.研究现状
笔者分别以“信息安全”“档案数据治理”“档案信息安全治理”等为主题词在中国知网数据库(CNKI)检索,发现关于“信息安全治理”这一主题的论文数量很少,理论研究内容不全、深度不足,缺乏深层次研究,缺乏整体性思考,相关研究内容较为零散,整体理论框架尚未建立。而围绕“信息安全保护”和“档案数据治理”研究主题的学术成果数量较多,其研究方向主要包含高校档案管理系统安全优化机制研究、档案安全体系发展研究等方面。其中金波、杨鹏[1]结合数据安全治理已有的理论、技术和经验,探究大数据时代档案数据安全治理策略;周林兴[2]等通过对档案数据安全治理能力成熟度等级的划分,构建了档案数据安全治理能力成熟度模型;陈艳、谭必勇[3]以浙江省档案馆信息安全保护业务实践为例,提出构建我国省级档案数据治理体系框架的构想。上述研究均为我国信息安全治理能力的提升奠定了坚实的理论基础,也给业务实践带来了极大启迪。
2.概念辨析
档案信息是档案这个特定的物质所呈现出一切有价值的内容[4],具体包括档案记载的信息内容和对档案载体的信息记录。笔者认为,广义上的档案信息安全治理指的是这两部分,即档案实体安全治理和信息内容安全治理。本文主要研究的是狭义上的对内容安全的治理,是指档案部门、社会组织和公民等多元主体协同合作,依据一定的法规标准,充分利用大数据等现代信息技术,对档案信息生成、收集、管理、存储、利用整个过程进行科学规范的全程管理,挖掘档案数据价值[1],把控信息质量,满足社会利用需求,推动档案信息协同共治,让档案工作在新时代拥有更加丰富的内涵和生机。
二、数据时代档案信息安全治理现状
档案数字化是信息化的基础,网络安全则是数据时代档案工作的基础保障。真实性、完整性、可用性和安全性是确保电子文件档案性质的重要属性,对于发挥电子档案的凭证价值、查考价值和保存价值具有重要意义。为防范复杂多变的网络风险,近年来档案部门在宏观层面和微观层面采取了一系列治理措施。
1.宏观层面我国档案信息安全保护现状
(1)法规标准不断健全完善,信息安全治理有法可依。
早在上世纪90年代,我国在信息立法和档案法规建设的基础上,顺应档案信息化的要求,陆续制定和发布了针对档案信息化建设、档案信息安全的法规、规章与标准[1]。制定了《CAD电子文件光盘存储、归档与档案管理要求》,颁布并修订《电子文件归档和电子档案管理办法》,其中重点强调了电子档案以及档案数据的安全保护问题。2019年初国家档案局颁布的《档案馆安全风险评估指标体系》[5]指出要在档案馆库安全、实体安全、信息安全、安全保障机制等方面健全风险评估指标体系,确定档案馆可能面临的风险,并根据风险的可能危害程度及防控条件确定风险隐患控制的优先顺序,进而有效降低安全风险发生的概率,最大限度地确保档案的安全。而且此前针对近日个别地方发生的档案安全事故,国家档案局印发《关于深入开展档案安全检查的紧急通知》[7],并不定期地举办档案实体与信息安全培训班,一定程度上增强了档案业务实践部门档案工作者的信息素养和工作技能。
(2)重视基础设施建设,为信息安全治理提供硬件保障
信息基础设施被视为国家的重要战略资源,利用计算机开展档案工作已经成为一种常态,防止利用计算机病毒窃取档案信息也是安全治理需解决的重要问题。目前档案形成单位的档案收集、整理、利用、统计等工作环节的顺利推进都依赖于档案信息管理系统,系统安全防范能力在一定程度上决定了档案信息的安全。目前我国各级档案机构积极引进先进技术,健全档案信息安全保护的硬件基础设施,基本已配齐安全防护设备,监控系统、门禁系统和入侵报警系统以及档案库房的温湿度控制系统等,为档案信息治理提供了硬件保障。
2.微观层面我国档案信息安全治理存在的问题
(1)信息安全治理意识缺乏,档案机构宣传教育不到位
一方面,很多档案工作者对数据时代档案工作要求的转变没有清晰具体的认识,还没有把工作重心从繁琐的纸质档案整理中解放出来,档案数字化和数据化过程中存在著录信息不完整、不可读或丢失的现象,部分档案信息从源头上缺少安全治理[8]。针对檔案数据在存储、传播、利用等运行过程中的各种安全风险,档案部门缺乏必要的安全管理知识、安全控制技能,社会公众对档案数据的认知存在不足,缺乏基本的数据安全素养,档案数据安全意识较薄弱,当面临紧急情况时易导致档案数据的泄露和损失。
另一方面,虽然当前我国社会公众的档案利用意识不断增强,但信息安全治理意识仍有很大欠缺,档案机构对相关知识的宣传教育不到位也是重要原因。譬如笔者在浏览青岛市和天津市档案馆网站时,发现有关档案安全保护的知识介绍均设置在“业务指导”板块下,发布的内容主要是关于档案修复的工作指南,是较为浅显的通用性的内容介绍,缺乏地域特色与理论深度,更多地是起到指导档案人员日常工作的作用,并且缺少对社会公众档案安全保护意识的宣传教育,未将公民参与列入到信息治理大环境中来,因而对于档案信息安全治理问题,档案机构在认识层面和顶层设计层面是有局限性的。
(2)重视安全技术,轻视安全管理 数据时代知识挖掘、加密技术、异地备份、入侵检测、身份认证等众多智能技术层出不穷,很大程度上保障了信息安全,但“事实上许多复杂、多变的安全威胁和隐患仅靠技术和产品是无法消除的”[6]。当前档案工作部门往往把档案信息安全的重点放在提升安全技术方面,而对信息安全管理体制和治理方式缺乏更高层次更深入的重视。数据时代,“三分技术, 七分管理”这个管理学原则或许也将适用于档案信息安全治理领域。
(3)缺乏系统性的信息安全治理思维和顶层设计
根据文件生命周期理论,文件从产生到销毁或永久保存是一个完整的过程,因此应该用系统、发展的思维去发展档案信息安全治理工作。然而目前我国档案信息治理各环节缺乏连贯性,对档案信息管理系统也未做到及时维护与实时更新,缺乏系统化的管理模式和逻辑思维。
三、电子时代确保我国档案信息安全的措施
1.增强信息安全治理意识,强化多部门合作
档案馆(室)等部门要树立科学的档案信息安全治理理念,堅持“以防为主,防治结合”的方针,将档案信息安全治理纳入信息安全整体保障体系之中,强化档案信息安全意识,开展信息安全教育,普及信息安全知识,消除信息安全认识上的误区。譬如在2018年9月巴西博物馆失火事件发生后短短几天,我国应急管理部部署文物建筑博物馆火灾防控措施,颁布相关文件并召开文物安全相关会议,这为档案部门面对紧急事件时的安全治理工作提供了良好借鉴。
档案工作者要把安全保护意识贯穿工作始终,时刻树立“安全第一”的意识,绷紧安全这根弦。通过建立岗位责任制,层层抓落实,把档案安全保护工作落实到实处。档案公众在查询和利用档案的过程中应增强档案保护意识,不泄露,不污损档案资料,同时也应积极参与档案部门举办的信息安全教育活动,学习档案信息安全保护知识,遵守国家有关信息安全方面的规定。
2.制定完备的档案信息安全法规体系
档案信息安全保护标准主要包括档案法制标准、管理标准、技术标准三个方面。国家及档案馆相关部门应建立高效的档案信息保护应急防范机制,并纳入整个国家和地区防御体系,提高信息安全防御能力[5]。要加强档案信息安全领域的立法和标准建设,加强宏观治理,建立完备的档案信息安全法规体系,清晰地界定档案信息权属和各方安全责任,完善信息隐私保护的相关立法,为档案信息安全体系建设提供法律支撑。
3.坚持信息安全治理技术与管理并重
如今,档案部门对档案信息安全治理的探讨正从唯技术论发展到技术与管理并重,但由于信息技术的飞速发展,档案生成和保管的内外环境日益复杂,档案安全治理的需求也随之动态变化。所以,档案安全已不能仅靠身份识别、数字加密、访问控制等现有技术,或者制度管控的手段,而是要依靠科学管理和持续教育提升档案信息相关者的信息安全保护素养。因而档案馆既要积极运用先进的信息安全治理技术,又要完善安全治理各个环节的管理手段,创新管理方式,强化对工作者、数据库系统、信息系统、信息安全保障体系等全方位的管理。
4.加强信息安全治理平台建设,建设安全保障体系
信息化平台建设是制约档案信息安全治理的瓶颈之一,档案信息管理平台应该是整体信息化系统中的一个子系统,能够实现和其他各平台的数据无缝对接,资源共享,在方便提供利用的同时还必须全方位保障平台建设过程中的档案信息安全。必须基于档案资源评价,选择性地开展数字化,有所为有所不为地加强档案数字化建设;同时在平台建设过程中要设置数字档案管理系统管理权限。针对不同级别的用户设置相应的访问权限。
档案信息安全保障体系,就是在档案信息系统的整个生命周期内,从技术、管理和标准法规多方面,以积极防御、适度安全和动态保障为安全治理原则,以基于等级保护制度下的风险评估为手段,保障档案信息安全的保密性、完整性、可用性、真实性、可核查性和可控性属性,并保障系统安全的持续性的体系[9]。在档案信息化建设飞速发展的今天,对已建和在建的档案信息系统建立基于风险评估的信息安全保障体系是学习先进国家经验和响应我国信息安全保障政策的重大举措,将档案信息安全从事后“堵漏洞”转化成“预防为主”的方式,保障档案信息安全、数据安全、系统安全,保证数字档案信息的可信、不泄密、不流失;保证数据可靠、长期可用;保持系统软硬件的稳定性、可靠性、可控性。
5.增强档案信息安全保护工作的系统性、持续性
档案信息安全治理不是一蹴而就的,而是一个系统完整的体系。从横向档案工作内容来看,它不仅包括安全技术,还包括安全管理、法规标准等诸多方面的内容。纵向而言,包括数据平台的建设、风险控制以及系统及时更新、实时维护,表现在档案管理各环节上的工作都应保持连贯性,应环环相扣,层层推进,形成系统完整的闭环,同时要重视档案利用者的反馈意见,增加与社会公众的互动交流,改变传统的信息安全治理得不到及时的反馈这一现状。
综上所述,大数据时代的到来给档案管理工作带来新的的发展机遇,为档案服务提供了极大的便利。但我们在合理利用大数据带来的技术优势的同时,不能忽略数字档案资源的安全问题。各方主体应该统筹兼顾,重点突破,从档案信息安全治理意识、制度建设、技术保障、数据管理平台建设等多方面入手,构建科学完备的档案信息安全治理系统,为档案信息安全保驾护航。