數(shù)字檔案安全體系建設(shè)思考

文/中國(guó)核電工程有限公司 張霄旭

數(shù)字化時(shí)代，利用信息技術(shù)企業(yè)上下游供應(yīng)鏈的打通，數(shù)據(jù)匯聚、流動(dòng)、共享和協(xié)同已經(jīng)形成了新特征——數(shù)字檔案。數(shù)字檔案與紙質(zhì)檔案的主要區(qū)別在于檔案載體和形式。在數(shù)字環(huán)境中，文件和檔案幾乎沒有區(qū)分的必要，同時(shí)從業(yè)務(wù)涵蓋范圍來看，數(shù)字檔案的范圍大于電子文件，從目前的理論研究來看，“電子文件”管理對(duì)象傾向于計(jì)算機(jī)形成的可直接在計(jì)算機(jī)中使用并歸檔的文件，側(cè)重于檔案的物理屬性。而數(shù)字檔案更傾向于電子文件本身的非結(jié)構(gòu)化和結(jié)構(gòu)化數(shù)據(jù)，即檔案的邏輯屬性。數(shù)據(jù)的流通產(chǎn)生了更大的價(jià)值，促使檔案管理工作向電子化、數(shù)字化轉(zhuǎn)變，同時(shí)也為檔案信息資源管理和利用拓展了新的模式。然而，這種新的模式所帶來的變化對(duì)檔案的安全保護(hù)工作產(chǎn)生了更大的風(fēng)險(xiǎn)挑戰(zhàn)。

一、數(shù)字化轉(zhuǎn)型期檔案安全管理存在的風(fēng)險(xiǎn)

風(fēng)險(xiǎn)管理理論的發(fā)展對(duì)檔案風(fēng)險(xiǎn)管理研究極有幫助，風(fēng)險(xiǎn)管控理念的運(yùn)用幫助對(duì)新事物進(jìn)行了解預(yù)判，在各行各業(yè)運(yùn)用廣泛。本文通過數(shù)字檔案歸檔管理情景，運(yùn)用情景分析方法，尋找出新時(shí)期數(shù)字檔案安全管理的風(fēng)險(xiǎn)點(diǎn)，如圖1所示：

圖1 數(shù)字化轉(zhuǎn)型期檔案安全管理存在的風(fēng)險(xiǎn)

（一）宏觀環(huán)境的變化。信息化和工業(yè)化融合背景下，業(yè)務(wù)信息系統(tǒng)普遍應(yīng)用，各業(yè)務(wù)系統(tǒng)之間強(qiáng)調(diào)通過系統(tǒng)對(duì)接，傳送數(shù)據(jù)而非物理對(duì)接，數(shù)據(jù)流通代替人為跑腿；同時(shí)數(shù)據(jù)流通需要的媒介網(wǎng)絡(luò)的普遍使用導(dǎo)致出現(xiàn)工作范圍由點(diǎn)到面散射的多向性。數(shù)字檔案與傳統(tǒng)檔案相比，不再受地理位置或者時(shí)間的限制，利用信息系統(tǒng)的數(shù)據(jù)傳接，用戶可以同時(shí)向多個(gè)接收方發(fā)送數(shù)據(jù)檔案，減少紙質(zhì)傳遞時(shí)間和成本。與此同時(shí)，這些優(yōu)勢(shì)為外部病毒損害數(shù)字檔案提供了渠道。

（二）外部技術(shù)情況的變化。隨著新一代信息技術(shù)的發(fā)展，對(duì)我國(guó)政治、經(jīng)濟(jì)、社會(huì)發(fā)展諸多領(lǐng)域產(chǎn)生了重大而深遠(yuǎn)的影響。以文字、二維圖紙為載體的非結(jié)構(gòu)化呈現(xiàn)形式逐步被圖像、三維立體、VR等新的技術(shù)手段所取代。例如，設(shè)計(jì)部門已經(jīng)不再紙質(zhì)畫圖，運(yùn)用系統(tǒng)平臺(tái)畫圖，不再出紙質(zhì)圖紙，檔案由紙質(zhì)單一載體向紙電數(shù)據(jù)多樣載體轉(zhuǎn)變，歸檔保管的主體由純實(shí)物轉(zhuǎn)變?yōu)榉菃我粚?shí)物，隨著5G、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)的應(yīng)用，檔案由實(shí)體安全向內(nèi)容安全轉(zhuǎn)變。數(shù)字檔案存儲(chǔ)介質(zhì)的敏感性對(duì)其存儲(chǔ)利用安全技術(shù)提高了要求。從檔案的載體和形式來看，原有獲取信息的方式被顛覆，信息的透明化以及公開性更高。

（三）做出決定可能帶來的不同后果。從檔案接收實(shí)物與非實(shí)物的角度分析，之前以紙質(zhì)為主的文件流轉(zhuǎn)、歸檔流程、庫(kù)房管理?xiàng)l件、提供借閱利用的方式都完全不同。如果保持傳統(tǒng)的管理理念，利用服務(wù)無法滿足用戶需求，產(chǎn)生的數(shù)字檔案漂流在外，無法跟隨主營(yíng)業(yè)務(wù)的開展。如果積極變革，目前的檔案管理面臨著推翻重建的問題，同時(shí)，傳統(tǒng)紙質(zhì)為主的管理人員能力是否能夠匹配變革之后的管理工作，目前的人員配置、組織機(jī)構(gòu)、管理理念均需創(chuàng)新變革。

（四）利益相關(guān)者的需求以及需求可能的變化方式。從整體業(yè)務(wù)鏈條來看，上游業(yè)主對(duì)項(xiàng)目承建方的要求增加。例如核電工程，業(yè)主近兩年來提到的數(shù)字交付的要求，即總包方最后向業(yè)主移交建設(shè)好的核電實(shí)體的同時(shí)，也應(yīng)該同時(shí)將核電站運(yùn)營(yíng)所需的數(shù)據(jù)進(jìn)行移交，即數(shù)字交付。內(nèi)部歸檔中，各部門以往提交的紙質(zhì)歸檔，符合要求收管存用開始記賬式的流程。隨著信息系統(tǒng)接口的開放，數(shù)字簽名的使用，企業(yè)運(yùn)營(yíng)者更希望在合規(guī)合法的前提下，由物理歸檔轉(zhuǎn)變?yōu)檫壿嫐w檔，減少紙質(zhì)打印成本，為企業(yè)數(shù)字化運(yùn)營(yíng)奠定基礎(chǔ)。

（五）有些變化是必然的，有些是不確定的。利用信息技術(shù)創(chuàng)新應(yīng)用帶來生產(chǎn)力的提高，手繪圖變成電腦制圖，二維向三維的轉(zhuǎn)變，提高了設(shè)計(jì)全面性，具備基本的空間數(shù)據(jù)處理能力；不確定的電腦制圖是否不再需要紙質(zhì)載體，從目前國(guó)家檔案局制定的制度來看，并沒有推行電子文件單套制管理。從內(nèi)部管理來看，三維設(shè)計(jì)并不確定所有的工程項(xiàng)目設(shè)計(jì)是否都需要用上三維，或者都用系統(tǒng)進(jìn)行管理，個(gè)別項(xiàng)目因?yàn)樘厥夤芾硪?，并不適用信息系統(tǒng)。

通過這樣的實(shí)際情景分析，判斷檔案安全管理體系風(fēng)險(xiǎn)點(diǎn)主要集中于檔案管理對(duì)象的增加。隨著數(shù)字技術(shù)的應(yīng)用，業(yè)務(wù)流轉(zhuǎn)過程中的紙質(zhì)載體擴(kuò)展到電子、數(shù)據(jù)等信息資源，從實(shí)體檔案的保管利用向數(shù)據(jù)內(nèi)容的保管利用轉(zhuǎn)變。同時(shí)，跟隨工作流途徑多個(gè)崗位，傳統(tǒng)的安全管理體系從對(duì)檔案實(shí)體的保護(hù)轉(zhuǎn)變到數(shù)據(jù)信息的保護(hù)。又因?yàn)閿?shù)據(jù)信息是無形的，通過信息系統(tǒng)進(jìn)行流轉(zhuǎn)，如果對(duì)流轉(zhuǎn)環(huán)節(jié)中的風(fēng)險(xiǎn)分析沒有到位，導(dǎo)致檔案存儲(chǔ)、傳輸環(huán)節(jié)的技術(shù)防護(hù)不達(dá)標(biāo)，檔案信息資源流轉(zhuǎn)過程中難免會(huì)出現(xiàn)被竊取、知悉范圍不規(guī)范、歸檔利用不及時(shí)等問題。因此數(shù)字檔案安全管理流程以及相應(yīng)的檔案安全體系必須跟隨改變。

二、檔案安全管理體系搭建思路

（一）明確各方權(quán)責(zé)、合規(guī)合法。在合規(guī)合法的前提下，對(duì)檔案管理環(huán)節(jié)的任務(wù)、工作原則、職責(zé)邊界和控制要求必須明確固化，促使各方向同一個(gè)目標(biāo)努力。

（二）動(dòng)態(tài)風(fēng)險(xiǎn)管控、閉環(huán)執(zhí)行。確保在數(shù)字檔案全周期嵌入管理要求，在各關(guān)鍵環(huán)節(jié)細(xì)化風(fēng)險(xiǎn)內(nèi)控，控制觸發(fā)條件和控制標(biāo)準(zhǔn)必須可執(zhí)行可實(shí)施，并做動(dòng)態(tài)管控，以保證檔案的有效性。

（三）人員技術(shù)保障、持續(xù)發(fā)展。檔案安全管理體系真正落地執(zhí)行需要依靠人員和技術(shù)的保障，并做長(zhǎng)效機(jī)制管控、可持續(xù)發(fā)展，才能確保在實(shí)際應(yīng)用場(chǎng)景中真正將職責(zé)和安全管控要求執(zhí)行到位。

三、檔案安全管理體系搭建模型

基于檔案安全管理體系搭建原則，分析其中的管理要素，從數(shù)字檔案全生命周期考慮管理要求，規(guī)范各環(huán)節(jié)檔案輸入輸出的原則要求，利用“記賬式”的理念管理系統(tǒng)工具上的數(shù)據(jù)內(nèi)容，并確保系統(tǒng)工具安全可靠，首要的就是技術(shù)保障、存儲(chǔ)數(shù)據(jù)有效、網(wǎng)絡(luò)安全使用保障，配以科學(xué)合理的人員配備和安全文化的建立。

（一）安全可靠的技術(shù)保障。重點(diǎn)針對(duì)當(dāng)前信息化、數(shù)字化的特點(diǎn)，搭建跨部門、跨領(lǐng)域的合作，合理強(qiáng)化技術(shù)工具，利用現(xiàn)代化技術(shù)增強(qiáng)檔案數(shù)據(jù)的安全性。2021年9月1日《數(shù)據(jù)安全法》開始實(shí)施，明確提出企業(yè)要建立健全數(shù)據(jù)安全治理體系，建立數(shù)據(jù)分類分級(jí)管理制度并開展相關(guān)工作。管理對(duì)象從原來的一份實(shí)體文件變化成文件所屬的數(shù)據(jù)信息，國(guó)內(nèi)金融、醫(yī)療、政務(wù)等領(lǐng)域在數(shù)據(jù)分級(jí)相關(guān)政策研究較早，也形成了一定的數(shù)據(jù)識(shí)別、分級(jí)方法，保障數(shù)據(jù)信息受控。各單位應(yīng)結(jié)合業(yè)務(wù)應(yīng)用場(chǎng)景，從影響深度、廣度等因素，結(jié)合各單位現(xiàn)行數(shù)據(jù)現(xiàn)狀，識(shí)別數(shù)字檔案，建立適合的檔案數(shù)據(jù)密級(jí)與知悉范圍。正如前文所提到的，從學(xué)術(shù)上數(shù)據(jù)分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)流轉(zhuǎn)應(yīng)用在各個(gè)系統(tǒng)中，例如“題名”“姓名”等；非結(jié)構(gòu)化數(shù)據(jù)就包含日常所見的PDF文件、聲像資料等可視化的檔案。遵從檔案數(shù)據(jù)收集的有效性、流轉(zhuǎn)安全性、存儲(chǔ)的安全性以及利用展示的便捷性，考慮到網(wǎng)絡(luò)對(duì)企業(yè)運(yùn)營(yíng)管理的重要性，需要科學(xué)性規(guī)劃和部署網(wǎng)絡(luò)，確保整個(gè)環(huán)節(jié)的數(shù)據(jù)安全。個(gè)別企業(yè)應(yīng)考慮自身互聯(lián)區(qū)基礎(chǔ)安全網(wǎng)關(guān)和數(shù)據(jù)安全網(wǎng)關(guān)，內(nèi)網(wǎng)與外網(wǎng)的互聯(lián)互通，內(nèi)網(wǎng)與終端、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)、相應(yīng)的軟硬件運(yùn)維端的數(shù)據(jù)安全。數(shù)據(jù)時(shí)代結(jié)合傳統(tǒng)的網(wǎng)關(guān)安全防控，針對(duì)數(shù)據(jù)泄露防護(hù)、數(shù)據(jù)加密、數(shù)字權(quán)限保護(hù)、數(shù)據(jù)存儲(chǔ)安全四方面建立健全技術(shù)防護(hù)手段。重點(diǎn)加強(qiáng)對(duì)數(shù)字檔案的識(shí)別、規(guī)范檔案數(shù)據(jù)的管理要求，研究哈希值技術(shù)、區(qū)塊鏈技術(shù)等先進(jìn)技術(shù)，確保檔案的安全可靠。同時(shí)配置相應(yīng)的安全監(jiān)督審計(jì)機(jī)制，利用大數(shù)據(jù)開展數(shù)據(jù)檢測(cè)、追蹤。

（二）全生命周期管理機(jī)制。如圖2所示，管理機(jī)制應(yīng)充分考慮數(shù)字檔案本身的生命周期，普查各項(xiàng)業(yè)務(wù)檔案安全治理現(xiàn)狀，兼顧公司業(yè)務(wù)系統(tǒng)工具的使用、檔案管理工作的轉(zhuǎn)變，考慮檔案長(zhǎng)期保護(hù)的目標(biāo)。從文檔產(chǎn)生發(fā)布、分發(fā)傳遞、整理歸檔、保管利用、交付處置全周期梳理安全邊界要求，從數(shù)據(jù)識(shí)別收集、數(shù)據(jù)分級(jí)管理、數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用方面實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效控制。各單位可以從檔案管理職責(zé)范圍明確各方權(quán)責(zé)，以數(shù)字檔案安全管理為切入點(diǎn)，創(chuàng)新檔案管理新界面，通過風(fēng)險(xiǎn)評(píng)估手段，確定數(shù)字檔案全生命周期的安全管理措施。2021年9月1日施行的《數(shù)據(jù)安全法》、2021年11月1日生效的《個(gè)人信息保護(hù)法》，都是數(shù)據(jù)管理法規(guī)的升級(jí)，為數(shù)字檔案安全提供了管理依據(jù)。各單位應(yīng)結(jié)合實(shí)際管理情況制定數(shù)字檔案管理標(biāo)準(zhǔn)，不斷完善，合理利用法規(guī)制度規(guī)范數(shù)字檔案安全行為，維護(hù)數(shù)字檔案安全的法制地位。

圖2 檔案安全慣例體系搭建模型

（三）應(yīng)急保障。建立有效的檔案安全管理應(yīng)急制度，利用風(fēng)險(xiǎn)管控方法，重點(diǎn)針對(duì)新時(shí)代各類檔案安全特點(diǎn)，以及各單位業(yè)務(wù)領(lǐng)域中突發(fā)事件影響因素，建立相應(yīng)的安全預(yù)警機(jī)制和應(yīng)急預(yù)案。尤其是針對(duì)各單位業(yè)務(wù)場(chǎng)景，考慮自然災(zāi)害、人為破壞，科學(xué)配備檔案資料恢復(fù)工作的管理人員與技術(shù)人員資源，適時(shí)開展應(yīng)急演練，明確跨部門協(xié)作主要步驟以及工作要點(diǎn)，確保數(shù)字檔案長(zhǎng)期的安全可靠。同時(shí)研究市場(chǎng)新技術(shù)，對(duì)數(shù)字檔案環(huán)境受影響的因素進(jìn)行預(yù)判，加強(qiáng)基礎(chǔ)設(shè)施建設(shè)，設(shè)立保障基金，保障數(shù)據(jù)應(yīng)急保障的順利開展。

（四）人員技術(shù)能力培養(yǎng)。跟進(jìn)新時(shí)代業(yè)務(wù)需求，結(jié)合實(shí)際人員管理水平，配備合理的技術(shù)和管理人員，了解技術(shù)保障的原理。一方面，提升管理人員整體素質(zhì)的同時(shí)，能夠?yàn)橛脩籼峁┖美斫獾姆?wù)說明，讓用戶配合工作，提供更快更便捷的檔案利用；另一方面，將數(shù)據(jù)安全管理融入考核體系，結(jié)合法務(wù)法律條文，將管理要素延伸至合同方，更全面地保護(hù)數(shù)字檔案安全，為企業(yè)評(píng)估數(shù)字資產(chǎn)奠定基礎(chǔ)。同時(shí)，也需要建立數(shù)字檔案安全文化，并配以長(zhǎng)效控制機(jī)制，不斷促進(jìn)檔案安全體系工作持續(xù)改進(jìn)。

（五）檔案安全文化的建立。檔案安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，只有將安全上升到文化，全員保持統(tǒng)一認(rèn)識(shí)，通過安全文化深入人心，提高檔案工作者的安全修養(yǎng)，加強(qiáng)日常工作中的安全意識(shí)和行為。真正成為檔案安全管理體系落地執(zhí)行的思想保證和精神動(dòng)力。各單位可以從數(shù)字檔案安全觀念的建立入手，通過活動(dòng)、培訓(xùn)的輸入，積極參加國(guó)家網(wǎng)絡(luò)安全周宣傳活動(dòng)，通過宣傳內(nèi)容的推送、培訓(xùn)內(nèi)容的深入，建立全員人人有責(zé)的安全觀念。從管理制度上將數(shù)字檔案安全管理落實(shí)為約束性條文，規(guī)范企業(yè)各部門及檔案管理人員的安全行為，樹立標(biāo)桿模范，引領(lǐng)企業(yè)數(shù)字檔案管理事業(yè)蒸蒸日上。

四、結(jié)語(yǔ)

數(shù)據(jù)安全保障能力是國(guó)家競(jìng)爭(zhēng)力的直接體現(xiàn)，也是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展、提升國(guó)家治理能力的重要議題。習(xí)近平總書記強(qiáng)調(diào)：“要切實(shí)保障國(guó)家數(shù)據(jù)安全。要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，強(qiáng)化國(guó)家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力?！毙聲r(shí)期數(shù)字化引領(lǐng)經(jīng)濟(jì)社會(huì)的發(fā)展，檔案安全管理體系建設(shè)應(yīng)該充分適應(yīng)數(shù)字化時(shí)代的需求，識(shí)別檔案管理工作面臨的安全風(fēng)險(xiǎn)，結(jié)合技術(shù)特點(diǎn)和人力保障，發(fā)揮檔案安全管理體系在生產(chǎn)運(yùn)營(yíng)管理中的動(dòng)能效應(yīng)，組建檔案信息“知網(wǎng)”優(yōu)勢(shì)，整合服務(wù)渠道，推動(dòng)用戶服務(wù)敏捷化，為公司數(shù)字化轉(zhuǎn)型創(chuàng)建良好的機(jī)制和氛圍，助力公司生產(chǎn)運(yùn)營(yíng)的高質(zhì)量發(fā)展。