档案信息安全的风险预测及应急预案研究
陈秋香
摘要:信息时代,档案从纸质化转向电子化,提高了档案管理的工作效率,但是信息系统和网络世界的不确定性,使得电子档案也面临着更加严峻的安全问题。一方面窃密者可以通过黑客、病毒等多种方式,来攻击档案管理机构的信息系统,以窃取相关机密信息;另一方面档案电子化后,易出现系统故障、网络故障等,使得档案数据丢失和紊乱,给档案的完整性、有效性带来安全隐患。在此背景下,本文对加强档案信息安全的重要性,档案管理存在的安全隐患进行了分析,最后提出了相应的应对策略,以期研究结论能为档案的信息安全管理工作提供一些借鉴。
关键词:档案 信息安全 风险预测 应急预案
中图分类号:G270.7 文献标识码: A
近几年,随着我国媒体多次报道有关涉密机关的信息出现泄漏事件,我国的档案信息安全问题引起社会的广泛关注。从震惊国人的黄宇泄密事件开始,我国的档案管理中信息安全凸显出较多的安全漏洞。档案信息对组织的发展起着决定性作用,信息的泄露会给组织的战略决策、财务、招投标等带来严重的负面影响。当前,档案的信息安全还存在一些风险隐患,对信息安全的风险预测并准确地制定相应的应急预案,是保障档案信息规避风险损失的重要举措。分析档案信息安全的重要性,探索档案信息所存在的主要安全风险,提出具体的改进措施,对我国新时期档案信息安全管理工作具有重要的意义。
1 加强档案信息安全的重要性
1.1防止档案信息泄露
档案管理工作中对档案信息的保护职责之一,在于防止档案信息泄露或被窃取。组织的档案信息包括财务信息、人事档案信息、薪酬信息、项目信息、会议档案信息、组织发展的历史资料等,[1]这些信息对于竞争对手或其他相关组织而言具有重要的价值。人事档案信息的泄露,会使得组织的人力资源可能遭到竞争对手的破坏,核心技术可能会因员工的离职而流失,项目信息和会议信息的泄露则可能使得组织在招投标项目中出现失利,薪酬信息的泄露又易使得组织内部员工产生攀比或消极心理,影响员工的凝聚力、稳定性和工作积极性。为了保障组织健康稳定的发展,加强档案信息安全建设,防止档案信息泄露是档案管理的重点任务之一。
1.2保障档案信息真实性
组织的档案信息既是组织开展工作决策的重要参考信息,也是组织内选拔和任用人才的重要凭证。档案信息的真实性是保障组织制定各项正确决策的主要因素。纸质档案在管理、借阅过程中,信息遭到篡改会出现一定的修改痕迹,便于档案管理人员及时对其进行调查与整改,而档案实施信息化技术后,电子档案在黑客、病毒等五花八门的盗窃软件攻击下,信息即使遭到篡改等,档案管理人员也难以及时察觉,并准确还原档案真实信息。给档案使用者带来难以估计的风险和损失。为保障档案的价值和有效性,必须加强档案信息安全管理,保障档案信息真实准确。[2]
1.3保障档案内容完整性
组织的档案在经历几年或更多年的保管与传承过程中,檔案信息易因为物理、化学或人为等原因,造成档案文件的损坏、丢失、字迹色泽淡化或消失等,进而使得档案内容缺失。[3]档案内容的不完整性也使得档案信息的安全存在隐患,不完整的档案信息失去了其应有的应用价值,使得档案使用者无法通过档案信息制定相应的决策。加强档案信息安全,也需要加强对档案内容的完整性保护,使得档案信息在非外部窃取的情况下,完好无损地储存在档案柜或计算机数据库中,进而保障了档案应有的使用价值。
2 档案信息安全存在的风险隐患
2.1风险预测能力需进一步提升
在档案管理工作中,存在部分组织对档案信息安全风险隐患评估能力不足等问题。长期以来,档案管理工作中的风险预测主要依靠经验判断法等,这种判断方法对经常性出现的风险具有一定的抵御性作用,但是对未知的、偶发性的新型风险难以进行准确预测,进而无法针对这种风险及时制定有效的应急预案。这种未知的风险一旦产生,极易造成组织的档案信息出现遗漏、损坏、数据丢失等问题,进而给组织的档案信息造成难以恢复的严重损失。对于档案信息安全管理工作中的风险,档案管理人员应具备以科学的数据模型来推测风险的能力,并建立档案信息风险评估体系,进一步巩固档案信息安全措施。[3]
2.2云端储备档案存在一定风险
自从云计算模式被推出之后,云端储备成了各档案信息的备份平台之一,档案机构将大量的档案资料转移到了云端储备平台上。但是,目前我国的云计算行业属于新型行业,无论是从法律环境还是从技术环境等方面而言,都存在诸多不完善不成熟之处。为档案管理机构所提供云服务的企业可能存在产品性能不稳定、产品存在安全隐患等问题,这些问题使得档案机构在云端所储存的档案信息在遇到服务器故障、网络故障、人为破坏等情况时,极易出现数据丢失、数据在传输过程中形成紊乱、数据失真等问题,[4]给档案信息的真实性、完整性、可靠性带来较大的风险。
2.3档案信息保密制度尚不完善
据有关数据统计,当前我国档案信息的泄露案件中由于内部人员造成信息泄露的占总数的98%。由此可见,档案管理机构对档案信息遭内部成员泄露问题存在较大的管理疏忽。近几年曝出的引起社会广泛关注的泄密事件,如《焦点访谈》播出的黄宇泄密案,在涉密机关工作的黄宇,在岗期间竟向境外机构出售了长达十年的军用保密信息和党政密码,涉密资料多达15万余份;2012年东软前副总经理伙同CT机研发部负责人窃取公司核心技术后出售等。[5]内部保密制度的不完善,使得内部泄密概率远大于外部窃密概率,给档案信息安全造成较大的隐患。
3 新时期档案信息安全风险的应急措施
3.1利用科学技术降低风险损失
档案信息的安全存在各种各样的问题,比如网络故障导致数据传输紊乱,存储设备故障导致信息丢失,供电故障导致信息丢失,病毒入侵导致信息泄露,以及其他因素所造成的信息安全问题等。这些问题一旦出现之后,均会给组织造成信息永久性丢失、信息泄密后的财产损失、重要信息泄露后的安全隐患等。对此,组织应对各种因素所造成的档案安全隐患进行风险评级,采用层次分析法、主成分分析法、线性回归预测法等对风险进行预估,再对此制定轻重程度对等的应急预案,使组织的资源得到最大化保护和利用。
3.2加强云端储备的档案管理
对于档案在云端储备过程中所出现的安全隐患,一是加强对云服务供应商的筛选,根据档案保密级别,选择性价比较高的云端服务提供商,在选择过程中注重对供应商信誉、知名度、经营实力、客户对象等的考察,尽量选择优质供应商。二是对云端档案数据的访问进行加密,运用云端服务中的数据验证、令牌、凭证等措施,让授权用户通过口令使用共享文件。三是定期联合云服务提供商对云端储备环境进行风险检验和评估,及时排除云端储备设备的安全隐患。四是建立完善的云端档案退出机制,档案机构将档案从云端服务器退出后,以合同或制度的形式要求提供云端服务的企业彻底删除档案数据,并承担一定年限的保密责任。[6]
3.3建立完善的信息保密制度
档案管理机构应建立完善的档案信息保密制度和严格的责任追究制度,来保障组织档案信息的高度安全。首先,档案管理机构应对所储存的档案信息按照保密内容来进行分级,对保密级数较高的档案信息应严格控制调阅权限,档案信息使用者必须进入指定监控区域才能查阅档案,并禁止高级别档案的复制与传递行为。其次,对具有保密性质的项目,应规定项目组成员不允许带入任何存储设备进出项目组,重要项目设备应避免与外界联网,规避人为传递信息或防止病毒入侵。再次,建立完善的档案管理流程,明确档案收集、整理和归档时间,对已经完成的项目应及时申请相关保护措施和及时收集文档信息,避免档案在收集间隙出现泄密问题。最后,明确规定档案管理责任范围和责任人,全面预估档案泄密风险,对可能发生的风险制定明确的责任人和责任,以相关连带责任加强档案的保密力度。[7]
4 结束语
综上所述,档案是记录组织发展历史的重要文件,这些文件从多方面对组织起着决定性作用。在新时代,档案管理进行信息化之后,网络世界的不确定性,使得信息化档案极易受到病毒、黑客等的攻击,同时,档案在保存的过程中,也易因系统故障、网络故障、储存设备故障等,造成档案数据丢失、信息紊乱等,给组织的档案信息造成较大的损失。加强档案信息安全管理是保障档案信息真实性、完整性和不泄露的重要措施,档案管理机构应对档案的信息安全加大管理力度和重视程度,以保障档案信息的安全。
参考文献:
[1] 李云鹃.档案管理信息化建设发展风险管理[J].劳动保障世界,2016(15):48,50.
[2] 黄河.档案信息安全风险防范策略浅析[J].兰亭世界,2015(2):103- 104.
[3] 郭欣.论档案信息化工作中的信息安全问题[J].科技资讯,2017(29):4- 5.
[4] 谷麗华.大数据时代档案信息安全问题研究[J].工作指导,2017(10):84- 85.
[5] 谢传奇.浅析信息化档案管理安全防范之策略[J].黑龙江科技信息,2017(10):266.
[6] 祝洁.基于云计算的档案信息安全风险及防范策略[J].浙江档案,2017(2):14- 15.
[7] 王丽曼.浅谈档案信息化建设的风险管理[J].黑龙江档案,2013(6):35.
摘要:信息时代,档案从纸质化转向电子化,提高了档案管理的工作效率,但是信息系统和网络世界的不确定性,使得电子档案也面临着更加严峻的安全问题。一方面窃密者可以通过黑客、病毒等多种方式,来攻击档案管理机构的信息系统,以窃取相关机密信息;另一方面档案电子化后,易出现系统故障、网络故障等,使得档案数据丢失和紊乱,给档案的完整性、有效性带来安全隐患。在此背景下,本文对加强档案信息安全的重要性,档案管理存在的安全隐患进行了分析,最后提出了相应的应对策略,以期研究结论能为档案的信息安全管理工作提供一些借鉴。
关键词:档案 信息安全 风险预测 应急预案
中图分类号:G270.7 文献标识码: A
近几年,随着我国媒体多次报道有关涉密机关的信息出现泄漏事件,我国的档案信息安全问题引起社会的广泛关注。从震惊国人的黄宇泄密事件开始,我国的档案管理中信息安全凸显出较多的安全漏洞。档案信息对组织的发展起着决定性作用,信息的泄露会给组织的战略决策、财务、招投标等带来严重的负面影响。当前,档案的信息安全还存在一些风险隐患,对信息安全的风险预测并准确地制定相应的应急预案,是保障档案信息规避风险损失的重要举措。分析档案信息安全的重要性,探索档案信息所存在的主要安全风险,提出具体的改进措施,对我国新时期档案信息安全管理工作具有重要的意义。
1 加强档案信息安全的重要性
1.1防止档案信息泄露
档案管理工作中对档案信息的保护职责之一,在于防止档案信息泄露或被窃取。组织的档案信息包括财务信息、人事档案信息、薪酬信息、项目信息、会议档案信息、组织发展的历史资料等,[1]这些信息对于竞争对手或其他相关组织而言具有重要的价值。人事档案信息的泄露,会使得组织的人力资源可能遭到竞争对手的破坏,核心技术可能会因员工的离职而流失,项目信息和会议信息的泄露则可能使得组织在招投标项目中出现失利,薪酬信息的泄露又易使得组织内部员工产生攀比或消极心理,影响员工的凝聚力、稳定性和工作积极性。为了保障组织健康稳定的发展,加强档案信息安全建设,防止档案信息泄露是档案管理的重点任务之一。
1.2保障档案信息真实性
组织的档案信息既是组织开展工作决策的重要参考信息,也是组织内选拔和任用人才的重要凭证。档案信息的真实性是保障组织制定各项正确决策的主要因素。纸质档案在管理、借阅过程中,信息遭到篡改会出现一定的修改痕迹,便于档案管理人员及时对其进行调查与整改,而档案实施信息化技术后,电子档案在黑客、病毒等五花八门的盗窃软件攻击下,信息即使遭到篡改等,档案管理人员也难以及时察觉,并准确还原档案真实信息。给档案使用者带来难以估计的风险和损失。为保障档案的价值和有效性,必须加强档案信息安全管理,保障档案信息真实准确。[2]
1.3保障档案内容完整性
组织的档案在经历几年或更多年的保管与传承过程中,檔案信息易因为物理、化学或人为等原因,造成档案文件的损坏、丢失、字迹色泽淡化或消失等,进而使得档案内容缺失。[3]档案内容的不完整性也使得档案信息的安全存在隐患,不完整的档案信息失去了其应有的应用价值,使得档案使用者无法通过档案信息制定相应的决策。加强档案信息安全,也需要加强对档案内容的完整性保护,使得档案信息在非外部窃取的情况下,完好无损地储存在档案柜或计算机数据库中,进而保障了档案应有的使用价值。
2 档案信息安全存在的风险隐患
2.1风险预测能力需进一步提升
在档案管理工作中,存在部分组织对档案信息安全风险隐患评估能力不足等问题。长期以来,档案管理工作中的风险预测主要依靠经验判断法等,这种判断方法对经常性出现的风险具有一定的抵御性作用,但是对未知的、偶发性的新型风险难以进行准确预测,进而无法针对这种风险及时制定有效的应急预案。这种未知的风险一旦产生,极易造成组织的档案信息出现遗漏、损坏、数据丢失等问题,进而给组织的档案信息造成难以恢复的严重损失。对于档案信息安全管理工作中的风险,档案管理人员应具备以科学的数据模型来推测风险的能力,并建立档案信息风险评估体系,进一步巩固档案信息安全措施。[3]
2.2云端储备档案存在一定风险
自从云计算模式被推出之后,云端储备成了各档案信息的备份平台之一,档案机构将大量的档案资料转移到了云端储备平台上。但是,目前我国的云计算行业属于新型行业,无论是从法律环境还是从技术环境等方面而言,都存在诸多不完善不成熟之处。为档案管理机构所提供云服务的企业可能存在产品性能不稳定、产品存在安全隐患等问题,这些问题使得档案机构在云端所储存的档案信息在遇到服务器故障、网络故障、人为破坏等情况时,极易出现数据丢失、数据在传输过程中形成紊乱、数据失真等问题,[4]给档案信息的真实性、完整性、可靠性带来较大的风险。
2.3档案信息保密制度尚不完善
据有关数据统计,当前我国档案信息的泄露案件中由于内部人员造成信息泄露的占总数的98%。由此可见,档案管理机构对档案信息遭内部成员泄露问题存在较大的管理疏忽。近几年曝出的引起社会广泛关注的泄密事件,如《焦点访谈》播出的黄宇泄密案,在涉密机关工作的黄宇,在岗期间竟向境外机构出售了长达十年的军用保密信息和党政密码,涉密资料多达15万余份;2012年东软前副总经理伙同CT机研发部负责人窃取公司核心技术后出售等。[5]内部保密制度的不完善,使得内部泄密概率远大于外部窃密概率,给档案信息安全造成较大的隐患。
3 新时期档案信息安全风险的应急措施
3.1利用科学技术降低风险损失
档案信息的安全存在各种各样的问题,比如网络故障导致数据传输紊乱,存储设备故障导致信息丢失,供电故障导致信息丢失,病毒入侵导致信息泄露,以及其他因素所造成的信息安全问题等。这些问题一旦出现之后,均会给组织造成信息永久性丢失、信息泄密后的财产损失、重要信息泄露后的安全隐患等。对此,组织应对各种因素所造成的档案安全隐患进行风险评级,采用层次分析法、主成分分析法、线性回归预测法等对风险进行预估,再对此制定轻重程度对等的应急预案,使组织的资源得到最大化保护和利用。
3.2加强云端储备的档案管理
对于档案在云端储备过程中所出现的安全隐患,一是加强对云服务供应商的筛选,根据档案保密级别,选择性价比较高的云端服务提供商,在选择过程中注重对供应商信誉、知名度、经营实力、客户对象等的考察,尽量选择优质供应商。二是对云端档案数据的访问进行加密,运用云端服务中的数据验证、令牌、凭证等措施,让授权用户通过口令使用共享文件。三是定期联合云服务提供商对云端储备环境进行风险检验和评估,及时排除云端储备设备的安全隐患。四是建立完善的云端档案退出机制,档案机构将档案从云端服务器退出后,以合同或制度的形式要求提供云端服务的企业彻底删除档案数据,并承担一定年限的保密责任。[6]
3.3建立完善的信息保密制度
档案管理机构应建立完善的档案信息保密制度和严格的责任追究制度,来保障组织档案信息的高度安全。首先,档案管理机构应对所储存的档案信息按照保密内容来进行分级,对保密级数较高的档案信息应严格控制调阅权限,档案信息使用者必须进入指定监控区域才能查阅档案,并禁止高级别档案的复制与传递行为。其次,对具有保密性质的项目,应规定项目组成员不允许带入任何存储设备进出项目组,重要项目设备应避免与外界联网,规避人为传递信息或防止病毒入侵。再次,建立完善的档案管理流程,明确档案收集、整理和归档时间,对已经完成的项目应及时申请相关保护措施和及时收集文档信息,避免档案在收集间隙出现泄密问题。最后,明确规定档案管理责任范围和责任人,全面预估档案泄密风险,对可能发生的风险制定明确的责任人和责任,以相关连带责任加强档案的保密力度。[7]
4 结束语
综上所述,档案是记录组织发展历史的重要文件,这些文件从多方面对组织起着决定性作用。在新时代,档案管理进行信息化之后,网络世界的不确定性,使得信息化档案极易受到病毒、黑客等的攻击,同时,档案在保存的过程中,也易因系统故障、网络故障、储存设备故障等,造成档案数据丢失、信息紊乱等,给组织的档案信息造成较大的损失。加强档案信息安全管理是保障档案信息真实性、完整性和不泄露的重要措施,档案管理机构应对档案的信息安全加大管理力度和重视程度,以保障档案信息的安全。
参考文献:
[1] 李云鹃.档案管理信息化建设发展风险管理[J].劳动保障世界,2016(15):48,50.
[2] 黄河.档案信息安全风险防范策略浅析[J].兰亭世界,2015(2):103- 104.
[3] 郭欣.论档案信息化工作中的信息安全问题[J].科技资讯,2017(29):4- 5.
[4] 谷麗华.大数据时代档案信息安全问题研究[J].工作指导,2017(10):84- 85.
[5] 谢传奇.浅析信息化档案管理安全防范之策略[J].黑龙江科技信息,2017(10):266.
[6] 祝洁.基于云计算的档案信息安全风险及防范策略[J].浙江档案,2017(2):14- 15.
[7] 王丽曼.浅谈档案信息化建设的风险管理[J].黑龙江档案,2013(6):35.