本篇论文目录导航:
【题目】
企业档案安全建设问题探究
【第一章】
公司档案安全管理探析绪论
【第二章】企业档案安全建设成就及存在问题
【第三章】
企业档案安全保障体系建设概述
【第四章】
企业档案安保体系的建设策略
【结语/参考文献】
企业档案安全发展路径研究结语与参考文献
第2章企业档案安全建设成就及存在问题
企业档案工作的概念是由科技档案工作发展而来的,《企业档案管理规定》中,企业档案是指企业在其生产、经营、管理活动过程中形成的对于国家、社会和企业具有保存价值的各种形式的文件材料[14].随着改革开放的深入,企业档案工作的范围也不断扩大,党的十五大确立了“以公有制为主体,多种所有制经济共同发展”的基本经济制度,民营企业档案工作也纳入其中。《国营企业档案管理暂行规定》对企业档案工作的任务、性质、基本原则和管理体制加以界定,这是我国企业对档案进行安全管理的基础。
随着市场经济的深入开展,我国市场主体健康有序发展,无论是市场主体的数量、企业相关实力,还是产业结构,都逐渐走向成熟,企业数量和资金规模不断扩大,我国产业结构进一步优化,区域发展也更趋协调。档案作为与企业同步发展的无形资产,其安全建设情况也与企业规模、企业分布地区等因素的不同存在很大的差异性,企业档案安全状况也参差不齐。
从企业规模而言,大型企业的管理较为规范,出于自身发展的要求,对档案的安全管理工作比较重视,依照国家政策和参考国外先进经验建立了适合自身企业发展的档案管理制度,明确了档案管理人员,并落实了档案安全保管措施,档案保管利用的相关设施设备基本能达到“八防”要求;中小型企业由于自身经济实力欠缺、档案安全保管观念落后,有些企业虽然初步具备了档案安全管理的基础,但是管理制度还比较松散,没有专业的档案管理人员,档案安全保管设备也不具备科学性,据有关资料显示,个体工商户占我国市场主体数量的73.18%[15],相当一部分小型微型企业并没有意识到档案安全管理的重要性,企业的档案安全管理工作还处于一片空白状态。
从企业地域分布而言,由于东部属于我国的经济发达地区,对于企业档案安全建设,在人力、物力、财力、智力等各个方面都有较为丰富的资源,在与国际市场接轨过程中,也更容易引进吸收先进的文档管理思想和方法,东部地区的企业档案安全管理水平走在其他地区的前列,深圳华为公司、广州恒大集团等在企业档案管理方面都做的卓有成效;相对于东部地区而言,中西部地区企业发展缓慢,管理思想也较为落后,能把企业档案安全工作列入企业管理日程的企业毕竟是少数,这在一定程度上了影响了我国企业档案安全建设的整体步伐。
2.1企业档案安全建设成就
虽然我国企业档案安全建设工作在不同地区、不同规模、不同行业的企业之间存在较大的差异性,档案安全管理方式和方法也各具特色,但是从整体而言,近些年来,我国企业档案安全建设也取得了一定的成绩。
2.1.1政府加强了对企业档案安全建设的宏观管理
为了规范企业档案管理工作,维护我国资产安全和完整,政府加强了对企业档案安全建设的宏观管理。首先,在法律监督方面,2013 年国家档案局出台《企业文件材料归档范围和档案保管期限规定》,从立法角度对企业档案安全管理工作进行有效监控,规范企业档案安全建设行为,也通过法规切实维护了企业在档案所有、利用、保密等方面的合法权益;其次,在政策指导方面,政府针对企业的不同特点,从档案管理模式、业务标准以及典型示范等方面对企业的档案安全建设工作加以引导,客观上引导了企业档案安全建设的方向,提高了企业档案安全管理水平;再次,在咨询服务方面,政府相关部门紧紧围绕企业发展需求,建立了档案管理咨询制度,配备咨询人员,通过现场、电话、网络咨询等方式开展指导服务,并提供相关的业务培训服务,对企业相关工作人员进行培训,大力提高他们的档案安全管理水平,此外有些地区的相关部门还向企业提供档案整理、寄存、数字化、档案鉴定评估等方面的服务。
2.1.2民众的企业档案安全理念有所提升
随着企业生产和经营的不断发展,企业安全文化的日益丰富,企业档案安全文化也逐步建立和发展。在企业安全文化的大环境里,安全理念早已渗透到企业档案管理的日常工作中,无论是企业档案的管理者还是外界相关人士,他们的企业档案安全理念都有所提升。一是政府相关部门通过现代化传播媒介,举办了档案知识讲座、竞赛等相关活动,广泛传播企业档案安全专业知识,提高了全社会的档案安全意识;二是企业通过档案安全知识学习和培训,使档案管理人员及时掌握了有关档案安全保护的新理论、新方法,及时了解了国家和地方有关企业安全运营和档案安全管理方面的各项政策法规和相关行业标准,通过网络宣传、安全知识竞赛、安全奖罚条例等方式方法,利用安全墙报、安全宣传栏、张贴安全标语等方式,深入开展安全知识的宣传,提高了民众的企业档案安全理念。
2.1.3科学技术成为企业档案安全建设的推动力
科学技术的发展推动了企业档案安全管理工作的建设,为企业做好档案安全管理工作提供了新的思路和方法。一方面,感器应在企业档案库房、机房的广泛应用,把档案工作人员从手工测量库房温湿度工作中解放出来,智能温湿度监控仪集数据测量、数据显示、数据存储和通讯于一体,节省了大量的人力,也提高了企业档案环境和设备的安全性,射频识别技术 RFID(Radio Frequency Identification)在档案整理和检索利用方面也发挥了很大的作用,通过对档案架和贴有 RFID 标签的档案资料进行扫描,实现档案所处架位和具体位置的信息采集,优化排架、统计、查找特定档案资料等工作。另一方面,网络环境的便捷性使办公效率大大提高,但是智能设备感染病毒被远程操控或者非法扫描都会对企业档案相关系统和系统中的文件信息安全造成威胁,并且高新技术环境下企业档案的形式也多种多样,这就促使企业改变原来陈旧的档案安全管理方式,引入先进的集成性档案信息系统管理系统等管理方法,并采取了相应网络安全防护措施等技术,科学技术的不断发展和应用,推动了企业档案安全建设。
2.2企业档案安全建设存在问题
企业档案安全问题需要从多个层面来考虑,既包括档案载体的安全,也包括载体中档案信息的安全,既要考虑人员、管理制度问题,又要考虑技术问题。随着科技的进步,企业已经不能再单单依靠把档案锁在档案柜里来保护的方式了,那些不受欢迎的光顾者会通过光纤电缆进入企业档案部门,威胁企业档案安全。科技简化了我们的生活,也使企业工作效率大大提高,但是一项科学技术的成熟需要一个长期发展的过程,在这个过程中它有自身的缺陷和弱点,这样便给应用科技的行业和企业带来各个方面的安全挑战,企业在档案安全建设方面也不例外,基于各种历史原因和现实原因,企业档案安全保障工作还存在诸多问题,文章从法规标准、管理制度、防护技术、人才队伍、监管机制等方面对现阶段企业档案安全建设存在的问题进行分析,以期更科学、全面的认识企业档案安全保障工作。
2.2.1企业档案安全法规标准建设迟缓
企业档案安全法规和标准是企业开展档案安全管理工作的基础和重要依据,但是从目前我国现有的相关法律法规和标准来看,我国企业档案安全法规标准的建设还十分缓慢,严重滞后于社会、经济和科技的发展需求。
首先,企业档案安全法规标准建设工作起步晚,建设速度缓慢。从 1980 年《科学技术档案工作条例》发布开始,我国的企业档案安全法规建设工作才开始起步,经过七年时间,正式的规范企业档案管理的法规《国营企业档案管理暂行规定》才出台,而到2002 年《企业档案管理规定》的颁布,又花费了将近 15 年的时间;在此期间,我国加入了世界贸易组织组织,企业受到了国际竞争环境的巨大冲击,急需相关文档法规和标准来规范企业的档案管理工作,提高企业档案管理的安全性,而我国直到 2013 年才出台《企业文件材料归档范围和档案保管期限规定》,已经严重滞后于企业和社会的现实需求。
其次,企业档案安全法规标准的制定缺乏科学规划,相关安全规范严重缺失。现阶段,从附录中可以看出,我国已经出台的企业档案安全相关法规有 13 项,相关标准有45 项,但是大多局限于档案的归档、档案装具和安全保管等环节,对于企业迫切需要的档案安全开发、安全利用,以及文件前端控制、电子文件长期保存等相关标准并没有相关标准出台,缺乏对企业档案安全法规标准的统筹规划[16],法规标准的规范范围有限,企业档案安全规范建设中还存在着很多空白现象。
再次,企业档案安全法规标准水平较低,缺乏可操作性。我国目前颁布的企业档案安全相关法规标准的适用范围比较有限,各个标准之间也相对割裂,缺乏协调性和配合性,不能有效的满足企业档案安全建设的需求[17];另一方面,已出台的法规标准的实施缺乏可量化的目标,条款的可操作性较差,同时也存在与企业实际工作状态相脱节的情况,不利于企业档案安全工作的发展。
2.2.2企业档案安全管理制度不健全
科学合理的企业档案安全管理制度是企业做好档案安全保障工作的前提。现阶段在企业的档案管理中,虽然很多企业制定了档案管理制度,但大多流于形式,或者随波逐流,并没有从自身企业的实际出发,档案安全管理方面的制度还很不健全,主要表现在以下几个方面。
首先,企业档案安全管理缺乏完善的档案收集制度。在企业档案收集过程中,企业普遍存在档案资源收集不齐全问题。究其原因是因为企业缺乏完备的文件控制规范,对生产、经营等业务部门所形成的文件未做前端控制,没有规范的文件使用格式模板和相应的归档要求,业务部门在归档时只是自发的提供一些所谓的归档文件,而在日常工作中由于疏忽或者意外很容易造成文件丢失或者破坏等现象,既不能保证档案的实体安全,也不能有效维护企业机要信息的安全。另一方面,很多企业在归档时未对文件进行安全审查,对于实物档案,有的企业是业务部门怎么交上来的,就原样堆放在档案室,纸质档案不做除尘、灭菌处理,磁性载体档案也不按照《磁性载体档案管理与保护规范》(DA/T15-1995)的有关规定进行安全保管[18],电子形式的档案不进行分类和加密处理,只是简单的迁移到系统服务器上,不进行日志记录。这些不规范的档案收集工作和流程,在很大程度上造成了企业档案遗失、损坏等安全事故和安全隐患,湛江市一家公司的档案在归档时没有进行消毒处理就进库,遭受了 3 次虫蛀危害[19],企业档案实体和档案信息都收到严重的破坏。
其次,企业缺乏科学的档案安全应急制度。灾害应急响应机制是降低安全事件危害的有力手段,但是在实际工作中,大部分企业在灾害应急响应方面做得并不好。一方面,对于灾害的种类考虑过于单一,企业在制定档案灾害应急方案时往往受定向思维的影响,单从最常见、危害性最大的方面来考虑问题,对于潜在的威胁考虑不全面。比方说,由于火灾是较为常见的一类灾害,加上技术的原因,一旦发生火灾,很难对档案进行抢救恢复,也很难挽回对档案造成的损失[20],大连一家人才服务公司就因所在办公大厦突然着火,使其代管的无数人事档案化为灰烬[21],所以在实际工作中很多企业只是针对火灾对档案的危害建立了应急预警方案。但是,随着大气环境的变化和磁性设施的增多,硬盘被磁化的概率也上升,此外,还有飓风、泥石流、地震等等自然灾害,不把这些问题考虑进去,企业档案发生灾害事件时只能束手无策。另一方面,企业档案灾害应急预案形同虚设。企业档案工作者在面对繁重的档案资料处理事务时,很难想象到突发事件就潜伏在他们身边,洛佩兹去大众公司上任时带走二十箱公司资料是原雇主通用公司无法岂料的[22],北京七七四厂万余卷档案被水淹时档案人员无从下手、手忙脚乱的状况也绝对不是个案[23],没有完备的安全事件应急方案,企业不会在日常工作中注重档案资源的安全保护,不能在安全事件发生后采取有利的措施来恢复企业工作正常运转,不能尽快的弥补档案灾害造成的损失。
此外,企业档案外包制度不完善也给企业档案安全带来安全隐患。企业档案涉及到的外包包括档案数字化外包、编研外包和档案云存储外包等,外包服务商的信誉度、管理水平、技术力量、所雇用的操作人员的素质以及接受培训是否到位等情况直接关系到档案外包的质量,必须慎重选择[24].就像英格兰皇家银行副总裁大卫·格里菲斯说的那样,“当人们为了温饱问题苦苦挣扎奋斗的时候,他们极可能会做出一些他们本身不想做的事情”[25],外包人员也可能面临着潜在的经济问题,对于企业竞争者而言,从外包人员手中获取目标企业机密资料是一件更为便捷的手段,外包人员接触到的是企业各个部门、各种级别的档案资料,数字化结束后得到大量、高价值、集成的数字信息,管控不当,工作人员面对巨大的经济利益,可能会出卖甲方公司的重要机密,给企业档案安全造成严重威胁;在编研外包方面,开发企业档案资源,需要查阅企业大量的资料和机密信息,并且工期不定,企业也无法对外包从业者进行有效的安全控制,对于编研产品成品的复制和传播的控制也很乏力,增大了企业档案泄密的隐患;企业档案存储业务外包给云服务商也存在安全隐患,目前云计算产业还是新兴事物,网络巨头微软、谷歌、IBM,以及我国的华为、阿里巴巴都纷纷斥资建立了云计算服务中心,IBM在美国和日本两座云计算中心就耗资4亿美元,在新加坡的投资也达3800万美元,投入的资金何时能回收,云计算在热潮过后是否可以稳定发展,假若云计算服务商倒闭之后企业档案数据如何迁移和处理,如何保证企业档案在云架构里保密可用,在现阶段都没有有力的制度和措施来予以保证[26],所以,企业将档案存储业务外包给云计算服务商存在着很大的安全风险。
2.2.3企业档案安全保障技术相对落后。
档案在企业能够生存下去的理由就是它能够为了企业生产经营提供参考资料,能够为了企业的决策提供量化的数据依据,能够为了企业在对外事务中具有竞争力和保护企业自身合法权益提供凭证资料。总体来说,就是有利用价值才是企业投入人力物力开展档案工作的原因,这就要求企业档案在实体和信息方面都是安全的,要具有良好的完整性、可用性和可控性,需要配套的技术来保证档案的安全。但是随着科学技术的发展,档案载体和档案形式都发生了很多的变化,当前我国企业在档案安全保护技术方面的工作还存在许多问题。
首先,企业未采用安全可靠的档案设备。档案设备在企业工作中主要包括实体档案存储设备、数字档案存储设备、数字档案利用设备、档案销毁设备等,市场上提供了多种档案盒、档案密集架等装具来存储实体档案,有些企业对档案装具国家行业标准(DA/T6-92)不熟悉,采用了带酸的档案卷皮纸[27],或者易破碎的塑料文件袋,在存储或者使用过程中出现破坏档案实体和信息的现象;对于数字档案设备而言,部分企业采用普通的磁盘进行存储,对于服务器的扩容和更新问题不予考虑,在为员工提供利用档案信息利用的终端也未做权限设置,设备出现问题时无法查获责任人,员工之间还存在互相借用便携设备等问题;对于报废的档案设备,部分公司未采用科学的处理技术,随意丢弃或者低价出售给相关收购方[28],档案盒含有的档案编目、硬盘还有的企业资料都未做销毁处理就予以丢弃,这一方面使企业档案资料的完整性受到损失,也增加了别有用心者窃取企业机密的风险。
其次,企业未采纳有效的安全认证系统。一是企业档案库房门禁认证系统不健全。保护企业档案安全,把信息盗窃者和破坏者拒之门外是有效的保护措施,但是单纯的一把锁并不能真正满足企业的安全需求,攀枝花市就有两家单位因为对档案库房疏于管理而发生了企业档案被盗事件,会计档案、基建档案等种类的 500 多卷档案丢失损毁[29],这种陈旧的库房安保技术给企业带来了严重的安全风险,企业应加强档案库房的门禁系统,采用多种认证措施来做好安全的第一道防线。在计算机图像处理、模式识别理论和大规模集成电路技术逐渐成熟和发展的背景下,指纹识别系统的体积也越来越小,价格也逐渐降低[30],被应用到档案库房、机房等民用领域的可行性增加,部分企业采用指纹识别等生物认证技术来规范企业档案部门的工作。二是企业档案信息系统认证存在漏洞。身份认证技术是企业信息系统必不可少的重要组成部分,它解决了计算机网络系统中操作者的物理身份与数据身份相对应的问题,但是身份认证技术分为很多级别,对信息系统的安全保护能力也有所不同,据调查显示,由于成本低廉、操作方便,用户名/密码认证方式在所调查单位中应用最广泛,使用比率占到认证技术使用总量的 67%左右[31],但是这种方式存在很大的档案泄密风险,很多企业未对账户密码的设置要求和使用时间进行规定,档案管理员随自己喜好设置的密码极易被他人破解,难防他们使用相关账户的权限进行越权信息操作;另一方面,有些企业档案工作人员为了工作方便或者临时需要会借用其他人的账户来登录系统,系统不具有操作痕迹记录功能,造成的信息安全事件也无从考查。
再次,企业未实施先进的文档加密技术。加密技术落后一是表现在企业提供未加密的档案给业务部门使用,企业中归入档案信息系统的文件在很大程度上是 Word 和 Excel文档,在归档时未用软件自带的文件保护功能进行加密,未对电子档案的修改权、编辑权进行限制,在 Word 的编辑格式存储的可编辑的电子印章在档案利用过程中是一个很大的安全风险[32].二是通过网络传输和获取企业档案时,一些企业的内网没有加密措施,档案文件都是以未加密的明文形式通过网络传送,而入侵者可以在数据包经过路由器或者网关时截获文件,虽然提供的是企业档案的副本信息,对于档案本身的完整性和真实性不构成威胁,但是通过多次窃取和分析,入侵者可以挖掘出企业运作的相关规律,造成网上传输信息泄密,机要信息被窃取,企业泄密事件的发生。[33]三是智能移动设备应用到办公领域给企业档案安全带来安全挑战,随着智能手机功能不断增多,在移动终端上访问存储于服务器上的企业资料也逐渐可行,但是窄带传播协议和技术还不尽成熟,企业档案信息在移动终端访问时容易遭受窃取和拦截[34].即便是只在企业内网范围内应用移动终端访问,手机便捷的截屏功能也给员工偷偷在自己的移动设备上对企业档案备份成为可能,它绕过了档案本身设置的非下载性、非复制性,造成企业信息泄密风险。
此外,微信、QQ 等聊天交互工具提供电脑、手机两种终端同时登陆功能,不需要数据线,用户就可以将文件从一个终端及时传到另一个终端,这给那些想通过物理破坏电脑 USB接口以防止档案资料被偷盗的企业来了个当头棒喝,高新技术环境下缤纷复杂的科学技术给企业档案安全工作带来极大威胁。此外,企业档案信息提取技术也相对落后。档案资源作为企业信息的重要部门,企业档案是否完整决定着企业档案安全建设工作的成败,在不同业务环节、不同信息系统中产生的文件信息依据其保存价值需要及时做好收集、保管工作,为企业档案共享平台提供信息资源。但是,企业很多关键信息、重要知识都处于一种“游离”状态,以邮件系统为例,据调查目前很多企业,尤其是大中型企业通过邮件系统来开展管理活动,但是电子邮件中的信息多处于失控状态,即便是非常重要的邮件也很少被当作档案来对待[35].究其原因是因为企业并没有将数据挖掘技术应用于档案管理之中,没有将电子邮件作为战略性知识资源来对待,这种不能应用有效技术对企业重要信息进行提取、整理、保管和应用,企业档案便不能科学有效地为企业前台业务提供信息利用服务,生产技术、管理方法没有有效的档案参考,从而影响企业工作效率和合法权益。
2.2.4企业档案安全专业人才匮乏
企业要做好档案安全工作,必须重视专业人才的作用。企业档案工作者的专业能力、安全意识、学习能力直接制约着企业档案安全建设,从改革开放以后,我国企业档案管理工作步入正轨才短短几十年时间,面对日新月异的市场变化和科技强劲发展势头,企业并没有专业化的档案人才队伍来从事档案安全建设工作,这给企业档案安全建设带来极大的阻力,给企业档案安全造成巨大风险。
首先,档案专业人才数量不能满足市场需求。以河北省为例,河北省仅有一所高校设有档案学专业,本科生加硕士生每年向社会输出人数不足 70 人,但是通过百度招聘搜索引擎,以“档案员”为搜索关键词,学历限制为大专以上,得到仅省会石家庄有档案管理人员需求的企业就达六十多家,加上唐山、保定、秦皇岛等城市的需求达到三百人以上的需求,但是由于考虑到薪资待遇、职业前景等问题,很多档案学毕业生并没有走向企业档案管理岗位,在企业中严重缺乏具有档案学背景的科班人才来从事企业档案安全建设工作,影响企业档案安全建设工作的质量和进度。
其次,企业档案人员安全意识有待加强。与档案安全工作能力相比,企业档案人员的安全意识是影响企业档案安全更重要的因素。与企业安保措施相比,故宫博物馆有着严密的科技防范措施和人员安保保障,但是 2011 年5月8日香港两依藏博物馆在故宫的斋宫临时进行展出时部分展品依然出现了失窃现象[36],从中我们可以看到人防、物防、技防都不如心防来得可靠和重要,对于企业档案安全管理也是一样,没有较强的档案安全保护意识,企业很难做好档案安全保障工作。
此外,企业对员工的档案培训也较为匮乏。一是对全体员工的档案安全宣传和档案安全培训未列入企业入职培训当中,不利于企业档案管理的前端控制;二是对档案部门工作人员的专业档案技能培训和继续教育工作也不到位,单凭档案人员的经验和摸索很难胜任企业安全管理档案资源的要求。
2.2.5企业档案安全建设缺乏有效的监督机制
与政府的档案管理工作不同,企业档案管理工作有极大的自主性和灵活性,企业档案安全建设缺乏有效的监督管理手段,不能保证企业档案安全工作的有效开展,造成企业档案丢失、损坏和泄密的风险。
首先,企业对档案安全工作监督不到位。在企业中,档案工作的成效并没有相对的量化指标,未列入员工绩效考核指标之内,主管部门对档案工作也是听之任之的状态,档案工作缺乏规范性、约束性和原则性。以档案数字化为例,很多企业看到同行在对档案进行数字化处理和备份,就也跟着开展本公司数字化工作[37],在缺乏科学规划的前提下,企业管理部门对档案数字化的进度和安全管理都监督不到位,部分企业经常出现档案数字化项目无法继续开展的尴尬局面,对于数字化过程缺乏科学的监管体系,也会造成档案原件丢失或者损坏的安全风险。
其次,企业档案安全建设缺乏相应的评审和认证机制。对企业档案安全建设进行评审和认证有助于督促档案部门积极开展档案安全建设和达标完成档案安全建设任务,但是在实际工作中,企业并没有把档案安全认证和评审工作列入监管体系当中,只在档案出现安全问题时才实施措施进行弥补和挽救[38],这并不能从根本上保证企业档案的安全保管和安全利用,不进行科学全面的档案安全评审和认证无法发现企业档案管理存在的安全隐患,不利于企业档案安全保证体系建设的开展。
