本篇论文目录导航:
【题目】
企业档案安全建设问题探究
【第一章】
公司档案安全管理探析绪论
【第二章】
企业档案安全建设成就及存在问题
【第三章】
企业档案安全保障体系建设概述
【第四章】企业档案安保体系的建设策略
【结语/参考文献】
企业档案安全发展路径研究结语与参考文献
第4章企业档案安全保障体系的建设策略
企业档案安全保障体系建设是一个集复杂性和全局性一体的建设工作,不但涉及到对企业实体档案的保护,还涉及到对企业数字化档案的保护;不仅涉及企业的组织模式、管理制度,还要考虑企业保护档案安全所需要的技术;既要认识到构建企业档案安全体系的重要性,又要注重监管和验收,保证企业档案安全保障体系顺利建设。基于前几章的分析,本章从法规标准、管理制度、安全技术、人才队伍和监管机制等方面对企业档案安全保障体系给出建设策略。
4.1完善企业档案安全法规标准
4.1.1强化企业档案安全保护法律法规
企业档案安全法律法规建设是企业档案安全管理的基石。企业在生产经营中,与政府、社会、个人会因为档案问题发生各样的冲突或者纠纷,而法律的运用则为企业保 护自身利益、占据竞争优势给予保证。档案安全法律关系是指档案安全法规所调整的社会组织或者个人在管理、利用和维护档案安全过程中所形成的权利和义务的关系,它的主体是档案安全法律关系的参与者,包括国家档案局、地方档案机关、企事业单位、个人或者其他社会组织团体等;它的客体是档案及其档案收集、整理、保管、利用等档案管理活动;而档案安全法律关系的内容就是档案安全法律规定的主体对客体应有的权利和义务[51].档案安全法规对企业档案的管理起到了安全保障的作用,并引导人们在接触档案时做正确的行为,在发生纠纷时调节纠纷双方的利益关系,并对触犯法规的个人或者单位强制进行相关处罚。
企业作为以追求利润为目标的社会组织,其出现的档案安全问题与机关和事业单位档案安全问题不同,每一桩档案安全事件都影响着企业的经济效益和社会信誉。2010年,胡士泰、葛民强等四人因为侵犯商业秘密被判处不同的刑期和经济处罚[52],力拓“间谍案”显示出法律在维护企业机密方面的作用。但是,我国关于企业档案安全保护的法律法规还较少,职工人事档案丢失、企业机密档案被窃取等问题在无相关法律规范时处理起来还很不规范,《档案法》应与时俱进的加入对企业档案保护的专门章节,明确档案保护的权利主体、义务主体、监管主体、安全保护措施、惩罚制度等,对于有害企业档案安全的行为对应着列出其应该受到的惩罚和所应当承担的法律责任,使我国企业档案安全工作在发生纠纷时能够有法可依,能切实保证主体人的权益。
4.1.2健全企业档案安全保障标准
科学可行的国家标准和行业标准能够帮助企业有效开展档案安全保障体系建设。1983 年,我国国家档案局成立了全国档案工作标准化领导小组,这是我国档案标准工作的开端。经过三十多年的发展,国家档案局已经组织发布了 10 项国家标准,40 多项行业标准,已经初步形成了档案工作标准体系[53].但是据有关研究人员调查,现阶段我国档案安全方面的标准并不完整,缺乏必要的理论基础和现实基础,而且操作性并不强,制定时也缺少统一规划,不能与时俱进的保证更新和维护[54].对于企业档案从业者而言,面对纷繁复杂的企业档案资料,没有合适的管理标准可以参考,凭着经验和摸索管理企业档案,这是造成企业档案存在安全问题的重要原因。
企业档案安全保障体系建设是一个系统的工程,需要相应的标准体系来予以指导。当前我国的档案安全标准还存在很多问题,首先应根据前端控制、全程管理等理论,并结合企业档案安全体系建设工作的实际需求,对于企业档案安全的技术标准、管理标准、基础设施标准和评估标准都予以开发和制定,满足企业档案安全在业务、管理和技术等各个方面的需求;其次要积极吸收国外先进的国际标准,结合我国企业档案安全的实际情况,一方面可以提高我国企业档案保护的水平,另一方面也能缩小我国与发达国家管理方面的差距,有利于在国际贸易中保障企业的合法权益和竞争地位;此外,要善于借鉴和吸收我国国内档案安全标准体系构建的有关研究成果,将学者的研究成果融入企业档案安全标准的制定中去,例如张美芳学者就提出档案安全保障体系建设应分为业务标准、管理标准、技术标准、评价标准四大类[55],这对于企业档案安全标准的建设起到了推波助澜的作用。
4.2加强企业档案安全保障管理制度建设
完善的企业档案管理制度是企业档案安全体系建设的根本保障。在市场经济发展过程中,企业不断转变运营方式,市场的动态、消费者心理的变化、国家政策的变动、国际形势的变幻都对企业的生产经营产生重大影响[56],为了占领市场、获取更多的超额利润,企业需要更多的信息来进行分析和决策,忆古思今,企业档案信息中存在的价值也逐渐走到企业运作的前台。随着企业档案安全重要程度的深化,企业需要强化档案安全管理制度,以有效的管理和保障企业档案安全。
4.2.1科学制定企业档案收集制度
科学合理的档案收集制度是企业做好档案安全工作的重要前提。做好企业档案收集制度首先要规范企业档案形式和归档范围。明确、详尽的企业档案分类和归档范围,能够帮助企业更好的收集对于企业有价值的档案资料,利用前端控制理论,公司档案部门与业务部门进行沟通,确定企业的文档需求情况,在文件形成之前确定各个部门文件的种类以及归档的形式,建立每个模块的文件模板,在文件进入非现行阶段后能够目的明确的进入所属档案架构里。每个企业可能运用的分类法可能不同,它反映了企业独特的业务流程、组织架构,以及核心竞争力[57],并且,企业档案的分类、归档范围、保管期限应具有鲜活的生命力,不能认为制定一次就可以一劳永逸了,随着企业业务流程的变化,企业收购、并购其他公司,或者企业扩展海外市场等等情况来做相应的调整。
4.2.2有力强化企业档案安全保管制度
首先,要明确企业档案工作人员的责任。明确的安全责任是做好企业档案安全工作的重要基础和保障,企业档案管理员在档案保管过程中要恪守职责,不做有损企业档案安全的事情和行为,在日常档案管理过程中要有足够的耐心和责任心,保证安全保管企业档案。
其次,做好企业档案的整理工作。根据企业实际情况,确定适合企业的分类法,为企业档案建立全宗,每份档案设置档号,实体档案要按档号的顺序依次排放,电子档案要按类别和档号有秩序的储存在企业档案信息服务器上[58],编制档案检索目录,保证企业档案的完整性和可控性。
再次,要对企业库存档案定期进行检查。对档案定期进行检查是企业档案保管工作的重要方面,企业要对实体档案进行定期检查,保证档案载体的安全性,保证档案字迹的可用性,对于出现破损或者褪变的档案要及时进行修补和异质备份迁移;对于电子档案要定期检查档案的可用性和安全性,对于电子档案的载体要进行防磁化保护,要随着企业科技技术、信息系统要求的变化改变电子档案的格式和存储方法,保证企业档案的可用性、保密性和安全性。
4.2.3严格制定企业档案安全保密制度
安全保密是企业构建档案安全保障体系的一大目标,也是维护企业竞争优势的重要举措。《企业知识产权管理规范》中规定企业要明确涉密的信息,明确文件的保密等级、保密期限、文件流转、保存和销毁要求[59].
首先,明确企业档案的保密等级和使用权限。对于绝密档案要做到不公开、不上网、非领导授权任何人不得借阅和利用;对于密级较低的企业档案也要明确使用权限,根据部门和人员职责分配不同的使用权限,不同权限的人员不得互借权限,防止有心人士窃取企业重要档案资料。
其次,严格控制企业档案的传输和复制。随着配置有高清摄像头和存储功能的智能手机的普及,员工在接触企业档案过程中中很容易对企业档案进行拍照,不需要照相机、录像机等设备便可复制档案机密信息,加上智能手表、智能眼镜等可穿戴智能设备的风靡,企业档案保密工作面对着严峻的挑战,企业应严格要求员工不得在办公领域进行摄像或者录像,严格控制移动存储设备的使用,防止员工利用高科技手段对企业机密档案进行窃密。
再次,企业与员工签订保密协议。企业要落实档案安全保密责任制,做到权责明确,互相监督,防止员工的窃密行为,减少从内部炸毁企业这个大碉堡的概率。此外,对于疏忽或者有意触犯企业保密制度的行为,要视情节、后果的危害程度予以经济处罚或者其他处分。
4.2.4科学建立企业档案安全应急制度
科学可行的企业档案安全应急制度是保障企业档案安全的有力武器。2008 年,汶川突发 7.8 级地震后,国家才开始着手构建灾害预警机制,以期在日后发生重大事件时能有条不紊的、快速解决问题;2014 年,马航 MH370 客机由马来西亚飞往北京途中突然与地面失去联系,各国在太平洋海域、印度洋海域搜寻数十天依然未果[60],这让我们看到没有规范的灾难应急机制,人类在灾难面前是手足无措的。对于企业档案而言,管理和技术都无法抵挡突发灾难带来的恶劣影响,企业需要对其档案安全状况进行评估,要制定可能发生的重大安全事件的应对方案,在出现重大安全问题时,能够有效面对,并及时恢复企业运转。
首先,要做好企业档案安全预防工作。预防工作放在平时环境中,就是企业要评估企业档案所存在的安全风险,对档案库房进行定期排查,对服务器就行定期检修,对员工进行应急培训和灾害演练;并且要防范企业内部员工潜在的信息泄密行为,从自然原因、设备因素、管理因素、技术因素、人为因素多方位、全视角的评估企业档案安全风险,保障企业档案的安全。
其次,要建立企业档案安全预警机制。在对企业档案安全进行全方位风险评估的基础上,制定符合企业特色的防范措施和管理方案,当出现档案安全问题时,企业能够有完备的组织机构、技术方案、物资支持等等方面的预案,是企业发生档案安全问题时能够有策可循,减少灾害对于企业运营产生的不利影响。
此外,要做好档案安全事件灾后恢复工作。对于建立了档案备份的企业,可以通过已经备份的档案来恢复企业档案保管体系,对于没有备份的企业,要做好企业档案的抢救工作,可以选择档案恢复服务商或者外聘专家来挽回企业档案安全事件造成的损失。
4.3优化企业档案安全保障技术
企业的档案安全保证技术建设也是企业档案安全保障体系建设的重要组成部分。安全技术是安全管理的对象,反过来它又能保证安全制度的执行。随着企业信息化程度的深化,面对各种形式的网络安全问题、应用安全问题和数据安全等问题的不断干扰,企业需要引进科学的档案安全保障技术和产品,以确保档案的安全保管和利用,维护企业的经济利益和社会效益。
4.3.1完善企业档案安全基础设施建设
完善的基础设施建设是做好企业档案安全保障技术工作的基础。基础设施建设包括环境建设和设备建设两个方面,而两者又要兼顾实体档案管理和电子档案管理两方面的需求。
(一)环境建设方面。
在档案库房的建设方面,企业应以《档案馆建设设计规范》、《档案馆建设标准》、《建筑抗震设计规范》、《建筑设计防火规范》等建筑规范为指导,根据企业所在的地理位置、当地的气候条件和空气污染程度等情况,选择能够达到防水、防火、抗震等要求的位置建设企业档案库房,条件允许的企业可以建设具有本企业特色的绿色档案馆,给企业档案提供更优的保管环境;对于没有条件建立独立库房的企业应该选择防火、防水且易于抢救的位置来存在企业档案,库房的地面、天花板和墙壁进行防水防潮处理,防止因为管道漏水造成档案损毁的情况。
档案机房建设方面,企业也要参考相关规范。我国现有的《电子信息系统机房设计规范》、《计算机信息系统安全等级保护通用技术要求》、《计算机场地安全要求》等规范都可以作为企业建设档案机房的参考,针对计算机的特殊性,在保证防水、防火、防震的基础上,还要考虑电磁干扰、雷击等因素,使档案机房尽量免受物理、化学、生物灾害的影响。
(二)设备设施建设方面
良好的设备设施是保障档案长期可用的有力保障。对于传统档案而言,因为纸质档案、胶片档案、磁带档案对温湿度、光、酸碱、氧化剂的特殊要求,企业要配备专业的档案装具来确保企业档案的安全,并且库房要安装防盗窗、窗帘、空调、温湿度表等基本调节设备;对于电子档案而言,企业要选择合适的服务器满足企业运作需求,为员工对档案进行管理和利用配备必要的终端设备和网络设备,以及扫描仪、打印机、复印机等必要的输入输出设备,并有效控制机房的温度、湿度、静电、灰尘、电磁干扰、噪声等,保障档案机房安全运作。
此外,企业还应添加视频监控设备,记录档案运作情况;添加灭火器、排风扇等设备,在发生企业档案灾害时能够及时应对。
4.3.2注重实体档案安全保障技术
纸质档案在企业档案中依然占有重大的比重。实体档案的安全保障技术要从安全保管技术和安全修复技术两方面来考虑。
科学运用档案安全保管技术是保障企业档案实体安全的重要方式。随着企业档案保管方式逐渐现代化和科技化,企业的档案安全保管技术也要与时俱进。具体而言,在保管环境方面,要引进智能环境监测技术,全方位、智能化的监控企业档案库房环境安全;采用现代装帧方法,对于特定档案要进行真空保存,防止氧化和机械磨损[61];完善档案除菌技术,选择合适的驱虫药剂,防止企业档案遭遇虫害的侵蚀;并且对不同载体的档案进行分类保管,防止声像档案、磁性介质的档案在纸质档案保管环境中收到侵害,影响企业档案安全的完整性和可用性。
档案安全修复技术能够延长企业档案的寿命。现阶段,市面上出现了众多可以机械化修复档案实体的相关技术,这弥补了企业档案管理部门没有专业档案修复能力的漏洞。[62]档案修复技术包括纸张去污技术、修裱技术、去酸技术和加固技术等方面,磁性载体档案的修复技术目前来说实现起来还很有困难。对于企业而言,档案管理人员应当掌握简单的档案修复技术,有较高的修复需求时可以外包给专业的修复服务商,合理利用市场提供的便利,提高企业的档案安全水平。
4.3.3强化电子档案安全保障技术
企业信息系统的运用是企业产生了大量的电子文件和电子档案,如何保证企业档案系统中电子档案的安全是企业现阶段管理的重点和难点,面对智能时代日新月异的先进科学技术的冲击,企业需要在数据安全技术和网络安全技术等方面强化保护措施,在享受运用信息系统提高企业工作效率的同时也能保证企业重要信息和档案的安全。
首先企业要加强档案系统的数据安全技术。据调查,企业机密泄露的30%-40%是有电子文件泄露造成的,某项对中国500家大型企业做的调查发现,国内企业在电子文档管理方面缺乏防护手段和措施,有保护措施的企业也占不到总数的三成,通过移动存储设备或者电子邮件,企业某些机密电子文档很容易泄露到企业外部[63].为了保证企业机密档案信息的保密和安全,要运用现代数据安全技术,对数据进行安全管理。一是要运用数据防扩散加密技术,强制对企业核心数据自动加密,档案的使用范围限定在企业授权的网络和计算机上面,在授权范围内档案可以实现自动解密,既能缓解服务器超负荷运载的压力,也能方便档案的安全利用,而且对于密级不高的文档可以不进行加密处理,方便对外业务的交流和沟通;二是要完善企业数字档案的备份技术,实现企业档案的自动备份和异质异地备份,把备份成本控制在企业可承担范围之内,条件不允许的企业至少要实现手动备份,以免发生服务器损坏、被盗等情况时能够恢复企业业务运转。
其次企业要合理运用网络安全技术来保证企业档案的安全。网络安全技术方面是运用防火墙技术、安全检测技术、虚拟网络技术等技术来保证数字档案信息在网络环境下安全存储和安全利用。其中企业要严格控制VPN(虚拟专用网络)技术的运用,它可以有效支持企业通过公共互联网与企业的内部网络建立加密的数据连接,在公司员工出差时可以轻松访问企业档案系统内部的资源[64],但是员工要有较高的信息安全意识,保障在通过广域网使用VPN访问企业数据时身份不被盗用,从而危害企业档案的机密性。
此外,企业还要做好档案管理系统的用户安全技术。保证企业档案信息系统用户安全一是要做好系统认证问题,采用登录口令认证用户身份的企业要加强口令密码的格式、使用时间和更换频率,对于机密档案信息的访问要设置智能卡认证或者生物认证的方式来提高企业档案安全保障的水平;二是要严格划分数据库访问者的权限,员工不得使用他人的权限进行不正当操作;三是档案系统主机和网络设备上要进行动态身份认证设置,避免来自弱密码的安全威胁。
4.4推进企业档案安全人才队伍建设
4.4.1积极完善企业档案安全管理组织队伍
首先,组建企业档案安全领导小组。企业领导重视是档案安全建设的重要保证,高管支持能够促进企业档案安全政策的实施,扩大档案安全建设的范围,提高档案安全事件处理的效率,更有效的保证企业档案安全。南宁市威宁公司为了提高公司档案的管理水平,强化企业档案整体建设,加强对公司档案工作的领导,于2008年成立档案管理工作领导小组,从组织层面上保证企业档案管理的安全性[65].
其次,保证企业档案安全建设资金支持。企业档案安全体系建设设计库房的修建、档案密集架的购置、服务器的置办、信息系统的搭建等等工作,需要足够的资金支持才能顺利组建,所以,企业在建设企业档案安全保障体系之前要做好资产清单,根据企业的实际需要做好资金预算计划,防止因为资金缺失企业档案安全体系建设出现半途而废的情况。
4.4.2适度强化企业档案安全业务人才队伍
在企业档案安全保障体系建设过程中,处于企业档案工作一线的业务人才的素质是制约企业档案安全保障体系建设的重要因素。企业要提高档案业务人才的素质需要引进具有档案学专业背景的高校毕业生和兼具档案管理、与计算背景的高层次复合型人才。
首先,引进档案学专业背景高校毕业生从事企业档案工作。企业可以与设有档案学专业的高校建立联合培养关系,也可以为档案学专业学生提供实习机会,从而在实习和培养工作中选拔适合企业需要的高素质档案管理人才[66],也能帮助高校毕业生能更快的融入企业档案安全建设之中。
其次,要吸收兼具档案管理和计算机技术背景的复合型人才。虽然现在很多企业都有专职档案工作人员,但是人员素质参差不齐,企业需要明确档案部门的人力资源配置,在招聘时选择有档案学教育背景并能熟悉计算机操作的应聘者,尤其是我国档案学高等教育已经初具规模,具有硕士学位的档案学毕业生很多具有多学科专业知识背景,吸收这样的人才进入企业档案部门以后,随着他们对企业业务的逐渐熟悉和适应,能够为企业档案安全建设提供充足的力量和更好的机会,达到事半功倍的效果。企业应加在资金和待遇方面加大优惠政策力度,吸引更多的高素质档案人才,确保企业档案人才队伍的长期稳定和发展[67].
4.4.3持续开展企业档案安全教育和安全技能培训
完善企业档案安全人才队伍要对企业员工进行安全教育和安全技能培训。企业档案工作的各个环节都可能存在安全隐患,一个环节做的不好,就容易导致企业档案安全的链条断裂,因此对员工要进行安全思想教育,并培训其安全技能,提高员工在处理档案业务时安全性。李肖军认为,在企业人才队伍构建中企业要制定良好的、可持续的教育培训方案,结合本企业业务的特色需求,使档案工作者能够掌握档案工作程序、工作规范和相关操作方法,能够在保管和提供利用过程中具有较强的档案安全保障意识,这样才能从人力资源角度杜绝危害企业档案安全的人为风险因素[68].
此外,企业还可以选择培训机构的课程为员工提供更高水平的培训教育,作为企业培训第一交易和服务平台的“中国培训网”,可以为企业提供“现代企业档案管理实务”“基于企业知识管理的现代企业档案管理”等课程,企业可以根据公司实际需要来有针对性的选择相关产品。
4.5健全企业档案安全保障监管机制
企业档案安全体系建设是一个具有生命力的系统工作,需要企业高层的重视、引导和管理。当前企业很多档案安全问题的发生,并不是因为企业缺少完备的技术防范,而是因为企业忽视了对档案安全建设工作的监管,员工在企业档案安全管理中脱离了应遵循的制度规范和科学标准,从而造成企业档案泄密或者丢失、损坏等安全问题。通过建立健全企业档案安全保障监管体系,能够及时发现企业档案安全保障体系建设中存在的问题,出现的偏颇,帮助企业更好的建设本企业档案安全保障体系。
4.5.1成立企业档案安全保障监管机构
企业档案安全保障监管机构是企业档案安全保障体系建设顺利开展的重要保证。监管机构既包括企业高层和直属主管部门组成的监督小组,也包括平行部门的同级监督,企业档案安全保障体系建设不仅只是档案部门的工作,还需要信息部门、财务部门、人力资源部门等其他部门的支持和配合,监管机构要从整体上对企业档案安全保证体系建设工作进行监督和指导,保证项目建设有章可循,各项工作有据可查。
4.5.2明确企业档案安全保障监管环节。
做好企业档案安全保障监管工作首先要明确企业档案工作需要监管的环节。企业档案安全建设的监管工作主要包括对建设进度的监管、档案工作者的监管和档案安全本身的监管几个方面。
首先,要对企业档案安全保障体系建设进度进行监管。企业应遵循档案安全保障体系建设的原则和任务,对建设进行定期检查和监督,督促相关部门积极做好企业档案的资源体系建设、基础设备建设、安全防护技术建设和档案安全开发利用等方面的工作,使企业能够在规定时间内及时完成档案安全保障体系建设进度。
其次,要对企业档案从业人员进行监管。企业档案从业人员是企业档案安全保障体系建设的主力军,但同时也存在流动性大、水平参差不齐等问题,企业需要对档案员进行监管,保证其工作的规范性和约束性,使其工作行为符合企业档案安全工作标准,同时,员工离职时也要进行监管,保证员工在离开单位时不带走、不破坏企业的机密信息,并且收回在职时拥有的档案信息系统访问权限。
再次,要对企业档案本身进行监管。主要包括定期对库存档案进行检查和评审,依据企业现实情况改变企业档案的密级和开放利用情况,对于存在的档案安全隐患敦促企业档案部门及时弥补和改正,并适时调整企业档案安全保管方式方法,与时俱进的保障企业档案的安全。
4.5.3定期开展企业档案安全体系建设评审验收工作。
评审和验收是做好企业档案安全保障监管工作的重要举措。目前有很多企业在档案工作中引入了评审制度,有些企业还制定了《企业档案工作等级评定标准》,从基础设施、管理制度、应用技术等方面对企业档案工作定期进行审核[69],敦促企业利用评审指标完善企业档案安全工作,并对相关建设项目进行验收,保障企业每一步档案安全建设工作都完美收官。
