国家档案局在 2002 年颁布的《国家档案信息化建设实施纲要》中提出“档案信息安全保障体系建设”。电子档案安全评价指标的制定是一个复杂的过程,必须要符合规范统一客观的标准,根据国内外电子档案信息安全的评估标准,符合国家对电子档案信息安全的要求,结合电子档案管理的经验,综合考虑各种有可能影响到电子档案安全的因素。要采用科学有效的模型和方法进行分析和评价,掌握电子档案信息的整体安全状况,分析各种可能存在的威胁,有针对性的采用各种有效的安全措施,提高电子档案的整体安全水平,最终建立安全可靠的电子档案信息安全管理体系。
一、电子档案安全的评价指标的制定
电子档案的安全评价指标体系由一、二、三级指标组成,指标内容分别包含物理方面,技术方面和管理方面。
(一)一级指标
一级指标应包含了电子档案安全的所有方面,作为电子档案安全的一级指标,应该具有包容性。依据相关的文件规定,一级指标所包含的指标有:物理安全指标、技术安全指标、管理安全指标。根据一级指标的制定确定二级指标和三级指标的只要内容。
(二)二级指标
二级指标是对一级指标的细分,是主要的评价点,相比于一级指标而来说,二级指标更为具体,所涉及的评价方面与电子档案安全直接相关,与电子档案的安全风险因素相一致。二级指标将一级指标的物理安全指标划分为保管场所,信息基础设备,自然及人为灾害;技术安全指标划分为访问控制安全,密码安全,在哪回复,安全结构设计体系、远程通信和网络安全等。管理安全指标划分为用户、人员、资金、组织、规范体系、主管部门、文件管理业务等。
(三)三级指标
三级指标是对二级指标的划分,是对一级指标和二级指标的具体反映,是电子档案安全评价体系的核心指标。在具体的实际操作中,三级指标的制定具有重要意义,制定三级指标要求具体性和可操性,便于评价人员依据三级指标进行评估评定。三级指标的制定需要依据实际情况,依据不同的规模,不同的地域,不同的电子档案数量等具体情况,有针对性的设计三级指标内容。
例如可以将二级指标重的保管场所划分为建筑布局、物理安全边界、防火性、防水性、防雷性、温度湿度的控制等。
电子档案信息的安全管理不是一个产品,而是一个过程,建立安全的电子档案需要有多方面的评价标准,不可能通过一个安全产品就能解决所有的安全问题,对电子档案的安全评价方式主要是通过评价组织进行评定,进行风险评估分析后得到评定报告实现电子档案的安全评价。
二、电子档案安全评价的实现方式
(一)评价的组织
评定组织的水平参差不齐将影响到电子档案安全评价的结果,因此要加强组织领导,保证评定过程的顺利实施。评价的组织包括评定主体、评定客体、评定机制、评定人员等。评定主体解决了由谁评估的问题,在电子档案安全评定过程中担任操作者的角色。可以由第三方或者主管部门实施选择评定的主体。与评价主体相对的是评价客体,即评价的对象,指出了电子档案安全评价的对象,由于电子档案管理涉及到多方面的内容,所以如何合理的确定评价对象是进行评价工作要解决的首要问题。评定的机制是指分级管理电子档案,由各级档案管理部门进行相关的电子档案的安全评价工作,受到上级机构的监督和管理。评定人员的一般有档案管理的部门领导、研究人员、业务人员、信息技术人员等。电子档案安全评定对评价人员的要求较高,要求具备相应的专业能力的高素质人才。
(二)评定的实施过程
评定的实施有以下四个阶段:准备阶段,负责掉擦电子大难安全管理的运行过程、环境和等级,根据需要确定电子档案安全管理的需求和目标,挑选合适的评估方法,选择专业人员组成评价小组。风险识别阶段,有观察、询问、检查、分析等程序,准确判断电子档案所面临的安全问题。风险分析阶段,是指评估小组按照相关的标准对所搜集到的信息进行汇总、整理和分析的过程。风险分析的结果将作为评定和风险处置的主要依据。风险处置阶段,该阶段的主要依据是风险的分析结果,依据风险分析的结果划分电子档案安全的级别,将电子档案的安全分级与风险等级相联系,结合实际的安全需求,要处理的问题,选择相应的风险措施保证电子档案的安全性。
(三)评价报告
评价报告是最电子档案安全评价的总结,应包含以下三个方面:安全管理的基本情况,量化分析后的各种意见和对评价工作的信息反馈。从评价报告中可以获得电子档案安全评价的相关信息,发现档案管理工作中的问题,通过搜集整理分析的信息改进电子档案管理的安全工作,提高电子档案管理的安全性,发挥评价工作的效果。
结语
保证电子档案的安全就有重大意义,在电子档案安全评价的实施过程中,评价标准的设定对电子档案安全管理工作至关重要。本文介绍了电子档案安全评价指标的制定过程和相关准则,以及实现方式。要重视电子档案管理的安全性,依据评估结果制定相应的对策,有针对性的提高电子档案的安全性,降低风险,保证电子档案的安全.
参考文献:
[1]张桂珍,程轶.企业电子文件管理中的风险防范与对策研究[J].档案学研究,2007(03).
[2]向立文.电子文件的风险及其管理研究[J].档案学研究,2006(06).
[3]李海南,孟韬.电子文件风险管理策略研究[J].档案学研究,2010(04).
[4]杨冬权.在全国档案安全体系建设工作会议上的讲话[J].中国档案,2010(06).