数字档案信息安全风险及防范——基于人为因素的分析

肖友桃 湘潭大学

【摘  要】档案信息安全风险自古有之。信息化技术的发展，在给档案事业发展带来春天的同时，也使得数字档案信息安全管理面临的问题变得更加复杂。在对数字档案信息安全风险的内容和特点进行分析的基础上，笔者提出了基于人为因素分析的数字档案信息安全风险防范措施，即：完善数字档案信息安全管理机制，强化过程管理；健全数字档案信息安全法制，强化依法管理；培育安全文化，提升人员信息素养；力推数字档案信息资源开发，分散数字档案信息安全风险。

【关键词】数字档案  信息安全  风险防范 

    1引言

    随着信息技术的发展，数字档案信息安全风险变得越来越复杂，数字档案信息安全风险意识及防范风险的能力迅速成为制约档案事业发展的瓶颈。

    1.1数字档案信息安全风险的内容

    信息社会环境下，数字档案信息安全风险具有丰富的内容，它不仅涵盖了纸质档案数字化过程中广泛存在着的档案保密安全、档案失真、档案失窃等方面的风险，还包括了在数字档案的管理和利用服务中存在的档案保密安全、档案完整性、真实性、准确性、数字信息的可长期存取性、信息权保护，以及个人信息安全保护与侵权等方面的风险。

    1.2数字档案信息安全风险的特点

    随着信息技术的发展，数字档案信息安全风险具有以下特点：

    ①广泛性。数字档案信息安全风险不仅广泛存在于纸质档案的数字化过程和数字档案的管理和利用服务中，并且任何措施都不能绝对地消灭风险，数字档案信息安全风险永远存在。在采取措施防范数字档案信息安全风险时需运用哲学的思维，抓主要矛盾，对于不同的风险设计不同层级的风险防范方案，实行信息安全等级保护，避免资源浪费；同时综合分析协调非主要矛盾，实现和谐的数字档案信息安全管理。

    ② “黑盒子”特性。数字档案信息安全风险来源于信息技术，人的行为、心理，社会管理等众多方面因素的影响，这些本身就具有很高的科学技术含量，一般人很难了解和把握。加上许多偶然因素的存在，即便是利用数字档案信息安全风险的人也不一定能够完全知晓和掌控这种风险。

    ③动态性。随着社会的发展，特别是信息技术和人类认识的发展，数字档案信息安全风险存在着动态发展的趋势。旧的风险可能消失，新的风险出现；旧的风险也可能还未消失，新的风险已出现；旧的风险还可能与新的风险结合形成更大的风险影响数字档案信息安全，数字档案信息安全风险随着社会的发展而不断变化。

    ④综合性。除了自然风险外，数字档案信息安全风险还包括了技术方面的风险和社会方面的风险， 如社会安全风险、资金投入风险、法律侵权风险、道德风险等等。防范数字档案信息安全风险，不能单一的采取某种手段，而应考虑各种手段的综合运用。

    2数字档案信息安全风险的人为因素分析

    数字档案信息安全风险的形成是由各方面因素合力的结果，技术因素、自然因素、个人因素及管理因素是导致数字档案信息风险形成的主要成因。对数字档案信息安全风险的分析不能片面注重技术方面，管理和技术由人所执行与实施，自然因素的影响可以因人力的干预而使风险降低，人为因素对数字档案信息安全风险的形成具有至关重要的作用。据调查分析，70%以上的数字档案信息安全风险来自于人为因素的影响。而导致数字档案信息安全风险存在的人为因素亦是多层面的。根据事故链理论，事故的产生一般是由一连串防御的失败引起的，与组织预防和监督的失败、个人的不安全行为有直接关系，那么，造成数字档案信息安全风险的人为因素就可以归结为三个层面，即意识层面、个人操作层面、管理层面。

    2.1意识层面

    意识层面包括领导者和工作人员对数字档案信息安全风险的认识水平、意识高低（包括了保密意识、安全意识、法律意识等等）及由这种意识支配的行为的主动性、提高安全风险防范能力的自觉性、责任心，和对于维护数字档案信息安全的态度和方式，等等。意识层面对数字档案信息安全风险的形成与防范具有先导作用。

    2.2个人操作层面

    个人操作层面包括了蓄意破坏和操作失误两种情形。

    蓄意破坏，指因个人故意破坏而产生的数字档案信息安全风险，这部分风险主要产生于为了达到某种非法目的或获利的行为。蓄意破坏的威胁，有些是来自外部人员，有些是由内部人员造成的。

    操作失误，是由于环境条件、工作强度、工作方式和态度等形成的数字档案信息安全风险。一方面，由于条件恶劣、工作强度大等客观原因，即使是在具备相关知识和技术的背景下也可能导致的数字档案信息安全风险；另一方面是由于工作方式和工作态度等主观方面的原因，工作人员既不具备相关的知识和技术背景，又不主动学习，虚心请教，由此而导致的数字档案信息安全风险。

    2.3管理层面

    管理层面造成的风险是指因缺乏健全的管理制度和有效的监管措施形成管理漏洞而产生的数字档案信息安全风险。在日常管理、纸质档案数字化及数字档案管理和利用服务等各个环节，无论哪个环节出现了责任不明确、安全制度不健全或缺乏有效监管，就可能发生数字档案信息安全事故。

    3数字档案信息安全风险防范对策

虽然，在信息化环境下，数字档案信息安全风险具有范围广、复杂性高等特点，人类不能100%抵御和防范数字档案信息安全风险，但是，国家可以从宏观层面建立和完善信息安全法律法规和加强信息安全标准建设，档案管理部门可以从微观层面采取完善管理机制、加强过程管理、培育安全文化和数字档案信息资源开发等措施预防和控制数字档案信息安全风险，使数字档案信息安全风险降低到最小，数字档案信息安全风险带来的危害程度最低。

    3.1完善数字档案信息安全管理机制，强化过程管理

    完善数字档案信息安全管理机制是防范数字档案信息安全的重要保障。成立数字档案信息安全管理委员会，沟通、协调、审查数字档案信息安全管理中的各种问题，并根据信息化发展特点与要求适时的组织修改、完善数字档案信息安全标准。监督和检查档案管理部门制定和完善数字档案信息安全管理制度，严格日常管理。如，建立登记备份制度要求对数字档案信息进行备份和对数字档案的流转、管理系统软硬件的使用、销毁等进行登记；定期安全扫描制度要求对数字档案信息安全按照特定的周期进行扫描；核查制度要求对数字档案信息管理情况进行定期或不定期的核查；档案管理岗位培训制度则是对新老档案管理岗位人员定期和不定期的进行包括安全知识在内的业务培训的制度，对于未经业务培训或业务培训仍达不到要求的人员不得上岗；考核及奖惩制度是指运用行为理论通过激励等手段影响人员的心理从而规范他们的行为。

    完善数字档案信息安全管理机制的同时，要强化过程管理。传统的管理往往注重结果，而过程管理在数字档案信息安全风险防范中尤显重要。在信息化建设飞速发展的今天，档案管理部门应该按照先进的信息安全管理标准设计流程化管理系统，对数字档案信息管理过程进行全面监控与管理。国际上通常采用的信息安全标准主要有ISO/IEC，17799：2005《信息技术_安全技术_信息安全管理体系要求》，它是建立一套基于PDAC管理模型的流程化管理系统，在计划（Plan）阶段通过安全风险评估来了解数字档案信息安全需求，并进行系统的策划与准备；在开始实施（Do）阶段根据需求设计符合数据安全处理和事务安全管理的方案，包括管理文档的编制等；在运行（Act）阶段进行方案的运行与测试；核查（Check）阶段对方案实施情况进行评审与检查，并将结果反馈到新的流程运转周期中，以实现整个数字档案信息安全管理体系的最优化。值得一提的是，在整个数字档案信息安全管理过程中，合理的信息公开和有效的信息监管是十分必要的。

    3.2健全数字档案信息安全法制，强化依法管理

健全的法律、法规为数字档案信息安全风险的防范提供良好的环境保障。规范日常管理、纸质档案数字化外包业务及数字档案利用服务过程中存在的安全风险除了运用技术的手段、行政的手段外，还需要法律手段的调整。而我国以《档案法》为核心的档案管理方面的法律法规缺乏档案安全管理方面的条款，即便有也是一笔带过，或者散见于其他行业法律法规中，可操作性和系统性不强，数字档案信息安全风险管理方面的适应条款更是少见。个人信息安全保护方面仅有由工信部信息安全协调司提出的《信息安全技术个人信息保护指南》及部分地方条例和管理办法，不能满足个人信息安全保护的系统需要，我国亟待一部个人信息安全保护法的出台。此外，包括信息产品版权在内的信息法律法规的不健全也导致了数字档案信息安全风险系数的增加。因此，健全数字档案信息安全法制，强化依法管理，特别是在改革发展的今天，具有十分重要的意义。当然，数字档案信息安全法律法规的建立、健全及实施过程中肯定会遇到各种争议与冲突，但是只要有公平的环境、开放的流程和公正的处理机制，这些对于数字档案信息安全风险防范乃至法律的长远发展都是有益的。

    3.3培育安全文化，提升人员信息素养

    安全文化是存在于单位和个人中的种种态度和素质的总和。一个单位的安全文化是个人和集体的价值观、态度、能力和行为方式的综合产物。领导者安全意识、行为方式；工作人员的素质、职业道德、责任心和历史使命感、数字档案信息安全保护能力，及对外围人员的影响力等共同构成了档案管理部门安全文化的内涵。档案管理部门要通过采取各种形式的安全文化教育、宣传手段，结合运用激励机制，促进档案管理部门及至整个社会形成一种“档案安全、人人有责”的安全文化氛围；同时，加强数字档案信息安全管理人员的培训与培育，消除“短板”隐患，提高工作人员信息安全保护技能，从而增强其数字档案信息安全的防护能力。

    3.4力推数字档案信息资源开发，分散数字档案信息安全风险

    档案信息资源开发是以档案为基础，对原始的档案信息进行的一系列搜集、加工、重组、排序、乃至知识创新等活动。世界上众多被遗失的历史记忆已经经由系列档案信息开发成果得到了有效的填补和完善。在信息化高速发展，数字档案信息安全存在的环境日益复杂，即便人类认识和技术不断提高，但对于许多即存的安全风险与未知的风险仍是防不胜防。因此，推动数字档案信息资源开发，能够分散数字档案信息安全风险，弥补数字档案信息因各种未知而消亡所带来的巨大损失。

参考文献：

（1）杨冬权,在国际档案圆桌会议上的专题发言[J],中国档案,2010,(10).

（2）杨冬权,在全国档案安全体系建设工作会议上的讲话[J],档案学研究,2010,(3).

（3）李建朋,档案数字化面临的风险及防控[J],四川档案,2011,(2).

（4）项文新,档案信息安全保障体系框架研究[J],档案学研究,2010,(2).

（5）向立文,电子政务信息资源共建与共享的信息安全保障[J],情报杂志,2006,(10).