我国档案安全风险评价指标的建立与实现方式研究,本文主要内容关键词为:评价指标论文,风险论文,方式论文,我国论文,档案论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
档案安全风险存在于档案形成、管理、利用与保护的各个工作层面,因此依据档案实体种类、规模和数量,适时地建立有效的档案安全风险评价指标体系,通过档案部门风险评价指标应用实践,动态地调整档案安全风险评价指标体系的适用性、可操作性,最大限度地降低档案安全风险,从而确保档案的绝对安全。
1 我国档案安全风险及类别分析
1.1 档案安全风险分析
1.1.1 国内外敌对势力窃取我国核心档案是档案安全风险的凸显因素 现阶段非传统领域国家安全问题日益凸显,核心档案资源成为各国特别关注和必然争夺的战略资源,档案安全也成为影响国家安全的非传统安全隐患。国际国内不少案例反映出,敌对势力正越来越多地通过各种途径、采用各种手段非法获取我国核心档案,特别是数字档案信息,因此,我国核心档案资源的被窃取是档案安全风险的凸显因素。
1.1.2 突发事件、自然灾害和人为灾害是档案安全风险的重要因素 地震、水灾、火灾等自然灾害以及战争、恐怖袭击、群体性社会事件等人为灾害时有发生。其发生都具有不可预知性和不可抗拒性,对档案造成的破坏也时有发生,有的甚至是毁灭性的。美国“9·11”恐怖袭击事件、美国伊拉克战争等都曾造成大量档案毁灭。德国科隆的地铁造成科隆档案馆的垮塌。2008年5月我国发生的汶川大地震,对当地及周边地区档案馆建筑造成了巨大破坏,对档案造成了严重损毁。还有拉萨严重暴乱等社会事件中,也有档案受到损毁,因此,这些危害成为各级档案部门档案安全风险的重要因素。
1.1.3 监管不力、档案处置不当是档案安全风险的常态因素 近年来,从我国对各省级档案馆的安全督查情况及各地发生的档案安全事故看,许多档案馆(室)还存在诸多方面的安全漏洞。
我国西北地区某省级国家档案馆因微波处置不当,引发2000多件档案被烧毁的事故是档案处置不当造成的;一些档案馆(室)及档案部门出现档案利用中的被窃取、被错乱、被损坏、被有偿利用、被不当销毁、被无关人员接触;档案工作备份不扎实,保护技术与措施不过硬、破损档案未修复;库房发生生虫、发霉、电线起火、水管跑水等事故,以及保管中的档案脱离管理和监督;以上威胁档案安全的种种情况是档案风险的常态因素。
1.1.4 档案利用安全是档案安全风险日趋广泛的因素 公共服务与档案安全之间的矛盾引发广泛的安全风险。随着档案公共服务的加快推进,对档案信息开放提出了新的要求,档案安全矛盾也逐步暴露出来。我国个别国家级档案馆发生的档案被盗、失窃事件;一些地方在强调服务的过程中,对文件开放鉴定不够严格细致,导致有些不该公开的文件公之于众,不该上网的信息在网上流传,严重损害了国家利益和当事人的相关权益。
1.1.5 档案信息安全是档案安全风险新的关键因素 信息技术的飞速发展,电子文件的大量产生,给档案工作带来了新的工作内容,同时也引发了新的档案安全风险。确保电子文件的齐全完整、真实有效,并能在今后几十年、几百年后还能读取利用,是一个需要特别注意的重大问题和特别需要解决的根本问题。信息系统应用平台面临很多的安全风险和威胁。政府和用户的合法信息外泄、被盗,信息平台不具有完整的安全服务功能,就会很快失去其应用价值。因此,建立档案信息安全屏障,在关键技术、基础设施和应用层面实施全面保护,以防范档案信息系统免遭外来的攻击和入侵。
1.2 档案安全风险类别
1.2.1 实体安全风险 这是档案整体实体安全的前提,其风险主要包括:自然灾害、人为灾害、设备故障和突发事件等。
1.2.2 管理安全风险 档案部门应制订相关的管理制度,形成档案安全管理体系。防止因制度缺乏引发的安全事件,完善障碍排除的措施,明确安全事件原因追查、损失及责任确定等。
1.2.3 利用安全风险 现阶段利用档案的服务途径各样化,更开放的、复杂环境加大档案受损和破坏的概率,引发档案事故和事件的发生。因此认真分析档案利用中的安全风险,采取有效措施,消除安全隐患。
1.2.4 档案网络系统的安全风险 档案数字信息操作系统存在的安全漏洞,网络拓扑结构及安全策略的配置不合理,易形成网络运行管理上的混乱,也是其安全风险的一种类别。
2 我国档案安全风险评价体系的建立
2.1 总体设计与基本要求
2.1.1 总体设计 档案安全风险评估指标应从战略、管理及技术三个层面进行总体设计。战略保障是为档案事业发展提供法律依据,界定法律边界,规划发展目标和策略方向;管理保障是为档案安全实际情况制定协调制度,颁布具体条例,说明执行程序和制定实施办法。技术保障则是根据档案安全整体方案和功能需求,选取有效的技术方案,采取具体的实施方法,实施安全态势监督,实现档案运行的安全管理。
2.1.2 基本要求 档案安全保障评价指标体系需要在档案政策基础上对档案安全风险体系进行检验,其基本要求是:检验风险评价指标能否达到档案总体安全的目标;从时间周期和保护措施和效果评定,确保档案安全保障实现;适时监控档案安全状态,分析档案安全态势发展。
2.2 评价体系建立的原则
2.2.1 科学性原则 依据以档案学理论为基础,建立档案安全风险评价指标体系。
2.2.2 综合性原则 评价指标应涵盖库房建筑、档案实体、运行管理、工作人员、保护措施、技术维护、设施运行、效果改进及科研推动等各方面因素,实现档案安全风险降低、隐患消除的目的。
2.2.3 客观性原则 围绕国家档案发展战略和档案事业发展的决策需要,从档案工作实际出发,突出重点,并与现行的档案法规、制度、档案利用情况及安全形势等相结合,准确地反映档案安全的客观情况,克服因人而异的主观因素的影响。
2.2.4 全局性原则 评价指标体系应能完整、全面地体现档案安全的整体情况。
2.2.5 可操作性原则 设置指标体系时应尽量采用易于获取数据的指标,提高指标体系在实际工作中应用的可操作性。
2.3 评价的方式
完整的档案安全风险评价流程包括3个过程:静态评估、动态评估、状态评估。
2.3.1 静态(功能)评估 即档案安全风险的评价方案、制定的安全措施、档案安全标准和规范等。主要的评价内容为:安全方案的合理性、安全措施的正确性和标准规范的科学性。其主要手段是专家打分和问卷调查。
2.3.2 动态(运行)评估 是对降低档案安全风险的实施情况做出判断。包括档案安全风险评估的所有记录:档案馆藏数量及类别、档案灾害破坏率、档案失窃丢失数量,以及其他档案受损数量与起因、后果等原始记录数据,以及对记录数据的统计和整理工作。
2.3.3 状态(属性)评估 是检验档案安全保障的效果。主要表现在:对档案的安全属性(保密性、完整性、真实性、可用性、不可抵赖性、抗毁性、生存性和有效性)进行测试和检验。其手段有渗透和专项测试。渗透测试是及时有效地查找评价体系的薄弱之处和检验风险防范的效果;专项测试主要针对档案安全风险的某个属性,采用专业技术进行跟踪,检验其功能实施和安全降低的实际效果。
档案安全风险评价指标作为一种定性及定量指标的综合体,应当特别注重过程风险评估,如安全隐患及事故苗头的预测、事故发生时的程度评定和事故发生后的危害分析等。
2.4 档案安全风险评价指标的确定
档案安全运行涉及的内容和过程比较多,其出发点是依据档案的安全需要,从档案运行状况和安全保障目标,进行档案安全风险评估,其关联性如图1所示。
图1 档案安全风险评价指标的关系图示
在实施档案风险评估过程中,应就其工作过程作以下程序运行。
图2 档案安全风险评价指标的工作程序图
档案安全风险评价指标应包括:组织领导、人员素质、库房基础设施建设、配套设施、消防设施设备与保护措施、档案前端与后端管理,处突减灾的应急预案、档案原件抢救修复,以及特色评估等。
设计评价指标,需要针对安全风险降低的安全要求、考核依据、考核内容、办法及评分标准、考核成绩及否决条款。其核心内容是库房保管情况和档案利用情况。基本方案见表1。
3 档案安全风险评价的实施措施与目标实现
3.1 档案安全保障的效果与风险评估指标的效果实施
档案风险评估的效果评估应包括:档案及所处环境的安全、设备设施的运行正常,有无异常、维护是否到位,库房防护的安全措施是否到位,以及档案安全风险评价指标体系的建立。
基于档案安全的风险评价指标,从行政管理层面应当涉及:国家检查的内容及方式、省级检查的内容及方式、专项检查的内容及方式,以及自查的内容及方式等。
3.2 档案安全保障的目标实现
3.2.1 更新安全理念,强化风险防范意识
(1)树立档案安全的生命线意识,把档案安全工作放在档案工作的首位,推动档案事业安全、协调、可持续发展。
(2)坚持“以防为主、防治结合”的原则,加强档案安全风险防范和受损档案抢救保护,减少有害因素对档案的破坏作用。并注重档案数字信息安全,采取有效措施保证档案信息安全。
(3)强化档案管理的规范化,通过制度建设与安全督查,切实提升执行力,将消除管理活动中的各种安全隐患。
(4)加强档案科学研究,发挥科技创新的先导作用,不断为档案实体安全和信息安全提供坚强的技术保障。
3.2.2 完善管理策略,提升管理层次
(1)防止国内外敌对势力窃取我国核心档案信息资源。关注日益凸显的非传统领域国家安全问题,消除影响档案安全的非传统安全隐患,构建确保档案安全的风险“防火墙”,应对国内外敌对势力非法获取我国档案信息的严峻挑战。
(2)预防和减轻各种灾害对档案造成的损失。针对地震、水灾、火灾等自然灾害,以及战争、恐怖袭击等人为灾害的破坏,把握其发生的不可预知性、不可抗拒性和毁灭性的特点,全面提高档案部门的风险防范能力和安全保障水平。
(3)降低公共信息服务的档案安全风险。针对现阶段我国档案信息开放的新需求,建立档案安全风险防范机制,严格细化文件开放鉴定,严防不该公开的文件公之于众,不该上网的信息网上流传,使信息安全地被利用。
(4)防范档案信息安全风险。针对信息技术的飞速发展带来的非传统载体档案信息安全难题,建立档案安全风险防范机制,确保数字信息的长期有效存储、确保数字信息的完整、真实有效,避免今后信息安全惨剧的发生。
(5)消除档案部门各种安全隐患。针对我国各级各类档案馆(室)存在的安全漏洞,完善各项相关法规、标准和技术规范,建立起完善的档案安全体系和风险防范机制,堵塞各种安全漏洞,消除各种安全隐患,确保档案安全。
3.2.3 注重实效,强化安全管理的规范操作
(1)档案管理业务,首先应组织法律、环境、技术、管理、安全等各方面的专家进行安全风险论证与评估,对可能存在的安全风险进行逐排查,并按风险可能造成的危害程度进行排序,采取重点与一般相结合的防范对策。
(2)重点部门和点位的安全风险,要采取系统的防范对策,实行排除、削弱、转移等措施,运用技术手段进行综合防范。制定严谨的风险防范对策和决策程序,形成缜密的风险防范对策。
(3)一般安全风险,要从规范工作制度,落实部门及员工岗位职责加以规避,做到常态、长效、有序地严密科学地实施。
(4)加强组织、宣传与沟通工作。委派专人管理具体项目,明确管理职能,必要时聘请相关专家,按程序进行安全风险排查。同时做好各相关部门的宣传、解释和沟通工作,使其了解风险所在及分析排查情况,详尽说明防范对策、可能后果,以及未能防范或防范不力应承担的法律和经济责任。
(5)编制风险防范所需的工作预算,落实安全风险防范的投资计划,使安全风险防范工作,从立项、计划、规划、设计等源头严密落实,每一项工作任务严格按程序方案展开,从而使防范对策得以实施,并贯穿于档案管理的全过程。