数字档案信息安全管理原则探究

　　随着我国档案数字化进程的加快，档案信息长期保管和利用的风险加大，档案部门面临的数字档案信息安全管理的挑战越来越大。这就需要我们必须系统研究、正确认识、妥善解决数字档案信息安全管理问题。

　　一、数字档案信息安全管理的基本含义

　　数字档案是指在计算机及其网络环境下用数字代码形式把信息记录于电子载体而生成的文件，是一个国家、组织乃至家庭或个人形成的数量越来越多且越来越重要的信息资源。

　　全面、准确地理解“信息安全”的基本含义，是开展数字档案信息安全管理和实现其目标的前提。信息安全，简单地说，是指信息的保密性、完整性和可用性的保持问题。信息的保密性根据信息被允许访问对象的多少而不同，能保障信息仅仅为那些被授权使用的人获取。信息的完整性一方面是指信息再利用、传输、储存等过程中不被篡改、丟失、缺损等，另一方面是指信息处理方法的正确性，不正当的操作，如误删除文件，有可能造成重要文件的丢失。信息的可用性是指信息及相关的信息资产在授权人需要的时候可以立即获得。

　　二、数字档案信息安全管理的基本原则

　　1.数字档案信息安全策略制定的原则。数字档案信息安全策略，是指导数字档案信息进行安全管理、保护和分配的规则和批示，为数字档案信息安全管理提供导向和支持。数字档案信息安全策略应阐明管理层的承诺，提出组织管理数字档案信息安全的方法，并由管理层批准，采用适当的方式（传达与培训）将方针传达给管理人员。同时，为确保方针持续的适应性和有效性，我们应定期对其进行评审与评价，根据评审与评价结果保持原方针或对其进行调整。在制定数字档案信息安全策略工作中，我们必须始终保持预防控制为主的思想，做到防患于未然。

　　2.数字档案信息安全风险评估与管控的原则。数字档案信息安全风险的降低是通过安全控制目标和方式的选择、确立和有效实施而得以实现的。控制目标与控制方式的选择不应盲目进行，应建立在风险评估的基础上，根据风险评估的结果，进行风险大小的排序，对于风险级别高的资产应被有限分配资源进行安全保护。数字档案信息安全的管控，要做到数字档案信息的绝对安全（即零风险）是不可能的，只要将残余风险置于有效控制范围内便可。同时，实施和维持管控是需要费用支出的。我们接受与不接受风险的界限就是考虑风险控制成本与机会损失成本的平衡，如果风险控制成本大于机会损失成本，我们便接受风险，反之，我们就不接受风险。

　　3.数字档案信息安全商务持续性原则。数字档案信息安全需要建立并实施商务持续性管理。通过组织预防和恢复控制措施相结合的方式，确保组织的关键商务活动不会因数字档案信息安全故障造成中断或以最短的时间恢复商务运作。事实上，安全控制可以分为预防性控制措施和保护性控制措施，预防性措施可以降低威胁发生的可能性和减少安全薄弱点，而保护性措施，如制定并实施商务持续性计划、购买商业保险等，可以减少因威胁发生所造成的影响。

　　4.数字档案信息安全坚持动态管理的原则。数字档案信息的风险会随着时间而发生变化。所以，我们在完成了数字档案信息的风险评估、风险控制与风险接受的一个全面系统的风险管理过程后，虽然已将风险控制在可接受的水平，但这并不意味着风险评估工作可以因此而结束，风险管理应是一个动态的管理过程，我们应适时动态地开展风险评估与风险控制。

　　从目前档案界所探讨的内容来看，数字档案管理包括数字档案信息的访问控制、数字档案信息的真实可靠、纸质与数字档案的共存、数字档案的备份管理、数字档案管理的前段控制和全程管理、数字档案载体与格式的转换、数字档案的物理鉴定或技术鉴定等。这显然仍属传统的管理方式，还不是一种系统、信息化管理思想的体现。既没有全面动态的、系统的、全员参与的、制度化的、预防为主的管理方式的体现，也没有确定数字档案信息安全管理的方针和范围，更谈不上在信息安全管理的基础上选择适宜的控制目标与控制方式进行控制。

　　总之，当前的数字档案信息安全管理并未建立并实施信息安全管理体系，因而也不可能用最低的成本达到可接受的信息安全水平。要切实有效地解决数字档案信息安全的管理问题，我们必须依照国际标准所倡导的管理原则与管理思想，提供一个可持续提高的信息安全管理环境。

　　作者：柳杨　通化市疾病预防控制中心