蒋君仁
关于网络安全管理,西方发达国家都制定了完善的法律加以规范,例如,美国制定了《国家网络安全保护法》,欧洲则制定了《关于建立欧洲网络与信息安全局的第460/2004号条例》。为了加强我国网络安全管理,应对日益严峻的网络安全威胁,我国制定了中华人民共和国《网络安全法》,2017年6月1日起正式施行。
2000 年我国第一个数字档案馆——深圳数字档案馆建设项目启动, 2003 年青岛市数字档案馆正式投入运营,2008 年国内第一家高校数字档案馆——上海交通大学数字档案馆开馆。二十年来,数字档案馆建设在行政推动、需求拉动的双轮驱动下,实现了由点到面,由局部到整体的全面发展态势。在数字档案馆建设内容当中,安全管理是重要方面。无论政府、高效,还是企业数字档案馆,都是基于网络架构开展数据捕获、整理、统计、保管和利用,因此《网络安全法》的颁布实施为数字档案馆网络安全管理提供了法律依据,为数字档案馆建设加了一把“安全锁”。
一、《网络安全法》与数字档案馆建设的关系
《网络安全法》是我国网络安全领域“基本法”,是所有网络参与者共同遵循的行为准则,所有网络的建设、运营、维护、使用方均应按《网络安全法》的相关要求行事,否则就会受到法律的制裁。法律的重要特征就在于强制性和执行的无条件性。数字档案馆系统包括外网系统、内网系统与涉密网系统三个系统,都是基于信息技术、信息设备的网络空间,都受《网络安全法》的约束。因此在数字档案馆建设、运营、维护和推广应用过程中,数字档案馆建设方应按照《网络安全法》确立的行为规则,在法律框架下开展相应活动。
二、数字档案馆建设如何贯彻《网络安全法》
1.组织学习,开展宣传教育
学法,才能懂法。懂法才能自觉守法,才能积极护法,认真执法,所以 档案部门组织好《网络安全法》的学习,积极开展宣传教育十分必要。学习、宣传的根本目的是要使档案工作者在思想观念上明确网络安全管理的必要性、重要性,让数字档案馆相关人员了解相关规定和要求。学习、宣传好《网络安全法》是档案部门贯彻、落实和执行该法的首要前提和基本环节。
各级、各类档案部门,应加强对《网络安全法》宣传教育的领导,做好相应规划、部署。要利用广播、电视、报纸、展览、讲座、网络、社交媒体等宣传方式,结合数字档案馆建设过程中网络安全管理需求,以及重点难点问题,采取多种形式进行广泛宣传,使档案部门人员,尤其是数字档案馆建设人员了解相关法律规定、职责和义务。
数字档案馆建设人员要加强自身学习,熟悉《网络安全法》的法规内容及要求,成为档案工作领域贯彻、执行《网络安全法》骨干力量,不但要成为部门领导宣传《网络安全法》的参谋和助手,还要在数字档案馆建设过程中逐项落实。
2.正确处理网络安全和信息化发展的关系
《网络安全法》指出:坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针。在数字档案馆建设过程中同样需要坚持上述方针,以实现档案资源的科学、高效利用为目的,采用信息技术、网络技术创造一切条件提高数字档案馆的信息服务水平,同时确保档案信息资源安全。不能以安全为接口,不提升档案数字化管理和服务水平。同时,不能为了方便、快捷而违反网络安全管理要求。总之在数字档案馆建设过程中要坚持网络安全和信息化发展的辩证统一、步调一致,实现共同发展,齐头并进。
3.加强数字档案馆建设、运营安全管理
3.1 数字档案馆建设网络安全管理
数字档案馆网络建设者,应履行义务,保障采购的网络产品,依法合规。加强对数字档案馆建设所需的网络产品、服务供应商资质审查,确认其是否具有行业资质,信誉是否良好;对于应用于数字档案馆的网络设备和安全产品,应经过正规机构的认证和检测,确认其未加入恶意程序;在网络产品和服务提供方,还应签订安全保密协议,防止档案信息被非正常泄露。在功能设置上注意个人信息保护,如需搜集档案利用者信息,应向利用者说明并征得其认可。
3.2 数字档案馆运营网络安全管理
数字档案馆网络运营者应积极履行安全保护责任。积极完善管理制度,形成操作规范,将责任落实到文件,并认真落实;确保网络病毒、恶意攻击等网络安全危害防范措施到位,运转正常;数据分类、容灾备份、加密、网络检测、网络日志等技术措施安全可控;将数字档案馆纳入关键信息基础设施管控范围,保证安全技术措施同步规划、同步建设、同步使用;对于数字档案馆安全管理负责人和关键岗位要进行安全背景审查;对数字档案馆安全管理人员要定期开展网络安全技术培训,并加强考核;数字档案馆每年至少进行一次网络安全风险评估,发现隐患立即采取措施加以应对。
4.强化应急处置管理
数字档案馆网络的日常安全监测预警和应急处置是档案部门容易忽视但却十分重要的工作。档案部门要会同信息化部门建立网络安全监测预警制度,制定网络安全事件应急预案,并定期组织模拟演练;数字档案馆发生档案信息泄露、网络攻击等网络安全事件,应当立即启动应急预案,成立应急处置小组,对网络安全事件进行调查,对风险要素进行评估。之后按照调查和评估结论,形成应对方案,采取应对措施,消除网络安全隐患,防止网络安全危害扩大。
5.加强标准制度建设
数字档案馆建设贯彻《网络安全法》离不开标准制度作为支撑。从国家层面,需要新形势下网络安全管理需要进一步制定网络安全管理方面的技术标准,构建一体化的网络安全管理标准体系。在实施操作层面,档案部门需要建立完善的数字档案馆网络安全管理制度体系,包括日常安全保密制度、审计制度、機房管理、操作规程管理、系统维护管理等。标准和制度管理是法律的具体化、形式化,是法规与管理的接口和网络安全得以实现的重要保证。
6.注重网络安全专业人才培养
人才是数字档案馆安全保障体系的核心要素,是能够发挥主动性的要素。数字档案馆的诞生顺应了信息化的发展趋势,是档案工作与信息技术结合的产物。因此,数字档案馆的建设、运行和维护需要既懂档案专业技术知识,又懂网络技术、信息技术和信息安全知识的复合型人才,而这恰恰是档案部门所欠缺,又急需补足的。档案部门网络安全专业人才需求解决,一方面可以通过内部激励和培养,通过为现有人员创造舞台,使其快速成长为网络安全管理行家;另一方面可以从外部引进具有一定经验的网络安全专家,实现档案部门在网络安全专业领域快速补强。
《网络安全法》是新形势下,国家应对各类网络安全威胁的必然选项。数字档案馆作为信息技术与档案专业技术二者结合的产物,属于《网络安全法》调整的范畴,因此档案部门有必要从档案宣传教育、加强管理、标准制度、人才培养等方面认真贯彻落实《网络安全法》,在法律框架下确保数字档案馆安全、平稳运行,用户提供高品质档案信息服务。
(作者单位:上海飞机设计研究院)