数字档案安全体系建设思考

文/中国核电工程有限公司 张霄旭

数字化时代，利用信息技术企业上下游供应链的打通，数据汇聚、流动、共享和协同已经形成了新特征——数字档案。数字档案与纸质档案的主要区别在于档案载体和形式。在数字环境中，文件和档案几乎没有区分的必要，同时从业务涵盖范围来看，数字档案的范围大于电子文件，从目前的理论研究来看，“电子文件”管理对象倾向于计算机形成的可直接在计算机中使用并归档的文件，侧重于档案的物理属性。而数字档案更倾向于电子文件本身的非结构化和结构化数据，即档案的逻辑属性。数据的流通产生了更大的价值，促使档案管理工作向电子化、数字化转变，同时也为档案信息资源管理和利用拓展了新的模式。然而，这种新的模式所带来的变化对档案的安全保护工作产生了更大的风险挑战。

一、数字化转型期档案安全管理存在的风险

风险管理理论的发展对档案风险管理研究极有帮助，风险管控理念的运用帮助对新事物进行了解预判，在各行各业运用广泛。本文通过数字档案归档管理情景，运用情景分析方法，寻找出新时期数字档案安全管理的风险点，如图1所示：

图1 数字化转型期档案安全管理存在的风险

（一）宏观环境的变化。信息化和工业化融合背景下，业务信息系统普遍应用，各业务系统之间强调通过系统对接，传送数据而非物理对接，数据流通代替人为跑腿；同时数据流通需要的媒介网络的普遍使用导致出现工作范围由点到面散射的多向性。数字档案与传统档案相比，不再受地理位置或者时间的限制，利用信息系统的数据传接，用户可以同时向多个接收方发送数据档案，减少纸质传递时间和成本。与此同时，这些优势为外部病毒损害数字档案提供了渠道。

（二）外部技术情况的变化。随着新一代信息技术的发展，对我国政治、经济、社会发展诸多领域产生了重大而深远的影响。以文字、二维图纸为载体的非结构化呈现形式逐步被图像、三维立体、VR等新的技术手段所取代。例如，设计部门已经不再纸质画图，运用系统平台画图，不再出纸质图纸，档案由纸质单一载体向纸电数据多样载体转变，归档保管的主体由纯实物转变为非单一实物，随着5G、云计算、大数据等新一代信息技术的应用，档案由实体安全向内容安全转变。数字档案存储介质的敏感性对其存储利用安全技术提高了要求。从档案的载体和形式来看，原有获取信息的方式被颠覆，信息的透明化以及公开性更高。

（三）做出决定可能带来的不同后果。从档案接收实物与非实物的角度分析，之前以纸质为主的文件流转、归档流程、库房管理条件、提供借阅利用的方式都完全不同。如果保持传统的管理理念，利用服务无法满足用户需求，产生的数字档案漂流在外，无法跟随主营业务的开展。如果积极变革，目前的档案管理面临着推翻重建的问题，同时，传统纸质为主的管理人员能力是否能够匹配变革之后的管理工作，目前的人员配置、组织机构、管理理念均需创新变革。

（四）利益相关者的需求以及需求可能的变化方式。从整体业务链条来看，上游业主对项目承建方的要求增加。例如核电工程，业主近两年来提到的数字交付的要求，即总包方最后向业主移交建设好的核电实体的同时，也应该同时将核电站运营所需的数据进行移交，即数字交付。内部归档中，各部门以往提交的纸质归档，符合要求收管存用开始记账式的流程。随着信息系统接口的开放，数字签名的使用，企业运营者更希望在合规合法的前提下，由物理归档转变为逻辑归档，减少纸质打印成本，为企业数字化运营奠定基础。

（五）有些变化是必然的，有些是不确定的。利用信息技术创新应用带来生产力的提高，手绘图变成电脑制图，二维向三维的转变，提高了设计全面性，具备基本的空间数据处理能力；不确定的电脑制图是否不再需要纸质载体，从目前国家档案局制定的制度来看，并没有推行电子文件单套制管理。从内部管理来看，三维设计并不确定所有的工程项目设计是否都需要用上三维，或者都用系统进行管理，个别项目因为特殊管理要求，并不适用信息系统。

通过这样的实际情景分析，判断档案安全管理体系风险点主要集中于档案管理对象的增加。随着数字技术的应用，业务流转过程中的纸质载体扩展到电子、数据等信息资源，从实体档案的保管利用向数据内容的保管利用转变。同时，跟随工作流途径多个岗位，传统的安全管理体系从对档案实体的保护转变到数据信息的保护。又因为数据信息是无形的，通过信息系统进行流转，如果对流转环节中的风险分析没有到位，导致档案存储、传输环节的技术防护不达标，档案信息资源流转过程中难免会出现被窃取、知悉范围不规范、归档利用不及时等问题。因此数字档案安全管理流程以及相应的档案安全体系必须跟随改变。

二、档案安全管理体系搭建思路

（一）明确各方权责、合规合法。在合规合法的前提下，对档案管理环节的任务、工作原则、职责边界和控制要求必须明确固化，促使各方向同一个目标努力。

（二）动态风险管控、闭环执行。确保在数字档案全周期嵌入管理要求，在各关键环节细化风险内控，控制触发条件和控制标准必须可执行可实施，并做动态管控，以保证档案的有效性。

（三）人员技术保障、持续发展。档案安全管理体系真正落地执行需要依靠人员和技术的保障，并做长效机制管控、可持续发展，才能确保在实际应用场景中真正将职责和安全管控要求执行到位。

三、档案安全管理体系搭建模型

基于档案安全管理体系搭建原则，分析其中的管理要素，从数字档案全生命周期考虑管理要求，规范各环节档案输入输出的原则要求，利用“记账式”的理念管理系统工具上的数据内容，并确保系统工具安全可靠，首要的就是技术保障、存储数据有效、网络安全使用保障，配以科学合理的人员配备和安全文化的建立。

（一）安全可靠的技术保障。重点针对当前信息化、数字化的特点，搭建跨部门、跨领域的合作，合理强化技术工具，利用现代化技术增强档案数据的安全性。2021年9月1日《数据安全法》开始实施，明确提出企业要建立健全数据安全治理体系，建立数据分类分级管理制度并开展相关工作。管理对象从原来的一份实体文件变化成文件所属的数据信息，国内金融、医疗、政务等领域在数据分级相关政策研究较早，也形成了一定的数据识别、分级方法，保障数据信息受控。各单位应结合业务应用场景，从影响深度、广度等因素，结合各单位现行数据现状，识别数字档案，建立适合的档案数据密级与知悉范围。正如前文所提到的，从学术上数据分为结构化数据和非结构化数据。结构化数据流转应用在各个系统中，例如“题名”“姓名”等；非结构化数据就包含日常所见的PDF文件、声像资料等可视化的档案。遵从档案数据收集的有效性、流转安全性、存储的安全性以及利用展示的便捷性，考虑到网络对企业运营管理的重要性，需要科学性规划和部署网络，确保整个环节的数据安全。个别企业应考虑自身互联区基础安全网关和数据安全网关，内网与外网的互联互通，内网与终端、应用服务器、数据库、相应的软硬件运维端的数据安全。数据时代结合传统的网关安全防控，针对数据泄露防护、数据加密、数字权限保护、数据存储安全四方面建立健全技术防护手段。重点加强对数字档案的识别、规范档案数据的管理要求，研究哈希值技术、区块链技术等先进技术，确保档案的安全可靠。同时配置相应的安全监督审计机制，利用大数据开展数据检测、追踪。

（二）全生命周期管理机制。如图2所示，管理机制应充分考虑数字档案本身的生命周期，普查各项业务档案安全治理现状，兼顾公司业务系统工具的使用、档案管理工作的转变，考虑档案长期保护的目标。从文档产生发布、分发传递、整理归档、保管利用、交付处置全周期梳理安全边界要求，从数据识别收集、数据分级管理、数据流转、数据存储、数据使用方面实现对风险的有效控制。各单位可以从档案管理职责范围明确各方权责，以数字档案安全管理为切入点，创新档案管理新界面，通过风险评估手段，确定数字档案全生命周期的安全管理措施。2021年9月1日施行的《数据安全法》、2021年11月1日生效的《个人信息保护法》，都是数据管理法规的升级，为数字档案安全提供了管理依据。各单位应结合实际管理情况制定数字档案管理标准，不断完善，合理利用法规制度规范数字档案安全行为，维护数字档案安全的法制地位。

图2 档案安全惯例体系搭建模型

（三）应急保障。建立有效的档案安全管理应急制度，利用风险管控方法，重点针对新时代各类档案安全特点，以及各单位业务领域中突发事件影响因素，建立相应的安全预警机制和应急预案。尤其是针对各单位业务场景，考虑自然灾害、人为破坏，科学配备档案资料恢复工作的管理人员与技术人员资源，适时开展应急演练，明确跨部门协作主要步骤以及工作要点，确保数字档案长期的安全可靠。同时研究市场新技术，对数字档案环境受影响的因素进行预判，加强基础设施建设，设立保障基金，保障数据应急保障的顺利开展。

（四）人员技术能力培养。跟进新时代业务需求，结合实际人员管理水平，配备合理的技术和管理人员，了解技术保障的原理。一方面，提升管理人员整体素质的同时，能够为用户提供好理解的服务说明，让用户配合工作，提供更快更便捷的档案利用；另一方面，将数据安全管理融入考核体系，结合法务法律条文，将管理要素延伸至合同方，更全面地保护数字档案安全，为企业评估数字资产奠定基础。同时，也需要建立数字档案安全文化，并配以长效控制机制，不断促进档案安全体系工作持续改进。

（五）档案安全文化的建立。档案安全管理是一项复杂的系统工程，只有将安全上升到文化，全员保持统一认识，通过安全文化深入人心，提高档案工作者的安全修养，加强日常工作中的安全意识和行为。真正成为档案安全管理体系落地执行的思想保证和精神动力。各单位可以从数字档案安全观念的建立入手，通过活动、培训的输入，积极参加国家网络安全周宣传活动，通过宣传内容的推送、培训内容的深入，建立全员人人有责的安全观念。从管理制度上将数字档案安全管理落实为约束性条文，规范企业各部门及档案管理人员的安全行为，树立标杆模范，引领企业数字档案管理事业蒸蒸日上。

四、结语

数据安全保障能力是国家竞争力的直接体现，也是促进数字经济健康发展、提升国家治理能力的重要议题。习近平总书记强调：“要切实保障国家数据安全。要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。”新时期数字化引领经济社会的发展，档案安全管理体系建设应该充分适应数字化时代的需求，识别档案管理工作面临的安全风险，结合技术特点和人力保障，发挥档案安全管理体系在生产运营管理中的动能效应，组建档案信息“知网”优势，整合服务渠道，推动用户服务敏捷化，为公司数字化转型创建良好的机制和氛围，助力公司生产运营的高质量发展。