新《档案法》背景下医院档案信息化安全体系构建刍议

摘 要：安全是医院档案信息化的底线、红线，新《档案法》的修订，专门提出档案信息化建设要求和内容，这些都为新时代做好医院档案信息化安全体系建设提供根本遵循。本文以新《档案法》为背景，分析医院档案信息化安全体系内容，并从前端、中端、末端全面分析医院档案信息化安全体系存在的主要问题，基于档案安全保障各要素，从理论层、监控层、措施层、评估层提出新《档案法》背景下医院档案信息化安全体系构建内容，切实织密新时代医院档案信息化安全防线。

关键词：档案信息化；安全体系；新《档案法》

概述

1987年全国人大审议通过的《档案法》，先后经历了3次修正，其中2020年第三次修正把“档案信息化建设”作为单独一个章节，该章节共7条，有4处提到“安全”，即“档案数字资源安全保存”“保障档案信息安全”“符合安全管理要求”“电子档案的安全性”。在《“十四五”全国档案事业发展规划》中也有44处提及“安全”，并把“坚持安全底线”列为五大工作原则之一，将“深入推进档案安全体系建设，筑牢平安中国的档案安全防线”作为“十四五”时期全国档案事业发展八大主要任务之一，明确提出到2025年“档案安全防线得到新加强”。这些新要求、新规定为新时期医院档案信息化安全体系建设列出了时间表、画出了路线图，需要包括医院在内的所有机关、企业事业单位、团体认真抓好贯彻落实。

1 医院档案信息化安全体系内容

党的二十大报告强调，“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”。这是从顶层设计上为新时代国家安全理论突破创新和实践能力建设提出目标、指明方向[1]。体系泛指某个范围或同类事物按照一定秩序及内部联系组合为整体，是不同系统组成的系统。具体到医院档案信息化安全领域，其体系主要是由运行环境、信息资源、标准规范、专业素养等若干安全子體系共同组成。

1.1 档案运行环境

档案运行环境是医院档案信息化安全体系的物质基础。这里的环境包括物理空间，也包括档案信息运行空间。前者，主要是指医院档案信息化基础设施，如档案库房要按照“防高温、防潮湿、防盗、防尘、防虫、防光、防霉、防火”等“八防”标准建设、运行和管理，添置恒温机、除湿机、防磁柜等设备，确保医院存储档案的库房始终保持恒温恒湿。光盘、磁盘、U盘等特殊存储介质要放入专门的防磁柜中储存。后者，主要是指医院档案信息收集、存储、传输、检索、利用等所在的虚拟空间。虽然是虚拟空间，但其运行环境的安全性同样不容忽视，为此，通常需要搭建医院电子档案信息管理平台、电子档案数据库，应用正版病历档案管理软件，并及时做好系统及软件的实时升级更新。

1.2 档案信息资源

档案信息资源是医院档案信息化安全内容体系。电子档案信息安全最重要的是数据安全[2]。根据《档案法》《档案法实施条例》的相关规定，电子档案只有满足“来源可靠、程序规范、要素合规”，方可与“传统载体档案具有同等效力”，而且还要对入馆的电子档案进行“四性”检测。“来源、程序、要素”及“真实、完整、可用和安全”“四性”共同构成医院电子档案信息资源安全体系的主要内容。如电子档案的内容、逻辑结构与信息环境一致，且内容、结构及背景信息齐全，元数据、必填著录项完整。可以被信息技术检索、呈现及理解，档案信息内容可读。管理过程可控、数据存储可靠，未遭受破坏、非法访问等。

1.3 安全标准规范

安全标准规范是医院档案信息化安全制度体系。从宏观层面来看，《档案法》《档案法实施条例》《保密法》《数据安全法》构成医院档案信息化安全制度体系的顶层依归》。从中观层面来看，《电子档案证据效力维护规范》《电子档案移交接收操作规程》《档案仿真复制工作规范》《档案库房空气质量检测技术规范》《档案虫霉防治一般规则》等共同构成了医院档案安全技术标准规范的行业要求。从微观层面来看，《XXX医院档案借阅归还守则》《XXX医院档案库房管理细则》《XXX医院档案信息化保密办法》等是医院安全标准规范的直接规定，也是医院根据其档案信息化安全管理实际需要，立足医院自身实际制定出台的标准规范。

1.4 安全知识素养

安全知识素养是医院档案信息化安全管理中人员要素体系，包括安全意识培育、安全素养能力、安全要求落实。这里的人员是广义上的，既包括具体从事档案管理人员，也包括医院其他人员的安全素养。总之，档案信息化安全体系建设，要把人员管理放在首要位置[3]。首先，从档案服务对象来说，要加强档案安全知识宣传普及，使其自觉遵守医院档案借阅、归还等安全管理的各项规定、标准和要求。其次，要重点做好档案管理人员的安全综合素养培育。既要树牢安全意识，养成安全自觉性，从医院档案借阅登记、审批、归还检查等小事小节处着眼，也要做好医院档案信息系统安全定期升级、维护，研究信息化背景下医院档案信息化安全面临的新形势、新情况、新规律，不断提高应对能力和水平。

2 医院档案信息化安全体系问题

档案信息化是计算机数据库、密码学、多媒体、数据存储等多种计算机技术在档案管理工作中的应用过程[4]。任何一个环节或细节出现问题，都有可能导致档案安全事故发生。医院档案信息化安全体系具有整体性、系统性、前瞻性，从当前医院档案信息化安全体系现状来看，前端、中端、末端全链条存在问题。

2.1 前端安全体系规划整体性滞后

近年来，随着信息技术的发展，医院积极落实“增量电子化、存量数字化”方针，档案数字资源建设、应用系统及平台建设投入力度较大，但在档案信息化安全体系建设规划部署方面存在滞后性，重医院档案资源管理利用，轻档案信息资源安全的现象依然存在。直接表现在缺少前瞻性、整体性档案安全体系顶层规划设计，大多将安全要求落实于档案管理的具体环节、过程，没有专门的档案信息化安全体系谋划。究其原因，既有思想上重视程度不够，没有把档案信息化安全体系建设摆在与档案业务信息化同等重要的位置抓落实，还有缺少对档案信息化安全极端重要性的思想认识，安全风险的防范意识不强、预防措施未跟上，表现在档案运行安全环境投入不足，安全标准规范滞后，安全教育培训不足。

2.2 中端安全体系内容完整性不足

从医院档案信息化安全体系内容来看，医院档案安全体系内容包括档案运行环境、档案信息资源、安全标准规范和安全知识素养，任何部分安全防范做的不到位都有可能引发各种不安全事故，可谓是缺一不可。但从现实情况来看，缺乏相应的投入，必备设备未配齐，系统软件更新不及时。缺乏专业信息技术人才，医院档案安全主要依靠第三方公司负责维护。档案信息化采集过程中存在要素不全、程序不规范等现象，数字档案信息资源没有可靠的灾备策略，双备份落实不到位，埋下各种安全风险隐患。把安全标准规范条文至于其他标准规范之中，缺少专门的档案信息化安全规范标准。档案人员业务培训开展较多，专门的安全知识培训开展较少，安全防范意识不强，如此种种，都会直接影响到医院档案管理安全。

2.3 末端安全体系执行彻底性较弱

一直以来，档案安全防范措施执行不够彻底的现象依然不同程度地存在。无论是《档案法》《档案法实施条例》，还是其他标准规范，抑或是医院自身制定的各项规章制度，安全标准和要求落实存在“宽松软”现象。安全防范意识不强，大多是在出现安全风险事故后才采取相应的安全补救措施，有些安全风险的发生，会导致档案难以弥补的损失，没有把安全风险防范落实到日常档案管理全过程、各环节。

3 医院档案信息化安全体系构建

档案安全保障各要素处于动态变化之中，分为理论层、监控层、措施层、评估层，彼此之间相互关联（见图1）[5]。医院档案信息化安全体系构建要始终把总体国家安全观贯穿于医院档案信息化安全管理全过程、各环节，织密档案信息化安全物防、技防、人防体系，并把制度防控贯穿始终。

3.1 理论层，法规标准及宣传

医院档案信息化安全体系的第一层，也是基础层，就是要结合医院档案信息化管理的实际需要，制定与其相适应的档案管理安全标准、规范，并抓好标准、规范的学习宣传和教育。首先是制定规范。按照《档案法》《档案法实施条例》中有关档案安全管理的最新规定和要求，立足医院档案信息化安全管理现实需要，制定安全管理规范，如《XXX医院档案安全管理工作规定》《XXX医院档案安全应急处置预案》等。由国家档案局牵头，做好顶层规划设计，将散见于各规章制度的安全管理标准和要求集中起来，制定一部针对档案信息化安全管理的专门性规范或规章制度，要放眼国际，以国际方面标准规范为辅，渐进式实现[6]。其次是制定标准。无规矩、不成方圆。标准是医院档案信息化安全体系的重要保障。具体来说，就是要在规范的基础上，从国家标准、行业标准等方面，逐步完善医院档案库房安全标准、档案信息化安全标准、系统安全运行标准、电子数据安全标准、网络安全标准、身份验证、加密技术、防读写等安全技术标准等，保障医院档案信息安全。再次是宣传。规范、标准的制定和出台是前提，做好宣传教育是关键。利用全国档案宣传周、归档月、“6.9”国际档案日等特殊的时间节点，加强医院档案信息化安全体系的规范、标准知识的宣传普及。可在医院门户网站、局域网、公开栏等张贴档案安全小知识，印刷档案安全知识小册子，召开全院档案安全知识竞赛等，立体式宣传档案安全规范、标准，真正让全院上下对档案安全规范、标准入脑入心，成为自觉行为。

3.2 监控层，风险预估及监督

医院档案信息化安全体系的第二层，保证理论层得到有效落实，同时对潜在的安全风险进行预估并及时做出相应规避。医院档案信息化安全常面临着设备故障、水灾、火灾或其他非传统因素、突发性偶然因素，需要提前做好预估，并针对预估的风险，制定相应的安全风险应对预案，如《档案库房信息化灾害预警预案》《档案信息化安全灾害防灾计划》，并做好安全风险应急演练，监督相关措施得到有效落实。加大对档案灾害监测预报技术的科研投入，研发与推广档案灾害应急设备及产品[7]。如定期检查档案库房设施装备，常态化监测库房的温度、湿度、空气环境质量等，收集相关信息，提升信息分析能力。此外，要加强与气象、地震、电信、供电等部门的联系，联合举办档案信息化突发风险应急处置演练，针对演练中发现的问题，及时监督解决，切实做好应对医院档案信息化安全风险的各项准备工作，做到防范于未然。

3.3 措施层，问题风险及处置

医院档案信息化安全体系的第三层，就是措施层。是针对第二层风险预估中发现的安全问题，通过问题分析、策略制定、实施抢救、记录过程四个环节，是处置医院档案信息化安全风险的具体行为。首先是问题分析。通过风险预估发现安全风险问题，要针对已经暴露的安全问题进行分析，既要分析出现的安全风险，也要分析潜在的安全风险，要扩大风险预估范围，最大限度地排除不安全因素。其次是策略制定。针对分析的安全风险问题，有针对性地提出应对举措，措施的制定要紧密结合安全问题，选择适宜的抢救技术及抢救方案，充分考虑医院自身的技术储备、物质条件等因素，以最低成本处理安全问题。再次是实施抢救。风险处置预案及策略制定完毕，要按照制定的方案不折不扣地抓好落实，及时消除安全风险因素，确保医院档案信息化安全。最后是记录过程。就是将本次安全风险处置的全过程记录下来，从发现问题、分析问题到制定方案、方案实施的全过程，使档案信息化安全处置有据可查，为后期类似问题的解决提供经验参考。

3.4 评估层，评价评估及复盘

医院档案信息化安全体系的第四层，即医院档案信息化安全体系评估，重点是评估措施层中的思想措施落实情况以及落实的质量和效果，并对其进行质量评估，做好复盘，回顾整个问题解决过程中是否做到最优、最佳。以医院声像档案为例，为做好医院该类档案信息化安全，首先制定出台了《XXX医院声像档案安全管理办法》，并将其主要内容印制成海报或小册子，张贴于档案库房门口或发放给医护人员、档案管理人员等，普及声像档案安全常识。同时，针对医院声像档案的风险，预估其可能面临着虫害、辐射、光照、污染物、管理疏忽等风险隐患，借助相应的风险评估模型，划分声像电子档案风险类型、风险源及风险引发的后果（见表1），评估风险等级，然后采取相应的措施，提前做好安全风险排查、整治，做到防患于未然。

参考文献

[1]林克勤.论国家认知安全体系的建构[J]学术界，2023（2）：57-66.

[2]王玉杰，苏卫东.档案信息化与档案信息安全保障体系建设[J]机电兵船档案，2012（4）：68-70.

[3]许德斌.高校档案信息化安全体系建设探究[J]黔南民族师范学院学报，2018（5）：125-128.

[4]刘少朋，雷晓蓉，杨雯.高校档案信息化安全体系建设中存在的问题与应对策略[J]机电兵船档案，2021（6）：62-64.

[5]金俊兰.构建档案信息化安全体系[J]湖北师范学院学报（哲学社会科学版），2011（2）：153-154.

[6]王静.档案信息化安全体系建设研究[J]治黄科技信息，2015（5）：29-32.

[7]陈阳，倪丽娟.美日两国档案灾害预警机制建设对我国的启示[J]北京档案，2017（9）：39-41.

作者简介：刘桂英（1967.7—），女，大学学历，梁山县人民医院副研究馆员，主要从事档案管理研究。