浅谈数字档案信息安全管理应采用的原则.pdf

管理观察 2013 年 3 月中旬刊 121 （ 下转 208 页） 徐帅 浅谈数字档案信息安全管理应采用的原则 【 摘要】本文主要论述了数字档案信息安全管理应采用的几种原则，以期通过这几种原则在数字档案信息安全管理中的运用，达 到克服传统档案在管理方式上的弊病，从而充分达到新时期数字档案信息安全管理的国际标准。 【 关键词】数字档案信息安全管理 随着增量档案电子化和存量档案数值化的进程加快，数字档 案信息长期保管和不断利用的风险加大，档案部门面临着数字档 案信息安全管理的挑战越来越大。 在我国，数字档案信息安全管 理已经得到国家档案局的高度重视，地方档案部门也在实践中积 累了一定经验。但是，数字档案信息安全管理的形式依旧严峻，客 观要求我们必须系统研究、正确认识、妥善解决数字档案信息安 全管理问题。 对于我国的档案信息化、数字档案乃至国家信息化 建设和管理都具有深刻的现实意义与实践意义。 1.数字档案信息安全管理的意义 数字档案是指在计算机及其网络环境下用数字代码形式把 信息记录于电子载体而生成的文件。在计算机及网络技术日益普 及的今天，它已成为一个国家、组织乃至家庭或个人数量越来越 多且越来越重要的信息资源。 所以，如何实现数字档案的科学管 理是目前国内外档案界面临的一个不可回避的现实课题，而数字 档案信息的安全管理则是其中的重要内容。由于现代信息技术环 境下信息安全问题的严重性，数字档案信息安全管理同样不应有 丝毫轻视。 2.信息安全的概念与含义 全面、准确地理解 “ 信息安全”概念的含义是开展信息安全管 理和实现其目标的前提。所谓信息安全1是指信息的保密性、完整 性和可用性的保持问题。信息的保密性根据信息被允许访问对象 的多少而不同，能保障信息仅仅为那些被授权使用的人获取。 信 息有公开和秘密之分， 所有人员都可以访问的信息为公开信息， 需要限制访问的信息一般为敏感信息或秘密；信息的完整性一方 面是指信息再利用、传输、储存等过程中不被篡改、丢失、缺损等， 另一方面是指信息处理方法的正确性，不正当的操作，如误删除 文件，有可能造成重要文件的丢失；信息的可用性是指信息及相 关的信息资产在授权人需要的时候可以立即获得，如通信线路中 断会造成信息在一段时间内不可用，影响正常的运作，信息系统 的硬件出现安全问题、软件受病毒侵扰、存储载体出现可读性问 题等都会造成信息的不可用。 3.数字档案信息安全管理应采用的原则 为确保数字档案信息的安全，根据国际标准的有关信息安全 管理的基本概念和指导思想，我们确定数字档案信息安全管理时 可以采用以下系统管理原则： 3.1 制定数字档案信息安全地方针 数字档案信息安全方针即数字档案信息安全策略2。 它指导 数字档案信息进行安全管理、保护和分配的规则和批示，为数字 档案信息安全管理提供导向和支持。信息安全方针应阐明管理层 的承诺，提出组织管理数字档案信息安全地方法，并由管理层批 准，采用适当的方式 （ 传达与培训）将方针传达给员工。 为确保方 针持续的适应性和有效性， 我们应定期对其进行评审与评价，根 据评审与评价结果，保持原方针或对其进行调整。 3.2 开展风险评估的原则 数字档案信息安全风险的降低时通过安全控制目标和方式 的选择、确立和有效实施而得以实现的。 控制目标与控制方式的 选择不应盲目进行，应建立在风险评估的基础上，根据风险评估 的结果，进行风险大小的排序，对于风险级别高的资产应被有限 分配资源进行安全保护。 3.3 控制费用与风险平衡的原则 风险总是存在的，妄想把风险降至零，从而完全排除风险，是 不现实的，也是不经济的。 一方面是数字档案信息的绝对安全 （ 即 零风险）是不可能的，我们在实施所选择的安全控制后，总有残余的 风险存在，只要残余风险在我们可接受的水平便可；另一方面，实施 和维持这些控制是需要费用支出的，如果这样的风险控制成本比数 字档案信息受威胁所造成的损失预期值 （ 即机会损失成本）还要高， 那么，这样控制就是不合适的。 我们接受与不接受风险的界限就是 考虑风险控制成本与机会损失成本的平衡，如果风险控制成本大于 机会损失成本，我们便接受风险，反之，我们就不接受风险。 3.4 预防控制为主的思想原则 在数字档案信息安全管理中，我们应始终坚持和预防控制为 主的思想原则，做到防患于未然，不能平时不采取措施，而等事故 和故障发生之后再来不久，这样不仅会导致事故和故障的频繁发 生，也会产生巨大损失。 3.5 商务持续性原则 由于风险总是存在的，零风险是不可能的，我们只能将风险 降至可接受的水平。因此，实施风险管理后，数字档案信息安全故 障和灾难仍可能发生，之时发生的概率已大大降低，而当故障和 灾难一旦发生，一方面不能使组织的商务运作完全中断，另一方 面还要尽可能减少影响，因为数字档案信息安全的目标就是防止 和最小化安全事故的影响，保证业务活动的持续进行并最小化损 失。因此，我们必须建立并实施商务持续性管理，通过组织预防和 文化管理196 管理观察 2013 年 3 月中旬刊 121 恢复控制措施相结合的方式，确保组织的关键商务活动不会因数 字档案信息安全故障造成中断或以最短的时间恢复商务运作。事 实上， 安全控制可以分为预防性控制措施和保护性控制措施，预 防性措施可以降低威胁发生的可能性和减少安全薄弱点，而保护 性措施，如制定并实施商务持续性计划、购买商业保险等，可以减 少因威胁发生所造成的影响。 3.6 动态管理原则随着时间的推移， 数字档案信息所处的商 务运作环境可能会发生变化，新的威胁和薄弱点也会增加，另外 有关信息安全的法律法规也可能会发生变化，即风险会随着时间 而发生变化。所以，我们在完成了数字档案信息的风险评估、风险 控制与风险接受的一个全面系统的风险管理过程后，虽然已将风 险控制在可接受的水平，但这并不意味着风险评估工作可以因此 而结束，风险管理应是一个动态的管理过程，我们应适时动态的 风险评估与风险控制。 从目前档案界所探讨的数字档案管理内容来看，我们显然对 数字档案信息安全管理已付出了一定的关注，如数字档案信息的 访问控制、如何确保数字档案信息的真实可靠、纸质与数字档案 的共存、数字档案的备份管理、数字档案管理的前段控制和全程 管理、数字档案载体与格式的转换、数字档案的物理鉴定或技术 鉴定等。 这显然仍属传统的管理方式，还谈不上是一种系统的管 理思想的体现，同信息安全管理的国际标准所提供的全面系统的 管理思想还相距甚远。 它既没有全面动态的、系统的、全员参与 的、制度化的、预防为主的管理方式的体现，也没有确定数字档案 信息安全管理的方针和范围，更谈不上在信息安全管理的基础上 选择适宜的控制目标与控制方式进行控制。 总之，当前的数字档 案信息安全管理并未建立并实施信息安全管理体系，因而也不可 能用最低的成本达到可接受的信息安全水平。要切实有效地解决 数字档案信息安全的管理问题，我们必须依照国际标准所倡导的 管理原则与管理思想， 提供一个可持续提高的信息安全管理环 境。 参考文献： 1刘晓瑛.数字档案系统的安全保障J.科技经济市场，2007 （ 04） 2吕榜珍.数字档案的安全管理与技术措施J.云南档案，2007， （ 01） 作者简介： 徐帅 （ 1981-），男，安徽合肥人，陆军军官学院研究生。 例如可以组织乡村医生进行思想教育、组织开会研讨工作、将学 习资料发放到他们手中等方式，这样乡村医生对这项工作有了充 分的认识，了解了基本公共卫生服务项目的重要意义，也了解了 自己身上肩负的使命感。 (2)利用网络资源，开展思想教育工作。 随着网络时代的到 来，我国很多乡村也开通了网络。因此，我们可以借助网络平台宣 传农村公共卫生均等化服务，以便乡村医生和广大农民都能及时 的了解国家的政策变化，帮助他们了解并适应新形势。 (3)加强乡村医生的培训工作。 我国一些地区的卫生学校有 义务为国家、人民培养高素质的医生。因此，卫生学校应该组织乡 村医生开展培训、进修的工作,同时对是乡村医生的政治思想进 行教育，提高乡村医生思想素质。 (4)采取多种激励方式,让广大的乡村医生提高积极性，提升 业务水平。 我国的医疗事业在不断的发展变化，乡村医生要适应 新形势的变化，就要进行自我学习，同时也要广泛开展继续教育, 增强乡村医生的基本技能。 4.乡村医生在新型农村合作医疗中的作用 (1)乡村医生能够为乡村居民提供基本的医疗服务。 乡村医 生要不断的更新业务知识，补充医学新技术、新方法，才能更好的 做好医疗服务工作。乡村医生要认真学习新型农村合作医疗的有 关政策法规，乡村医生在诊治过程中，对于参合农民，要为他们办 理合作医疗的各项手续，在开处药方时，要严格按照新农合的基 本药物目录进行开方，从而保证参合的农民都有权利并享受合作 医疗的医药费报销。 (2)乡村医生最贴近农民的生活，也了解了广大农群众的心 思，只有了解了广大农民在不同时期的思想动态，我国相关政府 部门才会针对农民实质关心的问题而采取必要的解决措施，更有 利于有针对性的进行具体的新农合的宣传工作。当广大农民群众 真正认识到建立新型农村合作医疗制度的意义和好处，才会积极 参与并配合有关部门做好宣传工作。 (3)乡村医生对对乡村居民进行监督工作，及时发现问题，报告 问题；同时也对自我进行监督。 新型农村合作医疗定点医疗机构的 乡村医生要严格监督参合农民在诊治的过程中，合作医疗证的使用 情况，加强合作医疗基金使用效率。同时，当乡村医生发现新农合作 在使用的过程中的问题， 应该及时向农村合作医疗管理部门报告， 以便及时处理并解决问题。 这也是乡村医生对自我工作的监督，并 协助卫生行政部门提供可靠的资料，以便更好的完善各项制度。 5.结语 综上所述，我国的乡村医生在政治思想上的认识性会越来越 高，但乡村医生的岗位也需要具备一定的技术性，因此，在提升乡 村医生政治思想的同时也要强化他们的技术水平。随着新型农村 合作医疗的出现， 乡村医生政治思想工作就显得越来越重要，为 了配合新型的农村合作医疗， 要明确乡村医生的政治思想工作， 不并且通过有效的方法和途径， 调动乡村医生的积极