时间:2023-06-14 16:37:07
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇安全保障体系建设范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:电子档案;实体档案;信息安全
1引言
档案信息资源作为一种重要的社会资源,保障其安全是十分有必要的。但是在社会的信息化发展中,由于法律法规的滞后、保存环境的不合理、保存技术的不成熟、管理人员专业水平的欠缺,使得档案信息的安全性受到了极大的挑战,因此档案信息安全保障体系的建设需要尽快完善。
2档案信息安全保障体系的建设现状
保障档案信息的安全具有很重要的现实意义,然而在实际操作中,保障档案信息的安全工作受到了很大的阻力和压力。第一,相关法律法规制度的建设相对滞后,给了很多不法分子可趁之机,使其可以低成本地、轻易地盗取、买卖、损坏档案信息[1]。第二,档案信息保存困难,尤其是实体资料。由于保存时间较长,很多档案资料存在字迹模糊、无法辨认的问题;还有的在较长的保存时间中,经历了很多任档案管理员的整理,使得查找起来十分困难,比如文字图片资料混合在一起、标签缺失、编号混乱等等。电子档案的保存也一样不容乐观,因为我国的电子档案信息化保存的发展历史还比较短,安全系统还不够完善强大,所以常常会受到黑客的攻击和病毒的侵扰;高素质、高技术的专业电子档案信息管理人员的缺失,也极大的延缓了档案信息电子化保存的工作进度。
3档案信息安全保障体系建设问题的解决策略
3.1完善法制保障
国家层面上,相应法律法规的修订和完善是保证档案信息安全保障体系健康安全有序发展的前提条件和依据。在修订中,也要注意循序渐进,多借鉴国外的相关成功经验,同时找到适合国内国情的特色方法。企业层面上,应当在规则允许的范围下,合理运用先进的技术和方法做好档案信息安全保障体系建设工作,管理分工明确、责任具体落实到个人、自己负责好自己的部分、尽量不要出错。在合作中逐渐形成有效有序的安全管理系统,确保每一步都有理有据、安全可行。从业人员层面上,档案信息安全工作人员需要具备较强的法律意识、服务意识、责任意识和过硬的专业技术能力,充分发挥每一位从业人员的主观积极性和创造性,并定期开展相关培训活动和交流会,使其工作能力不断提升,从而为档案信息安全保障体系的顺利建设奠定基础。例如近日铜仁市纪委市监委出台的《铜仁市市管干部廉政档案管理暂行办法》,通过法规的出台使1300余名市管干部档案信息安全得以保障。该《办法》遵从“一人一档”、“逐步完善”、“动态更新”的原则,同步建立电子廉政档案、纸质廉政档案和文书档案,全面收集归档反映全市在职市管干部廉政情况的信息和材料,梳理形成清单,实现一人一档、全面覆盖。同时,廉政档案实行集中管理、由专人负责、保持动态维护更新、严格执行保密相关规定,保证廉政档案的使用安全。
3.2加强管理保障
3.2.1改进工作方法
在电子档案保存过程中,首先硬件技术要能相匹配,计算机设备、扫描仪以及安全的移动硬盘都是不可缺少的。其次,在扫描过程中,也要在保证内容完整性的同时保证字迹的清晰度。再次,在保存过程中,既要严格清理存储在电脑中的信息,避免被盗,也要做好备份工作,防止丢失。最后,不把鸡蛋放在同一个篮子里,做好档案的分类和多重备份工作,也是抵御风险的一种有效办法。除此之外,在档案信息安全管理中,也可以使用防火墙技术、设置高级密码技术、高级人脸识别技术、指纹识别技术、多重密码防护技术以及软件定期查杀病毒的方式来增强信息的安全性。只要每一个步骤都严格控制,形成有效的安全保障体系,就可以避免不必要的损失,增加档案信息的安全系数。例如资阳区社保服务中心的业务资料整理归档工作,其按照档案管理规范化标准,全面收集应归档的各类文件、业务资料以确保档案的完整性;并且按照业务资料归档要求,规范化、系统化的完成装订、整理、分类、编号、装盒整理工作;同时按照档案保管要求,文件、资料的归档全部使用专用档案盒,并规范档案管理、保管、借阅等各项制度。每一步工作都认真负责、严格落实,以确保档案的保密性和安全性。
3.2.2提升人员素质
由于在档案信息安全工作中会遇到各种各样的突况,对档案信息安全工作人员的业务水平提出了很高的要求。因此,每一个从业者都必须不断提升自己的专业知识,做好行业培训工作,丰富自己的知识体系,提高自己的服务意识和安全隐患意识。并且需要多与各自领域的专业人才交流,强强联合以开阔思路,优化工作方式。
3.3强化技术保障
技术支持保障属于档案信息安全保障体系中的刚性保障,对整个体系的构建至关重要。对于实体档案,主要考虑保存环境与档案修复两个方面。其中配备合理的保存环境是保障实体档案信息安全的基础。保存环境的优劣会直接影响到档案的保管情况。保存环境的合理设计与建造能使档案得到更加长久、安全、完整的保护。当档案在保管、利用的过程中出现字迹模糊、纸张老化、硬盘受损、胶片褪色等现象时,修复技术的存在就是挽救实体档案信息安全的最后一道屏障。纸质档案修复技术主要包括:去污与去酸技术、加固与修裱技术、字迹恢复与显示技术等,而磁盘、光盘受损后目前技术还很难做到有效恢复[2]。
[关键词] 档案馆 安全保障体系 建设研究
随着中国特色社会主义建设日新月异的发展,我国档案事业得到了前所未有的迅速发展。然而,档案工作仍然显得过于零散、片面,甚至有部分缺失,安全隐患和安全事故未能得到彻底遏制。因而,建设档案安全保障体系,保障档案的安全刻不容缓。
档案资源是国家和社会珍贵的文化财富, 档案的安全保管和档案的有效利用是档案最基本的两项工作。档案保护是档案安全保障体系的基石,是档案管理部门的第一要务。国家档案局局长中央档案馆馆长杨冬权在2010年5月12日在成都召开的全国档案安全体系建设工作会议上讲话中提出了研究建立确保档案安全保密的档案安全体系,全面提升档案部门的安全保障能力的新要求,从而将建立档案工作“两个体系”发展为“三个体系”,将档案安全工作的重要性提高到前所未有的“体系”高度,为新时期档案工作的健康发展指明了方向。档案部门作为档案安全保障体系的前沿重地,其安全状况如何,直接影响到国家档案资源的安全保管和有效利用。
一、档案馆安全保障体系建设的必要性
近年来面临的安全问题:自然灾害频发,信息安全问题,档案管理上的漏洞和隐患等等,都给档案造成了一些损失,对档案安全构成威胁。2008年5月12日汶川发生特大的地震,地震后人们在塌陷的北川县档案馆废墟中清理出来的档案已经面目全非;2010年4月青海玉树地震使玉树县档案馆严重受损;同年8月,甘肃舟曲特大泥石流灾害造成干部档案受损,等等这些因自然灾害遭到破坏的档案在灾后重建过程中面临着档案的修复,这其中有太多的困难、困扰和无助。这些例子充分说明档案馆安全保障体系存在的问题和所面临的严峻问题,为档案全方位安全建设敲响了警钟。档案馆的建筑必须符合《档案馆建筑设计规范》和《档案馆建设标准》中的抗震烈度标准。国家综合档案馆重要档案必须实行异地异质备份。2005年,全国档案安全体系建设工作会议提出:“建立确保档案安全保密的档案安全体系,全体提升档案部门的安全保障能力,确保档案实体安全和信息安全,推动全国档案事业安全发展、协调发展、可持续发展。”
国际国内敌对势力对我国重要情报档案信息的觊觎和窃取对国家安全造成严重威胁,急需建立档案安全保障体系。国家档案局早在2002年的《全国档案信息化建设实施纲要》中,就明确提出了加强档案信息安全保障体系建设的具体要求。为此各级各类国家档案馆必须建立档案信息安全体系,使档案实体安全和信息安全得到同步保护,已成为档案部门的共识。
二、档案馆安全保障体系的保障机制
档案安全保障体系是一项复杂的系统工程,涉及安全威胁、安全防范技术、管理方法、人员素质等多方面问题。要解决的不仅仅是技术上的问题,更重要的是安全保障各环节的管理和组织。完善档案安全保障体系是社会主义档案事业的重要支柱,关系档案事业全面、和谐、可持续发展全局,对档案事业发展有着重要意义。
(1)严格按照《档案法》要求和国家、省级档案财政部门有关文件规定,将档案管护费足额列入当地政府年度财政预算,并随着经济发展提高预算标准。
(2)构建档案安全保障体系涉及到应对突发事件档案抢救工作保障机制。按照国家档案局的《档案工作突发事件应急处置管理办法》及《档案馆防治灾害工作指南》的要求,成立由档案、公安、消防、地震、政府应急等相关职能部门领导组成的档案安全协调领导小组,制定切实可行的包括防震、防水、防火、防盗、防社会性等档案安全应急预案,并报地方政府备案,实现群防群治,切实提高安全应急处置能力,奠定档案事业安全、协调、可持续发展的坚实基础。(3)加强档案安全队伍建设。档案安全保障体系建设的关键是人的因素,因为再好的安全制度、设施,如果没有人来执行和管理,都将成为一句空话。古人云:“患生于所忽,祸起于细微”,档案资源是一种不可再生资源,在档案馆,一片小小的水渍,一丝小小的疏忽,一只小小的烟头,都有可能对档案造成不应有的损失。为此,档案安全机构人员主抓安全工作外,还要在其他业务处室明确安全责任人,同时要加强对安全管理人员的安全法律法规培训,形成人人、事事、处处懂安全、抓安全、保安全的浓厚氛围。
三、档案馆安全保障体系建设的研究
档案安全保障体系的建设是一项刻不容缓的工作,只有明白食物的薄弱环节,抓住问题的关键所在,抓住问题的主要矛盾,才能抓住解决问题的关键。首先要加强涉及档案安全的基础设施建设,为档案安全提供必要物质保障;其次在加强档案安全工作规章制度的建立和完善的同时应加强档案管理理论与实践不断创新为档案工作提供必要的制度、机制保障;最后要加强档案安全教育和专业技能培训,为档案安全提供必要的人才保障。
档案馆安全保障体系建设时档案工作的重要课题,它涉及档案管理的各个环节,是一项复杂而庞大的系统工程,档案部门应坚持不辱使命、创新制度和机制,以全面推动档案馆安全保障体系的建设进程。
参考文献:
[2] 刘继红.加强档案馆安全保障体系建设.中国档案,2010(11).
[3] 常国瑞.加强档案管理,努力构建档案安全保障体系,2012年.
[4] 2009年杨冬权在国家档案局长馆长会议讲话---科学发展观为指导,推动档案事业更好地为科学发展服务.
一、明确档案安全防范重点,保证档案安全保障体系切实有效
档案安全保障体系建设从宏观上说是一项庞大的系统工程,涉及基本理论、基础设施、制度保障、技术支持等诸多方面;从微观上讲贯穿于档案管理的各个环节,是关系到档案实体与信息安全的重要保证。具体到每一个档案馆,在建立各自的档案安全保障体系中,统筹兼顾,重点突出。对照不同类型的档案安全事故,针对不同的档案载体、不同的保存状况、不同的存储环境等因素,找准安全隐患,明确档案安全防范重点,制定行之有效的档案安全保障方案,打造切实可行的档案安全保障体系。
二、加强档案馆库建设,为档案安全打造第一道防线
档案馆库是档案安全最重要的保证。但是由于受经济发展阶段所限,多年来,各级政府对档案馆库建设的投入不足,档案馆库建设普遍存在以下问题:一是馆舍面积严重不足。以吉林省为例,全省70个综合档案馆建筑面积低于1200平方米的有39个,占比65%;库房面积不足500平方米的有53个,占比88.3%,有的档案馆建筑面积不足百平方米。《档案法》赋予的档案接收保管等业务工作无法正常开展。许多符合进馆期限的档案保存在各立档单位中,造成极大的安全隐患。二是档案的安全保管得不到保证。很多档案馆建于20世纪80年代末90年代初,距今20年左右,且不是按《档案馆建筑设计规范》修建,多年没有进行维修,雨季室内漏雨,库房湿度过高;水暖管道锈蚀,电路老化,存在火灾、水灾隐患;没有安全监控系统、自动灭火系统,档案保管条件较差,档案的安全保管得不到保证。三是档案馆合结构不合理。很多档案馆为非独立馆舍,与当地党委、政府或其他单位同楼办公,馆舍结构不符合档案馆建设要求。
近几年,档案馆舍建设越来越引起重视。很多省份都在预算内安排了馆舍建设补助资金,用于档案馆台的新建扩建和维修改造,取得了一定效果。今年国家启动了中西部地区县级档案馆建设工程,安排中央预算内投资补助中西部地区县级档案馆馆合建设。要抓住机遇,积极落实地方配套资金,严格按照《档案馆建设标准》和《档案馆建筑设计规范》要求,建设一批满足未来30~50年需求的坚固、安全、符合档案保管要求的现代化档案馆,为档案安全打造第一道防线。
三、加强安全设施建设,保证档案日常管理的安全运转
完善的档案馆安全设施是保证档案安全最有效的防护网。《国家档案局关于副省级市以上国家档案馆安全技术防范系统建设工作的通知》提出了档案馆安全设施建设的新要求。各级档案馆要结合新馆建设,建设完备的档案馆安全设施;现有馆舍也要按照《通知》要求,重点建设监控、自动报警、自动灭火系统、温湿度控制、门禁系统等安全设施建设,实现档案安全管理的自动化和可控性。
四、建立健全完善的档案安全工作制度,提高档案安全管理的软实力
保证档案安全既涉及档案的实体安全又涉及档案的信息安全,体现在档案工作的接收、保管、整理、鉴定、利用、数字化等各个环节中。要针对不同的工作环节,细化档案安全工作制度。加强对制度执行情况的监督检查力度,确保各项制度落到实处。
要重视建立珍贵档案保护制度。对馆藏珍贵档案,除建立特藏库外,对其中极为珍贵的“镇馆之宝”,应借鉴文博部门保存珍贵文物的经验,如博物院保存的《富春山居图》等珍品规定每4年才能展出一次。采取单独装具特殊保存珍品档案,对其原件出库条件、程序及时间间隔等做出明确的规定。
要重视建立濒危档案排查制度,尽快对破损档案采取抢救和保护措施。同时在抢救过程中,选择适当的方式方法,避免对档案的二次破坏。
要重视建立档案馆应急预案定期演练制度。目前各级国家档案馆按照《档案工作突发事件应急处置管理办法》要求,普遍对各种突发灾害和突发事件制定出相应的档案抢救和保护预案,但是应急预案仅仅停留在纸面上,真正遇到突发事件,应急预案完全不能发挥作用。建立档案馆应急预案定期演练制度的目的就是要提高工作人员的安全意识、风险防范意识和突发事件应对能力,明确责任,建立起档案馆快速应急反应体系。
要重视建立档案异地异质备份制度。2009年召开的全国档案馆工作会议提出:各级国家档案馆要通过建立异地备份库等形式对本级重要档案及电子文件实行异地备份。档案异地异质备份是维护档案数字信息安全的重要举措。在备份地点的选择上要遵循不在同一地震带、不同气候类型、交通便捷等原则。
五、加快档案数字化进程,保证数字档案信息的安全
随着我国信息化的普及,档案信息化建设迅猛发展,档案的数字化管理日益普遍。很多档案馆以利用需求为导向,加快档案数字化进程。档案数字化已成为保护档案原件、提高服务能力、提高容灾能力的重要手段。2008年北川县档案馆在地震中倒塌,大量档案严重损毁,2009年德国科隆市历史档案馆倒塌,包括马克思、恩格斯著作手稿在内的许多珍贵的档案资料被埋在废墟之下,直接导致相当数量的原始档案无法弥补,用档案馆一位官员的话说:“这次损失的是总计18公里长档案架上的德国历史。”这两次事件,让我们更加认识到档案数字化的重要性。
[关键词]电子档案;信息安全;保障体系
[中图分类号]G270.7 [文献标识码]A [文章编号]1672-5158(2013)06-0437-02
1 引言
信息时代把“电子档案”这一新生事物推至我们面前。基于不同的认识背景和知识结构,人们对它的理解和认识有所差别。“电子档案”从社会意义上可以归纳为是将传统的以纸张、录音带、录像带为存储介质的各种原始档案资料,通过扫描、压缩、转化等手段转换成图片文件、声音文件和录像文件,对图片文件可以通过文字识别等技术手段,再运用分级存储管理技术将图片和索引字段存储于光盘库等各种大容量的存储介质上,并可通过各种方便的查询手段迅速地检索出所需要的档案资料,到局域网、广域网、企业内部网、国际互联网,最终实现“电子档案”。档案的安全保管和有效利用,是档案工作最基本的两项任务。
2 影响电子档案信息安全的因素
在电子档案的归档、管理和服务利用等过程中,影响电子档案安全的因素主要来自四个层面:
2.1 网络软件因素
网络因素主要指系统外部非法用户和不安全数据包侵犯窃取秘密与篡改破坏档案信息。这是计算机网络所面临的最大威胁,也称黑客行为。它们又可以分为以下两种:一种是主动攻击,即以各种方式有选择地破坏数据的原始性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、删除、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致信息的机密数据的泄漏。
2.2 硬件数据因素
硬件因素主要指网络运行系统的物理设备问题,如:主机硬件系统本身的安全漏洞,路由交换设备的不稳定,或硬件设备的意外损坏造成的系统瘫痪等;
数据因素主要指设计系统存储档案的数据安全问题,如数据版本与格式转换,存储介质的老化失效,自然灾害造成的数据丢失和损坏等。
2.3 应用管理因素
主要指档案管理信息系统在实际应用操作过程中存在的安全问题。管理是保护电子档案信息安全的主要手段,而责任不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。据调查,在已有的网络安全攻击事件中,约70%是来自内部网络的侵犯。如:档案管理信息系统的用户管理层次的不规范性;操作人员安全配置不当,用户安全意识不强,口令选择不慎,用户将自己的帐号随意转借他人或与别人共享造成档案信息泄密、原始信息被篡改等。这些都是因为管理不善而造成电子档案信息不安全的因素。
2.4 突发性因素
非人为因素是指不是由于人的直接行为引起的电子档案信息真实与完整的损失、档案信息的破坏,如设备故障和失效、自然社会灾害和意外灾祸等,也叫突发性灾害,主要指不可抗拒的自然灾害,如:雷击、火灾、地震、水灾、飓风以及其他不可预测的突发事件等。针对影响电子档案信息网络安全的种种危险因素,在电子档案信息资源的系统安全管理中采取相应的预防措施即安全技术防护至为重要。
3 电子档案信息安全保障体系的建设
电子档案信息的安全包括网络、系统安全;信息安全;物理安全等方面,要有可靠的技术措施和完善的管理制度来保证各方面的安全。因此,安全管理机制建设创新要有实招:
3.1 组建信息安全管理机构
机构级可以在本单位现有的顶层如信息安全与保密委员会下设电子档案工作小组,在建立了机构时必须同时制定职责、运作机制等相关制度,使保密机构真正起到决策、监督作用。
3.2 电子档案信息安全体系建设
电子档案的安全与保密除通过软硬件保障外,制度的保障更加重要,因此必须制定相关的规章制度,主要有以下几项:
3.2.1 建立安全管理制度
管理制度是保证电子信息安全的重要措施。维护电子信息的安全除了技术手段外,更重要的是要加强对信息的管理,制定合理而严密的管理措施和规范,才能真正保护电子信息的真实、可靠和完整。因此,为保证电子档案信息的安全,必须制定以下各项规章制度:文档管理制、人员安全管理制度、应用系统运营安全管理制度、系统运行环境制度。
3.2.2 建立网络管理制度
计算机网络系统的安全系数会随着时间的推移而降低。原因很多,主要有设备老化,安全技术方法逐渐泄露,管理日渐松懈,攻击者经验的积累等。与此相反,电子文件和电子档案的价值却随着时间积累而增加,对系统安全的要求越来越高。因此,为长时间保证安全,必须结合本单位的实际,建立配套的、切实可行的网络管理制度。
3.2.3 建立全过程的电子文件管理制度
电子文件从形成到电子档案的开发利用,中间要经过很多环节,哪一个环节出了问题都会影响电子文件的真实可靠性。因此建立全过程的管理制度,明确各环节的职责要求,就显得非常重要。如电子文件形成之后,要及时收集积累,以防分散状态下发生信息丢失;电子文件归档时,要严格检查相关文件是否收集齐全,负责就会给将来利用带来困难和麻烦;迁移时,要认真检查是否发生信息丢失。任何环节的疏忽,都对电子信息的真实性与可靠性造成危害。
3.2.4 建立电子文件管理记录系统
为加强对电子文件的管理,保证电子文件的法律证据性而建立。记录系统内容:
(1)对于收集积累阶段在网络系统上传输的电子文件,可通过网络系统自动记录有关信息;
(2)文件在现行期的重要处理环节,如文件的创立、登记、修改、审核、签署、分发;
(3)文件在半现行期和非现行期的管理、利用等;
(4)对于按存储载体方式进行收集、积累的电子文件,还要辅以必要的人工记录。
(5)文件存储位置的改变、数据转换的记录;
3.3 电子档案信息安全与保密日常监督与检查
电子档案的安全与保密还必须通过日常的监督与检查来得到保证,设备的日常维护,制度的贯彻与落实等等都必须落实到日常的工作中,一是检查人员的安全防护意识;二是检查各项规章制度的执行情况;三是检查机器设备和网络运行情况;四是检查网上数据的流动情况。因此电子档案必须制定安全与保密制度,明确检查周期、检查项目与检查方法,对出现问题要有归零跟踪,对违反纪律的员工有惩罚。
3.4 加强网络安全管理的人文策略
加强对电子文件制作和管理人员的业务学习和技术培训。在电子文件的安全管理过程中,仅靠制度是不够的,一方面必须加强组织对涉及电子文件人员的业务学习和技术培训。通过组织业务学习和技术培训等途径,尽快使他们掌握信息管理自动化的知识和技能,担负起电子文件归档工作的重任。另一方面要加强人才队伍的建设。人才队伍的建设贯彻以管理型人才为基础,以复合型人才为重点的指导思想。根据电子档案业务工作的划分,所需人才的类型有:档案采集、处理与数据加工人才;信息技术及计算机系统和网络设计与开发人才;档案信息分析、研究与咨询人才;电子档案理论与方法研究人才;电子档案系统运营与服务的管理人才。对人才队伍业务素质的要求是具有较全面的知识结构以及敏锐的信息意识、良好的信息道德、较强的信息能力,以适应电子档案的建设和正常运行的需要。
结束语
总之,电子档案信息安全保障体系应是一个包含法制标准、基础设施、组织管理、安全技术、灾难恢复机制的多层次、全方位的系统,该系统以法制标准为重要手段,以安全基础设施为基础,在整体安全策略和安全组织管理之下,采用国内外先进成熟的安全技术,制订统一的备份恢复策略,建立完备的综合防范机制,以保障电子档案信息安全、可靠、有序、高效地运行,确保电子档案信息资源的高安全性、高可靠性和高可用性。同时,积极促进档案整体信息化应用水平的全面提高,为信息化建设保驾护航。
参考文献
[1]赵晖:电子档案信息安全管理面临的问题和挑战,《城建档案》2013(1)
[关键词] 信息安全保障体系; 中国石油; 企业
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障体系概述
信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2 国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3 国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4 企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5 存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:
(1) 信息安全组织体系不够健全,不能较好地落实安全管理责任制。目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
为了贯彻安全教育思想、发挥教师的主导作用并衔接中学阶段的安全教育情况,我们对入学大学新生需要先期培训,使之熟悉或掌握实验室的试剂特性和仪器安全等方面的事宜,让学生熟悉一般生物学实验室的功能、布局和常用化学品的特性以及危险品的标识,提升对自身和他人的安全意识,了解事故处理措施。这个过程中教师发挥主导作用,在安全教育中担负重要角色,对于学校的公共安全教育、提高学生素质甚至提高全民的安全意识都具有重要作用[1]。而后,随着大学生的深入学习和成长,教师的这种主导作用也逐渐转变为同时,利用我们学校建立的浙江省安全教育平台,学校也定期为学生举行各种安全教育活动。加上野外实习和实验室安全以及生物学专业安全方面的教育,让学生了解实验室生物安全防护的概念、生物安全实验室的级别分类和危害因素,熟悉可能引起的用电和火情隐患以及人畜共患病危害和实验室生物安全基本要求。而后,在理论上还要实行实验室准入前的考试制度,每个人依据自己的学号登录校园网的理论考试,强化有关化学品安全和水电使用以及应急处理方面的理论知识。除此之外,还对研究生等开展类似的专业知识教育的同时,加强道德教育,防范人为安全事故的发生。另外,以二级学院为单位定期举办消防讲座,专门给师生进行消防和急救措施的公共安全培训。总之,在理论上我们采取多种措施相结合,提高师生的安全意识和应对各种突发安全事件的能力。为了让大家熟练掌握应急措施,我们在理论学习的同时还开展相应演练,如火灾急救和逃生、喷淋装置的使用和气体泄露的应急处理等,通过了解这些安全隐患的应急处理,让师生在危险面前能够最大程度的保护自己和他人的安全以及能够及时有效的采取急救措施。
2、加强危险药品以及实验生物制品的安全管理
生物学实验室是实践教学的必需场所,实验室的安全问题主要在于实验室使用的易燃易爆和有毒有害试剂、气体以及使用后的废弃物,这些都是在实践教学过程中易造成人体危害及环境污染的物品,针对实验课堂中使用的这些用品安全和使用过程,除了让学生熟悉其特性、严格规范学生的使用方法和操作规程外,我们实行严格的管理制度、废弃物处理措施和人员安全防护。在购买前做好预算,购买后到货入库,建立名录帐册,按照贮存条件分类分开存放,专人管理,教师和仓库管理员签字领用[2]。在相应课程实验结束后及时回收剩余药品和制剂,并及时汇集各实验室的废弃物,然后统一规范化处理。微生物及其制剂是生物学实验中的常用材料,其潜在危险性和微生物种类与数量直接相关,针对此类微生物和实验动物,除了由专人保管、按条件保存或饲养外,我们还对实验人员进行多方面的培训,如实验员资格和实验动物从业人员上岗培训等,以具备从事相应职能管理和从业的资格。根据这些条件的需要,我们还对部分实验室进行改造以配备相应安全管理设施如生物安全柜和空气净化通风装置等,确保生物制剂的保存和实验过程的安全。在实验结束后及时回收剩余材料和无害化处理废弃物,保证环境安全。
3、教学过程中的安全措施
实践教学既是培养学生技能的实践过程,也是教师监护学生安全并把安全教育理念传授给学生的培养过程,这个过程中我们在公共设施上配备必要的实验室安全设备如特殊的灭火器、废液回收桶、人体和眼睛喷淋设施等,还要告知学生安全通道和电源保护开关的位置等。其他还必备了超净工作台、手套、口罩等生物学实验的基本设施保障。为应对一些课程实验中的安全要求,我们还在校园的角落建立人工气候室和高安全级别的生物安全实验室。在实验动物安全方面,则由固定培训学生到专门的动物实验室进行饲养、管理和消毒,直到实验结束后的动物尸体无害化处理。野外实习和实验是生物学专业学习中的重要环节,我们和天目山国家级风景保护区联合建立了生物学实习基地,在实习前技术人员也会对参与的师生进行野外安全教育以及准备一些野外急救药品和安全设备,防止昆虫、毒蛇和蚂蟥等有害生物。研究生的实验安全问题往往根据研究方向和使用实验室的配置,进行入学阶段的普及教育和后期专业化安全教育,在掌握了解基本的水电安全和生物安全外,我们还进行德育方面的教育,从更高层面提高学生的安全和社会责任意识。
4、加强组织管理和规章制度建设
鉴于生物学专业实践教学复杂的过程,我们专门成立了一个实验室领导工作小组,负责实践教学和实验室的日常运行和管理,同时负责安全检查并监督实践教学中的安全操作规范,处理安全隐患,制定实验室规范化制度、培训学生和对外交流等。实验室的安全和运行落实到人,实验室门口悬挂安全负责人名单和联系方式。每学期结束对实验室的管理进行总结,统计试剂使用情况和结余,及时回收处理危险品,检查水电和仪器的损耗折旧情况等。此外,我们还开展年终学习和总结,及时学习和了解国内外的先进管理经验、新问题新技术和生物安全动态,使得在安全管理水平上不断提高[3]。
5、存在不足和改进
【关键词】电力信息系统;安全保障体系;建设原则;思路分析
【中图分类号】P208 【文献标识码】A 【文章编号】1672-5158(2012)09-0046-01
随着计算机技术与互联网技术的发展,电力信息系统的安全在电力企业的正常运营、客户营销、财务管理以及电网调度等方面起着积极地促进作用。黑客与病毒以及安全漏洞在很大程度上威胁着电力企业的正常运营。因此,本文将从电力信息系统的安全保障体系的角度出发,对如何在电力企业中建立电力信息系统的安全保障体系的思路与原则进行有效性研究。
一、关于电力信息系统的概述
电力信息系统包括信息网络、网络服务系统、应用系统、安全系统、存储与备份系统、辅助系统、终端计算机用户设备等系统及上述系统的附属设备。其所涉及的技术有:数据加密技术、入侵检测技术、防火墙、访问控制技术以及网络扫描技术等。在网络硬件方面,已基本实现千兆骨干网、百兆到桌面、三层交换以及VLAN等技术的普遍使用;而在软件方面,主要包括办公信息化系统、一体化整合平台、安全生产管理信息系统、电力地理信息系统、营销管理信息系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、调度、经营、管理等各个领域有着十分广泛的应用,在安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益。引发信息系统安全问题的因素包括安全架构在设计上出现问题与管理方面出现问题。
二、针对电力信息系统安全保障体系建设原则的研究
电力信息系统安全保障体系建设不能只是简单地局限在电网运行安全这个方面,需要经过三个阶段:一是信息安全系统的建设;二是信息安全管理的建设;三是信息安全策略的建设。随着信息技术的发展与人们对信息安全人士的加深,电力用户对电网的安全管理与用电需求也在发生着变化,由原先单一的产品逐渐向信息安全的管理与构建转变。由于电力企业在社会经济发展的特殊作用,因此在建设电力信息系统的安全保障体系的过程中,需要坚持以下四项原则:
(一)原则之一——动态性原则
在建设电力信息系统安全保障体系的过程主要坚持动态性原则,主要是因为无论哪个安全保障系统都有可能出现技术或者操作问题,不能为企业运行与管理提供真正的安全。再加上随着黑客技术的发展,安全系统的保障能力也逐渐下降。所以,信息安全系统建设计划要具有可扩展性,可以为电力信息系统提供安全预防与维护以及应急方案,
(二)原则之二——均衡性原则
在建设的过程中坚持均衡性原则,是因为安全保障体系是根据电力企业的安全生茶目标进行设置的,其中所涉及的各项技术都要经过成本与效益方法的分析,以降低施工成本并提升企业的经济效益。
(三)原则之三——立体性原则
在建设的过程中坚持立体性原则,是因为安全保障体系建设不是一个简单地系统建设。它所涉及的内容包括:人文与自然环境、管理知识、相关技术以及法律法规等。因此在建设的过程中,不仅需要从横向的方向进行考虑,还需要从纵向的方向进行考虑,以确保电力网络的信息安全。
(四)原则之四——法令性原则
在建设的过程中坚持法令性原则,是源于《电力二次系统安全防护规定》的相关规定。管理信息大区要访问电力生产控制大区内的数据,需要在两者之间安装电力专用的横向安全隔离设备,而且这类设备是经过国家相关部门认定的。一旦背离法令性原则的设计施工方案都会对电力企业的正常运行带来巨大的经济损失。
三、针对电力信息系统安全保障体系建设思路的研究
(一)思路之一——采取措施加强信息系统的安全运行与管理建设
要加强电力信息系统安全保障体系的安全运行与管理管理建设,需要做到以下三点:
一是要在电力信息系统安全保障体系的建设过程中,建立并完善多层次、动态、全方位的安全管理信息中心,有效控制因为安全技术问题所引起的混乱局面,将和体系安全有关的各项技术与方案聚合在一个具有整体性、安全性与系统性的平台上,充分发挥人力因素、策略因素以及技术因素的优势,从而提升安全保障体系的质量与水平。
二是要了解并掌握安全管理信息中心的基本内容:设置相关机构、完善相关的技术手段、加强基础设施建设、明确各部门的职能、制定严格的规章制度以及培训专业工作人员。
三是利用先进的计算机技术与网络通讯技术研发信息安全的综合管理系统,该系统除了具有分析电网运行信息、监视电网设备运行状态以及应急响应电网运行过程中的异常事件功能之外,还有数据搜集与分析功能、可视浏览功能等。信息安全的综合管理系统在电力信息系统的安全保障体系中扮演着承上启下的纽带作用,它可以搜集电力网络中的各种信息,并将这些信息进行整理归类后进行分析处理,再反馈给管理人员。其中处理的信息包括:统计数据信息、报警数据信息以及历史数据信息等。
(二)思路之二——采取措施加强电力信息系统中的信息安全系统建设
要加强对信息安全系统的建设,需要做到以下三点:
一是要保障电力信息系统中数据对象的安全,可以采取操作系统加固、数据指纹、主机加固、安装防病毒系统以及数据加密的歌方式对需要保护的对象进行保护,同时要加强电力信息系统安全保障体系建设过程中的周围环境的安全保护。
二是采取措施保障系统结构的安全,其主要侧重在体系的应用、网络数据的应用以及信息数据的边界界定,或者物理与逻辑方面的规划,它是信息系统安全的前提条件,这种方式不仅可以有效地降低企业的施工与管理成本,同时也有助于解决数据泄密等问题。
三是保障信息系统流程的安全,其内容包括两个方面的内容,首先是利用访问控制与身份识别等技术手段,其次是加强流程管理等方面对信息流程的安全进行审核与风险评估,从而设计出有效进行信息流动控制的方案。
档案信息安全保障问题最早是由美国提出的,对于信息安全保障他们给出了自己的定义,总结了信息安全的各种特性以及信息系统的功能。其实,对于信息安全保障系统可以从多种角度进行分析,主要包括信息安全技术和信息安全管理等方面。由于档案信息安全问题关系到小单位甚至国家的安全,因此对于保障体系的构建宏观上就上升到了国家的战略高度,十分必要。
二、我国档案信息安全保障体系建设
(一)档案信息安全管理体系建设
宏观档案信息安全保障体系侧重的是档案信息安全管理体制,由于缺乏统一的管理体制,各地对档案信息管理漏洞百出,使得许多机关信息无法保密,滋生了部分信息安全方面的犯罪。只有对档案信息安全的相关政策和法规标准进行规范,才有利于对档案信息的管理规制,进而保障信息安全。在这方面国家需要做的就是,在国家档案局成立专门的档案信息安全管理处以负责对档案信息的管理工作,在各省市也成立相应的档案信息安全管理部门,具体执行相关的安全保障工作。对于相关的法规完善是必不可少的,只有在国家法规的指导下,地方才可以制定出本地适用的地方标准,以便于档案信息安全保障工作的顺利开展。
(二)档案信息安全技术体系建设
从技术上对档案信息的安全进行保障,也是档案信息安全技术体系的目标,可有效保障档案信息的完整性、可追溯性、真实性等。随着时代的发展,信息安全技术不断进步,依据不同属性可分为:物理安全技术、系统安全技术、数据安全技术、网络安全技术、用户安全技术等等。在运用这些安全技术时要考虑到档案信息的特殊性,比如档案信息的性,还有些档案需要长时间保存,还需要保证其真实性,就需要对这样的档案信息进行特殊的物理安全技术保存。可见,对档案信息采取安全技术进行保障时要谨慎保存。
(三)档案信息安全法规标准体系建设
标准化是一种科学的管理手段,以标准行事可以减少档案信息安全管理中出现的盲目性,有了标准就有了档案信息安全保障工作的规划和目标。为了促进档案信息化建设的顺利开展必须要加强立法,使得档案信息安全保障工作有法可依,在法律的保护下进一步完善。国家制定了档案安全法规后,地方就可以参照法律制定地方条例和标准,针对本地实际情况管理本地的档案信息安全工作
(四)档案信息安全基础设施体系建设
档案信息安全基础设施体系就是要为档案信息安全构建基本的设施,为保障档案信息安全提供最有利的服务和支撑。这些基础设施涵盖面比较广泛,主要包括档案信息系统,这个系统需要档案管理部门的协调和引导,运用计算机数据加密和数字签名;档案信息灾备中心建设是档案信息安全保障中的一项基础设施,档案部门可以通过多种途径对档案信息进行灾难备份,以保障信息的长期性;档案信息系统应急响应的工作需要利用政府或商业机构的应急服务,这项支援服务的关键就是选择具有国家资质认可的服务机构,还要向缺乏信息安全专业人员的档案部门提供安全服务。
(五)档案信息安全人才培养体系建设
人才是科技发展的生力军,档案信息安全保障的根本离不开档案信息安全人才的培养,我国对于信息安全人才培养体系的构建已经提上日程,对于这方面的教育也逐渐普及,主要包括高校信息安全学科教育、科研机构高学历教育、商业化培训以及各单位信息安全普及的教育等。另外我国也在各大高校开设了信息安全教育,设立了相关的专业,其中以中国科学院的教育工作做得最为出色。信息安全的教育要大力普及,宣传档案信息安全专业的重要性,让更多的人去关注,吸引信息安全人才投身到档案信息安全保障工作中,吸纳高学历人才成为档案信息安全建设的主力军,普及教育工作还要进一步推广,尽快构建档案信息安全人才培养体系。
三、总结
关键词:档案信息;安全保障体系;建设;思考
0 引言
随着我国社会的进步以及经济的发展,我国的档案事业也取得了极大的进步,档案信息化建设日益加快。档案信息资源是社会资源的重要组成部分,确保档案信息安全十分必要。但是,当前由于各种因素的影响,档案信息安全问题日益突出。如何建设档案信息安全保障体系,确保档案信息的安全是当前的一个重要问题。
1 档案信息安全保障体系简介
信息安全是一个广泛而抽象的概念,具有保密性、完整性、可用性等特征,档案信息安全继承了这些特点。因此,凡是涉及到这些特征方方面面的理论体系和技术应用,都是档案信息安全保障工作值得探讨和研究的对象。档案信息安全保障工作的任务,就是要通过提高软硬件技术能力、加强安全保密管理水平等有效措施,让档案信息资产免遭或尽可能少遭风险损失,以维护档案工作的正常运行。
档案信息安全保障体系应运而生,它是法律法规、政策、标准、管理、指导、监控、培训、工具、人才以及安全保障技术、应用技术、操作技术等等的有机结合。这是一项复杂的系统工程,不仅仅是解决技术上的问题,还包括安全保障各个环节的管理和组织。其主要目的是通过档案信息安全管理体系、档案信息安全技术体系等的有效建设、综合应用,技术管理双管齐下,让档案信息系统所面临的风险可控,以保障档案信息系统的稳定运行和利用效率。
2 档案信息安全保障体系的建设与思考
解决档案信息安全问题通常取决于两个因素,一是技术,二是管理。技术手段是保障信息安全的重要环节,但要发挥安全技术应有的作用,控制信息安全风险,还必须有适当的安全管理模式做支持。
2.1 档案信息安全技术保障体系
档案信息安全技术保障体系顾名思义,就是从技术上来保障档案信息的安全。为了满足信息安全需要,降低信息系统所面临的众多风险,通常就是直接采用各种相关的技术产品和技术服务,来解决对应的信息安全问题。档案信息安全技术保障体系主要包括以下几方面:
2.1.1 物理安全技术
物理安全问题是档案信息安全中最为基本的问题。物理安全主要指环境安全、设备安全以及存储介质安全。简单来说,就是防火、防水、防雷、防震、防鼠、防电磁辐射以及防人为破坏等等。可以依据众多国家标准,采取相应的技术手段来保障物理安全。
2.1.2 系统安全技术
作为对档案信息的收集、管理、保存、利用等环节提供支持的技术系统,在基础环境、硬件的基础上,主要由软件、网络和数据等相关信息技术组成。系统安全技术自然主要针对这三方面。
(1)软件安全:软件是信息系统的重要组成部分,是保证系统正常运行和有效应用的主要因素和手段,包括操作系统软件安全和应用系统软件安全,涉及软件的安全开发、安装、升级以及软件加密和安全性能测试等技术。
(2)网络安全:主要指对网络系统中的软硬件以及网络数据资源等的安全保护。具体技术包括:网络结构优化、物理隔离、防火墙、网络监控等等。
(3)数据安全:数据是信息系统的中心,数据安全是档案信息安全保护的核心内容,包括数据加密、数据安全存储、数据备份与恢复、数据库安全、云数据安全等保障技术。
档案信息系统的正常运行和有效利用,除了上述物理和系统安全技术的保障之外,还需要相应的运行安全技术。通过访问控制、身份认证、秘钥管理、审计跟踪、病毒防护、入侵告警与系统恢复等技术,以确保档案信息系统运行稳定可靠。如今信息技术与档案信息安全的关系已越来越密切。因此,需要关注信息技术的深度挖掘与应用,加档案安全的科学思考与研究,为档案信息安全保障体系提供必要的理论支撑和技术保障。
2.2 档案信息安全管理保障体系
常言道:三分技术,七分管理。档案信息安全管理保障体系是对档案信息安全技术保障体系的有力支持。有统计数据显示,大多数信息被盗、信息泄密来源于单位内部,大部分计算机安全出现问题来源于系统内部,这些情况的发生主要在于人员思想意识麻痹和安全管理体制不完善。因此,信息安全技术系统搭建之后,还需要结合有效的信息安全管理手段,两者相辅相成,贯彻落实于档案信息安全建设的各个环节,才能保障档案信息安全的稳定性和可控性等。
2.2.1 建立健全档案信息安全管理制度
为了有效地把档案信息的安全管理和档案信息工作落到实处,必须要有配套的安全管理制度。首先要进行统筹规划,在“收、管、存、用”等环节,制定合理的、完备的档案信息安全管理策略。其次要设立档案信息安全管理部门,负责加强档案的信息安全和保密管理,保障档案信息系统各个层面的运行安全。
最后是建立健全各种规章制度,如安全防范责任制度、重要数据及文件管理制度、系统操作规程、备份制度及应急预案等等。只有在制度上约束和规范安全工作,逐步强化安全管理,做好预防工作,才能把各种危害抑制到最小限度,使档案信息系统整体安全性能达到最优化。
2.2.2 加强人员档案信息安全培训提高安全意识
人,是档案信息安全保障体系的核心,是档案信息系统的拥有者、管理者和使用者。要培养优秀的专业档案信息人员,加快档案信息安全管理的队伍建设,必须加强有关人员的档案信息安全意识,并针对不同层次的人员进行相应的培训服务,内容包括安全技能、安全知识等的各个方面,如安全策略培训、安全意识培训、安全管理培训、安全技术培训等等。只有提高人员的安全意识和素质,档案信息安全保障体系工作才可以真正落实。
2.2.3 制定档案信息安全标准规范
构建档案信息安全保障体系,还必须参照国内相关法律法规、行业标准规范,遵循业界惯例,并结合自身实际情况。目前国家档案局已编制《档案信息系统安全等级保护定级工作指南》以指导省级及以上档案信息系统安全等级保护的定级工作,还有《数字档案馆建设指南》、《数字档案室建设指南》等等。但是我国的档案信息安全保障体系建设还处于初级阶段,相比而言关于信息安全保障体系的研究更早标准更多,因此在档案信息安全保障体系实施过程中可以借鉴和参考国际国内信息安全保障体系的一些标准规范。只有制定科学的、有效的档案信息安全标准和规范,才能更好地指导档案信息安全管理工作,减少安全保障体系构建过程中不必要的重复和盲目性,使之系统化、统一化,从而规范和保障档案信息安全。
3 结语
综上所述,在档案信息化建设过程中,其信息安全保障体系的建设是必不可少的环节,对促进档案信息化建设的推进起到十分重要的作用。因此,在档案信息安全保障体系建设中,要引进先进的档案信息安全技术,建立健全相关管理体系制度,并加强档案工作者的安全意识,从而保障档案信息的安全,促进档案事业的健康发展。
参考文献
