时间:2023-06-07 09:09:06
目前阶段的电子计算机技术在人们生活和工作当中的作用越来越突出,并且其多样化的功能以及突出的使用效果,使得计算机的应用层面越来越广泛,这一点为人们的生活与工作带来了极大的变革,使得企业很好的节约了成本,并且办公的质量、办公的效率得以大大的增长。就目前的信息化时代而言,最为先进的档案管理方式,就是电子信息档案的管理,其对于企业的发展和进步有着极为重要的作用和意义。但是,由于电子信息技术在传输和存储的过程当中,存在着一定的安全漏洞,所以,还需要对相关的风险进行防范和控制,更好的保证电子档案信息管理工作的安全与可靠。
1. 预防风险的措施研究
深入并且细致的对预防风险的措施方案进行研究和分析,是开展一系列工作的基础性环节,也是一项重要的工作步骤。防患于未然,是避免风险的最为有效的措施方案,而提前性的对存在的风险进行防范,则可以使得风险的代价降至最低。首先,需要建立起严格的限制权限,各个级别的工作人员需要在权限的范围之内进行工作,并且使用档案。同时,还需要进行逐级别的审批,保证审批工作的严格与可靠,进行工作权限的认定,注意针对信息进行管理和保存。最后,则是需要针对使用的规范,对使用的权限进行确认,对备份的文件进行必要的技术处理,防止信息的泄露,尽量的避免出现信息的整理复制备份。在档案信息使用的过程当中,也需要对其安全性进行研究与探讨,避免错误的操作、避免外界的干扰对操作造成不利的影响。对于整个档案信息的使用过程,进行监督和控制,做好相应的记录。
2. 避免风险的措施研究
针对档案的风险避免,需要从以下几个方面做起:
(1)加强最新技术的获取,同时全面的保证安全的可靠性。在计算机时代当中,信息的发展和安全技术不断的发展,相关的技术手段也是日新月异,而信息的档案规避风险,最为有效的方式,就是针对技术进行创新,只有通过这样的方式,才可以保证电子信息档案得到相关的安全保护。首先,需要对加密的技术进行提升,分级别、分层次的对档案信息进行加密处理,同时保证密码不会在一定的时间之内被更改,这样的操作方式更加有利于进行风险的防范。其次,还需要对适合的档案软件进行制定,选择最佳的软件进行数据的加密处理,并且保证用户安全的级别以及访问的授权、密码的设置等等,有效的确保信息的安全和档案的安全。
(2)培养工作人员的安全管理意识。培养并且提升工作人员的安全管理意识,是全面的提升档案安全管理的重要步骤之一。而电子档案使用过程当中的多样性,相关的操作人员消炎药保证操作方式的正确、规范和标准,同时避免档案的管理工作变得更加复杂。所以,必须要在实践的工作当中加强工作人员的安全管理意识以及档案管理的能力,这一点对于当前阶段的档案管理工作有着重要的作用和意义。
(3)风险的防范必须要做到及时的发现和及时的处理。档案信息的管理工作,是数据安全性的核心部分,而对于电子信息档案的使用过程之中出现的风险问题,也需要做到及时的发现和及时的处理,针对在计算机维修时期之内的风险,有关的企业还需要重点的注重对于可能存在的风险进行防范和控制,采取一系列主动的措施方案进行应对。尤其是对于当前阶段安全信息异常敏感的时代而言,还需要采取必要的、有针对性的并且切实可行的防范措施进行风险的控制和管理。
3. 分散风险的措施研究
根据上文的详细阐述和分析,可以对现阶段档案信息管理过程当中预防风险的措施技术以及避免风险的措施方案有着全面的了解和细致的掌握。接下来,将针对分散风险以及评估风险的措施进行深层次的研究,力求以此为基础,更进一步的为有关工作的开展与进行,奠定坚实的理论基础。
将档案信息管理的风险降至最低,最为常用的是转移的策略,其实质,是对风险进行分散,并且将风险转移至其他的地方,达到降低风险的目的和效果。在一般的情况之下,诸如针对配置的基本模式进行修改,并且购买相关的保险、外包至其他的机构等等,都可以达到分散风险的目的和效果,并且这一手段方式也是未来对于电子档案信息管理的极为有效的措施手段之一。通过这样的方式,可以使得档案的风险变得更加简单化,对于原来的电子信息进行必要的改进,使得电子信息的管理系统更加的先进,保证档案信息的安全和可靠。
4. 评估风险的措施研究
针对风险进行评估,是非常有效的降低风险的方式和技术,一旦风险发生,如何对风险进行评估,并且如何将风险所导致的损失降至最低,同时找到最佳的处理技术方案,是一项重点性的工作。针对风险进行评估的基本目的,是全面的保证风险的控制计划更加的合理、更加的科学与可靠,而在现阶段电子信息档案实施的基础之上,全面的针对风险所带来的影响进行分析和研究,并且对其后果进行探讨,是非常有必要的。对风险所带来的成本的损失进行探析,同时对档案管理引起足够程度的重视,但是在现阶段的工作当中,部分档案的管理者认为电子信息档案的操作是无危险性和风险的,所以,这样的观点就为风险管理工作带来巨大的阻碍。相关的工作人员,需要时刻的提醒自己,对于风险进行评估和防范,并且采取切实可行的措施手段,对风险进行控制,全面的确保电子档案信息管理的各个细小的工作环节,都得到了有力的保障,所有的工作都有着全面严格的监督控制。最后,在风险评估的工作过程当中,还需要对安全意识进行提升,对于各种类型的安全隐患,需要尽早的发现,及时的进行处理,保证在风险发生之时,将其所带来的危害降至最低。
5. 结束语
综上所述,根据对电子信息档案的风险管理与控制进行全面的分析和研究,从实际的角度出发,深入并且细致的对具体的风险控制和防范的措施方案,进行了深层次的论述,同时,对于分散风险的方式、评估风险的方式技术等,都进行了研究,力求以此为基础,更进一步的为有关工作的开展与进行,奠定坚实的理论基础。
参考文献
[1]王平.浅议电子信息档案的风险管理与防范的措施技术方法【J】.现代化电子信息技术科学资讯,2010.10:233-238
[2]刘昌化.试论现代化的电子信息档案管理工作的加强以及风险的防治【J】.黑龙江科学信息,2009.7:45-47
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。
简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。
参 考 文 献
[1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3):8~11
[2]王兆新,裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1):36~37
[3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4):28~29
一、数字档案信息安全管理的基本含义
数字档案是指在计算机及其网络环境下用数字代码形式把信息记录于电子载体而生成的文件,是一个国家、组织乃至家庭或个人形成的数量越来越多且越来越重要的信息资源。
全面、准确地理解“信息安全”的基本含义,是开展数字档案信息安全管理和实现其目标的前提。信息安全,简单地说,是指信息的保密性、完整性和可用性的保持问题。信息的保密性根据信息被允许访问对象的多少而不同,能保障信息仅仅为那些被授权使用的人获取。信息的完整性一方面是指信息再利用、传输、储存等过程中不被篡改、丟失、缺损等,另一方面是指信息处理方法的正确性,不正当的操作,如误删除文件,有可能造成重要文件的丢失。信息的可用性是指信息及相关的信息资产在授权人需要的时候可以立即获得。
二、数字档案信息安全管理的基本原则
1.数字档案信息安全策略制定的原则。数字档案信息安全策略,是指导数字档案信息进行安全管理、保护和分配的规则和批示,为数字档案信息安全管理提供导向和支持。数字档案信息安全策略应阐明管理层的承诺,提出组织管理数字档案信息安全的方法,并由管理层批准,采用适当的方式(传达与培训)将方针传达给管理人员。同时,为确保方针持续的适应性和有效性,我们应定期对其进行评审与评价,根据评审与评价结果保持原方针或对其进行调整。在制定数字档案信息安全策略工作中,我们必须始终保持预防控制为主的思想,做到防患于未然。
2.数字档案信息安全风险评估与管控的原则。数字档案信息安全风险的降低是通过安全控制目标和方式的选择、确立和有效实施而得以实现的。控制目标与控制方式的选择不应盲目进行,应建立在风险评估的基础上,根据风险评估的结果,进行风险大小的排序,对于风险级别高的资产应被有限分配资源进行安全保护。数字档案信息安全的管控,要做到数字档案信息的绝对安全(即零风险)是不可能的,只要将残余风险置于有效控制范围内便可。同时,实施和维持管控是需要费用支出的。我们接受与不接受风险的界限就是考虑风险控制成本与机会损失成本的平衡,如果风险控制成本大于机会损失成本,我们便接受风险,反之,我们就不接受风险。
3.数字档案信息安全商务持续性原则。数字档案信息安全需要建立并实施商务持续性管理。通过组织预防和恢复控制措施相结合的方式,确保组织的关键商务活动不会因数字档案信息安全故障造成中断或以最短的时间恢复商务运作。事实上,安全控制可以分为预防性控制措施和保护性控制措施,预防性措施可以降低威胁发生的可能性和减少安全薄弱点,而保护性措施,如制定并实施商务持续性计划、购买商业保险等,可以减少因威胁发生所造成的影响。
4.数字档案信息安全坚持动态管理的原则。数字档案信息的风险会随着时间而发生变化。所以,我们在完成了数字档案信息的风险评估、风险控制与风险接受的一个全面系统的风险管理过程后,虽然已将风险控制在可接受的水平,但这并不意味着风险评估工作可以因此而结束,风险管理应是一个动态的管理过程,我们应适时动态地开展风险评估与风险控制。
从目前档案界所探讨的内容来看,数字档案管理包括数字档案信息的访问控制、数字档案信息的真实可靠、纸质与数字档案的共存、数字档案的备份管理、数字档案管理的前段控制和全程管理、数字档案载体与格式的转换、数字档案的物理鉴定或技术鉴定等。这显然仍属传统的管理方式,还不是一种系统、信息化管理思想的体现。既没有全面动态的、系统的、全员参与的、制度化的、预防为主的管理方式的体现,也没有确定数字档案信息安全管理的方针和范围,更谈不上在信息安全管理的基础上选择适宜的控制目标与控制方式进行控制。
关键字:油田企业档案管理;风险分析与控制;信息化时代
我们都知道,油田企业在档案管理工作中的风险具体是指油田企业在具体的生产过程中,相关部门对可能遇到的各种有关档案方面的风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程,这个过程我们也叫他为档案管理过程中的风险控制的一个过程。具体到我们要讨论和研究的油田企业而言,油田企业的档案管理工作是一个复杂而又意义重大的工作,也一直是制约和困扰我国大多数油田企业的主要问题之一,各个单位也在实践的过程中积极探索和寻找有效的方法实现档案管理工作的有序化和制度化。以下笔者就从几个方面分析和阐述油田企业在档案管理中的风险分析和控制的具体情况:
一、油田企业档案管理的风险分析
就当下油田企业而言的话,档案管理是非常重要的一个工作,这个重要性首先体现在油田企业本身在我国社会经济生活中的重要性上,关系到国家战略大局,再者就体现在普通意义上档案管理的意义上。结合油田企业的实际情况可以说油田企业的档案管理及风险控制是一个工作程序的问题,它是这个程序中必要的一环,针对具体的油田档案管理的工作特点,分析、评估、制定切实可行的防范措施,才能使档案管理风险降至最低限度。档案管理风险主要是档案运送和交接过程的风险,具体包括三个方面:
第一,交通隐患。油田之间相关的各个单位在地理位置上是相对相对分散的,这就从某种程度上给档案工作提供了不便,期间各种可以预料和不可以预料的风险可能出现,所以一般而言交通风险是档案运送中的最大风险。
第二,档案风险中多种意外伤害。在各个分散点之间传递档案,其中可能会因为自然和天然等不定因素造成人员的意外伤害和档案的意外损坏等,这也是平常档案管理工作中经常遇到的事例,发生几率比较高。
第三,档案可能会丢失或损坏。油田之间比较分散,而各个油田企业在人员上普遍有基数大、人员情况复杂等一系列特点,加上油田企业档案的运送和移交的程序比较多,那么在这个过程中就无形的增加了因人为因素造成档案丢失或损坏的可能性,
当然,油田企业档案管理是个需要细心和责任心的工作,如果一旦在日常的工作中管理不善或出现人为地各种问题,油田企业档案管理工作中存在的风险是多样的,必要比较常见的情况是各种档案手续会出现不全甚至根本没有的情况,特别是好多油田企业在信息化社会应用电子档案的形式进行存储,由于操作不当等原因可能会导致数据的丢失甚至泄露,危害油田企业集体的利益。
二、油田企业档案管理中的风险控制
针对以上几个方面对于油田企业档案管理过程中相关的风险分析之后,相应地预防措施是必要的,但是由于油田企业中的档案管理是个复杂的系列工作,牵扯到油田企业各部门的工作态度和工作程序问题,因此风险预防措施也是需要从大方面、多角度去进行,笔者结合已有研究成果,认为就当下油田企业档案管理中预防措施主要应该从以下几个方面去入手:
(一)提高认识水平,真正认识到档案管理工作对于油田企业的重要意义。我们都知道,意识决定行动,对于档案管理工作的意义有一个高度的、比较深刻的认识,在这种认识的基础上去投入到具体的实际工作当中去,这是一种标本兼治的方法,是油田企业应该大力去抓的一个重要方面。因此广大油田企业要积极通过培训、学习等不同的方法和形式去加强对相关人员的教育培训,使他们在思想认识上达到一定的要求,继而从具体的工作上认真负责。
(二)及时积极的风险评估是重要保障,应坚持不懈。油田企业的档案管理工作具体到实际工作中还是要通过不同的部门和不同的个人去完成的,因此在这个意义上加强各个部门在档案方面的评估是最有意义的工作,也是最能够体现效率和质量的环节,各个部门的相关从业人员要接受相关专业的培训和教育,学习风险评估的具体方法和流程,定期进行检查,这是保证油田企业自身在档案管理工作中万无一失的主要保障。
(三)完善相关制度和操作流程,不断使档案管理工作走上制度化的轨道。相关部门要加强在制度和工作流程方面的研究和整体部署,制定一整套可行性强的措施来,并通过一定的途径是这一套措施坚决的在各个工作环节和部门实行开来,保证档案工作的正常有序。
(四)不断完善油田企业在档案使用过程中的规范性。这点强调,各个部门也好,个人也好,在使用企业档案的过程中要有章可循,该签字的签字,该申请的申请,防止在使用过程中出现丢失甚至擅自涂改的恶劣行为,具体的工作程序不能不严格执行,这也有利于在这方面出现问题之后便于相关责任的查询和追究,有力的保障油田企业档案管理中的严肃性。
(五)加强档案管理,强化基础设施。档案对于每一个单位和集体都是重要的,对于油田企业更是这样的,那么相应的基础设施就要有相应的提高,比如资料室和档案室的安全防盗设施一定要符合要求,相关的资料出项问题的时候要有一套比较完备的报警和预防措施,在短时间之内通知相关的领导,努力把损失和危害降低到最小。
(六)努力做好电子档案的管理工作。在信息化的今天,油田档案采用电子化的形式进行存储和操作是与时俱进的必要手段,这样具有方便快捷和操作灵活的优势,有效地减轻相关部门的人员压力,但同时如何做好电子档案的管理工作也是个如影随形的问题,要积极防治相关信息的丢失和泄露,加强相关从业人员在电子档案方面的学习和培训,定期检查和监督他们的工作,保证电子档案的有效运行。
三、 结语
油田企业档案管理工作是一个复杂的系统工作,其中需要各个相关部门和各个相关涉及到的人员要积极自律,共同做好油田企业档案管理工作,这是摆在我们面前的一个十分迫切又重要的课题,我们一定要强化认识,优化方式,以灵活的工作把这项工作落实到实处,为建设社会主义和谐社会做出一份力。
一、电子档案的特点
随着人类社会的快速进步,计算机技术得到了迅猛发展,涌现了大量的电子出版物、电子邮件、电子文件,它们逐步把以纸质为介质的文件进行了取代。所以,档案工作发展的必然趋势就是档案网络化、电子化。电子档案的主要优点在于:具有巨大的信息存储量、快捷的传递方式、独立的信息存储空间、方便的操作手段、便于长期保存,它所需的空间比较小、信息资源能够实现共享、复制档案的过程中不容易丢失信息,表现形式也是多种多样,使档案更加形象、全面、生动,复用性非常良好,它是数字化信息技术的产物。但是它也有一定的缺陷:具有较强的设备依赖性、较大的信息不安全性、载体的易修改性、非直读性、载体与实用技术缺乏稳定性、较强的背景信息和元数据的依赖性,逻辑结构与物理结构存在复杂性,以及载体与信息存在相互分离性等。
二、档案风险预防的手段
档案工作开展的一个重要步骤及基础性环节就是细致深入的分析研究风险预防的有效方案。对存在的风险进行提前性的防范,这是最为经济、最为有效的风险规避风险手段,在还没有出现风险的时候就加以遏制,提前进行预防,防患于未然,可以降风险的代价为最低。第一,保证审批工作的可靠与严格,审批需要逐级别的进行,针对信息内容加以保存和管理,并对工作权限加以认定;第二,严格的权限限制必须建立起来,只有在权限的范围内各个级别的工作人员才能进行工作,使用档案;第三,以使用的规范为准则,确认使用权限,为了防止信息泄露,有必要对备份的文件实施技术处理,对信息的整理复制备份要竭力避免出现。
三、档案风险避免的手段
(一)引进最先进的科学技术。在工作的时候计算机要将多种措施同时结合起来,而引进先进技术是风险规避的最佳选择,先进技术可以提高电子信息档案的安全可靠性。在现代操作系统中比较经常运用的、很重要的方法就是密码设置。第一,提升加密技术,对档案信息进行分层次、分级别的加密处理;第二,实施数据加密处理应选择最佳的软件,制定适合的档案软件,并对用户密码的设置、访问的授权、安全的级别等予以保证,使档案及信息的安全性得到有效保证。
(二)及时发现和处理是风险防范的首要措施。数据安全性的重点是档案信息的管理工作,而在使用电子信息档案的时候出现的风险问题,要及时发现和处理。有关企业针对在维修计算机过程中的风险,需要加大力度,重点关注,有效的防范和控制可能出现的风险,并实施主动的、有效的方案。
四、档案风险分散的手段
在电子信息档案管理中还有一种转移策略是进行风险规避过程中经常使用的手段,实质上所谓的转移策略就是分散风险,降低分散已经存在的风险到最低程度,转移风险到其他地方,实施修正风险转移的手段可以从多个角度开展,如:购买保险、与提供商签署服务合同、修改配置模式或者外包给其他机构等等。通过这样手段,我们简化了复杂的风险问题,再改进优化以前实施的电子信息档案管理策略,从而使新的电子信息档案管理系统更加先进。另外,通过与网络供应商进行协调,在满足电子信息档案使用需要的前提下让供应商提供有效的安全服务。还有一点要强调的是,风险在外包上同样隐含,假若外包人员与合同标准不符合,导致的后果也会非常严重。因此为了避免人为因素带给企业损失,使用电子信息档案的人员必须在严格的操作标准下进行,要认真执行,严格遵守。结语:总之,立足于实际需要,通过全面的研究和分析,探讨了管理与控制电子信息档案风险的主要手段,对具体的风险控制和防范的手段进行细致深入的探究,探讨了风险预防的手段、风险避免的措施以及风险分散的方式等,努力以此为基础,为有关工作的进一步进行与开展,打下坚实的基础。
作者:封立新 单位:吉林省四平市二龙山水库管理局
关键词:网络环境;信息系统;风险控制
随着网络技术的发展,电算化会计信息系统日趋普及。网络的广泛应用在很大程度上弥补了单机电算化系统的不足,使电算化会计信息系统更加完善,同时也对它提出了新的要求。在网络环境下,经济交易的会计处理与相关业务程序都必须依赖良好的计算机信息系统,而计算机系统本身及系统运行的外部环境等都不同程度地存在着各种不安全隐患,这会给会计系统带来一定的风险,直接影响单位的会计核算和财产安全。本文拟对网络环境下会计信息系统的风险进行分析,并就如何防控风险以进一步完善网络会计信息系统提出一些意见。
一、网络环境下的会计信息系统
会计信息系统以现代信息技术为手段,采用数据库、网络通讯等工具,利用计算机硬件、软件及其他设备等资源,对业务活动中产生的会计信息进行采集、存储和处理,完成会计核算任务,并能提供会计管理、分析、决策所需信息的系统。网络会计是对会计主体发生经济事项引起的会计要素的增减变动,以计算机网络为平台进行核算和监督,以求达到管理经济活动,提高经济效益,实现会计目标的现代会计模式。从实质上来说,网络会计是建立在网络环境基础上的会计信息系统。
(一)网络环境下的会计信息系统的基本特点
1.数据网络化,来源广泛,数据量大;
2.数据的结构和数据处理的流程较复杂;
3.数据的真实性、可靠性要求高;
4.数据处理的环节多,很多处理步骤具有周期性;
5.数据的加工处理有严格的制度规定,并要求留有明确的审计线索;
6.信息输出种类多、数量大、格式上有严格的要求;
7.数据处理过程的安全、保密性有严格的要求。
(二)网络环境下财务管理模式的基本特征
1.财务与业务协同处理。网络会计的大量数据通过网络直接采集,实现业务协同、在线管理、远程处理、实时跟踪、实时传递,直接生成会计信息。企业内部网络使采购、入库、付款、出库、销售等业务与财务协同运作。外部的网络使企业与客户、供应商、政府管理部门乃至整个联盟企业之间协同运作。
2.财务控制与经营活动实时校正。网络环境下,可以在最短的时间内获取经营活动的数据,最短的时间内采用多种方法生成财务信息,最短的时间内反馈到信息使用者,最短的时间内将控制指令发布到业务活动中,实时校正经营活动。
3.远程财务处理控制。在网络环境下,财务处理控制跨越物理空间,延伸到企业内的每一个部门,延伸到企业外部的所有可利用资源,延伸到不同的城市、不同的国家甚至全球。
4.集中管理。企业数据集中、信息集中、管理权集中。财务系统实时、直接采集业务活动源头数据,对数据集中管理,达到信息共享,实现整体集中管理,信息流、物流、资金流统一。
二、网络环境下会计信息系统的风险
会计信息系统风险:是指会计信息系统分析、设计、实施、运行、维护直到寿命期结束系统报废的全过程面临的风险。在运行阶段,会计信息系统面临着由于人为的或非人为的因素导致的系统运行正确性、可靠性、安全性以及运行效率等多方面的风险。在网络会计环境下,电子符号代替了会计数据,磁介质代替了纸介质,从而使会计信息的准确性与安全性更易受到威胁,更易导致网络会计信息的失真。尽管会计系统本身拥有一套比较完整的授权、审批、用户身份识别、操作权限控制等功能,但许多单位在使用中,严格而科学的管理仅停留在形式上,犯罪分子利用内部防范制度的薄弱环节,进行越权操作,使得会计面临很大风险。正是由于网络会计信息系统的开放性、处理的分散性、数据的共享性,极大地改变了以往会计信息系统的应用环境,形成了新的风险特点。
(一)软件技术和系统故障带来的风险
目前,很多国产的电算化会计软件已得到较大发展,但仍存在一些技术上的问题。如:由于会计信息化下进行数据更改的无痕迹性,不易发现存在的问题。系统故障风险主要可分为:一是系统开发和设计风险,如系统开发过程中技术不成熟或开发人员会计知识了解不足等;二是系统运行风险,即计算机硬件的毁损、丢失以及软件运行过程中的风险等。要提高会计核算软件的通用性和实用性,可对购入的商业化软件进行二次开发,并通过接口和系统集成的办法克服二次开发软件和商品化软件不能共享的缺点。同时,努力使会计软件的运行环境向更高领域发展。
(二)内部控制弱化引起的风险
由于内部控制弱化,使得财务数据更易被控制和操纵,主要表现为授权控制下降、不相容职能分离和职责分工的重要性下降以及凭证、账簿的作用弱化。
(三)缺乏监督审计引发的风险
由于电算化会计制度的不完善,大部分会计核算软件可审性极为软弱,因而给审计工作带来许多困难。现有的会计核算软件缺乏设立明晰的审计线索的设计思想,不能保证审计部门利用计算机技术进行审计监督。
(四)安全风险
安全风险是指会计信息系统数据被破坏、丢失所带来的风险。其主要可表现为:软件系统的安全缺陷、篡改或非法调用程序的风险以及网络隐患。
三、网络环境下会计信息系统的风险控制
会计信息系统控制是指为了保证会计信息系统的正确性、可靠性和安全性,提高会计信息系统运营效率,确保会计信息的准确可靠,利用各种手段和技术,对会计信息系统实施管理和控制的过程。会计信息系统控制的对象是信息系统,由计算机硬件和软件资源、应用系统、数据和相关人员等信息系统的组成要素构成。网络化环境下由于会计处理高度集中在计算机内部,其处理高度自动化,会计信息的利用遍布在网络各处,信息传输高度分散化。会计信息系统的风险控制一般主要从组织控制、操作控制、资源控制、档案控制、环境控制和审计控制等几方面着手。
(一)组织控制
组织控制是将组织作为控制的对象和手段,通过建立起具有控制能力的组织结构、采用满足控制要求的组织流程、构筑认同和重视控制的组织文化,达到控制的目标。组织控制是其他控制实施和发挥作用的基础。会计信息系统的组织控制应该包括进行合理的职责分工、设置满足控制要求的组织流程等方面的工作。
(二)操作控制
实践证明,权力必须受到制约,否则,失去制约的权力极易导致舞弊。操作控制主要是建立和实施操作管理制度,对系统使用、操作规程和会计业务处理几方面作出规定。操作控制中首先应该强调系统使用和管理的计划性;其次,要重视操作日志。操作日志是操作管理的重要手段,是对日常系统操作情况的最基本、最全面和最详尽的反映,应充分利用操作日志,定期监察和检验日志,及时了解非法用户和有权用户越权使用系统的情况及设备状况。第三,操作控制中除了要求各类操作人员按照制度规定操作系统外,还应该强调员工的责任、能力和可信赖程度。
(三)资源控制
会计信息系统的资源控制包括硬件资源控制、软件资源控制和数据资源控制。
硬件设备本身的控制措施一般由设备生产厂家固化在设备中,它能自动查出某些类型的错误,而无须程序或操作人员送入任何特殊指令。硬件控制的失效会削弱其他控制措施的作用,影响系统的可靠性。
会计信息系统软件一般包括操作系统、工具软件、应用系统软件三大部分。操作系统的控制措施因不同软件资源的控制措施不同。要提高会计核算软件的通用性和实用性,努力使会计软件的运行环境向更高领域发展。
数据资源控制的重点是数据库的管理控制,其主要目的是防止系统内外人员对数据库的非法访问,以及系统故障、误操作或人为破坏造成数据库毁损。在操作系统中建立数据保护机构,调用计算机机密文件时应登录户名、日期、使用方式和使用结果,修改文件和数据必须登录备查。
(四)档案控制
档案资料控制主要是确定档案、建立档案管理制度(包括档案保管制度、档案存取制度、档案作废制度)两方面。为确保档案的真实性和可靠性,除了加强磁介质档案保管的防护措施外,如防磁、防潮、防火、防尘等,还应实行双重保管,即纸质档案和磁介质档案分别保管或磁介质档案备双份保管。
(五)环境控制
加强设备环境控制,其控制措施主要包括:采取防火、防水、防磁、防震、防掉电、防高低温等措施,定期对硬件进行测试,安装防病毒软件等;另一方面建立多级存储机制——设置财务软件系统自动备份系统,并实行管理员定期集中备份和账套主管的日常备份制度。
(六)审计控制
档案馆建筑安全风险评估体系是指从风险管理角度,即风险发生的可能性和后果,运用相关技术和手段,系统地分析档案馆建筑所面临的风险,评估灾难事件一旦发生可能对档案馆造成破坏的范围、规模、强度等,提出有针对性的防灾对策和应对措施,将风险控制在最低程度。自然灾害自古以来就威胁着人类的生存和发展,随着认识的加深及对防灾减灾课题研究的深入,探讨和关注“风险”问题已形成一种明显趋势。人们发现,原先侧重于灾后应对以及灾后救助的灾害管理机制,缺乏对灾害以及灾害所带来的风险进行前瞻性预测,使社会对灾害只能进行被动式反应,具有很大盲目性;而带有前瞻性、宏观性和多样性的灾害风险管理机制,因为更多考虑灾害动态发展过程而不是只注重灾害最终结果,所以能更好地对灾害的发生及灾害造成的破坏进行有效预测和预防,保护人民生命财产安全,保障社会可持续发展。因此,人们的观念也从“减轻灾害”逐渐转移到“减轻灾害风险”,风险评估也就成为采取成功减灾政策和措施的必要步骤和基础环节。
档案馆建筑安全风险评估体系的重要性
1.是档案安全体系建设的起点和基础工作大部分档案馆建筑都或多或少存在安全风险,如部分老旧档案馆建筑采用的是砖木、砖石结构等墙体承重体系,抗拉抗剪强度较差,延性差,抗变形能力小,容易造成结构破坏;部分档案馆建筑在雨水、日照、风化等自然因素侵袭下,结构出现老化和损坏情况,抵抗自然灾害能力下降;部分新建和已建档案馆建筑因为节约成本或改扩建等方面原因,构造标准在设防烈度以下,安全存在重大隐患;部分档案馆建筑的灾害应急系统不足,缺乏对档案库房等重要部位的保护机制;部分档案人员缺乏灾害应急知识,灾害应急能力不足等。由此可见,档案馆建筑安全应该是档案安全的基础。2.是实现档案馆建筑安全持续性和动态性的保证风险评估贯穿档案馆安全体系整个生命周期,从规划、设计、实施、维护直至废止,都要保证安全的持续性。同时,由于各阶段安全需求不同,使得风险评估结论和对策也有所不同,实现安全的动态性。因此一切安全建设和管理维护工作都必须建立在科学的风险评估基础之上。3.是正确评估档案馆建筑各种风险的前提通过建立档案馆建筑安全风险评估体系,明确评估标准,规范评估程序,能有效地改变凭主观印象随意评估的现象,从而实现对风险进行客观评估,对风险的影响进行科学预测,动态地反映内控措施与风险隐患的关系,有利于采取最适当的控制措施,使风险降到最低。4.是确保档案馆建筑安全适度保护的需要所有建筑安全风险都是客观存在的,风险评估根据相应的安全等级、存在的风险做出科学判断,并采取相应安全保护技术措施,从而既不会出现保障不力,也不会造成过度保护。5.是强调档案馆建筑安全管理与安全技术并重的要求档案馆建筑安全风险评估是安全管理的一种科学方法,只有安全管理与安全技术相结合,才可以建立真正的安全体系。
档案馆建筑安全风险评估体系的技术指标
目前公共建筑的安全防灾体系建设已逐渐成为国内建筑发展的新热点,汶川地震后,国家出台了新的《建筑抗震设计规范》和《建筑设计防火规范》。目前国内不少地区已开始对不符合新的防灾设计标准的档案馆进行风险评估和改造,如天津市档案馆进行的消防系统改造项目、保定市档案馆进行的抗震达标改造工程。2000年国家档案局与原建设部联合修改、颁布的强制性标准《(JGJ25—2000)档案馆建筑设计规范》规定:“位于地震基本烈度七度以上(含七度)地区应按基本烈度设防,地震基本烈度六度地区重要城市的档案馆库区建筑可按七度设防”,同时要求“档案馆建筑设计除应符合本规范外,尚应符合国家现行有关强制性标准的规定。”《(GB50223—2004)建筑工程抗震设防分类标准》规定:“建筑应根据其使用功能的重要性分为甲类、乙类、丙类、丁类四个抗震设防类别……大型博物馆,存放国家一级文物的博物馆,特级、甲级档案馆,抗震设防类别应划为乙类。”“特级档案馆为国家级档案馆,甲级档案馆为省、自治区、直辖市档案馆,其使用年限要求在100年以上。”乙类建筑应属于地震时使用功能不能中断或需尽快恢复的建筑。《(GB50413——2007)城市抗震防灾规划标准》,把城市抗震防灾规划中的抗震设防标准、城市用地评价与选择、抗震防灾措施应根据城市的防御目标、抗震设防烈度和《(GB5011——22001)建筑抗震设计规范》等国家现行标准确定,列为强制性条文。
档案馆建筑安全风险评估体系的内容
1.自然灾害危险性评估
自然灾害是指由于自然异常变化造成的人员伤亡、财产损失、社会失稳、资源破坏等现象。它的形成一是要有自然异变作为诱因,二是要有受到损害的人、财产、资源作为承受灾害的客体。自然灾害的危险性评估包括三个方面的评估内容。致灾因子的强度评估。一般根据自然灾害的变异程度(如地震震级,表示地震能量的大小)以及对受灾对象造成破坏的程度来衡量(如地震烈度,表示用地震造成的破坏和影响的大小)。致灾因子发生的频率评估。一般根据一定时段内自然灾害的发生次数来确定。对于具有规律性的致险因素(如台风等),可以通过检索相关部门的有关数据获得其年发生频率;当一个特定事件的年发生频率没有办法获取的时候(如地震等),可以根据一个统计时段(如五年、十年)内的灾害发生总量,除以统计年数,得出灾害发生频率的年平均值。一般来说,致灾因子的强度与其发生频率是紧密相连的,某种自然灾害的强度越大,发生的频率就越小。致灾程度综合评价。是把致灾因子的强度、致灾因子发生的频率及致灾环境进行综合评价,从而得出档案馆建筑所面临的某种自然灾害的危险性程度等级。中国人民大学信息资源管理学院课题组在汶川地震后,提出档案馆灾害预防机制,建议绘制一张全国地震带档案馆建筑防震标准示意图,标注各地区档案馆建筑防震标准,同时规定强地震区的档案馆,应将特别珍贵的档案备份或寄存于弱地震区的档案馆。
2.档案馆建筑承灾体脆弱性评价
一、指导思想、基本原则和目标要求
(一)指导思想:以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,按照中央关于建立健全惩治和预防腐败体系要求,以制约和监督权力运行为核心,以岗位风险防控为基础,以加强制度建设为重点,创新方式方法,构建权责清晰、流程规范、风险明确、措施有力、制度管用、预警及时的廉政风险防控机制,不断提高预防腐败工作科学化、制度化和规范化水平,努力营造风清气正的良好环境,深入推进全市气象系统惩治和预防腐败体系建设。
(二)基本原则:坚持以人为本、注重预防,推进反腐倡廉关口前移,关心和爱护党员干部,最大限度地维护人民群众利益。坚持改革创新、勇于实践,积极探索,不断创新预防腐败的新举措。坚持依纪依法、公开透明,保证廉政风险防控工作的严肃性和规范性,使权力在阳光下运行。坚持突出重点、全面覆盖,以点带面,推进廉政风险防控工作不断深入。坚持务求实效、长效管理,一切从实际出发,既要实现有效监控,又尽可能简化程序,实现廉政风险防控工作常态化、长效化。
(三)目标要求:按照全面开展、突出重点、扎实推进、务求实效的总体要求,通对岗位和单位廉政风险的“查、防、控”,达到以下目标:一是增强风险意识。各单位防控廉政风险的主动性进一步提高,党员干部特别是各级领导干部防控廉政风险的自觉性进一步增强。二是找准廉政风险。对岗位、职责、制度机制缺失造成的廉政风险点全面排查,切实做到找准查深查全。三是完善防控措施。逐步建立以岗位为点、程序为线、制度为面的廉政风险防控体系,预防腐败成效明显提高。
二、主要内容和实施步骤
(一)廉政风险防控范围:廉政风险防控实施范围包括局机关、直属事业单位和所属县局及其有关人员,主要包括局领导、科级干部和重点岗位人员。市局防控的重点是组织人事、财务管理、物品采购、科技服务、行政审批、项目建设等领域,县局防控的重点是科技服务、大额资金支出、项目建设等方面。
(二)主要内容:认真查找每个岗位在权力行使、制度机制、思想道德等方面存在的廉政风险点,对查找出的廉政风险点评定风险等级,实行风险等级管理;有针对性地分类制定风险防控措施,属于权力行使方面的,通过建立健全权力制衡机制,优化权力结构,规范行政裁量权,确保权力正确行使;属于制度机制方面的,通过查漏补缺、建章立制,进一步完善相关制度;属于思想道德方面的,通过加强党性党风党纪教育、警示教育、岗位廉政教育等,增强党员干部的风险意识和廉洁从政的自觉性。积极推进权力公开透明运行,自觉接受社会监督,切实使权力在阳光下运行。
(三)方法步骤
1、制定工作方案,认真动员部署(2012年6月上旬——7月上旬)。成立市气象局廉政风险防控工作领导小组,设立领导小组办公室负责全市气象部门廉政风险防控工作组织实施和日常工作。制定工作实施方案,召开动员会,加强业务培训,通过多种途径进行宣传教育,全面启动全市气象部门廉政风险防控工作。
2、开展清权确权,规范工作流程(2012年7月中旬——12月底)。各科室、县局要依据法律法规及“三定”方案,按照“职权法定、权责一致”的要求,对各种权力事项进行全面清理、逐项确认,编制“职权目录”,明确职权名称、内容、行使主体和法律依据等。同时,按照“程序法定、流程简便”的要求,优化运行流程,明确每一项职权的办理主体、条件、程序、期限和监督渠道等内容,绘制“权力运行流程图”。对外行使的权力,都要明确办理主体,条件、程序、期限和监督渠道等内容,绘制“权力运行外部流程图”;对内行使的权力,要对行使岗位、权限、程序和时限等进行规范,绘制“权力运行内部流程图”。
3、排查廉政风险点,评定风险等级(2012年8月中旬——9月中旬)。围绕规范权力运行,通过自己找、群众提,相互帮、领导点、组织审等方式,采取自上而下、自下而上和内外结合等方式,分岗位、部门和单位三个层面,全面排查出岗位职责、业务流程、制度机制等方面存在的廉政风险点。查找中要区别领导岗位、中层岗位和其他重要岗位三个层次。在此基础上,根据权力的重要程度、自由裁量权的大小、腐败现象发生的概率及危害程度等,按照“高”、“中”、“低”三个风险级别,对每一个廉政风险点逐一评估,确定其风险等级,并对划分标准作出说明。
4、加强公开公示(2012年9月下旬——10月上旬)。对查找出的各类风险点,建立廉政风险点目录,通过网站、公开栏等方式进行公示,主动接受单位内部和社会的监督。
5、制订防控措施、规范权力运行(2012年10月下旬——12月底)。围绕查找出来的廉政风险点和确定的风险等级,制定操作性强、具体管用和切实可行的防控措施。属于岗位职责方面的,通过建立健全权力运行程序规定和分权、示权、控权等方式来规范权力运行;属于业务流程方面的,按照廉洁、高效、便民的原则,优化业务流程,确保程序规范、效率提高;属于制度机制缺失或不完善方面的,健全完善相关制度机制并抓好落实。要针对权力在行使过程中的风险点制定“一对一”的防控措施,有一个风险点就要有一套完整的对应防控措施。要绘制岗位权力行使风险防控一览表,对廉政风险点实行分级管理、分级负责、责任到人。
6、处置纠正问题(10月下旬—12月底)。对在开展廉政风险防控工作中发现的相关问题,要依据有关法律法规认真进行处置,切实整改到位。对群众反映强烈的突出问题,需要立案查处的要适时立案,并严肃追究相关人员的责任。
7、及时整理归档,注重查缺补漏(2013年1月上旬——2月底)。将形成的文件资料、表格表册等进行整理归档,建立风险管理档案,搭建风险信息反馈平台。在此基础上,进一步开展廉政风险防控机制建设的查缺补漏工作,总结本单位的活动成效和经验做法,形成书面汇报材料。
三、工作要求
(一)加强组织领导。要把开展廉政风险防控作为一项重大政治任务,列入重要议事日程,层层落实责任,认真组织实施。形成主要领导负总责,分管领导具体抓,纪检监察机关负责协调推进,各部门全力配合,群众积极参与联动的工作机制。确保风险防控的各项措施具体落实到每一个岗位和个人。
一、档案信息安全内容
从广义来讲,档案信息安全保障的内容主要包括档案信息内容安全、实体安全、系统安全、网络安全、应用安全和管理安全等。
档案信息内容安全是指防止档案信息资源被故意地或偶然地非授权泄漏、更改或破坏,也防止造成档案信息不可用的系统辨认、鉴别和控制。这也是常说的确保档案信息内容的完整性、保密性、可用性和可控性。档案信息实体安全主要指档案信息载体、档案计算机设备设施物理线路、档案装具、档案馆建筑符合档案管理的要求,防止受到任何损坏和破坏,如保护计算机主机硬件和物理线路以及其他媒体免遭地震、水灾、火灾、有害气体、辐射、硬件故障、搭线接听、盗用、偷窃、超负荷等的破坏;档案库房环境要符合温度、湿度、气压等相关标准。档案信息系统安全是指档案计算机管理系统的主要功能模块和数据信息不受任何破坏,如计算机主机操作系统的安全、数据库系统的安全。档案信息网络安全是指网络系统的硬件、软件及其系统中的数据保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行。档案信息应用安全是指Web站点安全,电子档案信息传输安全,以及在档案信息应用过程之中防止被破坏和被损坏。档案信息管理安全包括技术管理、人员管理以及法规标准方面的安全。
二、影响档案信息安全的因素
(一)自然因素 档案信息资源存在和运用于自然界之中,自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生,直接危害着档案信息资源的安全。
(二)环境因素 环境条件不符合有关标准会对档案信息造成危害,如档案信息网络控制中心机房场地和工作站的环境不合要求:电源质量差,温湿度不适应,无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施,以及光、空气污染物及害虫、霉菌等有害生物都会给档案信息带来不利的影响。
(三)技术因素 对于纸质档案来讲,决定纸张本身耐久性的因素是造纸植物纤维的质量和植物纤维的化学性质及造纸过程。对于新型载体档案来讲,载体的质量、计算机技术等决定了档案信息的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏、信息安全产品过于依赖国外等都会对信息的安全产生影响。
(四)社会因素 首先,资金的短缺是制约档案信息安全的一个重要因素。资金投入的不彻底难以保证确保档案信息安全软、硬件条件的投入使用。其次,人类社会的暴力、战争、恐怖事件、网络犯罪、网络黑客、盗窃、破坏等也都可能危及档案信息安全。随着互联网在我国的迅速普及,各种敌对势力会利用互联网作为工具进行反动活动。
(五)管理因素 管理因素包括档案信息安全法律法规、标准制度和人员的素质、心理、责任心。档案信息组织管理和决策的核心是人,人是网络的建设者和使用者,网上内容的提供者。
三、档案信息安全保障体系建设
档案信息安全保障体系建设的主要任务是保障数字档案信息的使用安全和信息载体的运行安全,同时健全数字档案信息安全保障体系的法制保障、资金保障、规范标准保障、完善管理保障、革新技术保障和培育人才保障。
(一)档案信息安全法制保障
档案信息安全法制保障是档案信息安全保障体系建设的重要方面。要建立健全档案信息安全法规体系。档案信息安全保障法规对于规范档案信息主体的活动、协调和解决各种矛盾、保障档案信息资源的安全等有重要作用,具有保护档案信息客体具有知识性和财产性、体现高新技术和法规规范渊源的广泛性的特征。我国档案信息安全立法层次为国家法律、行政法规、地方性法规、规章和规范性文件五个层次。按照不同的标准,档案信息安全保障法规体系框架由不同的部分构成。在法规制定中,注意规范性和可操作性、系统性和兼容性、管理与发展并重、重点突出稳步推进等方面,要注意吸收和借鉴国内外信息安全法规建设经验,及时清理和修订现有法规规章,适时制定档案信息安全保障法等新法规。
(二)档案信息安全的资金保障
在我国,各级综合档案馆既是档案信息的蓄水池,也是档案信息的主要者。然而资金匮乏则是制约蓄水池和者作用发挥的主要因素。在许多地方,尤其是北方的城市,最差的房子是档案馆,办公经费多年不长甚至下降的也是档案馆。资金的匮乏,难以保证档案信息安全软件及硬件的实施,造成各级档案馆设施设备老化,人才流失。同时,对馆藏纸质档案的数字化也要依赖于馆外加工机构来进行,极易造成档案信息流失。因此,在加强信息安全保障体系建设中,各级政府重视档案馆的资金投入是重要的一个环节,要力争做到档案馆经费的增长要随着经济的增长达到一定比例的增长。
(三)档案信息安全标准保障
档案信息安全标准是档案信息安全保障的重要组成部分,是实现档案安全管理的重要依据。我国档案部门应吸收和借鉴国外信息安全标准以及国外档案工作方面的标准,研究制定适合新形势下我国档案信息安全现状的标准化体系。研究制定档案信息安全标准体系应遵循科学性原则、协调性原则、全面性原则、接轨性原则和前瞻性原则,力求层次清晰、结构合理、体系明确、标准齐全。
(四)档案信息安全技术保障
档案信息安全技术不仅涉及到传统的“防”和“治”的技术,而且已经扩展到涉及密码技术、访问控制技术、标识和鉴别技术、审计与监控技术、网络安全技术、系统安全技术、应用安全技术等多种现代信息新技术。传统技术与现代新技术相互补充、相互结合,从不同的角度、不同层次来解决档案信息安全问题,共同构筑档案信息的安全屏障,做好档案信息安全技术的发展与更新,加快档案信息安全技术成果的应用、推广和转化,在引进、消化和吸收相关领域科学技术成果的同时,坚持自主创新,走国产化道路,开发拥有独立自主知识产权的、保障档案信息安全的核心技术和关键设备。
以苏州市档案馆为例,该档案馆在进行数字档案馆建设的时候,将档案信息安全保障考虑的十分完善,从网络拓扑图中可以看出苏州市数字档案馆运用防火墙及隔离工具确保内网与外网的连接安全,另外苏州市档案馆也运用各种杀毒软件以及采取各种有效的技术手段来确保整个数字档案馆的安全运行,构建了完善的档案信息安全保障体系。
(五)档案信息安全管理保障
档案信息安全管理是以数字档案信息及其载体为对象的安全管理,它的任务是保证数字档案信息的使用安全和信息载体的运行安全。数字档案信息安全保障的管理体系是指以系统全面科学的安全风险评估为基础的、体现“防患于未然”为核心的、动态的数字档案信息安全管理体系。其目标是达到数字档案信息所需的安全级别,将风险控制在较恰当的水平。数字档案信息安全管理由其相应的原则、程序和方法,来指导和实现一系列的安全管理活动。
在实施档案信息安全管理保障措施时,需经过以下步骤进行:完善组织机构进行风险评估制定安全策略开展安全管理培训执行管理决策评价并改善管理体系。其中,笔者认为最重要的是进行风险评估,根据有关部门统计,“在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。”不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的风险评估来避免的。所以风险评估的重要性不言而喻,加强风险评估的力度是档案信息安全管理保障的重中之重.
风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估需要先根据档案信息系统的实际情况定级,填写等级保护定级备案表,并去有关公安机关备案;然后进行实际的风险评估,完成风险评估报告;最终根据报告内容,采取风险控制的措施,进一步完善档案信息系统,做好档案信息安全保障工作。
(六)档案信息安全人才保障
目前,我国档案信息安全人才匮乏,缺少既懂安全管理又懂安全技术的档案工作人员。为了确保数字档案信息的安全,档案管理部门应采取切实可行的措施,比如,开展职业证书教育培训,档案部门吸收引进信息安全专门人才。分级分类、按需施教,通过项目带动等多种途径和形式,开展档案信息安全人才的继续教育,培养更多的适应信息时代背景下档案工作需要的应用型和复合型相结合的人才,为构建数字档案信息安全保障体系提供强有力的智力支持。增强档案信息安全意识是档案信息安全事故预防与控制的一个重要手段。通过学校的教育、媒体宣传、政策导向等形式和途径,在深入持久的宣传教育、工作环境、档案信息安全法规贯彻中,培养和强化档案信息安全意识。
企业档案信息资产必须要确保其安全。一方面,要做好历史档案信息资源的数字化工作;另一方面,也要做好新入库电子文件的数字化工作。对于历史档案信息资源,要与专门的扫描单位签订协议,进行批量扫描。在扫描过程中,会涉及到信息安全风险的问题。对于新入库电子文件,则要保障电子文件与纸质文件的绝对一致性,由员工个人原因造成电子与纸质文件的不一致性,会给实际工作带来安全隐患。针对如上问题:第一,对参与扫描工作人员的权限进行严格控制:签订保密协议、设置电脑权限;对企业参与图像和信息验收的员工:配备专门电脑和存储空间、设置电脑权限和密码、屏蔽USB和光盘接口、屏蔽删除键;第二,在接收档案信息资源入库时,由档案部门先接收电子文件,并检查电子文件的标准化,然后再将电子文件打印成纸质文件,这样避免了设计人员先归纸质文件,再改电子文件而带来的不一致性。
档案信息的信息化技术中的安全保障
几乎所有的档案管理都会经历手工管理、信息化管理、知识化管理这三个阶段,这是档案信息在网络时代体现利用价值的内在需求。从手工管理过渡到信息化管理和知识化管理,使档案信息价值得到了全方位的体现,但是同时针对档案信息安全所带来的法律风险也会越来越多,所以要确保档案信息系统的运行安全,加强对提供利用载体的管理,加强对档案信息的拷贝与利用管理,对不同层级的信息使用者有所区别,通过技术手段防止拷贝资料再复制,措施如下:第一,利用企业自主开发或引进的加密软件对档案信息进行加密,只有在企业办公环境及企业配备的电脑上才能正常打开使用,一旦脱离企业环境,对档案信息的操作要提前进行申请,申请通过后,方可由技术人员解密;第二,所有对企业外部提供的档案信息都必须是经过转化的PDF或者TIFF格式的文件,原始的DWG文件不能直接提供,以保证档案信息的不可更改性。提供给内部设计参考的档案信息可以是DWG的,但是必须加密,统一在企业环境中使用,防止外泄。
人员管理中多级别权限和密码管理的安全保障
为了保证档案信息系统的安全,有必要加强对系统使用者的管理,加强对系统使用者使用权限的审核,并采用现代网络技术对其网络操作进行跟踪与记录。加强对使用过程中各种保密措施的管理,采用多级别权限和密码管理,防止黑客或他人对档案信息管理系统带来的安全隐患:第一,支持档案信息系统的电子文件在线阅览功能,但是阅览范围和下载权限受限,要经过文件产生部门和档案管理部门的审批才能解限;第二,对企业高尖端技术类别的档案信息,必须要经过企业专门的保密委员会进行风险评估,审批同意后方可利用,并实行责任人负责制;第三,实行用户登录验证制度,登录档案管理系统时,员工需要输入自己的密码进行验证,验证通过后才能进行事先设定好的权限范围内的相关操作;第四,控制台超时注销,控制台访问用户超过一段时间没有对系统进行交互操作,设备将自动注销本次操作台配置任务,并切断连接;第五,离职、退休人员离开工作岗位时,要进行档案资料和使用设备交接手续,相关部门和责任人确认档案资料交接完成、使用设备上交后,方可同意该人员离开;第六,所有淘汰电脑,必须经过格式化,确保电脑内资料不可复原后,才可回收利用。
以管理为重点,建立档案信息安全保障体系,加强法律风险的防控
在企业的管理上,档案信息安全保障体系建立的重要意义是对法律风险隐患的“防”与法律风险发生后的及时“控”。
1.建立法律风险防控体系,从部门设置上确保档案信息安全保障体系的牢固企业必须建立法律风险防控体系,即:成立专门的法律风险防控归口管理部门,引进专门的法律专业人才,负责法律事务的评审和咨询服务,定期提供企业范围内的法律知识培训和专题讲座。聘请法律界资深律师作为专门的法律顾问,随时参与和控制突发的重大法律问题;各部门配备兼职法律风险管理员,负责代表部门向法律归口部门进行法律事务传送。
2.突出管理重点,加强对合同法律风险的防控针对合同法律风险,在建立档案信息安全保障体系时,以管理为重点,应采取以下措施:第一,收缴散落在各部门的合同印章,由法律归口管理部门统一管理,法律归口管理部门配备专门的人员负责合同印章的使用和安全;第二,建立规范的合同印章使用流程,企业上下必须严格按照此流程申请使用合同印章;第三,建立合同印章使用台账,每一个流程结束、合同印章使用完成后,当事合同必须完整归档一份合同原件,合同原件最终由法律归口管理部门向档案部门统一移交;第四,法律归口管理部门以年度为单位,各种类合同的标准格式,并在企业范围内统一使用,因特殊情况不能使用格式合同的,法律部门要对非标准格式合同进行评审;第五,不同类型的合同,确定由不同的评审部门参与评审,实行责任人责任制。
3.管理手段与时俱进,注重前端控制和过程管理档案信息系统、企业协同办公(OA)及门户系统、ERP系统等信息化知识管理方式的引进,使企业的文件形态不断从纸质向电子转化,文件数量与日俱增、文件保存形式呈现立体多样化的发展趋势。在此背景下,档案前端控制管理理论和实践操作应运而生。前端控制管理提出将档案的控制环节提前到文件生命周期的最初阶段形成阶段,并贯穿于文件生命周期的整个过程,这十分有利于减少企业合同电子文件信息和载体的安全隐患,对企业合同法律风险起到很好的防止和控制功能。
4.以人为本,加强员工的安全意识、法律意识、安全技能的培训对员工的安全意识、法律意识、安全技能的培训十分关键。人员的安全意识是与其所掌握的安全技能有关,而安全技能又与其所接受安全技能培训有关。因此,人员的安全意识是通过培训,以及技能的积累才能逐步提高。第一,定期开展企业信息安全、保密管理的相关培训,加强管理人员的安全保密意识;第二,适时进行法律知识的宣传和普及工作,例如:针对日益兴起的海外合同,举行《海外合同签订的注意事项和合同文本资料的保存》讲座,促使员工形成良好的法律意识和收集保管资料的良好工作习惯;第三,进行相关的计算机网络知识培训,定期预报病毒信息和预防措施,定期企业IT运营周报,分析存在的问题和解决方法。
以法规标准为依托,建立档案信息安全保障体系,加强法律风险的防控
首先,根据《GB/T22240-2008信息系统安全等级保护定级指南》和《GB/T22239-2008信息系统安全等级保护基本要求》,结合档案信息系统的重要程度,确定档案信息系统安全等级和安全需求,采取相应的安全技术和安全管理措施;同时依据《GB/T20984-2007信息安全风险评估规范》在档案信息系统生命周期的不同阶段进行过程风险评估,全面实现动态防御。其次,建立完善的档案管理制度。从企业级制度和标准、QHSE管理体系、项目管理体系、部门内部详细作业指导这5个方面建立起档案管理制度保障体系。再次,从法律角度上,必须建立完善合同管理体制,从制度上对企业合同法律风险进行防控。制定相关的《合同印章管理规定》、《合同评审管理办法》、《合同管理规定》等。
档案信息安全保障体系建设存在的问题
虽然我国企业的档案信息安全保障体系建设在技术、管理、和规范标准上已经取得明显的成效,但还存在以下问题:1.档案信息安全保障体系建设意识没有得到全面重视。一方面,档案信息安全保障体系建设比较明显的体现在现代企业总部,对企业下属的分子公司等控制力度不够。2.目前档案信息安全保障体系构建主要依赖于信息安全技术,且缺乏有效的安全管理和安全监督机制,档案信息系统随时存在安全风险,只有通过科学、有效的管理和规范才能构建真正的档案信息安全保障体系。
结语
档案的原始性和文化传承性决定了档案信息安全管理的特殊性,要保障档案内容的长期性和持续性,就要充分认识风险,采取安全防范体系,增强对风险的抵抗能力。
1.技术方面的风险管理
需要从网络访问、信息传输、操作系统及其应用软件系统等各个方面加固网络访问控制,避免内网数据的流失,采用入侵检测技术动态监控网络,防治数据加密技术信息泄露,利用查杀技术防止系统文件遭破坏,防治规避设备故障风险等。
2.管理方面的风险管理
建立治理措施,制定安全操作规程,推行各类档案信息的组织、保存和管理策略,按照使用要求采取分级存储策略进行管理,采取制作纸质拷贝的方式实施格式转换以及版本跟踪管理,定期轮换岗位和降低单人集中管理之安全风险。
3.技术和管理的动态监控管理
按照档案管理制度、标准规范不断修订、改进和完善管理制度,在充分了解技术防护产品和使用方法的基础上,实施安全管理手段加以实施落实。建立监督执行体系。化过程跟踪与控制,确保档案管理措施的落实到位,实现信息化工作的总体要求,,通过过程跟踪、分析和管理,确保各项措施标准规范的完善与升级扩展。
二、档案管理实现信息化
1.建立档案信息自动化系统的管理体制
信息自动化是档案管理系统的建设目标,要把高度集中管理和方便使用相结合。重点解决分散现象,从管理制度上保证业务技术规范硬软件的选用,把各个层次档案信息自动化系统实行集中统一管理,不避免自建系统,造成信息分割和资源浪费,组建一个规范化的“档案信息系统”,建立集中统一管理下的分散式系统。
2.资源的有效化利用
档案信息化管理就是为了提高档案资源的有效利用率,扩展利用空间。因此在档案管理上要密切注意优化使用程序,提高资源的使用率,对于档案资源的扫描以及整理环节一定要注意资源的准确性,资源信息化系统建设之前要固定人员,在信息的录入过程中监督人员应履行相应的职责,同时仍需要大量人力物力的投入,对于档案的更新也应得到一定的技术支持,同时还应配备相关的专门的部门开展档案的更新工作
3.建立档案管理信息化的管理系统
随着现代多媒体技术以及互联网的广泛应用,充分利用现代信息的手段,推进信息化进程,不断顺应信息时展的客观要求。确立一个总体规划,然后逐步实现档案管理在信息搜索。
三、档案管理要实现高利用率
随着网络技术的快速发展,利用计算机进行档案管理工作已经是大势所趋。不但可以提高管理工作的效率和准确性吗,还可以增强档案管理的适用性和兼容性,实现了完成档案的自动化、电子化。
1.充分利用现代网络优势,扩大档案辐射层面。调动职能部门、社会团体形成自觉支持档案管理工作的风气。提高对档案功能的认识。以多元化的活动积淀下来的历史印记,有效促进档案文化传播、发展以及创新的发展,满足社会文化建设日益增长的档案利用需求。
2.加快档案数字化建设,推进现代化管理。档案信息数字化是推进档案现代化管理的基础,档案管理技术要与社会先进水平同步。进行档案信息的现代化管理,不断提升服务能力。利用网络的可共享资源,可供人们在与局域网联通的计算机检索查阅,如果基本具备档案信息数字化的客观物质条件,不需另行大的投入,只需档案信息的数字化加工。可以大量存储、管理、利用数字化档案资源,提高档案服务水平,实现资源优势共享。
四、加强档案管理工作建设
市纪委10月15日在金都宾馆召开了全市廉政风险防控机制建设试点工作会,会上市纪委常委钟明祥同志传达了全省廉政风险防控机制建设现场会精神,安排部署了全市廉政风险防控试点工作,根据市纪委常委会决定,包括我委在内的八个重点部门从今年10月到明年2月在全市率先开展试点工作,明年上半年在试点基础上全市各区市县和所有部门全面推开这项工作,市委常委、市纪委书记赵田在会上还作了重要讲话。为了做好这项工作,今天专门召开这个动员大会,对全市交通系统的廉政风险防范工作作出安排。
(一)认真开展风险排查,准确查找风险点
开展廉政风险排查是试点工作的第一阶段,时间安排为今年10月—11月,试点单位要从四个方面下功夫。
一要在宣传发动上下功夫。要通过召开党委(党组)会、党员组织生活会、干部职工大会等形式,广泛宣传廉政风险防控机制建设工作的重要意义和基本要求,教育引导广大党员干部充分认识廉政风险的客观存在和现实危害性,切实增强开展试点工作的主动性与积极性,在广大党员干部中营造积极支持和主动参与试点工作的良好氛围。同时,坚持部门统一组织、干部人人参与的原则,在对每个部门、每个岗位、每个人员的职责定位、法定权限、工作流程进行全面梳理和广泛征求意见的基础上,制定试点方案,明确试点内容。
二要在风险排查上下功夫。按照领导岗位、中层岗位、重要岗位“三个层次”,围绕事权、人权、财权、管工程、管项目等涉及到的重点部位和关键环节,采取自己查、相互找、组织点、社会评、上级审等多种方式,从思想道德、制度机制、岗位职责、工作流程、外部环境等方面,找准廉政风险点。在领导岗位风险方面,要重点查找自身在重大事项决策、重大项目安排、重要人事任免和大额资金使用等方面容易产生腐败行为的廉政风险;在中层岗位风险方面,要根据科室职责定位,重点查找个人在行使业务处置权、内部管理权和自由裁量权等方面存在或潜在的廉政风险;在重要岗位方面,要对照岗位职责、工作制度,重点查找个人在行使自由裁量权和业务处置权等方面存在或潜在的廉政风险。
三要在等级划分上下功夫。根据行使权力大小、与企业和人民群众生产生活关系密切程度以及可能产生腐败的机率,将岗位分为三类风险管理类别。一类包括单位领导班子正、副职岗位;与经济发展和人民群众生产生活息息相关、具有行政审批权和执法权,直接面向企业和服务项目的科室。二类是指具有一般经济管理、社会事务管理、公共服务等职能的科室。三类则是除一类、二类以外的其它科室。风险等级分为红、橙、蓝、绿四级,每个单位内设岗位的廉政风险等级确定,必须按照单位干部职工评议、班子集体研究、向社会公示的方式进行评估。
四要在档案建立上下功夫。经单位研究确定的廉政风险点与防控措施,要坚持单位主要领导与重点岗位责任人签订责任书的方式,层层落实任务和责任;要坚持重点岗位责任人对责任内容进行公开承诺的方式,统一制作廉政警示牌,公布监督举报电话和信箱,自觉接受社会和群众监督。要建立廉政风险信息档案库,将单位排查出来的廉政风险点和防控措施,按职级和业务进行登记,按层级建立廉政风险点目录,存入单位廉政档案,实行集中管理,为本单位本部门廉政风险的分析、预测、防控提供参考依据。
(二)制定防控措施,推进“制度建廉”
制度防控措施是试点工作的第二阶段,时间安排为2010年12月—2011年1月,工作任务主要有四个方面。
一是绘制工作流程。根据单位职能,明确工作运行程序和权力运行轨迹,抓住决策、执行、监督检查三个关键环节,分析查找现有工作流程中可能导致腐败行为易发多发的环节和部位,通过进一步理顺职能、明确职权、落实责任,重新制定科学合理、高效有序、可行管用的工作流程,最大限度堵塞权力运行监管漏洞。
二是完善工作制度。在优化工作流程的基础上,以落实和修订完善现有规章制度、规范权力运行、提高制度执行力为根本,根据不同的风险等级,制定有针对性和操作性强的防范措施。要坚持对事不对人的原则,以职责设定岗位、以岗位设定流程、以流程设定制度,重点抓好民主决策、岗位职责、程序控制、干部管理、职务消费和责任追究等方面的制度建设,切实增强制度的执行力。
三是健全防控措施。根据岗位廉政风险不同等级,实行分级管理、分级负责。一类中的班子正职、副职岗位由纪检监察机关直接监管,一类中的其他重点岗位与二类由派驻纪检组(纪委)协助单位主要负责人监管。三类由单位分管领导和派驻纪检组(纪委)共同监管。要全面推进决策程序、办事程序、工作流程、内控制度、监督方式“五公开”,对确定的廉政风险,要在划清权力界限、规范操作程序的基础上,锁定履职权限、规范工作规程、控制自由裁量权,切实做到风险定到岗、制度建到岗、责任落到人。
四是建立预警机制。建立健全廉政风险动态监控和定期检查分析制度,及时发现存在或可能发生的廉政风险,发出预警信号,避免苗头性、倾向性问题演变为违纪违法行为。对国家公职人员,要按照干部管理权限,采取警示提醒、警示诫勉、警示追究等方式进行预警处置;对部门和单位,要采取对责任领导诫勉谈话、责成召开专题民主生活会等方式进行预警处置;对新发现的腐败风险,责成有关单位和个人及时制定防范措施。必要时,上级纪检监察机关可直接对有关地方、单位及其工作人员实施预警处置。
(三)试点评估优化,总结提升经验
试点评估优化是试点工作的第三阶段,时间安排为2011年2月,其主要任务是分析试点质量、评估试点效果、总结试点经验。
一要抓好试点质量的分析。主要查看组织领导是否健全、责任分工是否明确、风险查找是否深入、防控措施是否得力、预警机制是否健全、制度执行是否有效、监督检查是否到位、考核办法是否科学、防控效果是否明显等。
二要抓好试点效果的评估。试点单位要认真开展自查自评,总结经验,查找不足,改进提高。市纪委将在各单位开展工作的基础上,对试点单位廉政风险防控机制建设进行统一评估,并同步跟进建立教育、培训、督查、考核、整改等各项配套辅助措施。
三要抓好试点经验的总结。针对评估中出现的问题和不足,各单位各部门要着力整改提高,健全完善制度,堵塞风险漏洞,提升防控水平。同时,要总结成功经验和做法,形成科学合理、切实可行的廉政风险防控体系和流程。
下面,我再对我们系统开展廉政风险防控工作提出几点要求:
1、各单位各部门必须高度重视,迅速建立起组织机构,落实专人负责,各单位各部门联系人名单、电话报委监察室以便于工作联系。
