组织机构电子文件管理的安全风险分析与制度设计

2022.10.16

覃洁清许晓彤

摘要：依据全程管理及前端控制原则，分析组织机构电子文件在形成流转阶段、归档保存阶段和档案馆阶段的安全风险及成因，并从电子文件业务流程安全管理制度、人员岗位安全责任制、电子文件风险管理制度、安全审计认证制度、安全技术标准与规范的采用制度及相关配套制度6个方面设计了面向一般组织机构的电子文件安全管理制度框架。

关键词：电子文件；风险管理；组织机构；管理制度

Abstract： Based on the principle of whole course management and front control， the paper concentrates on the risks and causes of electronic records which are created from organizations and analyzes the issues from formation and circulation stage， archival repository stage and stage of archives. Electronic records security management system frame which is oriented to organizations is put forward from following 6 aspects： electronic records process security management， personal post security responsibility， electronic records risk management， security audit certification， adoption of security technical standard and supporting systems.

Keywords： Electronic records； Risk management； Organization； Management system

我国的电子文件管理实践中，往往是由在人、财、物力方面较有优势的国家档案局（馆）等专业的文化遗产机构率先制定行業规范、法规标准、工作制度，并担负着留存社会共同记忆和公共文化遗产的主要责任。与之相对，一般的组织机构，如机关、企事业单位等则专注于本机构内部信息的保存以备审计、问责及作为凭证。因此，制定并完善机构电子文件管理制度是维护机构信息安全、符合机构发展长期利益的必要之策。InterPARES-2的《数字文件保存政策、策略、标准原则框架》中对数字文件的创建者的13条基本原则中提到“有关数字文件创建及维护的政策、策略和标准应该就确保文件的可靠性、准确性和真实性问题分别进行明确的阐述”[1]。本文基于全程管理视角与前端控制原则，分析组织机构电子文件在形成流转阶段、归档保存阶段和档案馆阶段所面临的安全风险，对威胁电子文件真实性、可靠性、完整性和可用性的典型风险事故及成因进行研究，并在此基础上设计了组织机构电子文件安全管理制度框架。

1 形成流转阶段电子文件管理的安全风险

1.1 形成流转阶段的电子文件管理特点。组织机构电子文件主要由OA（Office Automation，办公自动化）系统和CMS（Content Management System，内容管理系统）等业务系统生成。在这一阶段，机构电子文件主要在原形成机关实现其业务价值，业务活动涉及各部门多成员。例如某文件的批示，要经过经办人提交申请、部门负责人通过、主管领导通过，甚至总裁（董事局）通过等复杂流程，文件批示后再交由业务部门办理，多项业务并行开展。因此，电子文件管理在现行阶段具有参与人员广、档案专业化程度低、管理较为分散的特点。

1.2 形成流转阶段电子文件管理主要风险分析。（1）不真实。包括伪造、篡改与信息失真。在形成流转阶段，各部门文书或业务人员均拥有OA系统高级权限，账号管理不严，易导致权限扩散、身份假冒，从而造成数据篡改事故发生。另外，由于缺乏对统一工作规范的遵守，业务人员常在实际工作中利用职务之便“线下办理”，忽视正规的OA工作流程，导致与该业务相关的电子文件流转程序不合理，其信息的真实性也有待商榷。

（2）不完整。文件内容、元数据完全或部分丢失。实际工作中，组织机构多以电子文件的纸质载体流转，易导致电子版本无法同步更新业务过程中改动的信息及相关元数据。而业务人员档案意识薄弱，上传文件不配套、不完整，导致电子文件归档时既无元数据记录又缺相关内容信息。

（3）不可靠。文件信息与实际工作不符。一是非蓄意因素，主要表现为文件流转程序的不合理导致文件不真实，与客观事实脱节；二是出于某些特定的目的蓄意造假，隐瞒实际工作过程及成果[2]。

（4）不可用。不可被读取及检索。电子文件来源多样，形成系统及软件版本各异，易产生文件无法打开或乱码现象。而文件命名不规范也会增大检索难度。

2 归档保存阶段电子文件管理的安全风险

2.1 归档保存阶段的电子文件管理特点。电子文件归档保存阶段也被称作档案室阶段，即半现行阶段，是赋予电子文件档案属性的过程[3]。机构往往采用自主开发或购买的ERMS（Electronic Records Management System，电子文件管理系统）对电子文件进行捕获、识别、分类、保存使用和处置等一系列管理活动[4]。目前，大多数组织机构对电子文件全程管理认识不足，电子文件管理工作也尚在起步阶段。

2.2 归档保存阶段电子文件管理主要风险分析。（1）不完整。文件整体丢失或关联文件与元数据缺损。在归档保存阶段，工作人员业务不规范、分工不明确极易给电子文件的完整保存带来困难，此外，迁移不合理，线下移交电子文件，也易造成文件或元数据记录缺失。例如，肖秋会等调查发现，32.3%的机构未能对电子文件进行规范、合理的迁移[5]。

（2）不可用。不可读取或不可被检索。ERMS与OA系统间的不兼容常导致文件不可用，而在人工移交的机构中，读取失败的问题尤为显著，具体原因为：部门间电子文件生成的软件版本不同且缺乏格式标准规范，电子文件脱离原有业务环境致使原文中附加的链接信息不能正常读取等。

（3）不真实与不可靠。电子文件的不真实与不可靠的风险多源于形成流转阶段的“遗留问题”，但已脱离原工作环境的电子文件依旧面临被篡改的风险，在归档保存阶段，档案专业人员的权限监督和无关人员的越权访问监控不到位，都将导致电子文件面临被篡改的风险。

3 档案馆阶段电子文件管理的安全风险

3.1 档案馆阶段的电子文件管理特点。档案馆阶段的电子文件管理工作面临着长期保存及提供利用的任务。很多组织机构采用数字档案馆系统对电子文件进行接收、保管和提供利用。由于该阶段与外部机构及网络的联系最为密切，电子文件管理工作存在着更多未知、复杂且不可控的风险因素。

3.2 档案馆阶段电子文件管理主要风险分析。（1）不真实与不可靠。信息被越权访问、非法篡改。据国家互联网应急技术处理协调中心的《2017年我国互联网网络安全态势综述》，2017年，我国境内约2万个网站被篡改，较2016年约1.7万个增长20%；捕获移动互联网恶意程序数量253万余个，同比增长23.4%[6]。网络安全问题越来越突出，处于云环境中的数字档案馆计算机也面临被云中其他节点非法访问及窃取机密的风险，尽管所有云服务商都标榜相应的加密技术，但也仅指保障加密传输环节，仍无法控制数据在处理、存储和传播时的风险[7]。

（2）不完整。元数据缺损或丢失。电子文件双轨管理、双套保存的模式，易造成元数据缺失。主要在于纸质文件与电子文件的利用与修改信息被分别记录，难以实施信息的实时传递与更新，事实上就生成了两套元数据。从效用与价值方面看，纸质文件与电子文件从根本上来说是同一份文件，双套制保存既增加了库存与经济负担，又不利于为文件保存完整、系统的元数据。刘越男等2014年对我国各省级档案馆的调查显示，仅22%的档案馆明确表示会对移交进馆的电子文件持续形成元数据，按照《基于XML的电子文件封装规范》（DA/T48-2009）封裝的只有1家[8]，文件在档案馆阶段亦面临着元数据缺失的风险。

（3）不可用。不可读取。刘越男等的调查显示，近一半的省级档案馆都曾遭遇电子文件不可读的风险[9]。数字档案馆系统遭到攻击而崩溃，或者是机构租用的云端意外遭受严重灾害，都将不同程度上导致数据无法读取，用户无法访问。

导致电子文件安全风险的因素除了天灾人祸、物理环境变化等不可避免的客观因素外，人为因素、组织管理因素等主观因素也很突出。从各阶段电子文件管理主要风险分析来看，有些问题较为普遍，如缺乏完整的机构电子文件安全管理制度框架；档案管理人员与业务人员职责交叉现象严重；档案工作流程不明晰，专业化程度较低；业务系统与电子文件管理系统缺乏认证与审计以及机构风险意识和控制能力不足。

4 组织机构电子文件安全管理制度设计

宏观层面，我国已有的电子文件管理制度如部际联席会议、馆际互备、异质备份、馆室联动等在国家档案馆系统得到了较好的执行实施[10]。但微观层面，国家档案馆之外的一般组织机构如企业、高校、社会团体的电子文件管理制度还较为薄弱，基本处于自行摸索阶段。为此，笔者根据国内外电子文件管理实践，参考相关的国际标准以及《电子文件归档与电子档案管理规范》（GB/T18894-2016）、《电子文件管理系统建设指南》（GB/T 31914-2015）、《纸质档案数字化规范》（DA/T 31-2017）等国家和行业标准，结合《数字档案馆建设指南》《数字档案室建设指南》等指导性文件，设计了面向一般组织机构的电子文件安全管理制度框架。其包括电子文件业务流程安全管理制度、人员岗位安全责任制、电子文件风险管理制度、安全审计认证制度、安全技术标准与规范的采用制度及相关配套制度6个方面。

4.1 电子文件业务流程安全管理制度。电子文件流程管理制度体现了全程管理原则和前端控制思想。制定规范的制度，对电子文件流程进行控制，实现全过程管理，规定电子文件形成流转、接收采集、鉴定处置、归档保存、检索利用等工作环节的内容和操作要求，并辅以树状图、流程图等帮助理解，从前端统一规划、统一要求，全程、动态地跟踪和控制电子文件的生命运动。

4.2 人员岗位安全责任制。根据电子文件形成流转直至归档保存的各个环节，进一步优化工作流程，明晰各相关岗位权责，实行严格的绩效考核与追责制度。（1）形成（业务）部门：形成真实可靠的电子文件，及时捕获并维护元数据，保证电子文件的移交质量。（2）档案部门：开展电子文件规范管理、利用和长期保存工作，并对本机构的电子文件管理工作进行业务指导、全程监督及协调。（3）信息部门：对OA系统、电子文件管理系统和数字档案馆系统进行定期维护与升级，保证系统环境以及保存方案的优化，加强系统跟踪日记的管理以及访问权限的控制等。（4）领导层：把握本机构电子文件管理工作整体方向，采取相应的奖惩措施和追责制度提升制度落实的效果。

4.3 电子文件风险管理制度。冯惠玲教授及团队在《电子文件风险管理》一书中率先将风险管理理论引入我国电子文件管理领域，国家档案局也将出台《档案馆安全风险评估指标体系》[11]，对制定电子文件风险管理制度具有参考作用。组织机构应识别本机构电子文件安全风险并参考《档案信息系统安全等级保护定级工作指南》的侵害程度定级建议[12]，构建风险事故等级框架；建立风险案例库以备参考；结合定性与定量的分析方法，采取一定的程序与手段评估风险等级[13]，并据此开展风险规划与控制工作。尤其应强调备份工作在风险管理中的关键意义，做好本地备份；有条件的机构可积极对外联系，寻觅适当机构互为异地备份单位。

4.4 安全审计认证制度。鉴于组织机构工作内容的特殊性与保密性，建议其在参考国家标准、国际经验的基础上结合实际情况确定认证体系，由机构内部建立“认证工作小组”进行自我审计与反馈整改，再接受国家的统一认证。档案部门可以组织相关的专家、学者针对不同的机构规模分批次开展认证活动[14]。《可信数字仓储的审计与认证》（ISO16363-2012）和国家档案局2012年发布的《数字档案馆评价指标体系》（征求意见稿）对组织机构进行自我审计、选择数字档案馆合作开发商或购买数字档案馆系统有着重要的参考价值。此外，应注意对认证工作的总结与反馈，完善涵盖从业务活动到归档直至保存整个流程的信息系统认证体系。

4.5 安全技术标准与规范的采用制度。电子文件管理的核心技术主要体现在OA、ERMS及TDR等涉及电子文件管理全程的应用系统中，各组织机构在上述系统的开发和购买时应特别注意：（1）OA、ERP、人资等业务系统与ERMS及TDR系统的无缝集成。（2）系统应依据《信息与文献文件管理流程文件元数据》（ISO23081）设计元数据格式并嵌入自动捕获功能。（3）应选用符合《开放档案信息系统：OAIS》（ISO14721）、《电子办公环境中的文件管理原则与功能需求规范》（ISO16175）等国际、国家标准的应用系统。此外，还应关注：（1）机构内部应采用一致的电子文件命名规范，可自行规定。（2）一般机构可参考《电子文件归档与电子档案管理规范》（GB/T18894-2016）中对保存格式的建议来指导本机构工作，工作性质较特殊的机构可自行规定电子文件保存格式类型，但应保证各部门一致。（3）存储介质的管理与更新制度可参考《电子文件归档与电子档案管理规范》（GB/T18894-2016）中的存储介质优先级规定自行制定。

4.6 相关配套制度。完善相关配套制度，促进电子文件管理核心制度的落实。（1）人才培训。档案专业人员和信息人员需接受专业知识技能的培训并不断更新专业知识体系。（2）交流合作机制。组织机构积极开展业务部门与档案部门之间、档案室与档案馆之间，以及与行业内（外）的其他组织机构在电子文件管理领域之间的密切交流与合作，实现跨部门、跨领域、多层次的人才与信息交流。

参考文献：

[1]肖秋会.电子文件长期保存：理论与实践[M].北京：社会科学文献出版社，2014：243-252.

[2]冯惠玲等.电子文件风险管理[M].北京：中国人民大学出版社，2008：112-114.

[3]傅榮校.化繁为简：从档案机构角度看如何保障电子文件的真实性[J].档案学通讯，2015（2）：50-55.

[4]金波，丁华东.电子文件管理学[M].上海：上海大学出版社，2015：56-58.

[5]肖秋会，许晓彤，石晓雨.电子文件安全保障现状调查与评估：以武汉市为例[J].档案管理，2018（3）：65-68.

[6]国家互联网应急中心. 2017年我国互联网网络安全态势综述[EB/OL].[2018-09-25]. http：//www.cert.org.cn/publish/main/upload/File/situation.pdf.

[7]王长全，艾雰，姚建文.云计算环境下数字图书馆信息资源安全策略研究[J].情报杂志， 2010（3）：184-186.

[8][9]刘越男，祁天娇.我国省级、副省级档案馆电子文件接收及管理情况的追踪调查[J].档案学通讯，2014（6）：10-15.

[10]王良城.我国电子文件管理基本制度述略[J].中国档案， 2012（3）：65-67.

[11]李明华.在全国档案工作暨表彰先进会议上的讲话[J].中国档案，2016（1）：16-23.

[12]国家档案局.档案信息系统安全等级保护定级工作指南[EB/OL].[2018-09-27]. http：//www.saac.gov.cn/uploadfile/daj/001aa0bea132137d002001.doc.

[13]张健.电子文件信息安全管理研究[M].上海：上海世界图书出版公司，2012：170-172.

[14]程妍妍.我国数字档案馆认证及实施策略研究[J].档案学研究，2012（6）：56-60.

（作者单位：武汉大学信息管理学院，图书情报国家级实验教学示范中心（武汉大学）来稿日期：2018-10-14）