今天小编为大家推荐《电子文件安全管理论文(精选3篇)》,欢迎大家借鉴与参考,希望对大家有所帮助!电子文件作为社会管理信息化、技术化的产物,是人类文化信息领域的重要遗产,是社会历史记忆不可或缺的重要组成部分。然而,由于电子文件自身特性及相关风险因素的影响,使得电子文件比传统的纸质文件面临着更大程度的危险,电子文件的真实性与法律证据性也正在遭受日益强烈的质疑与挑战。此外,由于电子文件管理的疏漏,电子文件的损毁与丢失情况也愈加频繁。
电子文件安全管理论文 篇1:
从风险管理的视角探讨电子文件安全管理问题
如今,风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。①把风险管理与电子文件联系起来绝不是理论研究上的攀拉与附会,而是每一个与电子文件打交道的人,特别是文件、档案管理者无法回避的视角和观念。②基于上述两点考虑,笔者认为,从信息安全风险管理的视角来审视电子文件的安全管理问题是十分有意义,通过对风险管理与安全管理关系的认识,我们可以更加深入地了解到当前电子文件安全管理存在的问题,进一步认清电子文件安全管理工作存在的不足之处和改进方向。
一、风险管理与安全管理关系的认识
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的网络化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速发展,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以科学的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践历史来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、科学的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的电子文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全,自然安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的总结与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《计算机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
3、 陈国云:《档案信息建设的风险管理》,《档案管理》2008年第1期。
4、柳纯录:《信息系统项目管理师教程》,北京:清华大学出版社,2005:582。
5、王强:《电子档案风险管理研究》,《优秀硕士论文》2007年8月。
作者单位:广西民族大学管理学院
作者:陈国云
电子文件安全管理论文 篇2:
电子文件安全管理研究
电子文件作为社会管理信息化、技术化的产物,是人类文化信息领域的重要遗产,是社会历史记忆不可或缺的重要组成部分。然而,由于电子文件自身特性及相关风险因素的影响,使得电子文件比传统的纸质文件面临着更大程度的危险,电子文件的真实性与法律证据性也正在遭受日益强烈的质疑与挑战。此外,由于电子文件管理的疏漏,电子文件的损毁与丢失情况也愈加频繁。
由此,对电子文件的安全管理问题进行研究,构建全面、可靠的电子文件安全管理体系,便具有十分重要的意义。
一、电子文件安全管理原则的提出
只有深入贯彻、实施科学有效的电子文件安全管理原则,才能最大程度的发挥电子文件安全管理的整体效能,全面有效的规避各种电子文件风险。
(一)电子文件的风险管理原则
该原则主要是指在电子文件安全管理中,以防范电子文件风险,实行电子文件风险管理为基本准则,规避一系列现实及潜在风险因素,做到提前预防,有备无患。电子文件风险管理是指“通过识别和评估电子文件风险,采用合理的技术、方法对电子文件风险加以防范和控制,以最小的成本使电子文件所致损失降到最低程度的管理活动。”贯彻电子文件风险管理原则,可使相关人员在提高风险意识的同时,提前有针对性的应对一系列风险状况以及降低相关连带风险。
(二)电子文件的全过程管理原则
电子文件全过程管理原则要求,在电子文件生命周期的各个阶段都要对电子文件实行严格的安全管理,而不只是在归档之后。此外,电子文件的全过程安全管理原则,应以文档一体化的文档业务体制以及管理制度为基础,构建统一、完善的电子文件安全管理模式,以及电子文件安全管理系统、管理制度、管理内容,确保电子文件在整个生命周期受到严密保护与监控。
(三)电子文件的前端控制原则
电子文件前端控制,同样以文档一体化为基础,来实现对电子文件的前端控制,以保证其完整、安全、有效。电子文件前端控制原则,是对整个电子文件安全管理的目标、要求、规则进行系统分析、科学整合,并将有必要实现的电子文件安全管理功能,在电子文件形成之前予以贯彻和实现。实际上,前端控制是“确保电子文件真实可靠、安全完整、长期可读的有效策略”,并能“优化管理功能,提高管理效率”,对于电子文件的安全管理具有极为重要的作用。
二、电子文件安全管理的主要内容
电子文件的安全管理主要应从载体安全管理、信息安全管理以及系统安全管理三个方面予以实现。
(一)电子文件载体的安全管理
电子文件载体的安全保管,应具体参考由国家档案局颁布的行业标准《磁性载体档案管理与保护规范》(DAT15-95)可用于指导电子文件磁性载体介质保护,大致内容如下:控制适宜的温湿度;防止灰尘,保持清洁;防止磁场干扰;防止机械震动;防止光线、辐射及有害气体影响;选择高质量的载体介质与保管系统;科学存放与整理;加强人员日常管理维护。此外,切实加强相关机构库房基础设施建设,配备相关安全设施、设备。按照电子文件安全保管的基本要求,配备监控设备、报警器、电力系统、消火栓、灭火剂、空调、温湿度计、加(去)湿器、窗帘、白炽灯、杀虫剂、吸尘器、防磁柜、防火柜等。
(二)电子文件信息的安全管理
电子文件信息安全管理就是:“文件管理者通过建立信息安全保障体系,对电子文件生命流程中的风险因素进行全面控制,从而保障电子文件信息的安全性、完整性和可利用性。”电子文件信息安全管理主要内容包括:制定风险应急计划,撰写报告;指定专门人员进行重要的程序与数据的备份;病毒检测与清除;制定系统运行安全管理、数据及文件管理制度;规范机房出入,进行维护与监视;制定安全管理政策与保护方案;安全培训、教育、宣传;明确负责人、管理员职责;对录用人员进行审查;严格权限管理,包括授予特权以及回收特权;定期进行安全评估、安全检查与审计,并做反馈调整。
此外,针对电子文件信息的安全管理还需采用一些列技术手段。具体的,对于有密级限制的电子文件,使用加密技术,可以有效防止电子文件泄密,以及在网络传输时被人篡改或截获;采用信息认证技术(数字签名、身份识别、消息认证),可以保证并识别信息发送者身份的真实性,确保电子文件信息的真实性、完整性以及法律效力;采用电子文件长期可存取技术(包括仿真技术、迁移技术与载体转换保护技术),可使电子文件信息能够永久有效地存取、阅读,避免了因存储介质的更新换代而导致的点文件信息的失效。再者,电子文件信息的备份制度,是保障电子文件安全的极为重要的举措,尤其当计算机病毒入侵、网络系统崩溃时,可以利用备份技术以及备份制度对丢失、损毁的电子文件信息提供有效、良好的恢复手段。此外电子文件的异地备份,可以极大的规避意外风险,保证电子文件信息的安全。
(三)电子文件系统安全管理
电子文件的系统安全等级管理,是一种保障电子文件系统安全的重要举措。按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)的要求,构建具有等级层次的电子文件安全体系,具有十分重要的意义。实际上,参照该准则,“电子文件管理系统安全等级保护可以将电子文件管理系统从安全保护的角度划分为五个等级,即自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。”值得注意的是,电子文件管理系统的“第一、二级适用于不涉及国家安全的一般电子文件管理系统,第三、四级适用于重要的电子文件管理系统,第五级适用于特别重要的电子文件管理系统。”由此,组织机构可以依据该准则,在明确电子文件系统安全等级的情况下,有所侧重的实现差别化管理,并合理配置人力、物力、财力、技术与管理资源,有针对性的实现文件系统的安全保护。
此外,按照《信息系统安全等级保护基本要求》,构建电子文件管理系统的安全保障体系,可以明确电子文件系统安全的管理的总体思路,以及提升电子文件系统安全的管理水平。
三、电子文件安全管理的相关制度
(一)建立电子文件安全管理责任机制
成立电子文件安全管理工作领导小组,建立电子文件安全管理责任制,明确相关人员在电子文件安全管理工作中的职责范围与管理权限,建立分工明确、职责清晰的电子文件安全管理责任机制,并将安全管理工作落实到具体的人员。此外,对相关人员工作情况进行绩效考核,确保电子文件安全管理工作的顺利开展。
(二)建立电子文件安全管理制度
建立电子文件信息编辑、审核、发布责任制及流程,信息发布之前必须经过相关人员审核;设定网站管理权限,不得越权管理网站信息;一旦发生信息安全事故,就积极采取有效措施,并保存记录按规定报告有关部门;对有害的信息进行过滤、用户信息进行保密;填写从事互联网信息服务业务网络与信息安全责任书正本一式两份,包括信息安全责任人的姓名、职务、联系电话及手机,要求有专人对网站所发布的信息进行检查,安全责任人有删除各栏目的权限。
(三)建立信息安全监控制度
建立以单位法人代表为主的信息安全管理机制;相关责任人定期检查网站信息内容,实施有效监控;监控并制止利用国际互联网制作、复制、发布和传播违法犯罪信息的行为;进行日常检测工作和系统漏洞测试。
(四)建立用户信息安全管理制度
对用户需要设置权限,不得擅自进入系统,篡改他人信息;对用户的信息进行有效管理并保证其信息的安全保密;计算机网络日志文件要有专人负责、备份等操作,保留日志记录。
作者:杜鹏 李福君 方昀
电子文件安全管理论文 篇3:
试析港口企业电子文件信息的安全管理
随着互联网时代的来临,计算机、网络技术以及智能手机的普及,电子文件大批产生,并且在改善工作质量和提升工作效率上扮演着重要角色,港口企业工作中产生的电子文件更是关系重大,电子文件不单是包含个人隐私,各部门核心职能,还与港口企业的利益息息相关,有些还会关系到国家安全。2014年,中共中央办公厅、國务院办公厅联合印发了《关于加强和改进新形势下档案工作的意见》,其中明确提出“确保档案部门实现对电子文件形成、积累和归档的全程监督指导”,国家相关文件的出台,为我们做好港口企业电子文件信息安全管理提供了依据,同时在如今国有企业全面深化改革的背景下,加强港口企业电子文件信息安全的管理,保存好互联网时代企业生产和经营活动的真实记录,已经成为港口档案工作者的紧要任务。
一、电子文件信息安全管理的概述
1. 电子文件的概念及来源
国家档案局制定的《电子文件归档与电子档案管理办法》中电子文件的概念是,“能被计算机系统识别、处理、按一定格式存储在磁带、磁盘或光盘等介质上,并可在同上传送的数字代码序列。”
电子文件来源于两个方面:一是职能部门自身创建的;二是从工作网络上采集的。一方面,职能部门工作中直接产生的电子文件,文件创建者直接保存和使用,主要是原生性电子文件,以及数据转换来的电子文件这两类。另一方面,不是由职能部门直接产生的电子文件,而是在工作网络(内网或外网)上由职能部门收集下来的,这部分电子文件正常是在部门间的业务交流、单位之间的业务往来中形成的,职能部门为了工作需要而将其下载下来为日常工作所用。
2. 电子文件信息安全管理的内涵
国际标准化组织2005年发布了《ISO/IEC17799:2005 信息安全管理实践准则》,其中是这样概括电子文件信息安全的内涵:
第一,安全性。确保电子文件信息仅可让获取授权的人访问;
第二,完整性。电子文件信息的保护和处理方法的准确和完善;
第三,可用性。确保授权人需要时可以获取电子文件信息。
我们知道管理学原理中的要素包括:管理者(主体)、管理对象、管理职能的实施、管理目标。因而,电子文件信息安全管理就是:电子文件的创建者和权限使用人在系统管理员对网络安全的保障中,对电子文件生命周期中的风险点进行整体的预防和把控,达到电子文件信息的完整、安全、可用的目的。
3. 电子文件的特点
电子文件的产生极大地促进了我们的工作效率,它的特点也是显而易见的,电子文件存在对软硬件设备和元数据的依赖性、信息与载体的可分离性、易修改性、类型和格式的多样性等特点,这些特性决定了电子文件安全管理模式的不同。
二、港口企业电子文件信息安全管理的管理模式及其问题
信息化建设推动了电子计算机深入应用,原本以纸质载体形式保存的各种数据信息,渐渐替换为电子格式的信息保存,由此产生了大量的电子文件。因此,怎样对港口企业机关中形成的电子文件进行系统、有效的安全管理,怎么解决港口企业电子文件信息管理中出现的问题,是我们港口企业档案工作者面临的一个新的挑战。
1. 港口企业电子文件信息安全的管理模式
1.1 完全采用纸质档案的管理模式
港口企业现在基本采取的是“双套制”,所谓双套制管理,是在电子文件形成之初制作纸质版本,流程完成后连同电子文件统一归档到档案部门,或者以信息技术部门为归口,实现对电子文件在技术层面上的有效管理。在制定归档制度时,由档案部门进行业务指导、监督。双套制归档储存了同一份文件的电子版和纸质版,丰富了利用方式,提高了利用效率。
1.2 文件产生、运转过程中电子版和纸质版同步流转,是所谓的双轨制的实施,也就是说机构在文件开始流转过程时,就形成电子版和纸质版,两种版本同时处理和归档,可见,双套归档大多是双轨制运转的结果。
1.3 全部在线归档
为顺应办公自动化的要求,电子文件与纸质文件使用同一系统,统一在相同的计算机管理软件中,实现在计算机网络上“无纸化”的逻辑归档,从而对电子文件实施在线管理。
1.4 实行文件、档案一体化管理
将电子文件、电子档案融为一个管理系统,使办公自动化与档案现代化系统有效衔接,在工作中对档案信息的数据进行处理,实现对电子文件形成的前端控制,以及文件生命周期的全面管理。
在现阶段,港口企业办公自动化系统中电子文件的管理一般采用第一种和第二种管理模式,有些部门如集团办公室等,已实行第三种模式,基本实现无纸状态。但对电子文件形成与归档全程管理的系统开发的很少且功能还不完善,同时由于管理理念及制度等方面的原因,对电子文件实行文档一体化还需要一段时间的探索和研究。
2. 港口企业电子文件管理中存在的问题
2.1电子文件管理缺乏延续性
由于电子文件相关管理制度不够完善,造成电子文件的保存处于自然形成状态,谁起草就由谁负责保存。由于体制改革,员工工作调整,计算机更新换代等因素,致使电子文件数据大量分散和丢失。因此,分散保存不利于电子文件的收集和归档。
2.2电子文件的应用缺乏共享机制
在实际工作中,虽然目前的办公系统已趋于成熟,因为资源共享意识不足,档案信息没有得到充分共享,影响了工作效率与质量。
2.3电子档案的储存格式缺乏统一性
因为使用不同的软件,各种类型的电子文件的制作和存储形式也不同。导致数据不能兼容和整合,影响了电子档案的统一管理。据部分上交电子文件单位的抽样统计:共使用了WPS、DOC、TXT、ZIP等 4种文件格式。其中WPS和DOC以最多,二者合计达到了80%以上。
2.4硬件设备的更新维护不及时
计算机升级、换代、更新迅速,科技进步对电子档案的保存和利用而言,也存在弊端,因为电子文件在当初形成时所依附的软硬件设备很快就被替换和更新了。因此,必须重新把电子档案的数据备份到新的技术环境中,才能不被淘汰。或者,必须对其所依附的元数据、软硬件设备、计算机操作系统等加以保存,或采取特殊方法对原有的电子文件格式加以转换,才能预防新技术不能处理过时数据格式的情况发生。
2.5电子文件的信息安全问题
电子文件的安全和保密,是电子文件管理工作中的重中之重,它是保证企业正常经营管理,保障企业合法权益不受侵害,推动企业发展战略顺利实施的重要因素。要积极采取保障电子文件信息数据库安全的方式,如配置杀毒软件,定期升级查杀系统,设置密码、密钥、防火墙、身份验证、防写保护等,以确保电子档案的安全和保密。
2.6档案专业技术人员业务能力有待提高
随着电子档案在档案工作中的不断涌现和应用,档案管理人员不仅要秉承踏实的工作态度,还要通过不断学习提高档案业务素质,杜绝因操作失误而造成数据遗失,杜绝因安全保密以及法律意识薄弱致使档案信息泄露。因此,要加强对档案专业技术人员的计算机培训和应用,更新电子档案管理的基本知识和操作技能,提升业务能力,同时为培养这方面的人才做准备。
三、港口企业电子文件信息安全管理的原则及措施
1. 港口企业电子文件信息安全管理的原则
根据国际标准 BS7799中有关信息安全管理的阐释,可采取以下几个管理原则对电子文件进行安全管理:
1.1 来源原则
电子文档的源信息,即背景信息,在电子文档的维护中具有不可替代的作用。并且,来源原则在电子文件检索系统设计上的指导作用依然不容忽视。
1.2 制定电子文件信息安全方针的原则
电子文件信息安全方针即电子文件信息安全策略。它对电子文件信息的安全管理起着导向和支撑的作用。信息安全方针应表达出管理层的许诺,明确电子文件信息安全管理的方法,管理层审议通过后,采取下发文件,组织内部培训等形式将方针在公司传达开来。同时,要定期进行内部审查和评价,根据评价结果来保持或调整原有方针。
1.3 预防控制为主的思想原则
在电子文件信息安全管理中,要坚持防患于未然,预防控制为主,最大程度降低损失。
1.4动态管理原则
随着时间的推移,电子文件信息的商业环境可能会改变,产生新的威胁和漏洞,新的法律法规相关的信息安全也可能被引入,也就是说风险点可能随时改变。所以,我们在在电子文件信息的风险管理过程中尽可能把风险控制在可接受的程度,但这不是意味着风险评价工作可以因而停止,我们要施行动态的风险评估与风险控制。
1.5全员参与的原则
港口企业电子文件信息安全并不是只与关键人员相关,它与全员有关。因此,全员应参与安全管理,每个岗位上都要承担相应的安全管理职责。
2. 港口企业电子文件信息安全管理的措施
电子文件与纸质文件不同,它们存储空间大、传递快捷、便于共享等特征提高了办公效率,但是我们也必须考虑到电子文件的保密性、电子文件的安全性等隐患问题。
2.1电子文件安全存储方式
目前,存储电子文件的方式是基于分布式存储,每个终端(用户使用的计算机)存储相关的电子文件。如果某个终端出现问题,不但这个终端存储的电子文件会遭到丢失,还可能网络的终端都受到感染和损坏。要改革存储模式,有以下三个选项:
一是无盘工作站方式。各终端不配置硬盘,电子文件以及处理电子文件所需的应用软件所有都存储在服务器中,终端用户的一切工作环节都将在服务器上进行处理。这种方式的优点是只要做好服务器的相关安全处理,就能够保证电子文件的信息安全,缺点是对服务器的硬件和软件要求比较高。
二是无密工作站方式。终端配置硬盘,但未存储,这部分涉密电子文件存储在服务器上。这种方式的优点是减轻了第一种方式对服务器的要求,但缺点是用户在服务器上处理电子文件的同时可能会被终端上的计算机病毒所感染,同时造成信息的泄露。
三是即插即用。涉密电子文件存储在移动硬盘里,如USB移动存储器。当用户处理电子文件时,将移动存储器插入计算机中,当未处理电子文件时,移动存储器被拉出,用户可以保存便携式存储器。这种方式是目前比较常用的一种方式,相对于前两种较实用。它的缺点主要是解决好移动存储器上的病毒问题,要定时查杀移动存储器上是否有病毒存在,以保证移动存储器上的文件信息的绝对安全。
以上电子文件存储方式各有优缺点,可交替使用,同时我们要树立保密意识,养成良好工作习惯,如定时更新杀毒软件,经常查杀病毒,及时备份电子文件,才能使我们的电子文件信息得到安全保障。
2.2 完善网络系统安全措施
虽然电子文件可以利用网络实现信息共享,但安全风险不容忽视,计算机网络系统过于庞大和复杂,存在诸多缺陷,黑客可以很容易地攻擊网络,其不安全性已阻碍了其发展。因此,要特别注重内外网隔离、身份认证、提升能力等。
一是隔离,就是内外网的物理隔离,禁止内网与外网进行直接或间接的物理连接。两层认证,一是每个终端必须设置密码开机,用户知道密码就有权使用终端。二是用户进入终端后,还需要进行身份认证,以确定用户有权限通过办公网络处理电子文件。三是提升能力,首先病毒防护能力。服务器和全部终端,必须安装正版杀毒软件,对服务器和终端实时扫描和病毒查杀,防止病毒和木马入侵网络系统。其次是预警监测能力。时时寻找具有网络攻击的特点和网络安全策略的违规行为,及时报警,断绝非法网络行为。然后是应急处置能力。制定相应的应急方案,定期完善应急机制,提高预警和容灾能力,确保计算机网络系统持续安全稳定运行。
2.3严格控制电子文件使用权限
虽然电子文档资源共享是办公自动化的关键要素之一,但从安全的角度来看,电子文件在网络中不能允许所有用户都可以访问,需要对网络中的用户权限进行分级控制。控制用户权限的方法有:
首先是在网络层设置IP地址,才能允许用户访问服务器或终端。
其次把所有秘密电子文件存放在网络指定区域内,网络区域只能接入有授权的用户,未经授权的用户无法进入。
其三对秘密文件本身进行加密,将密码分配给用户,未经授权的用户无法打开文件。
四是防火墙技术这也是一种访问控制技术,它是一道网络和外部世界的屏障,可以防止非法获取信息资源,也可以阻止涉密信息、专利信息从网络上非法输出。
五是防写措施。当前,在操作软件中可以设置文件“只读”, 只读文件是用户只能从计算机读取信息,并且不能修改。这种方法可有效防止窜改电子文件内容,保证原始性和真实性。
四、结语
综上所述,港口企业现阶段在电子文件的应用上作出了很大的努力,现代化管理水平也在逐步地提高,但在电子文件信息安全管理方面应当继续学习、借鉴其他企业的先进经验,同时结合港口企业自身特点,探索符合企业实际情况的发展道路。
(作者单位:四川省疾病预防控制中心)
作者:彭砚