試論檔案數字化的安全風險管控

摘 要：檔案信息化建設是信息化時代檔案事業發展面臨的巨大挑戰與重要契機。檔案是社會歷史記錄，檔案信息資源是社會信息資源的重要組成部分。本文從論述檔案數字化安全風險管控的意義和重要性出發，闡明了檔案數字化風險管理的基本現狀及存在的問題，分析了當前檔案數字化風險管理的主要內容和安全風險分類，進一步提出了檔案數字化安全風險管控的基本思路。

關鍵詞：檔案數字化;安全;風險管控

一、檔案數字化安全風險管控的意義

當今世界信息資源已經成為與能源、材料同等重要的戰略資源，信息資源開發利用工作已經成為當下我國轉變經濟增長方式、實現經濟社會全面協調可持續發展的重要途徑。檔案是人類社會活動的歷史記錄，是人類歷史與文化的積累，開發利用檔案信息資源對促進經濟社會發展、擴大政府信息公開、滿足人民群眾追求美好生活的需求以及建設和諧社會都有重要作用。

檔案數字化是對傳統載體檔案原件的最有效保護。檔案是孤本性的信息資源，傳統載體檔案在數字化后，檔案管理的收集、整理、編目、統計、查閱、編研、開發等各個環節均可直接對數字檔案操作，不再頻繁調閱實體檔案，還可對部分實體檔案進行封存管理，從而大大減少對檔案原件的各種人為損害或自然侵害，大大提高檔案的安全系數，從而保障檔案的安全。把傳統載體檔案數字化，實質上是向數字化要安全，用數字化保安全，是最大限度地搶救和保護檔案原件的方式之一。檔案數字化，安全保障是前提。檔案數字化是檔案信息資源建設中安全風險最大、最容易出問題的一個環節，若這個環節安全管理失控，就會造成檔案原件的丟失、損壞，以及數字化檔案信息內容不完整、不準確，甚至國家秘密被非法盜取等嚴重損失。

在當前檔案數字化浪潮中，各個檔案館開展檔案數字化，其管理形式五花八門，數字化成果的質量難以保證，各種安全風險隱患積聚，個別地區還發生了檔案數字化的泄密事件。因此，面對如火如荼的檔案數字化新高潮，檔案數字化安全風險管控顯得尤有意義。

二、檔案數字化風險管理的重要性

檔案數字化是檔案信息化建設的核心內容與基礎工程，是構建檔案信息資源體系的重要手段，對促進檔案信息資源社會化服務、推動檔案事業內涵式發展，其重要性不言自明。檔案數字化風險是指檔案數字化整個過程中在質量、安全等方面可能出現的風險因素，這些因素可能會影響檔案數字化目標的實現。檔案數字化加工是新時期檔案工作者面臨的一項重要工作。

此項工作周期長、任務重、要求嚴，并且在實施過程中存在著各種危及檔案安全的因素，如檔案案卷進行拆卷整理受損、檔案案卷在大批量的借還中丟失、數字化檔案信息內容不完整、不準確，以及檔案信息存儲不當損壞、檔案信息泄密等，這些潛在的不安全因素一旦因管理、技術不到位而發生，會給檔案造成重大損失，也給那些非法獵取國家機密與檔案信息的不法分子以可乘之機。因此，安全問題是檔案數字化工作中最為普遍、最為關注和亟待解決的問題。

三、檔案數字化風險管理的現狀及存在問題

檔案數字化工作與風險管理息息相關，國家檔案局及其各級檔案部門都非常重視檔案數字化中的安全管理工作。2012年，國家檔案局專門印發要求切實加強檔案數字化和檔案信息化服務外包管理的文件，各地檔案行政管理機構都已經認識到數字化安全的重要性，也采取了積極措施制定下發了安全管理的文件或規范，如2011年福建省檔案局印發的《福建省檔案數字化工作安全保密管理規定》，2011年廈門市檔案局和廈門市國家保密局印發的《關于在檔案數字化加工中加強安全保密工作的通知》，2012年云南省檔案局、保密局聯合印發的《云南省檔案數字化工作安全保密管理辦法》，2013年廣西壯族自治區檔案局下發的《廣西壯族自治區檔案數字化工作安全保密管理辦法》，2013年湖北宜昌市檔案局、市國家保密局出臺的《宜昌市檔案整理及數字化工作安全保密管理辦法》等，進一步強化和細化檔案數字化中的風險管理與安全工作。各級檔案行政管理機構加強了數字化的監督、指導、檢查工作，許多檔案部門和檔案數字化加工部門在組織實施檔案數字化過程中設立專門機構和人員并且建章立制，通過培訓教育、專項檢查、簽訂協議、完善設施設備、加強日常管理等工作，進一步加強了檔案數字化的風險防范與管理。雖然各級檔案部門在檔案數字化實施過程中都比較重視檔案實體及其信息的安全問題，但總體上還存在著以下幾個主要問題：

1.相關法規、標準不健全

2009年11月國際標準化組織（ISO）發布了一項安全管理領域的國際標準，即《ISO31000：風險管理原則與實施指南》，有效指導管理實踐。該標準是一項各領域通用的風險管理國際標準，是世界范圍內的風險管理的最新理論和最佳實踐。我國政府于2009年發布了國家標準GB∕T24353—2009《風險管理原則與實施指南》。作為我國各組織實施風險管理的最高級別標準，此標準正是參照ISO 31000編制的。目前，ISO31000風險管理標準只在國內部分行業借鑒和運用。從整體上來看，在專業性領域針對風險管理的法規準則及政策少有出臺，相關標準相對寬泛，各種風險事件，沒有合適法規及標準“對癥下藥”。特別是涉及檔案數字化過程中的安全管理、風險控制等相關規范及標準尚未建立，難以指導和規范檔案數字化的安全管理工作。

2.風險管理意識淡漠

檔案的安全管理與保護極其重要，業界已經認識到檔案數字化過程中風險管理的重要性，但在實際數字化工作中相關風險管理研究還缺乏系統性，對潛在風險的評估和預警管理相對滯后，風險管理在實踐中的應用不夠，風險管理多為事后控制，缺乏主動性，缺乏風險管理整體策略。無論是組織檔案數字化建設的檔案部門還是數字化加工承攬企業方，風險意識都相對淡薄，風險管理制度不完善，特別是在風險管理控制、風險評估以及預警機制等方面的管理水平尚待提高。

3.忽視數字化安全風險管控工作CA008D61-6E81-4AAA-881E-7DD8A1AFFE1D

近年來，在檔案部門大力推進檔案數字化工作的過程中，檔案信息安全隱患日益凸顯，風險積聚。有些單位急于上馬，認識不到位，簡單抓進度任務而忽視質量與安全的把控，被數字化外包公司拷貝留存數字檔案、外網傳輸的情況時有發生。數字化過程中設備設施，如優盤、硬盤使用混亂，公私不分，內外不分，登記不明。個別單位甚至發生了數字化檔案信息外泄、丟失的嚴重事件。隨著越來越多的檔案部門開展檔案數字化外包，在實施過程中各種檔案安全風險正在不斷疊加，將給檔案管理造成較大損失，也帶來較嚴重的社會影響。這些事件與問題必須及時加以解決消除，才能確保檔案數字化工作快速健康推進，從而加強檔案數字信息資源順利開發利用，最大限度發揮檔案信息服務黨和國家發展大局、維護廣大群眾切身利益與傳播歷史文化典藏的重要作用。

四、檔案數字化風險管理的主要內容

為滿足當前檔案數字化安全管理的需要，借鑒檔案數字化安全管理研究成果，將檔案數字化風險管理的內容概括為“兩個出發點”“三大方面”以及“多個切面”，如圖1所示。

兩個出發點，即檔案實體風險、檔案信息風險;三大方面，即檔案數字化主體、客體、加工過程;多個切面，即意識、組織、標準、機制、資金、人才等。由此構成了檔案數字化風險控制的主要內容框架。

五、檔案數字化的安全風險分類

將檔案數字化過程中所面臨的風險進行科學分類，有助于我們認識各種風險的具體特點，有針對性地應對。在研究當中，有人將檔案數字化過程中面臨的風險歸納為安全保密風險、真實性風險、完整性風險，有人在此基礎上進一步指出還包括可讀性風險、資金風險;也有人直接分為兩類：即數字檔案真實性和完整性面臨的風險，包括信息遷移帶來的風險、人為修改帶來的風險、網絡攻擊帶來的風險和數字信息無法永久讀出，或者數字檔案信息資源風險、數字化信息存儲風險。此外，還有人指出檔案數字化項目風險應該包括組織環境風險、人力資源風險、質量監督風險、檔案安全風險、外部因素風險。

總而言之，劃分風險的標準有多種，如按照損失的呈現時間可以劃分為當前風險、短期風險、長期風險;按照風險的可控性可以劃分為可控風險、不可控風險;按照損失的嚴重性可以劃分為輕度風險、一般風險、嚴重風險;按照數字化流程可以劃分為準備階段風險、前處理階段風險、數字化處理階段風險、檢查驗收階段風險;按照風險的影響方式可以劃分為直接風險和間接風險等。

上述風險分類可通過賦予一定的分值來評估風險的危害程度，但往往過于絕對化，風險本身具有不確定性，高概率的風險不一定能夠發生，一般風險也有可能導致重大安全事件。針對檔案數字化工作基本流程，根據數字化主要工作重心、風險損害對象以及風險的出現方式，把貫穿于檔案數字化流程中的各個安全風險因素進行系統分析與歸納，將引發風險的各類因素劃分為實體風險、信息風險、環境風險和保障機制風險四大類別，如圖2所示。

四大類別風險貫穿檔案數字化過程的各個環節，相互聯系，互為制約，互為誘發因素，必須制定相應的對策與措施加以控制與防范。

檔案數字化工作中，檔案實體安全和檔案信息安全是檔案安全體系建設的兩個核心要求，其中檔案實體安全是基礎，是前提條件，顯得尤為重要，因為檔案實體與檔案信息緊密相連，檔案實體保護不好，檔案信息的完整、準確、安全就無從談起。

檔案部門在制定本單位、本部門檔案數字化實施方案以及相關安全管理方案、安全管理制度中要明確對檔案實體風險管理的總體要求。主要包括：明確區分涉密與非涉密檔案;制定檔案數字化掃描范圍;在數字化準備階段的各個環節中，明確接觸、拆裝、保管操作對實體檔案的保護要求;做好破損檔案的修復工作;規范檔案的清點統計與實體檔案整理的操作。在檔案數字化外包組織、招標、簽訂合同協議過程中，檔案部門必須將這些要求以書面形式提出并告之承接項目的檔案數字化服務機構，同時應將各要求寫入相關制度和合同協議中。檔案數字化服務機構必須將這些要求納入檔案數字化加工管理的各項制度中，同時要通過人員培訓、日常監督管理和責任制考核等手段，強化檔案實體風險管理的意識和要求。

六、檔案數字化風險管控的思路

檔案數字化風險管理是在檔案管理過程中對存在的潛在風險，采取有效合理的防御辦法，進行風險管控。

第一，風險管理必須識別風險。確定在檔案數字化每個環節中可能會發生哪些風險、何種風險可能會對工作過程產生何種影響、產生原因、危害類型及損失程度等。

第二，風險管理重在管控與防御。采取積極有效的預防手段，是降低檔案安全風險的關鍵之所在。

第三，風險管理要學會規避風險。規避風險發生的概率，消除風險產生的隱患，做到防患于未然。

第四，建立安全的保障體系。檔案數字化，安全保障是前提。檔案數字化是檔案信息資源建設中安全風險最大、最容易出問題的一個環節，若這個環節安全管理失控，就會造成檔案原件的丟失、損壞，以及數字化檔案信息內容不完整、不準確，甚至國家秘密被非法盜取等嚴重損失。

因此，構建科學合理的檔案數字化安全管理和風險評估預防機制至關重要。

七、結語

檔案數字化管理工作，是提高檔案內部信息與數據管理工作效率的重要途徑。數字化管理能夠建立獨立的數據庫資源，針對傳統載體檔案進行整理和分類，便于社會公眾對需求信息進行檢索。

同時，數字化檔案管理提升了檔案保存的有效性及完整性，能夠將原始紙質檔案轉換為電子文件、圖片、音像數字信息，直接進行資源的存儲，促使檔案資源更加全面細致。檔案數字化管理工作，將原有的傳統檔案轉化為數字檔案，提供了檔案信息共享等諸多便利性，但數字檔案的安全問題也愈發凸顯。檔案數字化安全管理需要從多方面、多維度考量數字檔案存在的安全風險，進行風險控制，避免安全風險對檔案管理造成不良影響。

參考文獻：

[1]劉乃蓬，張 偉.檔案數字化外包項目安全風險分析[J].中國檔案，2014

[2]王 寧.淺談數字化加工檔案原件與信息安全的管理[J].科技創新與應用，2016

[3]邱若銑，牛柏超，潘 強.試論檔案數字化中的安全保密管理工作[J].山東檔案，2016

[4]韓曉晶.檔案數字化的質量和安全保密控制[J].赤子，2015

[5]梁景芝.檔案數字化建設存在的主要風險和控制[J].檔案管理，2015

[6]袁曉智.檔案數字化實施中數字信息存儲面臨的風險及應對[J].蘭臺世界，2014

[7]馮惠玲.電子文件風險管理[M].中國人民大學出版社，2008

[8]諶志黔.檔案整理和數字化外包風險控制[J].中國檔案，2014

[9]陳 艷.我國檔案業務外包存在問題及對策分析[J].檔案天地，2016

（作者單位：寶雞文理學院檔案館）

基金項目：2021年陜西省檔案局科技項目，項目名稱：云環境下高校數字檔案館的安全策略研究，項目編號：SX-2021-R-03

作者簡介：韓卓泉（1972—），女，漢族，陜西彬州人，碩士，副研究館員，現供職于寶雞文理學院檔案館，研究方向：高校檔案管理。CA008D61-6E81-4AAA-881E-7DD8A1AFFE1D