企业档案信息安全风险要素识别与控制.docx

企业档案信息安全风险要素识别与控制 　　摘要：以H企业为例，在调研的基础上对企业档案信息面临的风险要素进行识别，总结出组织风险要素包括企业重视程度低和档案安全管理制度缺失；人员风险要素包括档案管理岗位人员流动性大造成档案泄密和员工档案安全管理意识弱；技术风险要素包括信息系统、硬件故障和电子文件安全保障技术不成熟。提出从制度、管理、技术三个层面三管齐下对风险要素进行有效控制，制度层次包括档案信息安全管理制度的建立健全和适用；管理层次包括进行分级管理、人员管理和动态管理；技术层次包括信息安全技术的应用和更新。  　　关键词：企业档案信息安全风险识别风险控制  　　企业档案是企业知识资产和信息资源的重要组成部分，[1]是企业各方面活动的真实记录，对企业市场活力提升、制度改革和文化建设等有至关重要作用。企业档案信息安全管理是企业安全管理的重要组成部分，提前识别企业档案信息管理存在的安全风险，有利于采取有效控制手段规避风险，促进企业档案安全管理建设，防患于未然。本文以H企业为例，在调研基础上探讨企业档案信息存在的安全风险及控制手段。  　　一、H企业概况  　　H企业成立于2013年，主要经营金融板块、产业发展板块、城市功能性设施板块和出资人板块等四大业务板块，是战略性投资的融资平台和产业项目、城市功能性项目的先行战略投资者。[2]随着公司的发展壮大，档案数量呈现指数级增长趋势。H企业档案工作实行二级管理制，第一级管理是指由公司综合部负责统筹管理全公司的文书档案工作，第二级管理是指各部门负责本部门的档案资料使用管理工作。综合部的档案按文书、科技、财务、人事、声像、实体6种档案类别进行分类整理，公司用OA系统对电子文件进行日常管理，将部分重要的纸质档案进行数字化扫描，加以保存。  　　二、企业档案信息安全风险要素识别  　　企业档案信息安全风险要素识别是对企业档案信息安全管理工作中存在的薄弱环节进行确认。[3]在对H企业调研的基础上，将其所面临的企业档案信息安全风险要素划分为组织风险要素、人员风险要素与技术风险要素。  　　（一）组织风险要素  　　一是，企业重视程度低。企业档案信息效益的产生具有隐蔽性和延迟性，隐蔽性即档案部门投入清晰性和收益模糊性之间的矛盾，延迟性即档案工作的效益要在很长一段时间后才可能显现。[4]企业档案信息无法快速创造经济效益的特点使企业对其重视程度较低，档案信息安全管理投入的资金、人力较少。以H企业为例，文书档案工作人员仅一人且为兼管人员，档案管理投入资金少，专门存放档案的档案柜和档案安全管理设备至今尚未配备，档案信息安全管理专业技术人员、设施设备的缺乏给企业档案信息安全带来了巨大风险。  　　二是，档案安全管理制度缺失。企业迫切需要的档案安全开发、利用及电子文件长期保存等相关标准尚未制定，且存在与企业档案工作实际相脱节的情况。[5]以H企业为例，企业成立至今已4年，但尚未建立健全的档案安全管理制度体系。面对企业档案数量剧增与档案安全管理制度缺失之间的尖锐矛盾，企业档案工作者在处理文档工作时无章可循，业务工作缺乏规范性，企业档案信息安全管理工作缺乏制度的监督约束，档案信息安全缺口随之扩大。  　　（二）人员风险要素  　　企业档案管理岗位人员流动性大是造成档案泄密的主要原因。档案工作者的信息安全意识和素质水平会直接影响档案信息的安全。[6]以H企業为例，专职人员自2013年来更换了4人，企业档案管理岗位人员可直接接触记录企业生产经营、战略发展及科研技术等重要档案信息，随着企业人员离职跳槽向其他公司、行业流动，这部分涉及原企业商业机密的档案信息极可能随之外泄。  　　企业员工档案安全管理意识弱也会带来安全风险。譬如，各部门档案收集移交不及时，会对企业档案信息的完整性带来风险；各部门在档案整理、利用中造成档案载体损毁对企业档案信息的可用性带来风险；企业人员出于自身利益篡改档案信息内容，给企业档案信息的真实性带来风险等。  　　（三）技术风险要素  　　一是，信息系统及硬件故障。信息系统不稳定会导致档案信息数据丢失与损坏，硬件设施故障也会给档案信息安全带来风险。以H企业为例，公司日常行文均通过OA系统实现，OA系统中流转大量企业管理信息，H企业的OA系统分别于2015年8月及2016年3月出现异常引起系统崩溃，导致部分企业信息数据丢失且无法恢复。  　　二是，电子文件安全保障技术不成熟。如何保证企业档案系统中电子档案的安全，是现阶段企业档案安全管理的重难点。企业电子文件信息安全保障技术不成熟，会危及电子文件安全和正常运用。一旦系统遭遇病毒、黑客侵扰或信息载体物理损伤、外围设备技术障碍等，都会给电子文件带来无可挽回的损失。  　　三、企业档案信息安全风险控制对策  　　（一）从制度层面进行控制  　　1.企业档案信息安全管理制度的建立健全。健全的企业档案信息安全管理制度应包括以下几个方面：一是，企业档案日常安全管理制度，如档案保密制度、档案安全检查制度和档案安全追责制度等，明确企业各部门、人员的职责，建立档案信息安全管理的长效机制；二是，企业电子文件安全管理制度，确保电子档案信息存储、读取、利用过程的安全可靠；三是，应急响应制度，建立档案信息安全应急预案，提高企业档案管理部门应对自然灾害及突发事件的能力；四是，应急处理制度，对企业档案信息安全风险发生后，能在第一时间采取相应措施进行处理，将风险损失降至最低。  　　2.企业档案信息安全管理制度的适用。以企业档案信息安全管理制度的适用来实现对档案信息安全风险控制，主要从以下两个方面着手：一方面，不同企业形成的档案信息各有特点，安全保障要求各有不同，企业应根据本单位档案信息安全保障的实际需求，制定符合本企业特点与需求的档案信息安全管理制度。另一方面，企业档案信息安全风险要素具有动态性，企业档案信息安全管理制度应随着新技术、新风险的出现不断完善和更新，保证档案信息安全管理制度在多变的信息安全风险环境中的适用性。  　　3.企业档案信息安全管理制度的执行。档案工作者是规章制度的执行者，执行力度的大小关系到档案安全管理工作水平。[7]首先，企业应严格要求档案工作者照章管理档案，自上而下确保档案信息安全管理制度的执行，将制度的执行纳入企业管理运行程序，将公司档案管理纳入制度化轨道。其次，企业管理层要监督企业档案信息安全管理制度的执行情况，将制度的执行与员工绩效考核挂钩，定期对制度的执行情况进行评估并根据评估结果进行相应的奖惩。  　　（二）从管理层面进行控制  　　1.分级管理。分级管理即对企业档案信息和风险控制消减等工作进行安全等级评定，以最少的成本投入获得最大的档案信息安全保障效果。企业可根据档案信息对企业生产发展作用价值大小、涉密与否来划分重点档案和普通档案。企业档案中涉及企业商业机密，记录企业核心竞争力信息的这部分档案是企业发展的重要战略资源，如企业的项目档案、科技档案、客户资料以及反映企业发展历程的重大事件相关档案等，可划分为重点档案，其余日常业务工作中形成的文书档案等可划分为普通档案。在对所有档案进行安全管理的同时，对重点档案信息的安全进行重点监控，不同重要等级的档案进行分级管理。  　　2.人员管理。通过人员管理来控制企业档案信息安全风险的方式有：第一，倡导员工终身学习，针对企业档案信息安全内涵的拓展、风险要素的类型、应对风险的技术等内容定期