基层单位档案室是国家档案工作组织体系中分布最广、规模最大、最基层的业务机构。基层档案安全管理专业人员和信息技术人员、安全防御设备、资金等存在明显不足。信息化发展有助于基层单位档案室的档案管理，大数据、云计算和网络技术提升了基层单位档案室档案的收集、处理、归档和利用效率，提高了档案的应用价值[1]。为了适应大数据时代的发展，基层单位档案室在加大信息化工作力度的同时也在攻坚克难，尤其是在档案资料的安全管理方面。除了传统纸质档案防水防火等安全管理问题外，数字档案工作的安全隐患还有很多。与传统纸质档案相比，基层单位电子档案数量大幅增加，电子档案数据更容易受到网络攻击，造成数据泄露、丢失等安全问题。因此，迫切需要加强基层单位档案安全管理体系建设，实施档案信息安全管理规划，规范基层单位档案管理和服务标准及流程，防范信息网络环境下档案管理的风险以保障档案资源的安全。

一、完善法律监管体系，加强行政执法和监督

地方政府要顺应档案信息化、数字化趋势，根据当地基层档案管理实际情况，依据《档案法》和《档案法实施办法》，制定档案安全相关法规，规范和管理基层单位数字档案的安全管理工作，为数字档案安全管理提供直接立法依据，避免出现“无法可依”的情况。除制定和完善有关立法外，对基层单位档案室加强行政措施亦会有助于保护档案资源，保障档案资源的安全管理以及改善有关档案资源的法律监管体系[2]。首先，必须建立一个事前和事后档案安全管理问责制度。根据现行的档案安全法规和地方各基层档案安全法规，加强基层单位档案室的安全监管力度，及时纠正或弥补档案安全管理漏洞，最大限度地减少档案管理过程中的人为安全管理问题。其次，完善内外监督机制。档案执法部门要根据实际情况建立考核评估机制，定期对执法人员的工作情况进行评估，完善档案安全监管执法的内部控制机制。最后，建立外部监督机制，提高公众对档案安全的认识程度，充分发挥社会公众的监督作用，保护档案信息资源。

二、完善技术安全体系，优化基层单位档案室安全管理技术环境

一是引进并学习海外先进的档案安全管理技术。技术风险隐患是我国基层单位档案室的关键问题。现有国内的信息安全技术和标准大多依据的是欧洲和美国以及其他发达国家的标准，他们在信息安全技术方面走在前列，因此，引进并学习海外先进的档案安全管理技术是必要的。以数字加密技术为例，美国DES（数据加密标准）技术、欧洲IDEA（国际数据加密算法）技术和日本FEAL（高速数字加密算法）技术都是比较具有代表性的经典加密方法；在防火墙技术和防病毒软件领域，信息安全技术实现了防病毒、防间谍、防垃圾邮件等[3]。我国基层单位档案室引进并学习这些先进的档案安全管理技术，集成到基层单位档案室防病毒系统，能有效防御黑客入侵，防止基本财务信息、机密信息等被盗。再例如，在数字档案安全存储方面，美国和欧洲等国家相继实施了长期数字资源存储计划，如澳大利亚的PPANDORA（保存和获取网络文献资源）计划、美国的NDIP（信息资源保存项目）计划，提供了在互联网上存储信息的可能性。苏格兰数字保存委员会和历史古迹委员会正在研究3D激光数据扫描标准以保存元数据，旨在解决档案信息长期完整性问题；为解决与信息技术发展相关的数字文档识别能力不足等难题，澳大利亚国家档案馆于2015年出台“2020数字连续性”政策，这是一项旨在确保档案信息无论在此期间技术如何更新和变化，档案管理的内部编制和处理技术都能得到持续使用的安全管理政策[4]。

二是开发和实施档案安全管理技术。我国基层单位档案室的资源不单包括公开部分，亦包括保密部分，这些档案受各种因素影响，在某些条件下不能供公众使用。因此，除了要合理地学习、设计和开发符合我国基层单位档案室实际安全管理需要的档案安全管理体系，同时也必须努力实现自主信息技术的独立、自主更新和创新发展，加快发展国家信息技术产业，扩大基层单位档案室档案成果的可控及自主利用。以档案室信息系统安全使用为例，核心技术和关键部件要选择使用具有自主研发知识产权的产品。技术人员要坚持自主创新研发思维，不断创新数据加密技术、身份认证技术、监控和检测技术、防火墙技术等，形成适应信息化时代的档案资源安全保障技术体系。各档案室要积极参与国家自主可控信息安全技术行业示范工作，参与专项课题的申报，持续推动我国自主软件与核心技术的研发，为基层单位档案室资源安全开发与利用提供技术支撑。

三、建立和完善安全管理体系，建立基层单位档案

室安全灾难响应与恢复机制

一是利用PDCA循环完善基层单位档案室档案安全管理的标准流程。为基层单位档案室运行建立稳定的管理框架和体系。我国一些基层单位档案室档案资源管理缺乏系统性的安全控制方法，可依据PDCA管理周期，根据规划（plan）、执行（do）、控制（check）和处理（act）阶段优化安全管理流程，落实到基层单位档案室档案安全管理系统的建立到实施的全过程中，确保档案安全系统的稳定运行[5]。基于PDCA循环方法的基层单位档案室档案资源安全管理过程包括四个阶段：第一阶段规划，梳理基层单位档案室档案安全的影响因素，确定档案中信息安全管理的目标，制订一套切实可行的保护档案资源安全的政策措施，分析和解决档案安全管理的问题和成因；第二阶段的工作是执行，通过具体的安全管理措施，如安全训练、安全管理宣传等，达到规划阶段所制定的档案资源安全管理目标；第三阶段是控制，控制贯穿基层单位档案室档案安全管理的全过程，检查、评估及测试档案安全管理措施成效，控制档案安全管理规划阶段和执行阶段的实施目标，确保档案资源安全管理过程的稳步实现；第四阶段是处理，主要是解决基层档案管理整个生命周期中的安全问题，评估档案安全管理在多大程度上能达到规划阶段的管理目标，实时调整并改进措施，以及如有需要继续展开新阶段的PD-CA档案安全管理流程，以配合规划阶段的安全管理任务及其他执行方案的进行，不断优化和改进基层单位档案室的档案安全管理系统。

二是健全基层单位档案室安全灾难响应与恢复机制。为了解决档案安全预警与灾害管理机制存在的问题，可以借鉴网络安全PDRR模型，加强我国基层单位档案室档案安全使用管理。PDRR模型（Protection,De-tection,Reaction,Recovery，即防护、检测、响应、恢复），以网络安全防护风险发生后应对和恢复为重点。我国基层单位档案室可以不断完善该机制，在PDRR模型的基础上改进，根据基层单位档案室实际情况逐步建立和完善档案资源安全运行机制。第一，建立和完善风险分析机制，确定主要风险因素和安全事件责任人，对安全风险水平进行分类；第二，建立和完善防御机制，采用漏洞扫描、反病毒软件等技术防御攻击和入侵；第三，建立和完善检测机制，其任务是在网络入侵后启用检测工具———入侵检测系统，发现正在发生和已经发生的网络安全事件（如检查病毒、后门等恶意代码）；第四，建立和完善应急响应机制，对网络安全事件进行跟踪、报警，进行隔离、限制或关闭处理，降低网络环境下的“蝴蝶效应”，防治网络安全危险；第五，建立和完善安全恢复机制，在网络安全遭受攻击后，解决系统缺陷，进行备份或存档。风险分析和防御机制是事前的“先发制人”，而应急响应和安全恢复机制则是事后“再教育”。

四、建设完善安全教育体系，加强档案安全培训，提高档案安全管理意识

一是提高基层单位档案室工作人员档案资源安全管理意识。鼓励基层单位档案室工作人员结合具体工作来加强碎片化学习，利用“互联网+安全教育”的模式更自由地利用时间，随时随地了解国家政策、行业技术和法律内容，使学习与工作相适应。建立高等院校和基层单位档案室联合培养机制，通过针对具体案例的风险教育，提升档案室工作人员技能和知识，使从业人员更好地了解自己的工作，认识到实施档案安全操作规范的必要性，提高档案安全管理素养。

二是提升基层档案工作人员档案资源安全保护技术。一个具有良好安全警觉性的档案管理人员，可以使档案资料受到严格监管。然而，由于网络是开放的，每个主体都可以参与档案的使用，无形中增加了泄露的风险，或者个人电脑受到攻击，从而导致系统瘫痪，档案资源可能被破坏。因此，必须采取多种方法培训基层档案管理专业人员各项技能。首先，要培训网络访问控制技术。网络访问控制可以规范用户行为，降低用户档案资源的使用风险。其次，培训安全漏洞检测技术，提高档案管理人员计算机操作的安全性，及时发现和消灭非法入侵。最后，培训病毒检测技术。由于计算机病毒具有破坏性、感染性、攻击性和隐蔽性，容易导致数据丢失和损坏。培训基层单位档案室管理人员的病毒检测技术能够使其不断掌握病毒控制方法，定期检查文件，及时清除病毒，隔离感染文件。

三是提升基层档案管理人员的创新能力。档案安全管理还需要创新思维，现在是信息化时代，档案服务变得更加智能和方便。大数据、云计算等技术的运用，使档案安全管理发生了质的变化。基层单位档案资源规模是海量的，新的管理模式下要求这些档案数据更为科学详细地分类，管理人员需要不断创新管理能力，尤其是使用大数据、云计算等技术的能力。基层档案系统对接无数客户端，为大量用户提供远程互联网服务。因此，档案管理人员要有广阔的创新思维，不断创新符合工作实践的有效方法和措施。

参考文献

[1]周丽艳.机关数字档案室建设过程中的安全保障[J].兰台世界，2022（2）：93-95.[2]曾洪周.大数据环境下数字档案室信息安全防范研究[J].城建档案，2020（9）：17-19.

[3]崔强.机关档案室信息安全管理体系建设研究[J].兰台世界，2019（7）：69-71.

[4]李春丽.初探档案室的安全保障体系建设[J].兰台世界，2014（S5）：96-98.

[5]徐雯雯，刘向红.数字化档案室建设问题探讨[J].办公室业务，2021（5）：136-137.

作者:张敏