本文以某企業為研究對象,對企業的檔案信息面臨的風險要素展開討論,從而發現在組織風險要素中包含了企業重視程度低,檔案安全管理制度缺失等不足,同時也有一些人員風險和技術風險,想要有效改善這些風險,就需要從制度,管理,技術三方面對風險要素進行有效的控制,其中包含了檔案信息安全管理制度的建立和健全,管理層和技術層也需要不斷的完善和更新。
關鍵詞:企業檔案,信息安全風險,識別風險控制
企業檔案是企業知識資產和信息資源的重要組成部分,是企業各方面活動的真實記錄,對企業市場活力提升、制度改革和文化建設等有至關重要作用。企業檔案信息安全管理是企業安全管理的重要組成部分,提前識別企業檔案信息管理存在的安全風險,有利于采取有效控制手段規避風險,促進企業檔案安全管理建設,防患于未然。本文以H企業為例,在調研基礎上探討企業檔案信息存在的安全風險及控制手段。
一、H企業概況
H企業成立于2013年,主要經營金融板塊、產業發展板塊、城市功能性設施板塊和出資人板塊等四大業務板塊,是戰略性投資的融資平臺和產業項目、城市功能性項目的先行戰略投資者。[2]隨著公司的發展壯大,檔案數量呈現指數級增長趨勢。H企業檔案工作實行二級管理制,第一級管理是指由公司綜合部負責統籌管理全公司的文書檔案工作,第二級管理是指各部門負責本部門的檔案資料使用管理工作。綜合部的檔案按文書、科技、財務、人事、聲像、實體6種檔案類別進行分類整理,公司用OA系統對電子文件進行日常管理,將部分重要的紙質檔案進行數字化掃描,加以保存。
二、企業檔案信息安全風險要素識別
企業檔案信息安全風險要素識別是對企業檔案信息安全管理工作中存在的薄弱環節進行確認。[3]在對H企業調研的基礎上,將其所面臨的企業檔案信息安全風險要素劃分為組織風險要素、人員風險要素與技術風險要素。
(一)組織風險要素
一是,企業重視程度低。企業檔案信息效益的產生具有隱蔽性和延遲性,隱蔽性即檔案部門投入清晰性和收益模糊性之間的矛盾,延遲性即檔案工作的效益要在很長一段時間后才可能顯現。[4]企業檔案信息無法快速創造經濟效益的特點使企業對其重視程度較低,檔案信息安全管理投入的資金、人力較少。以H企業為例,文書檔案工作人員僅一人且為兼管人員,檔案管理投入資金少,專門存放檔案的檔案柜和檔案安全管理設備至今尚未配備,檔案信息安全管理專業技術人員、設施設備的缺乏給企業檔案信息安全帶來了巨大風險。
二是,檔案安全管理制度缺失。企業迫切需要的檔案安全開發、利用及電子文件長期保存等相關標準尚未制定,且存在與企業檔案工作實際相脫節的情況。[5]以H企業為例,企業成立至今已4年,但尚未建立健全的檔案安全管理制度體系。面對企業檔案數量劇增與檔案安全管理制度缺失之間的尖銳矛盾,企業檔案工作者在處理文檔工作時無章可循,業務工作缺乏規范性,企業檔案信息安全管理工作缺乏制度的監督約束,檔案信息安全缺口隨之擴大。
(二)人員風險要素
企業檔案管理崗位人員流動性大是造成檔案泄密的主要原因。檔案工作者的信息安全意識和素質水平會直接影響檔案信息的安全。[6]以H企業為例,專職人員自2013年來更換了4人,企業檔案管理崗位人員可直接接觸記錄企業生產經營、戰略發展及科研技術等重要檔案信息,隨著企業人員離職跳槽向其他公司、行業流動,這部分涉及原企業商業機密的檔案信息極可能隨之外泄。
企業員工檔案安全管理意識弱也會帶來安全風險。譬如,各部門檔案收集移交不及時,會對企業檔案信息的完整性帶來風險;各部門在檔案整理、利用中造成檔案載體損毀對企業檔案信息的可用性帶來風險;企業人員出于自身利益篡改檔案信息內容,給企業檔案信息的真實性帶來風險等。
(三)技術風險要素
一是,信息系統及硬件故障。信息系統不穩定會導致檔案信息數據丟失與損壞,硬件設施故障也會給檔案信息安全帶來風險。以H企業為例,公司日常行文均通過OA系統實現,OA系統中流轉大量企業管理信息,H企業的OA系統分別于2015年8月及2016年3月出現異常引起系統崩潰,導致部分企業信息數據丟失且無法恢復。
二是,電子文件安全保障技術不成熟。如何保證企業檔案系統中電子檔案的安全,是現階段企業檔案安全管理的重難點。企業電子文件信息安全保障技術不成熟,會危及電子文件安全和正常運用。一旦系統遭遇病毒、黑客侵擾或信息載體物理損傷、外圍設備技術障礙等,都會給電子文件帶來無可挽回的損失。
三、企業檔案信息安全風險控制對策
(一)從制度層面進行控制
1.企業檔案信息安全管理制度的建立健全。健全的企業檔案信息安全管理制度應包括以下幾個方面:一是,企業檔案日常安全管理制度,如檔案保密制度、檔案安全檢查制度和檔案安全追責制度等,明確企業各部門、人員的職責,建立檔案信息安全管理的長效機制;二是,企業電子文件安全管理制度,確保電子檔案信息存儲、讀取、利用過程的安全可靠;三是,應急響應制度,建立檔案信息安全應急預案,提高企業檔案管理部門應對自然災害及突發事件的能力;四是,應急處理制度,對企業檔案信息安全風險發生后,能在第一時間采取相應措施進行處理,將風險損失降至最低。
2.企業檔案信息安全管理制度的適用。以企業檔案信息安全管理制度的適用來實現對檔案信息安全風險控制,主要從以下兩個方面著手:一方面,不同企業形成的檔案信息各有特點,安全保障要求各有不同,企業應根據本單位檔案信息安全保障的實際需求,制定符合本企業特點與需求的檔案信息安全管理制度。另一方面,企業檔案信息安全風險要素具有動態性,企業檔案信息安全管理制度應隨著新技術、新風險的出現不斷完善和更新,保證檔案信息安全管理制度在多變的信息安全風險環境中的適用性。
3.企業檔案信息安全管理制度的執行。檔案工作者是規章制度的執行者,執行力度的大小關系到檔案安全管理工作水平。[7]首先,企業應嚴格要求檔案工作者照章管理檔案,自上而下確保檔案信息安全管理制度的執行,將制度的執行納入企業管理運行程序,將公司檔案管理納入制度化軌道。其次,企業管理層要監督企業檔案信息安全管理制度的執行情況,將制度的執行與員工績效考核掛鉤,定期對制度的執行情況進行評估并根據評估結果進行相應的獎懲。
(二)從管理層面進行控制
1.分級管理。分級管理即對企業檔案信息和風險控制消減等工作進行安全等級評定,以最少的成本投入獲得最大的檔案信息安全保障效果。企業可根據檔案信息對企業生產發展作用價值大小、涉密與否來劃分重點檔案和普通檔案。企業檔案中涉及企業商業機密,記錄企業核心競爭力信息的這部分檔案是企業發展的重要戰略資源,如企業的項目檔案、科技檔案、客戶資料以及反映企業發展歷程的重大事件相關檔案等,可劃分為重點檔案,其余日常業務工作中形成的文書檔案等可劃分為普通檔案。在對所有檔案進行安全管理的同時,對重點檔案信息的安全進行重點監控,不同重要等級的檔案進行分級管理。
2.人員管理。通過人員管理來控制企業檔案信息安全風險的方式有:第一,倡導員工終身學習,針對企業檔案信息安全內涵的拓展、風險要素的類型、應對風險的技術等內容定期開展檔案信息安全管理培訓,豐富企業員工檔案信息安全保護理論知識,提高檔案信息安全保護技能水平。第二,注重對企業員工職業道德的培養,使守護企業檔案信息安全,嚴守企業檔案機密信息的崗位職責內化為員工的職業道德。第三,注重企業文化的建設,培養員工對企業的認同感和歸屬感,減少因員工離職或跳槽而造成企業機密檔案信息泄露。
3.動態管理。企業檔案信息安全是企業生產經營安全的重要組成部分,伴隨企業生存發展的始終。[8]檔案安全管理面臨的各類風險要素中,每種要素都處于不斷變化之中,某一要素的變化會引起其他要素的聯動變化。[9]因此企業應對檔案信息安全實施動態管理,即隨著新的風險點的產生,相應的保護方案、制度也應隨之保持動態發展。此外,動態管理還體現在與外界的動態關聯上,企業要與外部社會環境保持良好溝通聯系,及時掌握檔案信息風險變化的新動態。
(三)從技術層面進行控制
1.檔案信息安全技術的應用。信息安全技術指用于保障信息、信息系統和網絡安全的技術。[10]檔案信息安全技術是電子檔案信息安全的有力保障,企業可針對不同安全屬性的檔案信息采用不同的信息安全技術。在數據安全技術、網絡安全技術和檔案管理系統用戶安全技術等方面強化保護措施,運用信息技術提高企業檔案工作效率的同時,也保證企業檔案信息的安全。
2.檔案信息安全技術的更新。檔案信息安全建設是基礎性的長期工作,構建全面、能力可持續增長的安全防御體系才能保證檔案信息系統的長期安全穩定運行。[11]檔案信息安全技術是不斷發展的,企業應及時了解和掌握最新的計算機病毒、黑客技術等檔案信息存在的潛在風險,關注信息技術的更新動態,確保企業應用的檔案信息安全技術與時俱進,為企業檔案信息安全保駕護航。
四、結論
企業檔案信息安全是企業生產經營安全的重要組成部分,伴隨企業生存發展的始終。人員風險要素、組織風險要素與技術風險要素三者綜合構成威脅企業檔案信息安全的風險要素,為保障企業檔案信息安全必須從管理、制度、技術三個層面三管齊下對這些風險要素進行有效控制,深入貫徹“預防為主,防治結合”的方針,保障企業檔案信息安全無虞,讓企業檔案信息更好地服務于企業的發展。
推薦閱讀:檔案管理與檔案信息化建設
這篇檔案工程師論文發表了檔案管理與檔案信息化建設,檔案信息化建設優勢明顯,有利于內部檔案資料的長期保存,對于檔案管理至關重要,但是目前的應用中還存在一些問題,阻礙了信息化建設的發展,論文對此提出了相應對策。
相關閱讀