学校档案信息风险防护结构体系构建

陶玉红

摘 要：学校档案作为各项事务发展以及教学、科研等工作开展基础保障，“互联网+”时代背景下，档案管理逐渐实现信息化，学校档案进入新阶段。学校档案实现信息化，为学校各项工作带来优势的同时，受多方面因素影响，信息安全管理面临新的挑战，需基于其档案全生命周期分阶段进行系统性分析，准确识别各阶段信息安全面临的风险，制定行之有效的管理防护措施。本文阐述信息化背景下学校档案信息资源特征，以及档案信息化生命周期及其风险管理，分析档案信息化风险要素识别及安全防护存在问题，提出构建信息风险防护体系策略。

关键词：学校;档案信息化;档案管理;防护策略

伴随信息时代不断创新改革，学校内部形成档案资料呈爆发式增长，为进一步有效提升档案信息管理效率，积极实现档案管理信息化，但信息安全仍是目前难以解决的瓶颈。为进一步保证档案信息安全性，我国相继出台多项政策，如2018年国家档案局出台相应的《档案馆安全风险评估指标体系》，其中明确规定对档案信息安全风险评估依据、方法以及内容。该背景下，应充分应用风险识别方法，在学校档案信息化全生命周期过程中，分析其存在隐患风险，并构建完善的风险应对措施，以此形成高质量信息风险管理体系极为迫切。

一、信息化背景下学校档案信息资源特点

信息时代背景下，学校档案信息化管理不断深入，其资源特征主要体现在以下几方面：一是对软硬件系统的依赖。传统学校档案信息的记录，多依附于纸张等载体，此种记录符号均可通过人工识别，而处于信息化背景下，信息以数字编码形式呈现于电子化载体上。信息化时代背景下，档案信息安全着重点逐渐从人工识别至机器识别，导致对软硬件设备具有较强的依赖性。此外，技术层面不断更新，一定程度变更信息识别及存储方法，加剧档案信息管理难度。二是存储密度高。电子档案信息存储初期兴起时，多依附于磁盘和光盘保存方式，随着信息技术高速发展，移动硬盘可存储的信息不断扩大，有效节约档案存储空间，为档案信息提出新的要求。三是载体间分离。信息化背景下，档案信息突破实体档案局限，促使其加工和管理更具自由化，此种分离特性促使档案易被修改，且不会留存相应的修改痕迹。同时，可直接完成信息复制，且与原始电子档案资料保持一致，为信息传输提供便捷。四是信息构成复杂。学校档案传统信息构成较为单一，一般一种载体可实现一种格式文件储存，信息化背景下，档案信息构成更具多元化，多种格式可集成在一个文件资料上，便于直观方式呈现档案信息。

二、学校档案信息化生命周期风险管理及其要素识别

1.学校档案信息化生命周期管理。学校档案实现信息化管理，核心是基于档案建设管理部门统一组织下，充分利用信息技术，将档案信息资源实现数字化管理及利用，档案管理模式逐渐从实体趋于过程管理，更强调档案信息全生命周期管理，其主要包含四个阶段，即档案采集与形成、档案存储与积累、档案共享与再利用、档案延期与销毁。以下根据档案信息化全生命周期，分阶段准确辨别风险以及管理控制点，主要体现在以下几方面：

档案采集与形成阶段风险管理。该阶段中核心构成是两大模块，一方面是数字档案形成，以电子文件严格依照相关流程完成移交;另一方面实体档案数字化收集工作，核心强调纸质档案实现数字化加工，将其转化成电子化、数字化信息资料，将上述两方面档案信息直接与学校档案信息管理系统衔接，可启动资料应用服务。立足档案信息化收集和形成整个流程观测，核心重点包含两方面：其一，过程管理风险，不仅包含合同风险、档案保密风险，而且涉及档案保密风险、数据挂接风险;其二，硬件设备技术风险，不仅包含数字化设备性能风险、服务器容量风险，而且涉及数据库安全、设备存储介质安全。对该阶段档案信息风险有效控制，直接决定档案信息完整性及可靠性。

档案存储与积累阶段风险管理。该阶段主要目标是保持历史真实面貌，将衔接于档案信息系统中档案，需根据其实际性质划分类别。该阶段风险管控核心包含管理和技术，其中管理风险包含安全制度风险、人员管理风险;技术方面涉及网络安全风险、主机安全风险等。

档案共享与再利用风险管理。该阶段主要强调对学校档案信息共享及利用，将档案视为可重复性利用数据材料。其中风险管理主要包含技术和管理，管理体现在运维管理风险、权限管理;技术持续性存储风险、数据安全风险。该阶段档案信息风险控制，直接影响档案信息可读性、保密性。

档案延期与销毁阶段风险管理。该阶段是对档案进行合适处理，该阶段风险管理，主要包含延期界线确定、延期数据确定、销毁流程监控管理及保密管理。

2.档案信息化风险要素识别。为进一步加强档案信息化建设提供风险管理，以及行之有效的措施，档案信息化建设国家标准出台相应的GB/T24353-2018，为档案信息风险管控提供便捷。伴随学校档案领域实现数字化、信息化，风险管理系统日趋完善，但档案信息化建设中将核心放置于档案数字化资源以及电子文件利用，数字化档案管理缺乏明晰性、规范性问题日渐凸显，并提出构建风险管理流程及方案。档案信息化管理识别，主要是立足信息化建设目标层面，对其影响因素进行准确辨别，将其风险基本特征进行归纳总结。学校档案信息化建设，核心目标是保证档案资料多个要求，即真实、完整、可靠、可用、可读以及保密，其中真实性是指数字档案真实性，可全面反映事实真相，始终保持在最初和存儲状态;完整性是档案信息内部包含内容、数据以及信息是完整性;可靠性信息利用过程中，出现故障频次较低，为使用者安全使用提供保证;可用是档案信息通过授权之后，与计算机进行衔接，流畅完成信息访问及接收;可读是档案信息可被现有软硬件系统识别，以及获取相应的数据信息;保密是档案信息持续性存储过程中，避免将其中相关信息泄露，以免造成严重损失。识别学校档案信息化管理风险方式较多，不仅包含核对表法、流程图法，而且涉及目标偏离法等;核对表法是将风险事件整合成表格形式，逐项对其风险进行审核识别;流程图法是构建完善的全活动流程图和分流程图，不仅可直观呈现工作流程，而且可将流程与预想进行比对，为全面分析及掌握风险实际发生具体环节;目标偏离法主要是利用目标偏离识别及判定风险，根据实际状况，创设预期目标，将最终结果与初始目标进行对比，即确定为目标偏差。