李貞貞 鄧露露

摘要：云環(huán)境下檔案數(shù)字資源信息安全保障問題顯現(xiàn)。為保障云環(huán)境下檔案數(shù)字資源信息安全，論文提出構(gòu)建檔案數(shù)字資源信息安全保障社會化推進(jìn)模式。立足云環(huán)境下檔案數(shù)字資源信息安全的多元主體保障體制，探究相關(guān)主體的工作責(zé)任與工作重點，對云環(huán)境下檔案數(shù)字資源社會化安全保障的協(xié)同推進(jìn)提出建議。構(gòu)建云環(huán)境下以政府為主導(dǎo)，檔案保管機(jī)構(gòu)參與，云服務(wù)商、行業(yè)組織、第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)、檔案利用者及社會公眾為社會協(xié)同力量的檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式。

關(guān)鍵詞：云環(huán)境 檔案數(shù)字資源 信息安全保障社會化協(xié)同

Abstract： The problem of information security of archives digital resources in the cloud environ？ ment becomes prominent. In order to ensure the information security of archival digital resources in the cloud environment， this paper proposes to con？ struct a socialized promotion model for safeguerd？ ing the information security of archival digital re？ sources. Based on the multi- subject guarantee system of archival digital resources information se？ curity in the cloud environment，this paper explores the responsibilities and work priorities of relevant subjects， and provides suggestions for the coordi？ nated promotion of information security guarantee of archives digital resources in the cloud environ？ ment. Under the cloud environment， a socialized collaborative promotion mode of information securi？ ty guarantee of archives digital resources is con？ structed， which is led by the government， partici？ pated by archives custodian institutions， and coordi？ nated by cloud service providers， industry organiza？ tions， trusted third-party cloud service certification institutions， archives users and the public.

Keywords： Cloud environment； Archives digital resources； Information security guarantee； Social synergy

2020年6月新修訂的《中華人民共和國檔案法》中提到要“提高檔案信息化水平”，同時新增了“第五章檔案信息化建設(shè)”的內(nèi)容。中央網(wǎng)信辦印發(fā)的《關(guān)于加強(qiáng)黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦〔2014〕14號）等文件中提到，使用云平臺有利于節(jié)約資源和提高工作效率，提升檔案信息化水平。[1]建設(shè)檔案數(shù)字資源服務(wù)云平臺，實現(xiàn)檔案資源的集成與共享，有利于充分發(fā)揮檔案的價值。在我國檔案數(shù)字資源建設(shè)中，云計算技術(shù)的加入，為節(jié)約檔案數(shù)字資源建設(shè)成本、提高檔案數(shù)字資源利用效率帶來優(yōu)勢。

云環(huán)境下，檔案部門使用云計算技術(shù)必須高度重視檔案數(shù)字資源的信息安全，而檔案數(shù)字資源信息安全保障工作涉及的主體也愈來愈多元化。相較于傳統(tǒng)檔案數(shù)字資源的保護(hù)，由于云計算技術(shù)的特點，云服務(wù)商參與到檔案數(shù)字資源安全保障過程中來。這一變化對檔案數(shù)字資源安全保障提出了新的要求，需要云服務(wù)商、行業(yè)組織、第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)、檔案利用者及社會公眾等多元主體參與到檔案數(shù)字資源信息安全保障中來，推動檔案數(shù)字資源信息安全保障向社會化方向發(fā)展。以此出發(fā)，本文將重點討論云環(huán)境下檔案數(shù)字資源信息安全保障的社會化發(fā)展及安全保障社會化協(xié)同推進(jìn)模式的構(gòu)建問題，為適應(yīng)當(dāng)前云環(huán)境下檔案數(shù)字資源信息安全保障體制提供參考。

一、云環(huán)境下檔案數(shù)字資源信息安全保障的社會化及其信息安全保障模式

采用云服務(wù)模式，推動檔案上云，意味著云服務(wù)商成為檔案數(shù)字資源服務(wù)的重要組成部分。云服務(wù)商的加入，使得檔案數(shù)字資源安全保障工作不再僅涉及檔案保管機(jī)構(gòu)一方，還將檔案數(shù)字資源信息安全保障推向社會化發(fā)展。為保障云環(huán)境下檔案數(shù)字資源安全，加強(qiáng)對檔案保管機(jī)構(gòu)和云服務(wù)商的監(jiān)督，需要吸引相關(guān)行業(yè)組織、第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)、檔案利用者及社會公眾參與，共同推動檔案數(shù)字資源信息安全保障的社會化發(fā)展。

（一）云環(huán)境下檔案數(shù)字資源信息安全保障的社會化發(fā)展

在傳統(tǒng)IT環(huán)境下，檔案數(shù)字資源信息安全保障問題主要由檔案保管機(jī)構(gòu)負(fù)責(zé)。在云環(huán)境下，云服務(wù)商成為檔案數(shù)字資源信息安全保障的重要部分。其原因在于，根據(jù)《信息安全技術(shù)云計算服務(wù)安全指南》（GB/T31167—2014）標(biāo)準(zhǔn)，一旦采用云服務(wù)模式，基礎(chǔ)設(shè)施、硬件、資源抽象控制層的安全保障都由云服務(wù)商負(fù)責(zé)。[2]《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239—2019）標(biāo)準(zhǔn)中規(guī)范了不同云服務(wù)模式下云服務(wù)商與客戶的安全責(zé)任范圍。根據(jù)選擇云服務(wù)商提供的服務(wù)類型，云計算平臺有三種服務(wù)模式，包括軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）。[3]在SaaS模式下，云服務(wù)商負(fù)責(zé)設(shè)施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應(yīng)用軟件；在Paas模式下，云服務(wù)商負(fù)責(zé)設(shè)施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺；在IaaS模式下，云服務(wù)商負(fù)責(zé)設(shè)施、硬件、資源抽象控制層。由此可見，無論采取何種云服務(wù)模式，涉及檔案數(shù)字資源信息安全的基礎(chǔ)設(shè)施、硬件、資源抽象控制層的安全保障都由云服務(wù)商負(fù)責(zé)。在云環(huán)境下，云服務(wù)商對基礎(chǔ)設(shè)施、硬件、資源抽象控制層的安全保障情況與檔案數(shù)字資源的信息安全息息相關(guān)，檔案保管機(jī)構(gòu)無法對這一部分內(nèi)容進(jìn)行控制與修改。因此，檔案數(shù)字資源的信息安全保障與云服務(wù)商密切相關(guān)，云服務(wù)商成為檔案數(shù)字資源信息安全保障的重要主體。云服務(wù)商的重要主體地位促使檔案數(shù)字資源信息安全保障的社會化發(fā)展。

在云環(huán)境下，行業(yè)組織、第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)、檔案利用者及社會公眾共同參與檔案數(shù)字資源信息安全保障。行業(yè)組織與政府協(xié)同合作，對參與檔案數(shù)字資源建設(shè)的云服務(wù)商及檔案保管機(jī)構(gòu)進(jìn)行工作評估與監(jiān)督，為預(yù)防可能出現(xiàn)的檔案數(shù)字資源信息安全問題提出建議；第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)為檔案保管機(jī)構(gòu)選擇云服務(wù)平臺提供參考，推動檔案保管機(jī)構(gòu)選擇更加可靠可信的云服務(wù)平臺，降低檔案數(shù)字資源信息安全問題出現(xiàn)風(fēng)險的概率；檔案利用者及社會公眾在瀏覽和利用檔案數(shù)字資源時，發(fā)現(xiàn)信息安全問題，將問題反饋給檔案保管機(jī)構(gòu)，幫助檔案保管機(jī)構(gòu)及時發(fā)現(xiàn)并解決檔案數(shù)字資源信息安全問題。行業(yè)組織、第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)、檔案利用者及社會公眾的參與促進(jìn)了檔案數(shù)字資源信息安全保障的社會化發(fā)展。

（二）云環(huán)境下檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式

為促進(jìn)檔案數(shù)字資源信息安全保障的社會化發(fā)展，提高云環(huán)境下檔案數(shù)字資源信息安全保障水平，筆者構(gòu)建云環(huán)境下檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式，如圖1所示。

在IaaS、PaaS、SaaS三種服務(wù)模式下，云服務(wù)商負(fù)責(zé)的安全責(zé)任有所不同。[4]但無論在何種模式下，云服務(wù)商都參與檔案數(shù)字資源信息安全保障，與此相適應(yīng)，需要加強(qiáng)檔案數(shù)字資源信息安全保障的社會化發(fā)展。因此，檔案數(shù)字資源的信息安全保障首先與檔案保管機(jī)構(gòu)和云服務(wù)商聯(lián)系緊密。同時，政府機(jī)關(guān)、隨云服務(wù)商而產(chǎn)生的第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)、參與檔案數(shù)字資源建設(shè)的行業(yè)組織、檔案利用者及社會公眾成為檔案數(shù)字資源信息安全保障的社會化協(xié)同力量的組成部分。

政府機(jī)關(guān)對檔案數(shù)字資源的信息安全保障作總體規(guī)劃，起主導(dǎo)作用。檔案保管機(jī)構(gòu)與云服務(wù)商分屬不同領(lǐng)域，受不同部門管轄。為協(xié)調(diào)檔案數(shù)字資源信息安全保障工作，實現(xiàn)對檔案保管機(jī)構(gòu)與云服務(wù)商的統(tǒng)一監(jiān)管，提高檔案數(shù)字資源信息安全保障工作的效率與協(xié)同，政府需要集中統(tǒng)一領(lǐng)導(dǎo)，打破各部門界限，促進(jìn)檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式的建立。

檔案保管機(jī)構(gòu)作為檔案數(shù)字資源的擁有者和管理者，是檔案數(shù)字資源信息安全保障中的參與主體。在檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式中，檔案保管機(jī)構(gòu)要明確自身主體責(zé)任；要選擇可信賴的云服務(wù)商合作，在合作過程中時刻保持對云服務(wù)商的監(jiān)督；要建立相關(guān)組織協(xié)同機(jī)制，在相關(guān)組織的協(xié)同下推進(jìn)檔案數(shù)字資源信息安全保障工作；要完善內(nèi)部管理機(jī)制，積極適應(yīng)檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式。

云服務(wù)商、行業(yè)組織、第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)、檔案利用者及社會公眾構(gòu)成檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)的社會力量，它們從各自領(lǐng)域出發(fā)，為檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式的構(gòu)建貢獻(xiàn)力量。

二、云環(huán)境下檔案數(shù)字資源信息安全保障中的政府主導(dǎo)

在檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)中，政府主導(dǎo)表現(xiàn)在相關(guān)職能部門的建立、云環(huán)境下檔案數(shù)字資源信息安全問題的法律法規(guī)和標(biāo)準(zhǔn)建設(shè)、政府與相關(guān)社會組織的協(xié)同保障機(jī)制構(gòu)建等方面。

（一）政府相關(guān)職能部門的建立

政府參與檔案數(shù)字資源信息安全保障工作要通過設(shè)立面向檔案數(shù)字資源的信息安全職能部門實現(xiàn)。一是面向檔案保管機(jī)構(gòu)的檔案數(shù)字資源信息安全保障部門，對各級檔案保管機(jī)構(gòu)起領(lǐng)導(dǎo)作用，主要工作是對檔案保管機(jī)構(gòu)工作進(jìn)行指導(dǎo)監(jiān)督、制定具體的檔案數(shù)字資源信息安全保障制度。二是面向云服務(wù)商的信息安全保障部門，即信息安全職能部門，其可以委托第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)，吸納檔案領(lǐng)域、云計算行業(yè)的相關(guān)專家成立臨時性監(jiān)察小組，對云服務(wù)商的工作進(jìn)行監(jiān)督檢查。三是檔案數(shù)字資源信息安全保障的社會化議事協(xié)調(diào)部門，由于檔案數(shù)字資源信息安全保障工作涉及主體多元化且隸屬不同部門，溝通協(xié)調(diào)易受阻，為保障檔案數(shù)字資源信息安全保障工作的統(tǒng)一性、協(xié)調(diào)性，設(shè)置信息安全保障議事協(xié)調(diào)部門有利于打破部門限制，提高工作效率。信息安全保障議事協(xié)調(diào)部門主要為檔案保管機(jī)構(gòu)與云服務(wù)商搭建橋梁，提供議事合作平臺。

（二）相關(guān)法律法規(guī)和標(biāo)準(zhǔn)體系建設(shè)

目前，有關(guān)云環(huán)境下檔案數(shù)字資源信息安全問題的法律法規(guī)和標(biāo)準(zhǔn)體系缺乏。盡管我國檔案相關(guān)法律的制定與修訂從未間斷，但少見有關(guān)云環(huán)境下檔案數(shù)字資源信息安全保障的相關(guān)規(guī)定，[5]相關(guān)標(biāo)準(zhǔn)體系仍然處于空白狀態(tài)。目前，我國檔案相關(guān)法律仍然顯露出如對現(xiàn)實問題覆蓋范圍不夠全面、時效性較弱和操作實踐性有待提高等問題。由此可見，我國有關(guān)云環(huán)境下檔案數(shù)字資源的法律法規(guī)和標(biāo)準(zhǔn)體系缺乏，這使得云環(huán)境下檔案保管機(jī)構(gòu)在處理出現(xiàn)的檔案數(shù)字資源安全問題或云服務(wù)商為檔案數(shù)字資源提供上云服務(wù)時，有時會面臨無法可依、無制度可循的局面。因此，為適應(yīng)構(gòu)建檔案數(shù)字資源信息安全保障的社會化協(xié)同推進(jìn)模式，云環(huán)境下檔案數(shù)字資源信息安全的相關(guān)法律法規(guī)和標(biāo)準(zhǔn)體系建設(shè)也尤為重要。

（三）政府與相關(guān)社會組織的協(xié)同保障機(jī)制構(gòu)建

在政府主導(dǎo)下，為有效推動云環(huán)境下檔案數(shù)字資源信息安全保障工作，需要構(gòu)建政府與社會組織協(xié)同保障機(jī)制。一是與檔案領(lǐng)域行業(yè)組織和云計算行業(yè)組織協(xié)同。政府與檔案領(lǐng)域行業(yè)組織協(xié)同，加強(qiáng)對檔案保管機(jī)構(gòu)的監(jiān)督，促進(jìn)檔案保管機(jī)構(gòu)完善檔案數(shù)字資源信息安全保障工作；與云計算行業(yè)組織協(xié)同，云計算行業(yè)組織可以從其自身專業(yè)角度出發(fā)，對云服務(wù)商的工作水平進(jìn)行評估，同時對云服務(wù)商的工作進(jìn)行監(jiān)督。結(jié)合兩個行業(yè)組織的建議，對檔案數(shù)字資源信息安全保障工作的總體情況進(jìn)行評估，為進(jìn)一步提高檔案數(shù)字資源信息安全保障水平提供建議。二是與第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)協(xié)同，對云服務(wù)商的信息安全保障工作進(jìn)行評估考證。為規(guī)范第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)，政府要建立第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)準(zhǔn)入和監(jiān)督機(jī)制，確保第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)合法合理，其提供的考評認(rèn)證信息可靠可信。[6]三是與檔案利用者和社會公眾協(xié)同，主要表現(xiàn)在了解檔案利用者和社會公眾接受檔案數(shù)字資源服務(wù)時的體驗與評價，以便發(fā)現(xiàn)檔案數(shù)字資源信息安全保障中的問題，為信息安全監(jiān)管提供依據(jù)。

三、云環(huán)境下檔案數(shù)字資源安全保障中的檔案保管機(jī)構(gòu)參與

在云環(huán)境下，檔案保管機(jī)構(gòu)是檔案數(shù)字資源信息安全保障的關(guān)鍵，直接對檔案數(shù)字資源的信息安全問題負(fù)主要責(zé)任。為體現(xiàn)主體地位、落實主體責(zé)任，保障檔案數(shù)字資源信息安全保障的社會化協(xié)同推進(jìn)模式的構(gòu)建，檔案保管機(jī)構(gòu)要做到明確主體責(zé)任、建立對云服務(wù)商的監(jiān)督機(jī)制、構(gòu)建與相關(guān)組織機(jī)構(gòu)的協(xié)同機(jī)制、組織人員培訓(xùn)等工作。

（一）明確主體責(zé)任

檔案保管機(jī)構(gòu)既是檔案數(shù)字資源信息安全保障的主體，也是信息安全的責(zé)任主體。云環(huán)境下，檔案保管機(jī)構(gòu)將檔案數(shù)字資源上傳至云服務(wù)平臺，云服務(wù)平臺的建設(shè)與維護(hù)由云服務(wù)商負(fù)責(zé)，檔案保管機(jī)構(gòu)降低了對檔案數(shù)字資源的控制力。這意味著，檔案數(shù)字資源上云后，其信息安全管理職責(zé)轉(zhuǎn)移至云服務(wù)商。考慮到檔案數(shù)字資源的信息安全，檔案保管機(jī)構(gòu)往往加強(qiáng)對云服務(wù)商的監(jiān)督，從而容易忽視自身的信息安全保障主體身份。但事實上，檔案數(shù)字資源的責(zé)任主體并未發(fā)生改變，即如果發(fā)生云安全事故，最終責(zé)任主體仍然是檔案保管機(jī)構(gòu)。因此，檔案保管機(jī)構(gòu)在進(jìn)行檔案數(shù)字資源信息安全保障工作時，要明確自身的信息安全保障主體與責(zé)任主體身份。[7-8]

（二）建立對云服務(wù)商的監(jiān)督機(jī)制

檔案數(shù)字資源信息安全保障與云服務(wù)商密切聯(lián)系，對云服務(wù)商的監(jiān)管缺失是云環(huán)境下檔案數(shù)字資源信息安全風(fēng)險的主要因素之一。[9]檔案保管機(jī)構(gòu)在開展檔案數(shù)字資源信息安全保障工作時，需要建立對云服務(wù)商的監(jiān)督機(jī)制，加強(qiáng)對云服務(wù)商的監(jiān)督。一是在前期選擇時，要選擇發(fā)展成熟的云服務(wù)商，同時簽訂合同協(xié)議，明確規(guī)定云服務(wù)商的責(zé)任范圍與工作質(zhì)量要求，明確檔案保管機(jī)構(gòu)擁有的合法監(jiān)督權(quán)，為監(jiān)督提供依據(jù)。二是在云服務(wù)過程中，關(guān)注云服務(wù)商信息安全保障工作的開展情況，督促云服務(wù)商定期排查可能出現(xiàn)的安全風(fēng)險，定期開展云服務(wù)平臺安全檢查和評估，[10]針對可能出現(xiàn)的信息安全風(fēng)險，提前制定預(yù)防方案。三是要求云服務(wù)商定期匯報對檔案數(shù)字資源云服務(wù)平臺信息安全隱患排查情況、云計算平臺軟硬件的維護(hù)情況等工作，檔案保管機(jī)構(gòu)可以建立信息安全評估小組，對云服務(wù)商提交的工作匯報內(nèi)容進(jìn)行評估，并提出針對性意見。

（三）構(gòu)建與相關(guān)組織機(jī)構(gòu)的協(xié)同機(jī)制

檔案保管機(jī)構(gòu)在開展檔案數(shù)字資源信息安全保障工作時要加強(qiáng)與相關(guān)組織機(jī)構(gòu)的協(xié)同。一是與第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)協(xié)同，充分利用第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)對云服務(wù)商的評估結(jié)果，結(jié)合檔案數(shù)字資源信息安全保障的特點，選擇可信賴的云服務(wù)商，提高云服務(wù)商所提供服務(wù)的安全保障程度。二是與行業(yè)組織協(xié)同，吸收檔案領(lǐng)域行業(yè)專家的建議，積極進(jìn)行交流合作，聽取經(jīng)驗教訓(xùn)，提高信息安全保障能力。三是與檔案利用者和社會公眾協(xié)同，主動接受檔案利用者和社會公眾的監(jiān)督，通過反饋發(fā)現(xiàn)問題、解決問題。

（四）組織人員培訓(xùn)

云環(huán)境下檔案數(shù)字資源信息安全保障工作的開展對檔案工作人員要求嚴(yán)格，不僅要求檔案工作人員具備檔案專業(yè)能力，還需要擁有一定的信息技術(shù)水平。這是因為云環(huán)境下檔案數(shù)字資源信息安全涉及的風(fēng)險廣泛，如物理環(huán)境安全、訪問操作安全等，具有顯著區(qū)別于傳統(tǒng)IT環(huán)境下的信息安全問題。因此，檔案保管機(jī)構(gòu)在招聘檔案工作人員時，需結(jié)合云環(huán)境下檔案數(shù)字資源的特點，選擇在云服務(wù)方面經(jīng)驗豐富的人員。同時，要加強(qiáng)對檔案工作人員信息安全方面的培訓(xùn)，提升其信息安全意識與能力。開展針對性的信息安全培訓(xùn)，可以從以下幾個方面展開：組織信息安全專題培訓(xùn)活動，幫助檔案工作人員了解云環(huán)境下檔案數(shù)字資源信息安全保障工作的特殊性，豐富其信息安全知識，提升其信息安全意識；制定考核機(jī)制，定期對檔案工作人員的信息安全專業(yè)能力及工作情況進(jìn)行考核，了解其信息安全工作開展情況；結(jié)合考核情況，制定階段性的信息安全工作計劃，推動檔案工作人員信息安全能力的提高；完善信息安全工作的獎懲制度，以提高檔案工作人員的工作積極性。

四、云環(huán)境下檔案數(shù)字資源信息安全保障中的社會協(xié)同

云環(huán)境下，社會組織通過各種方式參與檔案數(shù)字資源信息安全保障，共同促進(jìn)檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式的構(gòu)建。

（一）云服務(wù)商

云服務(wù)商是云環(huán)境下檔案數(shù)字資源信息安全保障中的社會協(xié)同的主要角色，直接關(guān)系檔案數(shù)字資源的信息安全。云服務(wù)商可以從以下四個方面參與檔案數(shù)字資源信息安全保障。第一，保障云服務(wù)平臺的安全性。在云服務(wù)環(huán)境下，云服務(wù)平臺的檔案數(shù)字資源隨時可能遭受病毒和黑客攻擊，云服務(wù)商要采取有效措施，保障云服務(wù)平臺與檔案數(shù)字資源的安全。第二，自覺接受政府、檔案保管機(jī)構(gòu)及其他社會組織的監(jiān)督。遵守國家有關(guān)云服務(wù)及檔案數(shù)字資源信息安全保障的法律法規(guī)及行業(yè)規(guī)范，聽取意見建議，及時糾正工作中的不足。云服務(wù)商主動學(xué)習(xí)檔案數(shù)字資源信息安全保障措施，與檔案保管機(jī)構(gòu)密切聯(lián)系，將云服務(wù)工作與檔案數(shù)字資源信息安全保障融合，提高檔案數(shù)字資源的安全性。第三，加強(qiáng)云服務(wù)平臺的管理，定期開展工作總結(jié)與反思。在云計算安全建設(shè)中，“三分靠技術(shù)，七分靠管理”的策略同樣重要，[11]良好的管理有利于推動檔案數(shù)字資源信息安全保障工作的開展。云服務(wù)商需要結(jié)合檔案數(shù)字資源信息安全保障的特點，制定針對性管理計劃，實施專門化、制度化管理，定期排查威脅檔案數(shù)字資源信息安全的風(fēng)險與隱患。第四，引進(jìn)先進(jìn)信息安全技術(shù)，提高面向檔案數(shù)字資源的云服務(wù)水平。檔案信息安全是檔案工作的重中之重，云服務(wù)商需結(jié)合檔案數(shù)字資源的特點，提高其信息安全保障的專業(yè)化水平。

（二）行業(yè)組織

參與檔案數(shù)字資源信息安全保障的行業(yè)組織主要包括檔案領(lǐng)域行業(yè)組織和云計算行業(yè)組織。檔案領(lǐng)域行業(yè)組織和云計算行業(yè)組織作為云環(huán)境下檔案數(shù)字資源信息安全保障中的社會協(xié)同的重要組成部分，與政府機(jī)關(guān)和檔案保管機(jī)構(gòu)合作，為保障檔案數(shù)字資源信息安全貢獻(xiàn)力量。檔案領(lǐng)域行業(yè)組織與政府機(jī)關(guān)合作，為云環(huán)境下檔案數(shù)字資源信息安全法規(guī)制度建設(shè)提出建議，參與相關(guān)行業(yè)標(biāo)準(zhǔn)制定；檔案領(lǐng)域行業(yè)組織作為檔案領(lǐng)域的重要力量與組成部分，要加強(qiáng)與檔案保管機(jī)構(gòu)的交流與合作，與檔案保管機(jī)構(gòu)協(xié)同推進(jìn)檔案數(shù)字資源信息安全保障工作的發(fā)展與進(jìn)步。云計算行業(yè)組織可以參與云服務(wù)商工作評估，協(xié)同政府機(jī)關(guān)與檔案保管機(jī)構(gòu)對云服務(wù)商的信息安全保障工作進(jìn)行監(jiān)督。云計算行業(yè)組織要加強(qiáng)行業(yè)自律，嚴(yán)格遵守國家相關(guān)行業(yè)規(guī)范及檔案數(shù)字資源信息安全保障規(guī)范，不斷提高專業(yè)技術(shù)水平，促進(jìn)云服務(wù)專業(yè)化發(fā)展，如結(jié)合檔案數(shù)字資源信息安全問題的特點，制定檔案數(shù)字資源信息安全保障的云服務(wù)策略，推動云計算行業(yè)組織的專業(yè)化、高質(zhì)量發(fā)展。

（三）第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)

第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)的成員包括檔案領(lǐng)域行業(yè)組織、云計算行業(yè)組織等相關(guān)專家，其為檔案數(shù)字資源上云提供參考。第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)對市場中的云服務(wù)商進(jìn)行專業(yè)考評認(rèn)證，考察內(nèi)容包括云服務(wù)平臺的安全等級及云服務(wù)平臺作為檔案數(shù)字資源服務(wù)平臺是否安全可靠。通過考察生成考評結(jié)果，為檔案機(jī)構(gòu)選擇云服務(wù)商提供數(shù)據(jù)參考。第三方可信云服務(wù)認(rèn)證機(jī)構(gòu)的考評結(jié)果為檔案保管機(jī)構(gòu)選擇安全可信的云服務(wù)商提供參考，減少檔案保管機(jī)構(gòu)與不同云服務(wù)商溝通的成本，提高了云環(huán)境下檔案數(shù)字資源信息安全保障工作的效率。

（四）檔案利用者及社會公眾

檔案利用者及社會公眾主要通過監(jiān)督方式參與檔案數(shù)字資源信息安全保障工作。當(dāng)檔案利用者及社會公眾發(fā)現(xiàn)信息安全問題時，可以通過線下監(jiān)督舉報平臺行使監(jiān)督權(quán)，將發(fā)現(xiàn)的信息安全隱患曝光或反饋至檔案保管機(jī)構(gòu)，幫助檔案保管機(jī)構(gòu)發(fā)現(xiàn)和重視信息安全問題，避免出現(xiàn)更大的信息安全事故。此外，檔案利用者及社會公眾還可以利用線上電子郵件、系統(tǒng)評價、微博微信留言等方式將意見反饋至檔案保管機(jī)構(gòu)。

五、結(jié)語

云環(huán)境下，構(gòu)建以政府為主導(dǎo)、檔案保管機(jī)構(gòu)為主體、社會力量協(xié)同的檔案數(shù)字資源信息安全保障的社會化協(xié)同推進(jìn)模式需要各參與主體的共同努力。檔案數(shù)字資源信息安全保障社會化協(xié)同推進(jìn)模式有利于檔案數(shù)字資源信息安全保障工作順利開展、工作效率與質(zhì)量逐步提高。在這一模式下，云環(huán)境下的檔案數(shù)字資源信息安全保障社會化程度進(jìn)一步提高，信息安全保障效力進(jìn)一步增強(qiáng)，能夠有效面對更多機(jī)遇與挑戰(zhàn)。

注釋及參考文獻(xiàn)：

[1]國家檔案局辦公室.關(guān)于檔案部門使用政務(wù)云平臺過程中加強(qiáng)檔案信息安全管理的意見[EB/OL].[2020-05-28]. https： //www. saac. gov. cn /daj /tzgg/ 202005/9885bb218bb9452eb56c30aa27e28e1a.shtml.

[2][8]何思源，劉越男.政務(wù)云環(huán)境中的檔案安全保障生態(tài)模型與策略研究[J].圖書館論壇，2021，41（7）：68-77.

[3]馬力，祝國邦，陸磊.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239—2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019 （2）：77-84.

[4][6]胡昌平，呂美嬌，林鑫.云環(huán)境下國家學(xué)術(shù)信息資源社會化安全保障的協(xié)同推進(jìn)[J].情報理論與實踐，2018，41（2）：34-38.

[5]聶云霞，盧丹丹.云環(huán)境下數(shù)字檔案資源利用的倫理審視[J].檔案學(xué)通訊，2021（6）：22-30.

[7][10]李貞貞，李金璐.云環(huán)境下我國檔案數(shù)字資源信息安全保障體制建設(shè)[J].北京檔案，2022（1）：15-19.

[9]何思源，劉越男.檔案上云安全嗎？政務(wù)云環(huán)境中的檔案安全風(fēng)險分析[J].檔案學(xué)研究，2021 （3）：97-105.

[11]曾薩，黃新榮.檔案信息系統(tǒng)云安全等級保護(hù)需求與策略[J].檔案管理，2019（6）：30-33；36.

作者單位：湖北大學(xué)歷史文化學(xué)院