一、建立電子檔案信息安全評(píng)價(jià)指標(biāo)體系的必要性
　　信息技術(shù)在檔案管理中的廣泛應(yīng)用，一方面提高了檔案工作的效率，擴(kuò)大了檔案的社會(huì)影響力；另一方面也對(duì)檔案工作提出了新的要求，例如存儲(chǔ)介質(zhì)的不穩(wěn)定、技術(shù)過(guò)時(shí)、黑客入侵、電腦病毒破壞等都使得電子檔案信息的安全保護(hù)面臨著前所未有的挑戰(zhàn)。
　　在2002年國(guó)家檔案局頒發(fā)的《全國(guó)檔案信息化建設(shè)實(shí)施綱要》和近期各省市的“十一五檔案信息化建設(shè)綱要”中都提出了“檔案信息安全保障體系建設(shè)”，但仍缺乏深入、系統(tǒng)的探討。電子檔案信息的安全管理是一個(gè)過(guò)程，而不是一個(gè)產(chǎn)品，我們不能期望通過(guò)一個(gè)安全產(chǎn)品就能把所有的安全問(wèn)題都解決。對(duì)各檔案管理系統(tǒng)來(lái)說(shuō)，解決電子檔案信息安全的首要問(wèn)題就是要識(shí)別自身信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，包括這些風(fēng)險(xiǎn)可能帶來(lái)的安全威脅與影響的程度，然后進(jìn)行最充分的分析與評(píng)價(jià)。只有采用科學(xué)有效的模型和方法進(jìn)行全面的安全評(píng)價(jià)，才能真正掌握內(nèi)部信息系統(tǒng)的整體安全狀況，分析各種存在的威脅，以便針對(duì)高風(fēng)險(xiǎn)的威脅采取有效的安全措施，提高整體安全水平，逐步建成堅(jiān)固的電子檔案信息安全管理體系。
　　二、電子檔案信息安全評(píng)價(jià)指標(biāo)體系的組成
　　電子檔案信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程，既有硬件，又有軟件，既有外部影響，又有內(nèi)部因素，而且許多方面是相互制約的。因此，必須有一個(gè)規(guī)范的、統(tǒng)一的、客觀的標(biāo)準(zhǔn)。根據(jù)國(guó)內(nèi)外的電子檔案信息安全評(píng)估標(biāo)準(zhǔn)，國(guó)家對(duì)電子檔案信息和網(wǎng)絡(luò)信息系統(tǒng)安全性的基本要求，結(jié)合電子檔案管理和網(wǎng)絡(luò)管理經(jīng)驗(yàn)，綜合考慮影響電子檔案信息安全的各種因素，建立電子檔案信息安全評(píng)價(jià)指標(biāo)體系。該體系主要包括五個(gè)大項(xiàng)二十個(gè)小項(xiàng)的評(píng)價(jià)指標(biāo)。
　　1、物理安全評(píng)價(jià)指標(biāo)
　　物理安全是指存儲(chǔ)檔案信息的庫(kù)房、計(jì)算機(jī)設(shè)備及管理人員工作場(chǎng)所內(nèi)外的環(huán)境條件必須滿足檔案信息安全、計(jì)算機(jī)設(shè)備和管理人員的要求。對(duì)于各種災(zāi)害、故障要采取充分的預(yù)防措施，萬(wàn)一發(fā)生災(zāi)害或故障，應(yīng)能采取應(yīng)急措施，將損失降到最低。物理安全包括環(huán)境安全、設(shè)備安全和載體安全三個(gè)方面。
　　(1)環(huán)境安全：主要指存儲(chǔ)檔案信息的庫(kù)房、計(jì)算機(jī)機(jī)房周圍環(huán)境是否符合管理要求和是否具備抵抗自然災(zāi)害的能力，如庫(kù)房是否建在電力、水源充足，自然環(huán)境清潔，通訊、交通運(yùn)輸方便的地方；有無(wú)防火、防水措施；有無(wú)監(jiān)控系統(tǒng)；有無(wú)防雷措施等。
　　(2)設(shè)備安全：主要是指對(duì)電子檔案信息系統(tǒng)設(shè)備的安全保護(hù)，包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。
　　(3)載體安全：保證設(shè)備安全的同時(shí)，也要保證載體安全，要對(duì)載體采取物理上的防盜、防毀、防霉等措施。
　　2、管理安全評(píng)價(jià)指標(biāo)
　　安全管理在電子檔案信息安全保障中起著規(guī)范和制約的作用，科學(xué)的管理理念加上嚴(yán)格的管理制度才能最終保證電子檔案信息的安全。電子檔案信息的管理安全評(píng)價(jià)指標(biāo)具體包括：
　　(1)專門的檔案信息安全組織機(jī)構(gòu)和專職的檔案信息安全管理人員：檔案信息安全組織機(jī)構(gòu)的成立與檔案信息安全管理人員的任命必須有相關(guān)單位的正式文件。
　　(2)規(guī)章制度：包括有無(wú)健全的電子檔案信息安全管理規(guī)章制度；檔案信息安全人員的配備、調(diào)離是否有嚴(yán)格的管理制度；設(shè)備與數(shù)據(jù)管理制度是否完備；是否有登記建檔制度；是否有完整的電子檔案信息安全培訓(xùn)計(jì)劃和培訓(xùn)制度；各類人員的安全職責(zé)是否明確，能否保障電子檔案信息的安全管理。
　　(3)是否有緊急事故處理預(yù)案：為減少電子檔案信息系統(tǒng)故障的影響，盡快恢復(fù)系統(tǒng)，應(yīng)制定故障的應(yīng)急措施和恢復(fù)規(guī)程以及自然災(zāi)害發(fā)生時(shí)的應(yīng)急預(yù)案，制成手冊(cè)，以備及時(shí)恢復(fù)系統(tǒng)運(yùn)行。
　　3、網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)
　　越來(lái)越多的電子檔案在網(wǎng)絡(luò)上傳輸，而網(wǎng)絡(luò)作為一種構(gòu)建在開(kāi)放性技術(shù)協(xié)議基礎(chǔ)上的信息流通渠道，它的防衛(wèi)能力和抗攻擊能力較弱，可能會(huì)遭受到病毒、黑客的襲擊。為了保證電子檔案的安全必須保證其傳輸?shù)拿浇椤W(wǎng)絡(luò)的安全，網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)包括以下幾個(gè)方面：
　　(1)是否有計(jì)算機(jī)病毒防范措施
　　(2)是否有防黑客入侵設(shè)施：主要是設(shè)置防火墻和入侵檢測(cè)等設(shè)施。
　　(3)是否有訪問(wèn)控制措施：訪問(wèn)控制是指控制訪問(wèn)網(wǎng)絡(luò)信息系統(tǒng)的用戶，當(dāng)用戶之間建立鏈接時(shí)，為了防止非法鏈接或被欺騙，就可實(shí)施身份確認(rèn)，以確保只有合法身份的用戶才能與之建立鏈接。
　　(4)是否有審計(jì)與監(jiān)控：審計(jì)與監(jiān)控是指應(yīng)使用網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r(shí)入侵檢測(cè)設(shè)備，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見(jiàn)操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。