时间:2022-10-05 00:48:57
1.1培训教材建设教材是培训体系的重要组成部分
不同的培训对象需要不同的培训教材,因此教材要有针对性,同时,教材要及时更新,实时引入先进的技术,淘汰落后的技术,跟上生产现场的发展,在具体工作中又要具有可操作性。培训教材既包括讲义、教材、课件、指导书等教学材料,也包括各类培训课程计划、教学大纲等教学文件。国家安全生产监督管理总局授权有关培训机构组织编写生产经营单位主要负责人、安全管理人员、特种作业人员(简称“三项岗位人员”)的培训教材以及培训大纲,除上述三类人员以外的教学大纲则由省级安全生产监督管理部门组织制定。国家定期组织安全培训教材的推荐评选活动,评选出优秀的安全培训教材,供安全培训机构优先使用。根据《安全培训教材建设“十二五”规划》,国家安全生产监督管理总局在“十二五”期间,将分期分批开发100种以上适应各级分类培训需要的多样化、系列化的精品教材,20种以上动漫、影视等生动形象的多媒体教材。
1.2培训考核体系
我国在建立煤矿安全培训机构的同时,就开始规划建立考核体系,确立了考核体系制约和监督培训体系的思想。安全培训考核工作实行的是“教考分离、统一标准、统一题库、分级负责”的原则,并逐步开始推行有远程视频监视的计算机考试。考核体系包括考核标准、题库和考核部门。煤矿“三项岗位人员”的考核大纲由国家安全生产监督管理总局统一制定,除“三项岗位人员”以外的一般从业人员的考核标准由省级安全生产监督管理部门负责制定。考试题库由部级题库和省级题库两部分组成,部级题库由国家安全生产监督管理总局组织编写,省级题库由各省安监部门组织编写。考核试题从题库中抽取,部级题库和省级题库各占一定比例。
1.3培训档案与质量监督
建立健全的安全培训档案,有利于培训工作向着更加规范的方向发展,同时也可让教师根据培训档案的具体情况,总结出教学经验,拓展自己的擅长领域,选取更加合适的教学参考资料,使课程更加贴合安全培训的实际需要。我国煤矿安全培训档案按照《档案法》的要求进行建立,建立培训档案资料库,合理使用档案资料库、及时更新或充实内容,收集、整理和编辑培训档案资料,并对其进行分类,编排类别、目录和时间。培训档案的内容较多,包括有关培训的法律法规、培训工作计划、培训组织机构的工作职责和要求、培训教学大纲、教学辅导书、培训教学计划、教案、培训成绩质量分析汇总表;培训班学员签到表、学员登记表、考勤表、试题、考卷等。安全培训质量监督是指各级煤矿安全监察部门对辖区内政府部门、行业主管部门、煤炭企业、安全生产培训和考核机构,以及有关人员贯彻执行安全生产法规和开展培训情况进行的监督检查,主要包括:对煤炭企业各类人员培训考核与持证上岗情况的监督检查;对煤炭企业安全生产培训制度、计划的制定及其实施情况,以及安全生产培训档案建立情况等进行监督检查。
2安全培训存在的主要问题及解决方案
经过10余年的发展,伴随着一系列法律法规的颁布和实施,以及大批安全培训机构的建立,我国煤矿安全培训体系稳步运行,并发挥着巨大的作用。在此过程中,也出现了一些问题。
1)传统教学手段单一
普遍采用课堂式教学,对着教材照本宣科,枯燥无味达不到应有的培训效果,革新现有培训手段已迫在眉睫。
2)培训针对性不强
缺乏实际操作的能力。教师授课时,未能体现出结合实际、针对现场和操作技能的内容。井下作业环境复杂,实际情况多变,理论教学已不能满足作业需要。
3)缺乏多工种联合实训
煤矿井下许多工种都是相互配合作业形成的一个有机整体。培训中缺少多个工种的联合实践培训,容易造成现场操作时各作业人员各干各的,配合不协调,不够紧密,进而留下安全隐患。
3煤矿安全培训发展趋势
2013年8月,国家安全生产监督管理总局印发了《国家安全生产监督管理总局关于修改〈生产经营单位安全培训规定〉等11件规章的决定》(国家安全生产监督管理总局令第63号),取消了安全培训机构资格认可和培训教师认证。这使得我国安全培训将发生复杂而巨大的变化,从发展趋势来看,未来我国煤矿安全培训可能会存在以下发展特点:
1)现有煤矿安全培训机构继续发挥作用
在保证培训工作不间断、培训秩序不混乱的同时,一段时间内大量社会资本将涌入安全培训市场,导致培训质量难以保证,但从长时间来看,市场纠偏的能力将会逐渐体现出来。
2)安全培训管理方式加快转变
安全培训机构从业行为监管加强,安全培训机构将更加贴合安全培训大纲的要求开展教学,迫使安全培训机构重视社会效益,自觉改善条件,加强过程管理,有效提高安全培训质量,以吸引更多学员。
3)安全培训机构设立成本降低
催生大量民间资本涌入安全培训市场,并展开激烈的竞争,比拼师资、比拼硬件、比拼通过率,但随着时间的推移,安全培训机构将遵循市场优胜劣汰规律,培训质量高、服务好、口碑好的安全培训机构将得以保存,培训质量稍逊的将被淘汰出安全培训市场,招不到培训学员。如此一来,我国安全培训将更加社会化、市场化,并向着健康成长的方向发展。
4)培训形式多样化
煤矿对职工的业务培训越来越重视,传统的培训方式受教学手段单一、教学内容陈旧等因素影响,导致培训效果不明显,安全培训将逐渐开始转变,而实训作为更接近作业现场的培训方式越来越受到企业主的欢迎。鉴于部分从业人员作业环境复杂,如大型机械操作人员,采用实训的方式投资较大,且在培训过程中容易造成受训人员伤害,这就催生了物理仿真和虚拟实训的培训方式。物理仿真则参照作业场所按一定比例制作成具有实物一部分功能的仿真模型,虚拟实训则是将大型机械操作台按一定比例制作成仿真操作台,再利用计算机虚拟仿真技术研发教学操作情景,通过仿真操作台上的操作,在环幕、球幕或是其他显示设备上显示虚拟作业场景,实现虚拟培训。
5)多人协同训练
随着煤矿对培训深度的要求增加,而作为薄弱环节的多工种协同培训演练也越来越受重视,传统培训方法对这一块涉及较少,这就要求培训教师采用新的方法来进行培训。当前多人在线技术和虚拟仿真技术的发展已经较为成熟,并分别在大型多人在线游戏和设备操作仿真方面得到了广泛的应用,这使得研制多人协同演练系统成为可能。
6)从严治考
煤矿安全培训监管重心将转移到考核上,安全资格培训考核方式将加快转变,逐渐形成类似于汽车驾驶员培训考核的方式,由社会培训机构培训,安全监管部门统一组织考核,在考核上严格把关,使安全培训工作的质量得以保障。
4结语
1)我国的煤矿安全培训体系是主要依靠《安全生产培训管理办法》建立起来的,配合《煤矿安全培训规定》,经过多年的发展,形成了由各级煤矿安全培训机构和生产经营单位分工培训,煤矿安全监察部门分级监督,以及考核发证部门共同组成的培训考核体系。
2)我国煤矿安全培训考核工作实行“教考分离、统一标准、统一题库、分级负责”的原则,开发统一的考核平台,并逐步开始推行有远程视频监视的计算机考试。
3)取消安全培训机构资质认可以后,我国煤矿安全培训机构将更加市场化,势必推动培训机构通过竞争而不断提高培训条件和培训质量。
4)安全培训手段将向物理仿真、虚拟实训和多人协同演练方向探索发展。
(一)物理层面的安全问题。
高校计算机信息系统受到如地震水灾等自然灾害和突发自然事件造成的破坏,也存在因设备老化或毁损以及计算机操作系统的崩溃造成的信息资料损失,和服务器设备丢失或被破坏等物理层面的安全问题。
(二)网络层面的安全问题。
校内网络是连接整体外界互联网络的,容易受到来自外界互联网的恶意攻击,同时整个数据在校内局域网络进行传播时在没有对数据进行加密情况下被监控和改变也会发生。并且在计算机病毒从外界互联网和内部校内局域网都可以进入到整个系统中,破坏存储的数据和操作系统。最后,在路由器和相应的体系辅助设备中也存有安全漏洞问题。
(三)应用层面的安全问题。
体系的数据中心拥有着计算机信息校园整个关于教学和科研以及各高校主要构成的数据信息运行工作,是高校计算机信息系统管理的核心。在用校内局域网络进行连接促使信息高效应用中也产生了任何网络终端都可以进入整个数据中心,在安全层面造成了风险。
(四)数据层面的安全风险。
高校计算机信息系统是对数据进行输入和整理以及提供服务的过程,大量的数据交换和数据储存和相应的数据修改调整都面对各层面的安全风险威胁。
二、高校计算机信息安全管理体系的对策
(一)物理层面的安全对策。
对物理层面的安全防护需要在成本和管理机制优化上进行考虑,对每个零散的设备单元统一进行管理防护。对相应的重要数据库和重要的配置服务器设备要进行统一的机房维护,在机房的环境和温度以及湿度上都要进行考虑和定期测量。同时,在机房内的电路电源以及出现停电时的后备电源要进行保障,对出现机房建筑不稳定和受到外界干扰影响程度大时,要及时进行修复。同时每个核心设备间要有足够的距离保证不受到电磁辐射的干扰。
(二)网络层面的安全对策。
目前高校的外联手段会涉及到网卡和蓝牙以及USB等相应设备,这些终端的维护和保障是可以防止常规的恶意侵害方式的。要在固定网络中设有相应的端口输入限制和对协议不完整的连接及时终端,相关交换机实现对用户搜索的数据整理的规范化。
(三)应用层面的安全对策。
高校计算机信息系统是面向校园内信息数据流动而服务的,在各个相关服务器和数据库中需要加强安全域的建设,并对每个需要防护的病毒和数据保障方案和备份方案都要进行统一建立。在主要信息存在的数据中心内要对所涉及的各计算机信息系统硬件和相应配置设备,以及数据资源进行定期维护和安全级别的相应建立,监控和预防可能出现的各种情况。对数据中心的安全域级别设定为顶级并加强各分支系统的保障手段。
(四)数据层面的安全对策。
对本地需要加密的数据做好相应的储存和终端防护,对设立相应安全文件夹,由专人进行管理。对每个需要写入的储存信息,进行写入指令的控制,要求具有一定安全性的信息可以写入数据储存设备。每个客户端口要建立USB安全管理策略,需要系统内部认证并通过才可以进行只读等权限设定。
三、结论
内容摘要:电子公文是通过网络传送的。用于政府机关相互之间联系事务的专用电子文件,其传送和接收是在高度自由的网络环境中进行的,自然会涉及到信息遗漏、电脑病毒以及黑客等安全问题。为此,有必要建立包括密钥使用规范、数字签名制度、政府证书管理制度等相关法律制度,以确保电子公文系统安全有效地运作。 关键词:电子公文电子政务互联网 一、子公文及其特点 电子公文是指以电子形式表现的并通过网络传送的,用于政府机关相互之间联系事务的专用文件。电子公文的特点是基于电脑和互联网联网的特性而产生的,因为电子公文的制作、发送及接收都需要通过电脑和互联网这两种媒介来进行。首先是电脑,它的最大作用是将政府公文中所有具体的信息都进行了数字化的改变,这里所说的数字化是指电脑将输入的具体信息以“1”和“0”来进行存储和运作,这不像传统的政府公文是以具体的书面形式来表示的。其次是互联网,互联网将电脑里的数字化信息在各个政府机关之间迅速地传送。互联网本身有其特殊性,即公开性和全球性。所谓公开性是指任何人都可以自由地进出互联网,而全球性是指信息在互联网上的传递是没有边界障碍的。根据上述分析,较之传统的政府公文,电子公文有以下几个方面的特点: (1)电子公文是一种数字化的、虚拟化的文件形式;(2)电子公文的传送是在公开环境下,通过互联网进行的;(3)电子公文的传送可以在各个地区、国家乃至全球范围内的政府之间进行;(4)电子公文的广泛应用能够极大地提高政府的办事效率。 显然,信息技术的发展给政府机构带来了一场深刻的变革。传统的公文传送方式使政府机构背负着沉重的时间负担和经济负担。传统公文在这一场变革中受到了电子公文这一新生事物的强有力的冲击。电子公文的制作、发送和接收可以突破时间和空间的限制,给人们以快速和便捷。可是电子公文毕竟是近年来才开始出现的新生事物,很多技术上的问题还有待解决。特别是,由于电子公文刚刚开始启用,有关电子公文的法律纷争还颇为鲜见。就世界范围来说,还没有专门的法律规范,也无强制性的原则可以遵循。可以说,其中还有很多值得研究的问题摆在我们的面前。 二、电子公文应用中存在的安全问题 目前,电子公文应用中出现的安全问题主要有: 1.黑客问题。黑客入侵网站的消息在近年被频频报道。以前黑客们往往挑选美国国防部和雅虎这些安全防范体系堪称一流的硬骨头啃。而随着各种应用工具的传播,黑客已经大众化了,不像过去那样非电脑高手不能成为黑客。如果安全体系不过硬的话,黑客便可以肆意截留、毁灭、修改或伪造电子公文,给政府部门带来混乱。 2.电脑病毒问题。自电脑病毒问世几十年来,各种新型病毒及其变种迅速增加,而互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径。试想一个完整的电子政府体系中某个环节受到病毒感染而又没有被及时发现,电子公文系统全面瘫痪,那将会产生怎样的后果?病毒的感染会使一些电子公文毁灭或送达延误,整个电子政府将会指挥失灵、机构运作不畅。 3.信息泄漏问题。目前,各大软件公司生成的网管软件使网络管理员拥有至高无上的权利,可以方便地对网上每个政府用户的各种使用情况进行详细的监测。此外,网络中存在不少木马程序,如果使用不慎,就会把公文中的重要信息泄漏给他人。而某些大公司生产的软件或硬件产品所带的后门程序更可以使这些公司对政府用户在网上的所作所为了如指掌。对政府而言,信息泄漏将会给其工作带来麻烦,甚至会危及到国家的政治、经济及国防利益,有关的政府工作人员会因此被追究法律责任,这是绝对不能接受的。而对这些大公司的法律管制,对于在信息产业中处于弱势地位的国家来说是根本无法解决的难题,但光靠处于优势地位的国家也是不行的,必须在国际范围内形成管制的合力。
三、电子公文安全体系法律制度建构 1.科学的密钥使用制度规范。密钥是一种信息安全技术,又称加密技术,该技术被广泛应用于电子商务和电子政务中。它包括两种技术类型,即秘密密钥加密技术和公开密钥加密技术。其中秘密密钥加密技术又称对称加密技术。倘利用此技术,电子公文的加密和解密将使用一个相同的秘密密钥,也叫会话密钥,并且其算法是公开的。接收方在得到发送的加密公文后需要用发送方秘密密钥解密公文。如果进行公文往来的两个政府能够确保秘密密钥交换阶段未曾泄漏,那幺,公文的机密性和完整性是可以保证的。这种加密算法的计算速度快,已被广泛地应用于电子商务活动过程中。公开密钥加密技术又称为非对称加密技术。这一技术需要两个密钥,即公开密钥和私有密钥。私有密钥只能由生成密钥对的一方政府掌握,而公开密钥却可以公开。用公开密钥对公文进行加密,只有用对应的私有密钥才能解密。用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。此二种技术相比,显然第二种技术的安全系数更大一些,但这种技术算法速度较慢。我们可以根据各种公文的秘密等级,采用不同的加密技术。对于一般的公文往来数量大且频繁,不宜采用非对称加密技术,还有秘密等级较低的公文亦可采用对称加密技术。而对那些重大的通知及秘密等级较高的公文则必须采用非对称加密技术。凡违反上述技术性规范的要求造成公文泄密或是公文的完整性受到损害的,需追究其法律责任。 2.完善的政府证书管理制度。公文传送过程中数据的保密性通过加密和数字签名得到了保证,但每个用户都有一个甚至两个密钥对,不同的用户之间要用公开密钥体系来传送公文,必须先知道对方的公开密钥。公文传送中有可能发生以下情况:用户从公钥簿中查到的不是对方的公钥,而是某个攻击者冒充对方的假冒公钥;或者公文互换的双方在通讯前互换公钥时,被夹在中间的第三者暗中改变。这样的加密或签名就失去了安全性。为了防范上述风险,我们可以仿效电子商务中的做法,引入数据化证书和证书管理机构,建立完善的政府证书管理制度。这里所说的证书是指一份特殊文档,它记录了各政府机关的公开密钥和相关的信息以及证书管理机构的数字签名。证书的管理机构是个深受大家信任的第三方机构。考虑到电子政务的特殊性,电子政务系统中的根目录证书管理机构最好由一国的最高政策机关设立的专门机构出任,其它各级目录分别由地方各级政府设立的专门机构去管理。在我国,根目录的管理工作可由国务院信息办来承担,其它各级目录分别由地方各级人民政府设立的专门机构进行管理。各政府机关须向相应的证书管理机构提交自己的公开密钥和其它代表自己法律地位的信息,证书管理机构在验证之后,向其颁发一个经过证书管理机构私有密钥签名的证书。政府出面作为证书的管理机构,其颁发的证书信用度极高。这样一来将使电子公文的发送方和接收方都相信可以互相交换证书来得到对方的公钥,自己所得到的公钥是真实的。显然,电子公文系统的安全有效运转离不开完善的政府证书管理制度的确立。 3.有效的数字签名制度。在电子公文的传送过程中可能出现下列问题:(1)假冒,第三方丙有可能假冒甲机关给乙机关发送虚假公文;(2)否认,甲机关可能否认向乙机关发送过公文;(3)伪造,乙机关工作人员可能伪造或修改从甲机关发来的消息,以对自己有利。这些问题要靠数字签名来解决。数字签名在电子公文传送中的应用过程是这样的:公文的发送方将公文文本带入到哈希函数生成一个消息摘要。消息摘要代表着文件的特征,其值将随着文件的变化而变化。也就是说,不同的公文将得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为公文附件和公文一起发送到该公文的接收方。公文的接收方首先从接收到的原始公文中计算出消息摘要,接着再用发送方的公开密钥来对公文的附加的数字签名进行解密。如果两个消息摘要相同,那幺接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始公文的鉴别和不可抵赖性。目前数字签名在电子商务中已得到了广泛的应用,日本等国政府已通过专门的立法对数字签名的法律效力予以确认。在电子公文传送中引入数字签名也是必然的选择,只是我们要从法律上确认数字签名的效力,建立相应的制度规范,努力设法从技术和制度规范入手不断提高安全系数。以数字签名只有相对的安全性来作为反对其应具有法律效力的理由是站不住脚的,因为任何所谓安全保障都是相对的,橡皮图章就经常被不法之徒伪造。 4.有力的刑法保障。刑法对社会关系的保护是最强有力的保障,离开刑法的保护,其它制度规范的保护极有可能会落空。对计算机网络法律关系的调整也不例外。鉴于信息技术越来越多地被应用于国家生活各个方面,1997年《刑法》中特增加了计算机网络犯罪方面的内容。根据《刑法》第285条和第286条的规定,对下列行为将追究刑事责任:(1)违反《计算机信息系统安全保护条例》、《计算机软件保护条例》、《保密法》、《标准化法》等有关法律规定,出于好奇或为窃取机密的动机非法侵入电子政务系统的;(2)违反《计算机信息系统安全保护条例》、《计算机软件保护条例》等有关法律规定对电子政务系统功能进行删除、修改、增加和干扰,造成系统不能正常运行,后果严重的;(3)违反前述有关法律规定对电子政务系统中存储、处理或者传输的公文数据进行删除、修改、增加的操作,后果严重的;(4)违反前述有关法律规定故意制作、传播计算机病毒等破坏性程序,影响电子政务系统正常运行,后果严重的。而对于那些利用计算机网络破坏电子公文或伪造电子公文的,则可以根据《刑法》第280条的规定以毁灭公文罪或伪造公文罪论处。 可以说政府信息化是社会信息化的基础,在各国所积极倡导的“信息高速公路”的几个运用领域中,电子政府被列为第一位。从全球范围来看,推进政府部门办公自动化、网络化、电子化已是大势所趋,电子公文等信息手段将会被广泛地应用于各种政务活动中。法律必须克服其自身固有的保守性,尽快在立法上取得突破,以应对科技的进步和社会生活的巨变。
根据承包单位上报的有关文件,监理单位配合建设、质量、监督、设计等部门认真进行审查,经检查符合要求并报建设管理单位同意后才能开工。(1)承包单位的安全合格资质证书由国家有关主管部门颁发,并按期进行年检,且在有效期内[7]。(2)承包单位建立健全安全生产组织管理机构,配备与配齐专职安全生产管理人员,其主要人员应通过国家有关部门的安全生产职业资格考核或考试,并获得相应证书,且在有效期内。(3)编制安全施工组织设计及专项安全技术措施,制定安全生产实施方案与安全生产奖罚制度等。(4)检查与落实。主要有:安全生产工作会议召开、进场人员安全生产培训和学习、安全技术交底、施工人员劳动保护、特种作业人员的相应资质及上岗证、开工时所必须的施工机械及材料进场、主要人员到位、生产区和办公区及施工营地建设、施工区域隔离、施工环境、水、电、通讯、交通等等情况。对落实不到位的,督促整改到位[8]。
2施工阶段的安全监理
(1)全面落实各项安全控制与管理的规章制度,安全技术措施、方案等,确保监理单位的安全控制体系与施工单位的安全保证体系正常运转[9]。(2)加大安全生产的检查力度。对检查中发现的问题,对各参建单位通报,违章作业与严重的安全隐患报建设主管和安全监督部门,并按照“三不放过”的原则责成承包单位编制整改措施,查找问题产生原因,教育相关人员,拟定防范措施,杜绝再次出现类似的安全问题,限期整改到位后组织参建各方进行验收。(3)主动与建设单位、地方政府安全监督部门联系,便于在工作中得到他们的支持与帮助;加强与工程建设其他有关部门、单位的联系,沟通;配合地方政府有关部门组织的安全检查活动。(4)专职安全监理工程师和其他安全管理人员,每天都在施工现场巡视、检查,发现问题则责成承包单位及时进行整改,同时编写安全生产报告报送建设管理单位。(5)协助做好安全事故的调查处理工作[10]。
3安全监理工作的重点控制部位
安全监理工作的重点控制部位施工均编制安全控制措施,主要有:(1)土方开挖作业安全控制措施。(2)混凝土浇筑作业安全控制措施。(3)高空作业安全控制措施。(4)夜间作业安全控制措施。(5)塔吊、汽车吊作业安全控制措施。(6)施工人员安全作业控制措施。(7)施工用电安全作业控制措施。(8)施工防火安全控制措施。(9)安全度汛控制措施。(10)重大危险源识别、评价与控制措施。(11)穿湖段施工作业安全控制措施。(12)机械设备运行安全控制措施。
4综合评价
4.1建立层次结构
依据上述分析,建立目标层、准则层和指标层等3个层次[3]。目标层为安全控制综合评价A,准则层为通用目标B1、安全控制体系建立B2、安全控制效果B3等,指标层根据实际情况确定(见图1)。
4.2指标系数
依据招、投标文件,监理质量、安全控制过程中的实际情况,采用等间距分级方法确定[11-14](见表1)。其中通用目标和安全控制体系建立与政府质量、安全监督部门检查情况及投标书承诺比较,安全控制效果与实际情况比较。
5结语
本文作者:孟国忠 单位:南京林业大学木材工业学院党委副书记、副院长,讲师
大学生安全教育载体主要包括制度载体、工作载体和实践载体,在制度载体方面,虽然各高校都已制定了相关的安全教育管理规定,但大多没有建立起系统的学生安全教育管理体系。不少人认为,学生的安全教育,仅仅是学生工作人员和保卫部门的事,其他人员基本不会参与到其中。因此,全校上下并没有形成一个人人重视关心安全教育、人人是安全教育的参与者与实践者的良好氛围;在工作载体方面,基本上是说教的灌输的多,体验感受的少,手段比较单一,针对性不强,学生参与的积极性不高;在实践载体方面,过去高校安全教育内容主要集中于法律法规、公共、人身财产安全等传统领域,随着社会安全形势的不断发展变化,加上学生自身出现的一些新特点,许多新的教育内容不断产生,传统安全教育的有效性面临着新的挑战。从宏观层面看,当前高校安全教育主要应当关注国家安全、政治安全、环境安全、资源安全;从微观层面看,主要有心理安全、社交安全、生命安全、网络安全、就业安全等。[4]
调动各方力量,营造良好氛围。一要建立并完善人人关心、人人参与大学生安全教育的体系,实现全员、全面、全过程教育。[5]校院主要领导、机关工作人员、保卫人员、学生处和团委工作人员、心理咨询教师、专职辅导员、班主任和专业教师等,都是这个体系中的一员。他们可以从不同角度发挥不同的作用,以保证大学生安全教育工作自始至终既有领导的重视与关心,又有学校相关职能部门和学院专兼职学工人员及专业教师的积极配合与参与。二要注重学校、家庭与社会的有机结合。大学生安全教育作为一个系统,其本身具有很强的社会性,需要学生家庭和社会力量的积极参与。如每学期通过给学生家长邮寄学年小结和“致学生家长的一封信”的形式,与学生家长进行沟通,可以为学生家长参与到安全教育当中起到促进作用。三要充分发挥学生的积极作用,引导学生参与学校的安全管理工作。让学生进行安全教育的组织与实施工作,发挥大学生参与安全教育的主动性,让他们在实践中成长,在行动中锻炼,不但可以锻炼学生的能力,还可以使学生感受到学校对他们的信任和支持,从而热爱学校,愿意支持学校的各项工作。
完善工作机制,落实工作责任。高校要制定科学、有效和具有特色的安全教育工作机制,从制度上确保高校各项活动的顺利开展,促进大学生规范自己的行为。一是对学生进行分类动态管理,尤其要关注其中的困难群体,实行安全教育工作月历制,使安全教育作为日常工作的一部分,使其常态化、具体化,并强化督导检查。二是大力推进安全教育的“三进”工作,即进课堂、进头脑和进宿舍,将大学生安全教育纳入本校的教育体系,并贯穿到从入学到毕业的整个培养过程。此外,还要将学生宿舍作为进行安全教育的重要阵地,时刻强化学生的安全意识。三是开设专门的安全教育课程,将其作为对大学生进行思想教育的重要内容,制定具体教学计划,分年级安排相应教学时间和教学主题,尤其是要将教育重点放在新生的入学教育中,并落实相应学分。加强师资建设,确保经费投入。高校学生的安全教育最终要落实到具体的工作之中,因此队伍建设显的尤为重要。要努力建设一支相对稳定、专兼结合、高素质、专业化的安全教育教师队伍,以确保大学生安全教育的质量;要大力开展安全教育师资培训,强化实践锻炼,提升他们处理实际问题的能力和素质,不断提高安全教育的水平和实效性;要建立专门的培训培养机制和考核机制,涉及学生安全教育的内容是每个管理人员的“必修课”。对安全教育工作的考核,既注重结果,更要注重过程;要保证对大学生安全教育的经费投入,尤其是保证安全教育研究和师资培训的经费。
坚持以人为本,全面服务学生。一要坚持以学生为本,营造全员关心学生、服务学生的氛围,把尊重人、理解人、关心人放在工作的首位,努力实现学生的心理期望,为安全教育奠定良好的基础。对于学校暂時无能力解决的问题,要做好解释工作,使学校与学生之间真正建立一种信任关系,共同面对一些遇到的困难,让学生感觉到有一种认同感和归宿感。二要加强“三观”教育,培养大学生的意志力。正确的世界观、人生观和价值观能够帮助大学生正确认识社会、认识事物、认识自我,正确对待生死、荣辱、苦乐等问题,从而较客观地理解、分析人生过程中所发生的一切,保持开阔的胸怀,冷静妥善地处理各种复杂关系,保障心理行为健康发展。创新教育载体,丰富教育内容。一是在遵循教学规律的前提下,不断创新教学方法和手段。采用课堂讲授、典型案例分析、安全技能训练、小组讨论、社会调查、应急演练、急救训练、经验交流等方法,理论与实践相结合、讲授与训练相结合,激发学生接受教育的主动性和参与性,提高教育教学效果。二是充分利用各种资源。在校内,充分依靠思想政治理论课教师、法律学科教师、心理学教师、国防教育教师、体育教师、实验室教师、学校医务人员,以及其他与安全教育有关的教师、干部参与课程教学活动。在校外,可聘请公安民警、消防官兵、指战员、法律人士、安全专家、心理学专家、社会学专家等共同参与教育活动,丰富教学内容,提高教学质量。三是大力开展安全教育主题活动。通过举办主题画展、主题征文、演讲比赛等形式多样的活动,利用报纸、网络、“两课”、宣传栏、专题讲座、大型咨询会等宣传阵地,切实加强对大学生的安全、纪律和心理健康教育,努力提升他们的安全意识和防范技能。
1组织安全管理体系构建
要对电子政务系统进行科学有效的安全管理,必须要构建各级安全管理组织机构,从而构成一个全方位的安全管理体系。笔者认为,按照政府部门的层级体系在不同的层级上设置相应的安全管理机构,主要负责本层级电子政务安全管理建设方面的工作。或者可以设置安全管理委员会,由于电子政务系统内部安全管理工作的特殊性与重要性,安全管理委员会的首要负责人应该由本级网络服务的行政部门一把手兼任;由于电子政务系统安全管理工作的综合性,安全管理委员会必须要有多部门主要领导参与,例如保卫部、财务部、人事部、政策法规部门等;另外,因为电子政务安全管理问题还具有长期性和复杂性,安全管理委员会必须要设置独立的日常机构,并将其作为委员会的执行机构,主要负责电子政务系统内部安全建设的一些具体工作,而这一独立的日常机构不隶属于网络部门与应用部门,而是直接由安全管理委员会统一领导指挥,从而让其拥有一定的独立性与权威性。安全组织管理机构负责辖区内整个电子政务系统安全工作的执行,其主要工作内容有:安全技术保障、各类电子设备维护、安全制度的落实、各部门关系的协调、审计记录与报警记录、制定安全管理人员培训教育方案并落实、当突发安全事故或者存在较大安全漏洞时应该第一时间向主要领导报告。因为电子政务系统安全管理工作的诸多特性,因此安全管理机构应该由各个专业的优秀人才组成,特别是计算机网络技术人员、系统管理员、安全审计员等。
2技术安全管理体系构建
电子政务系统技术安全管理体系的构建应该从下面几个问题作为切入点:首先要对相关的硬件实体做好安全管理,主要是为了保障各种信息设备避免因为自然或者人为因素的破坏,确保其能够稳定运行。其次应该对电子政务软件系统做好安全管理,主要有软件系统完整性的保护,避免软件数据丢失、伪造、破坏,保护软件数据的存储安全,例如说保密存储、压缩存储以及备份等,确保软件数据能够安全稳定传播,保障软件安全下载、用户识别等要素;确保各类软件能够被正确与合法的使用,确保用户的合法性、保护用户授权访问的权限、防范软件系统数据被非法的窃取等。最后是密钥安全管理措施,主要包含了电子政务系统的初始化,密钥产生、存储、备份及恢复,密钥装入、分配、更新以及销毁等内容。密钥的安全管理工作主要有下面三点要求,其一必须要确保密钥难以窃取;其二是保证密钥的使用范围以及使用时间限制;其三是在密钥的分配以及更换时要对用户保持透明,而用户不需要自己亲自掌管密钥。
另外,电子政务系统的发展势必会在很大程度上增加我们的安全维护工作量,但是现阶段在我国公务员系统中,只有很少一部分人掌握计算机网络知识,还有绝大部分人不懂计算机,这也是当前电子政务系统安全管理工作中的一个必须解决的矛盾。同时我们从事业发展的出发点来说,电子政务系统的安全维护完全由政府部门来负责也不是长久之计,这一方面不仅会提高政府的支出,另一方面某一单独的政府部门也难以在这一领域中进行非常深入的研究,因此也无法更好地让电子政务事业得以发展。而其他的一些专业维护公司凭借自己强大的技术实力,能够更加有效的做好电子政务安全管理服务,还能够帮助政府节省很大一部分开支。
3结语
安全稳定是我国电子政务系统最关键也是最基础的要求,本文通过分析电子政务安全体系结构,从技术层面与组织层面有针对性的提出了电子政务安全管理体系的构建措施,以求获得更加完善的解决之道。随着我国电子政务系统的逐渐完善和发展,必须要用一种动态的、创新的眼光来认识它,来构建一个更加完善的电子政务安全管理体系,不断强化安全管理措施,确保其稳定运行。
作者:王钊单位:黑龙江省财政厅信息中心
一、安全培训存在的问题及其原因
一是工学矛盾日益突出。一方面由于煤矿工作环境艰苦,生产任务繁重,导致了工作时间与培训时间之间发生冲突,再者一些基层领导单方面强调生产任务,对职工安全培训重视不够,甚至走形式、走过场的现象比较普遍。另一方面,在企业不断扩张和拓展的过程中,一些驻外联营兼并矿井职工结构中属地工、农民工等工种较多,且流动性比较大,造成了职工培训不稳定,培训工作开展难度较大。二是培训机制不健全,培训师资力量薄弱。在一些矿井,特别是在一些新建和联营兼并的矿井,虽然成立了自己的培训机构,完善了很多相关制度,但是在实际工作上,比如调动学员自主学习,培训奖励,职级晋升等方面不够严谨、细致。再者,培训师资力量薄弱,有的是刚毕业的大学生,有的缺乏井下工作经验,造成了课程与现场、与工作实际“两张皮”,致使培训工作只停留在表面工作上。三是培训方式单一,培训效果不明显。煤矿职工培训工作在理论培训上下的功夫多,对实操培训抓的不够,不严格。虽然也采取了岗位能手、技能比武等等形式多样的培训方式,但培训的实际效果,往往与预期培训目标相差甚远。四是日常基础培训流于形式。煤矿安全培训工作中最基础的72学时安资证培训存在队组说情、学员重复培训现象。
一些队组为了应付差事,发明出一种“学习特派员”“、培训专业户”,使其不定期培训;另一方面表现为职教培训机构教材内容雷同,形成了培训内容上的重复培训。这样就造成培训资源的极大浪费,使得“吃葡萄的不吐皮,不吃葡萄的倒吐皮”,结果成了“受训的常受训,不训的常不训”。产生上述问题的原因尽管是多方面的,但最根本的原因是缺乏安全培训工作机制及其相应的培训形式不合理所致。从安全培训的机制上来说,首先是脱离员工需求,缺乏激励性;其次是脱离生产实际,缺乏针对性;再次是脱离培训标准,缺乏规范性。受安全培训机制不健全、不完善的制约和影响,表现在培训实施上很少问津培训效果,偏重追求培训数量,结果造成安全培训形式化。由此可见,建立一套符合员工心理需求和安全生产实际的安全培训工作机制,并辅之于灵活多样的培训形式,对于安全培训工作更好地服务于安全生产管理,不仅是当务之急,也是治本之举。
二、建立完善新型安全培训工作体系的原则
建立新型安全培训工作体系的原则一是要科学策划。新型安全培训工作体系要更符合员工心理需求,起到激励作用,变“要我学”、为“我要学”,经一项研究表明,员工在受到充分激励时,其能力发挥为80%—90%,在保住饭碗不被解雇的低水平激励状态下,仅发挥其能力的20%—30%。由此可见,运用激励措施,挖掘人的潜能大有可为。二是要突出实效。加强以操作性为目的的新型安全培训工作体系要符合安全生产需求,以能力培养为重点,以规范操作行为为基础,多层次、多类别、多渠道的安全教育机制,尽可能让每个员工在其工作岗位上,有充分的机会提高技能与素质,使他们能胜任工作,为企业安全生产做出更大贡献。三是要公正公平。加强规范性的新型安全培训工作体系的建立要更符合培训规律,使培训工作流程规范,为提高员工整体安全技术素质创造公平、公开的良好环境和氛围,鼓励有真才实学的人才敢于竞争,善于竞争,在竞争中锻炼提高,增强素质,岗位成才。
三、建立安全培训体系,强化安全培训的措施
一是突出职工学校主导作用。职工学校作为职工培训工作的主导力量,全面负责组织和落实各项培训工作。其职责主要是构建完善的职工教育培训体系、系统调研分析培训需求、制定科学合理的培训计划、严格培训过程落实、着重培训效果跟踪。在重点完成好三项岗位人员、全员持证上岗培训、员工素质提升和学历提升、职称和技能鉴定等培训工作的基础上,注重对构建培训体系和培训效果工作上下功夫,充分利用基层单位、队组培训资源,明确各级培训责任主体,形成职工学校持证上岗培训、部室领导、队组专业技术培训、班组手指口述、操作规程、事故案例基础培训的倒金字塔式培训体系。并且大力营造全体员工工作前、工作中、工作后的大培训培训氛围,使全体员工逐步养成自主学习、自我提升的习惯,推动员工综合素质的大幅度提升。二是抓好基层单位、队组培训工作的主体作用。基层单位部室、队组培训工作开展的好与坏,影响到整体培训工作的效果。基层各单位、队组,尤其是生产相关部室、队组必须充分利用好井上、井下培训实训基地,分层次制定出针对技术员、工长、一般员工为培训主体的年度、季度培训计划,明确培训内容和培训人数,及时开展培训工作。职工学校要明确部室培训责任体系,在部室师资力量不足的情况下积极协调相关专业技术人员,保证培训工作顺利开展。三是夯实班组培训的基础作用。班组是煤矿安全生产的基本单位,可以说煤矿安全管理靠班组,生产任务组织完成靠班组,设备平稳运行靠班组,发生安全应急情况第一时间处置、处理关键在班组,当然日常基础性培训工作、实际检验员工培训效果也在班组。煤矿必须构建出以队长、班组长、技术员为主体培训导师的全员日常班中现场培训管理模式。重点利用队长、班组长、技术员现场丰富的工作经验和理论知识,以“三个三”、手指口述、事故案例、操作要领为主要培训内容,采取师带徒和现身说法的培训方式,现场指导和规范员工的安全操作,促进其安全行为习惯的养成。四是强化培训考核激励作用。在完善三级培训体系的基础上,建立“分级培训、升级考评”工作机制。“分级培训、升级考评”就是立足是本矿安全生产实际和员工的具体情况,将全矿职工按照理论学识和实践技能的高低,分为高、中、低三级,采取按级培训,培训后考核,考核合格后,再参与升级考评的培训方法,紧密与职工实际工资结合,达到以经济促培训,以培训保安全的目的。
四、结语
总而言之,煤矿安全培训要以实际效果为检验标准,要杜绝走形式、走过场,要以切实提高职工安全意识、安全素养、业务能力为主要目的,真正推动煤矿企业的安全生产。
作者:张小虎 单位:阳泉煤业集团和顺新大地煤业有限公司
关键词:档案安全体系;档案保护;灾害管理;风险管理;信息安全
Abstract:The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory, this paper point out the source of archival security system theory from these aspects: the archival conservation and management theory, risk society theory, risk management theory, disaster management theory, information security theory and safety culture management theory.
Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security
1 引言
2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。
3 结语
2010年,国家档案局提出建设档案安全体系,并迅速付诸实践。实践工作的快速推进,亟须理论的支撑。因此,有必要梳理已有的相关成果,分析相关的理论思想来源,提炼档案安全体系理论,为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想,其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础,其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然,在各学科理论融合发展的大背景下,后面5种学术理论当中,也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此,笔者认为,针对档案安全问题的广泛性与特殊性,在档案安全体系研究当中各种理论思想之间并不是完全割裂开的,是可以相互借鉴吸收的,其共同目标是应对各类档案安全问题,指导档案安全体系建设。
参考文献:
[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):27.
[2]冯惠玲,王健.电子政务建设中的文件管理风险探析[J].中国行政管理, 2005(4):62~66.
[3]冯惠玲.论电子文件的风险管理[J].档案学通讯, 2005(3):8~11.
[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯, 2005(6):51~55.
[5]张宁.电子文件风险管理:识别与应对[J].电子政务, 2010(6):24~30.
[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案, 2010(7):59~61.
[7]向立文,欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯, 2015(4):68~71.
[8]陈国云.档案信息化建设的风险管理[J].北京档案,2008(2):42~43.
[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报,2015-11-23(03).
[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案,2010(7):72.
[11]于海燕.档案灾害预警机制研究[J].档案学通讯, 2011(4):81-84.
[12]吴加琪,周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案, 2012(6):16~18.
[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥:安徽大学, 2010.
[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案,2010(3):21~23.
[15]吴晓红,郭莉珠.数字档案灾害初探[J].档案学通讯,2005(3):80~83.
[16]吴晓红.档案灾害学研究[D].北京:中国人民大学,2007.
论文参考文献的撰写是表明了作者对前人研究成果的尊重,也可以方便读者查阅相关文献资料,鉴别论文的写作价值和水平的重要依据。以下是学术参考网的小编整理的关于科学论文参考文献,希望给大家在写作当中带来帮助。
科学论文参考文献:
[1]王晶雄.整体发展:马克思主义社会发展理论的要义[J].南京政治学院学报.2006(05)
[2]周建超.马克思社会有机体理论与科学发展观[J].宁夏社会科学.2008(05)
[3]袁银传.整体性与马克思主义基本原理的科学体系[J].思想理论教育导刊.2011(08)
[4]高天琼,贺祥林.马克思社会有机体理论与“两型社会”建设探要[J].中南民族大学学报(人文社会科学版).2011(04)
[5]梅荣政,杨芳.《资本论》对唯物主义历史观的科学论证[J].马克思主义研究.2011(05)
[6]黄海东,高天琼.马克思的社会有机体理论与全面建设小康社会[J].湖北大学学报(哲学社会科学版).2004(03)
[7]王清明.马克思主义的唯物史观与历史决定论[J].马克思主义研究.2003(02)
[8]孟庆仁.论社会有机体及其本质特征[J].齐鲁学刊.2003(02)
[9]张雷声.从整体性角度把握马克思主义[J].甘肃社会科学.2010(06)
[10]张雷声.马克思主义理论整体性的研究视角[J].思想理论教育导刊.2010(05)
[11]李孟一.道路与理论:邓小平为中国特色社会主义奠基[D].武汉大学2010
[12]欧阳爱权.社会主义新农村道德建设研究[D].武汉大学2010
[13]陈雯.科学发展观与构建社会主义和谐社会的辩证关系研究[D].武汉大学2010
[14]高天琼.关于马克思社会有机体构成内容的文本分析[J].湖北大学学报(哲学社会科学版).2006(06)
[15]方世南.马克思社会有机体理论对于构建和谐社会的方法论价值[J].学习论坛.2006(11)
[16]高天琼,贺祥林.论马克思关于社会有机体内容的基本构成及其现实启示[J].重庆社会科学.2006(02)
[17]胡军良.科学发展观的三重理性向度[J].西北大学学报(哲学社会科学版).2009(04)
[18]林坚.从马克思的社会有机体思想看科学发展观的系统整体性[J].东方论坛.2009(01)
[19]方时姣.马克思恩格斯自然-人-社会有机整体发展理论与当代意义[J].马克思主义研究.2008(06)
[20]周建超.马克思社会有机体理论及其当代价值[J].扬州大学学报(人文社会科学版).2008(02)
科学论文参考文献:
[1]董保良,张国辉,李鑫,李晓燕,杨新旺.基于信息熵的指挥信息系统效能评估研究[J].电子世界.2013(15)
[2]孙国强.浅谈出入口控制系统的建设、使用与发展[J].中国公共安全.2013(15)
[3]李爱民.中国半城镇化研究[J].人口研究.2013(04)
[4]王赐江.群体性事件现实考察与学理分析--从三起具有“标本意义”的群体性事件谈起[J].中国社会公共安全研究报告.2013(01)
[5]冯文林,帅娟,姚红,邓波,魏莲芳,汪小林,冯荣.四川特种行业治安管理创新调查研究报告[J].四川警察学院学报.2013(01)
[6]李林.中国法治的现状、挑战与未来发展[J].新视野.2013(01)
[7]徐田坤,梁青槐,任星辰.基于故障树模型的地铁750V牵引供电系统安全风险评估[J].北京交通大学学报.2012(06)
[8]黄毅峰.转型期中国群体性事件的征象考察与调控路径分析[J].成都理工大学学报(社会科学版).2013(04)
[9]苗强,张文良,宗波,步立新,尹洪河,方忻.核电站实物保护系统有效性评估方法研究工作进展[J].中国原子能科学研究院年报.2012(00)
[10]王华安.大安防时代:需要多元化发展战略[J].中国公共安全.2013(12)
[11]何穆.某大学图书馆安全防范系统设计[J].建筑电气.2013(05)
[12]张苏.司法中的量刑分析与操作--以石柏魁故宫盗窃案为例[J].中国检察官.2013(10)
[13]杜治国,赵兴涛,李培岳.美国安全管理专业解析[J].中国人民公安大学学报(自然科学版).2013(02)
[14]唐海.个性化概念图在网络自主学习中的应用研究[D].武汉大学2010
[15]杜治国,赵兴涛,李锦涛.安全防范系统效能评估仿真模型研究[J].中国人民公安大学学报(自然科学版).2012(01)
[16]朱随江,刘宝旭,刘宇,姜政伟.有环攻击图中的节点风险概率算法[J].计算机工程.2012(03)
[17]李秀林,李辉.《安全防范系统运行检验规范》浅析[J].中国安防.2012(Z1)
[18]李晓建.基于语义的个性化资源推荐系统中关键技术研究[D].武汉大学2010
[19]陈曦.基于子串的文本分割与主题标注研究[D].武汉大学2009
[20]张莲梅.基于3S-VR的数字配电网基础模型研究[D].武汉大学2010
科学论文参考文献:
[1]赵荣生.车辆核材料检测装置的研制[J].中国原子能科学研究院年报.2003(00)
[2]王国华,陈敬贤,梁梁.系统评估研究现状及发展评述[J].现代管理科学.2011(10)
[3]陈合权,魏莲芳.论视频监控系统在公安工作中的应用[J].湖北警官学院学报.2011(05)
[4]张旺勋,龚时雨,李康伟.装备系统可靠性维修性保障性仿真策略研究[J].计算机仿真.2011(09)
[5]魏莲芳.当前群防群治工作存在的问题及对策探究[J].湖北警官学院学报.2011(03)
[6]潘科,王洪德,石剑云.多级可拓评价方法在地铁运营安全评价中的应用[J].铁道学报.2011(05)
[7]吕海涛.安全防范系统效能评估关键技术研究[D].武汉大学2014
[8]鲍君忠.面向综合安全评估的多属性专家决策模型研究[D].大连海事大学2011
[9]孙爱军.工业园区事故风险评价研究[D].南开大学2011
[10]郭熹.基于风险熵模型的安防系统风险与效能评估技术研究[D].武汉大学2011
[11]邬长城.安全管理体系质量评估方法研究[D].中国矿业大学(北京)2012
[12]孙亚华,李式巨,李彬.核电站实物保护系统的量化评估[J].核动力工程.2009(01)
[13]陈志华.试论安全防范系统的效能评估[J].中国人民公安大学学报(自然科学版).2006(04)
[14]魏莲芳,陈志华.浅谈安防系统中的风险评估[J].中国安防产品信息.2005(04)
[15]徐哲,贾子君.基于仿真的武器装备研制系统性能风险评估[J].系统工程与电子技术.2011(04)
[16]吴穹,闫黎黎.企业安全防范系统风险评价模式研究[J].安防科技.2010(10)
[17]易光旺.智能建筑安全防范系统的评价指标体系研究[J].中国安全生产科学技术.2010(03)
[18]陈志华.评估城市社会治安动态防范系统效能促进城市监控报警联网系统应用建设[J].中国安防.2009(12)
[关键词]工程哲学;信息安全;管理体系;ISMS
doi:10.3969/j.issn.1673 - 0194.2015.16.162
[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2015)16-0-03
0 引 言
信息安全是信息化发展到一定阶段的必然产物。Tanenbaum认为网络仅局限于研究人员相互发邮件时自然不会凸显信息安全的重要性,但是一旦渗透到包括银行转账和网上购物等日常行为,或者过渡到云计算时代,信息安全问题就无法再回避。
信息安全管理体系(Information Security Management System,ISMS)被认为是良好的信息安全管理实践集之一,从工程哲学的视野来看,这是由某一(或某些)专业技术为主体和与之配套通用的相关技术,按照一定规则、规律所组成的,为实现某一(或某些)工程目标的组织、集成活动。这其中包括人与自然的关系,也包括人与人、人与社会的关系,并由此构筑了新的存在物。目前绝大部分的研究都集中于信息安全管理体系的应用,而缺乏从整体角度出发,以工程创新为主线,从工程哲学的角度进行审视、思考和分析的研究,本文对这些问题进行分析。
1 以“三元论”的视角审视信息安全管理体系
1.1 科学、技术和工程“三元论”
Mitcham提出工程哲学(Engineering Philosophy)词汇,并阐述哲学对工程的重要性,但是他认为工程处于技术之下,是技术的一部分,而李伯聪教授则认为科学、技术和工程是彼此独立的个体,彼此既有联系又有区别,科学、技术和工程“三元论”是工程哲学得以成立的基础。
科学活动是以探索发现为核心的活动,技术活动是以发明革新为核心的活动,工程活动是以集成建构为核心的活动。人们既不应把科学与技术混为一谈,也不应把技术与工程混为一谈。工程并不是单纯的科学应用或技术应用,也不是相关技术的简单堆砌和剪贴拼凑,而是科学要素、技术要素、经济要素、管理要素、社会要素、文化要素、制度要素以及环境要素等多要素的集成、选择和优化。“三元论”明确承认科学、技术与工程存在密切的联系,而且突出强调它们之间的转化关系,强调“工程化”环节对于转化为直接生产力的关键作用、价值和意义,强调应努力实现工程科学、工程技术和工程实践的有机互动与统一。
1.2 信息安全管理体系的工程本质及特点
信息安全管理体系是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准为ISO/IEC 27000标准族。在ISO/IEC 27000标准族中,不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险(的)方法”,而且还给出了信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等。例如,仅GB/T 22081-2008/ISO/IEC 27002:2005信息安全管理实用规则,就包括了11个控制域,39个控制目标,133项控制措施。
信息安全管理体系可在不同的学科中找到其渊源,在实施框架上,信息安全管理体系应用了质量管理中的Plan-Do-Check-Act的戴明环,在具体的控制措施上,则包括了密码学、人员安全以及各类信息安全技术,其研究的特点是将科学思维、工程思维和社会思维相结合,但更强调工程思维的“设计”理论。工程研究活动不同于科学研究活动的基本特征就是“设计”。工程设计活动包括对象设计和过程设计。例如,建造水坝的坝体设计是对象设计,如何实施就是过程设计,在信息安全中,设计组织自己的信息安全管理体系是对象设计,设计如何部署是过程设计。
按照“三元论”理论,信息安全管理体系在其中的位置如图1所示。
2 信息安全管理体系的演化过程与规律
2.1 信息安全管理体系的起源和发展
信息安全管理体系是建立在体系(System)化基础上的“最佳实践集”,到国际标准的正式公布,大致经历了3个阶段。
第一阶段为过度关注技术,忽略人的作用的“技术浪潮”阶段,在这个阶段涌现出了大量的信息安全技术产品,例如,防火墙、防病毒和入侵检测系统(IDS)等。
第二阶段为强调人的作用的“管理浪潮”阶段,在这个阶段大部分企业开始设置专职的信息安全管理岗位,以加强对个人行为的控制。
第三阶段即“体系阶段”,在体系阶段信息安全以目标为导向,不再局限于手段的应用,而是技术、制度和人员管理等各个方面的有机结合。这个阶段是信息安全的工程化阶段,体现了工程的实践性、经验性、继承性、创造性和系统性等特点。
2.2 信息安全管理体系的动力和机制分析
信息安全管理体系的产生和发展过程是一个“需求驱动”的过程。Alvin Toffler在其经典著作《第三次浪潮》中,将人类发展史划分为第一次浪潮的“农业文明”,第二次浪潮的“工业文明”以及第三次浪潮的“信息社会”。在信息社会时代,“信息”成为重要的生产资料,价值非凡,因此面临诸多风险,为保护信息,安全需求的出现是必然的。
科学与技术的进步是信息安全管理体系的推动力。新密码算法的产生,各类以“信息技术解决信息安全”的思路涌现,为信息安全管理体系的产生奠定了基础。信息安全产生的本质原因是信息技术的发展和应用,反过来,解决信息安全问题又依赖于信息技术的发展。例如,速度更快,与防火墙形成联动的入侵检测系统。
国家政策是信息安全管理体系应用的导向力。任何工程活动都是在社会大系统中开展的,都要接受国家(政府)的引导和调控。对工程创新的应用,企业的认识往往是滞后的,因此,国家出台了一系列引导性政策。例如:商务部印发的商资发[2006]556号及商资函[2006]110号,以及各地方政府的鼓励引导政策。
2.3 信息安全管理体系的工程演化特点、方式和规律
对比国外,信息安全管理体系在国内发展体现出了明显的跳跃性,这种跳跃性不但体现在信息工程领域,也表现在其他诸多领域。国内一般不会沿袭其循序渐进的路线,而是直接引用国外的先进经验或者在国外已有的原型上进行模仿开发。
在科学、技术和工程3个领域内,与文化、制度、历史等环境因素联系最紧密的就是工程。在信息安全领域内,作为基础科学的密码学,其算法“放之四海而皆准”,不会因东西方文化的不同而显现不同的特征,绝大部分技术亦如此。但在工程层次,不同的文化制度有时会产生大相径庭的结果,例如,腾讯QQ本来是模仿国际聊天软件ICQ,但是经过十几年的发展后,ICQ,MSN等点对点国外聊天软件均濒临破产,但QQ在线用户却在2010年突破1亿。信息安全管理体系虽然修改自国际标准,但也显现出鲜明的文化特征。例如更强调保密性,和国外用户相比,更多的认证取向等。
3 信息安全管理体系的工程思维与工程方法论
3.1 信息安全管理体系的工程思维
科学思维是“反映性思维”“发现性思维”,体现理论理性的认识,工程思维是“构建性思维”“设计性思维”和“实践性思维”,体现实践理性的认识。科学家通过科学思维发现外部世界中已经存在的事物和自然规律,工程师在工程活动中创造出自然界中从来没有的工程构建物,工程设计是以价值当事人的特定需要为出发点,以构建某种与主体需要相符合的实体为归宿的筹划。
信息安全管理体系标准族的GB/T 22080-2008/ISO/IEC 27001:2005原文别强调:“采用ISMS应当是一个组织的一项战略性决策。一个组织ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响,且上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。”信息安全管理体系的部署过程也专门设有信息安全风险评估,目的就是找到企业实际存在的问题,然后“对症下药”。
3.2 信息安全管理体系的工程方法论
信息安全管理体系应用了PDCA戴明环,与A.D.Hall的系统工程方法略有差别,但在本质上是遵循这个基本框架的,如图2所示。
参照图2所示的基本工作过程并结合专门指导信息安全管理体系实施的《ISO/IEC 27003:2010信息安全管理体系应用指南》,提取其中的关键过程,并与工程设计的一般过程进行对比,如图3所示,其中左侧为设计方法,右侧为信息安全管理体系设计。
4 结 语
信息安全管理体系既包括数论、密码学和近世代数等科学元素,也包括软件开发技术、单片机技术和网络技术等技术元素,在工程哲学的视野下,是建立在一系列科学与技术基础上的集成创新。在工程创新成为创新活动主战场的今天,对其进行哲学分析,显得尤为重要。这其中包括以下几点。首先,要辩证地对待便利性与安全性的问题。正确利用信息系统,不仅是技术问题,也是哲学命题。坚持用“两点论”的观点看待便利性和安全性,在信息化发展的不同阶段,正确分析主要矛盾和次要矛盾。在信息化发展初期,信息系统尚未大规模使用,主要矛盾是便利性,提高效率,但到现在,信息安全事件层出不穷,美国甚至成立了网络战争司令部,信息战成为攻击手段之一,安全性就成了主要矛盾,“两点论”是有重点的两点论,要在看到主次矛盾和矛盾的主次方面的同时,分清主次,抓住主要矛盾和矛盾的主要方面。其次,从信息安全管理体系演化规律中发现集成创新的一般规律。科学、技术转化为现实生产力的功能一般都要通过工程这一环节,因此,在我国建设创新型国家战略的实施过程中,工程创新是一个关键性的环节。只有从大量的工程中发现工程创新的一般规律,从工程哲学的角度加以分析、归纳和引导,才能创新信息安全管理体系建设,发挥我国信息化发展的后发优势。
主要参考文献
[1]Tanenbaum A.S,Whterall D.J.计算机网络[M].第5版.严伟,潘爱民,译.北京:清华大学出版社,2012.
[2]张艳,胡新.云计算模式下的信息安全风险及其法律规制[J].自然辩证法研究,2012(10).
[3]谢宗晓.信息安全管理体系实施指南[M].北京:中国标准出版社,2012.
[4]张志会.米切姆的工程哲学思想初探[J].工程研究――跨学科视野中的工程,2008.
[5]李伯聪.工程哲学引论――我造物故我在[M].郑州:大象出版社,2002.
[6]殷瑞钰,汪应洛,李伯聪.工程哲学[M].北京:高等教育出版社,2007.
[7]谢宗晓.信心安全管理体系应用手册[M].北京:中国标准出版社,2008.
[8]王宏波.工程哲学与社会工程[M].北京:中国社会科学出版社,2006.
[9]Von Solms Basie.Information Security:The Third Wave[J].Computer & Security,2000(12).
[10]殷瑞钰,汪应洛,李伯聪.工程演化论[M].北京:高等教育出版社,2011.
[11]谢宗晓.信息安全管理体系实施案例[M].北京:中国标准出版社,2012.
一、风险管理与安全管理关系的认识
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的 网络 化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速 发展 ,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以 科学 的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践 历史 来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、 科学 的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的 电子 文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全, 自然 安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的 总结 与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《 计算 机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
3、 陈国云:《档案信息建设的风险管理》,《档案管理》2008年第1期。
“安全文化”这一术语最早由国际核安全顾问组(InternationalNuclearSafetyAdvisoryGroup,INSAG)于1986年在前苏联切尔诺贝利核电站泄漏事故总结报告中提出。报告分析称,该起事故是由不良的安全文化和安全氛围导致的。之后,学术界发表了许多对安全文化的定义,但到目前为止对于其定义仍未达成共识。国际上比较权威、流行的是国际核设施安全顾问委员会对安全文化的定义:即安全文化是个人或组织的价值观、态度、认知、胜任力和行为模式的产物,它决定了组织的健康和安全管理的承诺、风格和效率[1]。对于全行业来讲,安全文化既是个人问题,涉及个人态度和行为模式,同时还与组织的管理体制有关。对建筑业来讲,建设工程具有环境动态多变、项目参与方众多、项目组织临时性强、具有较强的目标导向性等特点,Fang等[2]在文献研究和个人经验的基础上对建设工程安全文化做出了以下解释:建设工程安全文化是建设工程项目部不同参与方的个人和集体的态度、信仰、价值观、行为方式和标准的混合体,建设工程安全文化在项目运行的环境中形成并随着项目的实施而发展。这是目前对于建设工程安全文化较为全面、清晰的定义与解释。然而,建设工程安全文化的定义仅仅从概念上强调了人的态度、观念和行为模式的重要性,对于如何将建设工程安全文化的理论应用于定量研究和实证研究还有待于进一步探讨。
2建设工程安全文化理论模型的提出
考虑到建筑行业本身的内在特殊性,对建设工程安全文化的理论研究也更为复杂。因此,学者们提出了一系列的理论模型,期望从模型要素的构成和相互关系上来揭示建设工程安全文化的内涵。Geller[3]提出全面安全文化模型(TotalSafetyCultureModel),将安全管理、安全文化和技术三者联系起来,并包含了人、技术、组织和安全之间的相互作用。在该模型中,将“人的因素”、“行为因素”和“环境因素”作为安全文化的基本框架以此描述安全文化的构成。但是,该模型并没有对这3个因素之间的关系进行研究。基于Bandura的相互决定论,Cooper[4]提出安全文化交互模型(ReciprocalSafetyCultureModel)。该模型包括主观的心理因素、实际的安全行为以及客观的环境/情景特征3个要素,主观的心理因素可以通过安全氛围调查问卷来评估,实际的安全行为可以通过行为观察并对比行业安全行为标准规范来评估,客观的环境/情景特征可以通过审查安全管理系统来评估。通过这3个测量方法,分别对安全文化的3个构成要素进行定量研究。相比Geller[3]的全面安全文化模型,Cooper[4]的交互模型对原有的因素进行了定义,在原来的环境因素中增加了安全管理体系中的情景因素,并且承认这3个构成因素之间存在着相互作用。这是安全文化理论研究的经典模型,为建设工程安全文化交互模型的提出奠定了理论基础。在全面安全文化模型和安全文化交互模型的基础上,Choudry等[5]提出适用于建筑施工现场环境的建设工程安全文化模型(TheModelofConstructionSafetyCulture)。相比前两个模型,Choudry等提出的安全文化模型把安全氛围、安全行为和安全管理系统作为3个研究指标,这3个指标既可以单独也可以组合起来进行现场测评,以此对建设工程组织的安全文化进行多层次定量分析。由此,对于安全文化的探索既可以通过研究安全氛围、安全行为、安全管理系统这3个因素的分别作用,也可以通过研究它们之间的相互作用来进行,这为建设工程安全文化的研究提供了新的思路。但是,由于模型本身的建立并没有强调对于建设工程特点的研究,这限制了模型在建设工程上的直接应用。
Fang等[2]提出了适用于建设项目的安全文化交互模型(SafetyCultureInteractionModel),见图2。相较于之前的理论模型,该模型的提出综合考虑了建设项目组织临时性强、项目参与方众多、具有较强的目标导向性、环境动态多变等特点,体现出建设项目最为重要的3个参与方:业主、承包商和分包商在建设项目安全行为形成和发展过程中的交互动态性,将认知、行为和环境作为建设项目安全文化的架构,在每一构成因素中均涉及管理层面和工人层面的态度、信仰、价值观和行为方式的分析,并且可以概扩性地描述建设项目组织的安全文化嵌入组织运转过程和安全管理系统的方式。此外,通过选取新加坡的铁路项目和高速公路项目案例,验证了SCI理论模型在实际建设项目中的有效性。虽然,SCI模型仍存在一些局限性,但其所得出的实际研究方法和研究结论,为建设项目安全文化的研究提供了理论框架,对于建筑业安全文化的实证研究有很大的意义。
3建设工程安全文化内涵
3.1安全氛围
Zohar[6]最早使用安全氛围的概念,描述了工人对特定时间下组织环境中安全的看法和态度。对安全氛围这一概念,学术界大致有两类看法:一类学者认为,安全氛围是IASAG于1988年提出安全文化构成因素的一个子类[4,6,9,13];另一类学者则认为,可以通过对安全氛围的测量来反映实际安全文化。对于第二种观点,很多研究学者并不认同,以Cooper[4]为代表,他认为安全氛围调查不能体现安全文化概念复杂性及多元性,因此无法全面地反映安全文化。对于安全氛围的测量方法,大多数研究采用的是调查(调查问卷或结构化访谈)的方式,但是不同行业对于安全氛围的研究维度却存在着很大的差异。Flin等[7]对18份不同行业的安全氛围报告进行研究指出,各行业最常用的6个“主题词”来研究安全氛围:管理(72%)、风险(67%)、安全管理系统(67%)、工作压力(33%)、工作能力(33%)以及安全规程。本文在文献阅读的基础上,梳理出有代表性的建筑业安全氛围维度研究,见表1。通过分析和总结可以得出,不同学者研究得出的建筑业安全氛围维度具有很强的共性,这也从某种程度上反映出建筑业安全氛围维度的稳定性。由此可见,对于同一个行业而言,探索一个共同的安全氛围维度是可行的。但是,对于不同的研究对象和研究目的,研究者应科学、合理地选取安全氛围维度,以此保证安全氛围调查的可信性和有效性。
3.2安全行为
大多数学者对于安全行为的研究主要关注安全参与行为和安全遵守行为两个方面[9,13]。测量安全行为的方法通常是自陈法和观察法,也就是所谓的主观指标测量和客观指标测量。针对目前大多数研究学者对安全行为测量所采用的自陈法存在偏差较大的问题,通过经专门培训的观察员对实际的安全行为进行观察,能够更加客观地反映实际情况,因此越来越受到学者的关注。对安全行为的分析主要基于行为安全理论(BehaviorBasedSafety,BBS)和计划行为理论(TheoryofPlannedBehavior,TPB)。基于BBS管理方法,设计BBS在建设项目中的实施流程,可以测量并提高安全行为。该程序一个重要特性在于其输出的数学性质,根据BBS程序给出的安全行为分数,可以对现场的安全行为状况有一个清楚的了解并以此作为基准来改进员工的行为[5]。基于TPB理论,开发不安全行为因果关系模型(CausationModelofUnsafeBehaviors),可以作为因果分析的工具来调查不安全行为的产生原因,特别是管理因素方面的原因。从另一方面来说,在建设项目中应用因果关系模型进行因果分析,有助于BBS程序在建设项目中的实施并获得持续性的安全行为提高效果[2]。
3.3安全管理系统
安全管理系统提供了一个对安全表现进行计划、实施、监督、审查的系统过程,以此评价安全文化模型中的环境因素。一个建筑施工安全管理系统一般包括安全政策及其目标、安全标准及其目标、工作计划和组织、应用和一般性操作实践、监测、反馈和审核、纠正措施、再次审查以及持续改进[5]。在此系统中,包括所有用于现场操作安全管理的政策、目标、角色、责任、岗位职责、规范、标准、交流、过程、步骤、工具、数据和文件。并且,可以通过建设工程现场特定的安全计划对工人的作业环境进行评价,通过安全管理体系对安全文化的环境特征进行审查。
4安全氛围与安全行为的关系
基于对建设工程安全文化内涵的总结和分析,就安全氛围、安全行为和安全管理系统这3个方面,对安全氛围和安全行为的关系的认识与理解,是研究建设工程安全文化的关键,也是学者们亟于解决的问题。近些年,研究学者们已经意识到安全氛围对安全行为有积极的作用。通过构建一个积极的安全氛围,可以显著提高员工的安全行为,进而有效降低事故发生率,提高组织的安全绩效。目前,学术界对安全氛围和安全行为的关系研究主要包括以下几个方面:
(1)运用统计学方法论证安全氛围对安全行为的作用。很多研究者已经通过实证研究证明了安全氛围对安全行为的预测作用,并把安全氛围称作是安全行为的“预测器”(Predictor)。例如,Mohamed[10]通过结构方程模型检验了施工现场安全氛围维度和安全工作行为的关系,证实了安全工作行为是安全氛围的结果。其中,管理层对安全的重视、非惩罚性安全办法会促进员工间对于安全问题更加自由、开放的沟通,以此形成一个积极的安全氛围,并进一步提高工人对安全工作的积极性和主动性。
(2)寻找安全氛围对安全行为产生影响的中介变量。Neal等[13]通过对组织氛围与个体行为关系的实证研究,得出安全氛围通过知识和动机这两个内在变量对员工安全行为的影响作用。此外,他还指出知识更多的是影响安全参与这一行为,而动机更多的是影响安全遵守。然而,目前学术界关于安全氛围对安全行为的影响机理研究较少,这仍有待于进一步研究。
(3)建立安全氛围评价指标。很多研究者试图从安全氛围和安全行为的关系出发,研究安全氛围各个因子之间的权重关系,以此建立安全氛围的评价指标。对此,一些研究者做出了尝试[9,10,14],尽管迄今未成功建立起建筑业的安全氛围评价指标体系,但是以安全氛围和安全行为关系的研究为出发点,是探索安全氛围各因子权重系数的一个可行途径[14]。同时,一些研究也发现,安全氛围与安全行为间的关系不仅仅体现在安全氛围对安全行为的作用,反过来,安全行为也会影响到安全氛围的形成。例如,工人的安全服从行为和参与行为能促进良好的安全氛围的形成,进而影响个体的安全意识和行为动机[13]。因此,通过对员工在安全行为上进行引导,将有助于提高他们对于安全问题的重视和认识,进而形成一个积极的组织安全氛围。目前,一些学者已经意识到了安全行为对安全氛围的作用,提出未来的研究方向是安全氛围和安全行为的相互作用。
5结语
(1)在建筑业,积极的安全文化对于减少事故发生率,提高安全绩效等方面有着重要的意义。建设工程安全文化的内容包括安全氛围、安全行为和安全管理系统3个要素,安全氛围反映了主观的心理因素,安全行为反映了实际的安全工作行为,安全管理系统反映了客观的环境/情景特征,它们之间存在着相互作用,共同构成安全文化的范围。
(2)安全氛围、安全行为和安全管理系统各有其特定的测量方式。大多数学者对于安全氛围的测量采用调查的方式,针对管理层的调查以结构化访谈的形式为主,对工人的调查以结构化调查问卷的方式为主;对安全行为的研究可以通过应用BBS和TPB理论,设计具体的BBS流程,结合不安全行为因果关系模型,以此分析不安全行为产生原因中的管理因素,并有助于在建设项目中实现BBS程序对安全行为的测量和提高作用;通过安全管理系统对安全表现进行计划、实施、监督、审查等系统过程,以此测量建设项目组织的管理环境,并且,通过项目具体现场安全计划(例如,施工方案)可以测量建设项目工人的作业环境。
(3)通过对建筑业安全氛围维度研究的总结和梳理可以发现,学者常用的安全氛围维度为:管理层的关注、监督和支持、制度和规范、员工的参与、沟通、工作压力、风险、安全施工的能力8个因素。由此看出,建筑业安全氛围维度具有一定程度上的稳定性,探索建筑业共同的安全氛围维度这一研究方向在理论上是可行的。
(4)目前有很多学者已经证实了安全氛围对安全行为有积极的作用,以安全氛围和安全行为关系的研究为出发点,是探索安全氛围各因子权重系数的一个可行途径,为建立建设工程安全氛围评价指标体系提供了一个有价值的研究方向。但是对于诸如安全氛围对安全行为的影响机理、安全氛围与安全行为的相互作用等问题,仍有待于未来进一步研究。
