可信电子文件审计认证的研究.docVIP

可信电子文件审计认证的研究 　　摘 要：分析电子文件管理不仅要保障真实性与完整性，还要证明其真实性与完整性，进一步提出可信电子文件管理系统的概念，并分析其内涵与外延。据此概念研究证明真实性与完整性的途径与方法——审计认证，将电子文件的审计认证分为四个层次：文件自身、管理过程、人员与机构，探讨这四个层次的具体内容，重点分析了机构文件管理能力评测。 　　关键词：可信；电子文件管理系统；审计认证；文件管理能力 　　从电子文件出现直到现在，虽然其研究取得了很多进展，得到了社会的广泛认可，然而还有许多档案人员甚至包括一些档案专家在内对电子文件依然不认可。他们也承认电子文件是形成者在社会活动中直接形成的，具有原始记录性，但他们对其法律效力表示疑惑，实际就是对电子文件长期保存中的真实性表示疑惑，他们认为电子文件在生成时固然有真实性，但经过长期保存，其真实性就难以确定，因为电子文件载体与信息是分离的，其修改难以被觉察。即使电子文件经过档案人员的精心保管，其真实性、完整性、可用性得到了有效保障，人们在利用时依然会提出如何证明其真实性，即如何证明其真实性、完整性、可用性得到了有效保障。 　　造成上述问题的根本原因是电子文件的载体与信息出现了分离。传统档案载体与信息固化在一起，信息与载体所见即所得，其真实性较易被认可。电子文件则不然，看到了载体，依然需要相应的软硬件才可利用其信息，而计算机、网络等在人们心目中有太多的不确定性，造成了电子文件的真实性问题。 　　1 可信电子文件管理系统 　　电子文件保存的目的是跨越时空传递可信的电子信息（文件内容），同时利用者能够合理判断出其真实可信性，这样的电子文件即为可信电子文件。因此，电子文件保存是一个从其创建就开始的持续不断的过程，直到其生命结束。 　　可信是指文件自身的可信赖性，即文件是原始记录、没有被任何篡改。人们不能自动假定或推测一个电子文件是否可信，而是需要权衡那些能证明文件 　　原始记录、没有被篡改的证据，然后判断文件是否可信。也就是说，可信并不是文件自身的性质，而是人们做的关于文件是真实的判断。因此，可信是一个主观判断程度的表示，本文中提及的可信电子文件均指可合理判断其可信性的文件，是指真实性、完整性与长期可读性得到确认的电子文件[1]。 　　电子文件必须通过电子文件管理系统来实施管理。电子文件管理系统（Electronic Record Management System，ERMS）是在政府机构内部使用的，包括所有与文件、档案管理有关的技术、管理、法律、标准、人员等相关因素在内，能保证政府电子文件的行政有效性和法律证据性，以实现文件、档案的科学管理和高效利用为目的的信息系统[2]。在国家档案局下发的《电子文件元数据标准（征求意见稿）》中将其描述为：为了满足业务对电子文件管理需要而设计的系统，用以捕获、保存、提供获取业务处理过程中产生的有证据价值的文件的功能。 　　冯教授提出的定义含义较广，包含因素众多，尤其指出了“保证政府电子文件的行政有效性和法律证据性”，点明了系统的最主要作用；第二个定义则是从狭义着手，指出了系统的功能，简洁容易理解，但忽略了电子文件的本质属性——真实性。这两个定义都没有考虑到利用者的主观因素，即对真实性的主观判断。为解决这一问题，本文提出可信电子文件管理系统概念。 　　可信电子文件管理系统（Trustworthy Electronic Record Management System，简称“TERMS”）。TERMS是一个对电子文件进行生成、收集、组织、分类，以便实现文件的保存、检索、利用与处置等管理活动的广义系统，包含人员、机构、应用软件、基础设施与操作规程，通过该系统所实现的管理活动来提供文件可信的保障与利用者合理判断文件的可信性，即文件的真实性、完整性与长期可读性。 　　定义中，应用软件指生成或导入、存储、分发电子文件的计算机程序；基础设施指电子文件管理过程中使用的所有物理或管理上的资源，包括机房、计算机硬件、网络设备等；操作规程则是对成功完成一项任务而所需活动的详细说明，同时描述了如何执行这些活动，规程详细表述一个机构如何满足、实现其政策要求的，一般来说，规程用文档确定下来。 　　再详细点，电子文件管理系统包括：档案工作者和文件使用者；授权政策、责任分配、权力授予、程序和做法；政策声明、程序手册、用户指南和其他用以批准和颁布政策的文件、程序和做法；文件本身；控制和记录的专门资料和文件系统；软件、硬件、其他设备、必要工具等。 　　ERMS也只有从广义上理解，而非狭义的计算机应用软件，才能做到电子文件的可信管理。 　　电子文件管理系统中的人员、应用软件、基础设施与操作规程组成一个有机组合体，机构使用该组合体以满足电子文件管理需要，这些需要