前陣子，小博看完了一部國安題材反諜劇，在緊湊劇情中看國安人員與間諜組織斗智斗勇，深感國家安全來之不易，更震撼于國家安全背后，是無數(shù)“隱形守護(hù)者”們在負(fù)隅前行、默默守護(hù)。

安全無小事，一方安穩(wěn)往往是多方通力協(xié)作的結(jié)果。對于企業(yè)組織的檔案信息安全亦是如此。

在檔案管理系統(tǒng)內(nèi)，也有這樣的“隱形守護(hù)者”，以無形的大手規(guī)范用戶的各項(xiàng)行為、限制不合規(guī)行為，守護(hù)檔案數(shù)據(jù)安全——Ta就是權(quán)限體系。

權(quán)限體系是如何發(fā)揮內(nèi)控作用的？如何防止機(jī)密信息內(nèi)泄？——要回答這些問題，我們不妨根據(jù)“誰（who），對什么檔案信息（what），進(jìn)行什么操作（how）”這一思路去梳理。

接下來，我們就以會博通檔案管理系統(tǒng)為例，看看權(quán)限體系這個“隱形守護(hù)者”是如何多層次、多維度把控檔案信息安全的。

01 解決“誰”的問題——為不同角色（職能）授權(quán)

不同職能、不同級別的成員，如何區(qū)分授權(quán)？是整體授權(quán)，還是單獨(dú)一個人一個人授權(quán)？

這里我們引入“角色”這一概念，它基于權(quán)限管理常用到的RBAC（Role-Based Access Control基于角色的訪問控制）模型。在會博通系統(tǒng)中，角色也可以理解為崗位，它與對應(yīng)權(quán)限關(guān)聯(lián)；當(dāng)用戶成為某角色后，即自動擁有了該角色下的權(quán)限，方便批量或快速授權(quán)。

在授予權(quán)限角色時，建議根據(jù)實(shí)際職權(quán)進(jìn)行匹配。比如，業(yè)務(wù)檔案的借閱、歸還等需由業(yè)務(wù)主管張三審批，那么可將“業(yè)務(wù)管理員”（具業(yè)務(wù)管理權(quán)）角色授予主管張三。

不同規(guī)模、不同類型的企業(yè)組織，所適合的權(quán)限角色構(gòu)成亦有不同。比較方便的是，在會博通系統(tǒng)內(nèi)，除了預(yù)設(shè)的權(quán)限角色，還可根據(jù)需要自行設(shè)計(jì)權(quán)限角色，為角色命名、授權(quán)，比如將主管張三的權(quán)限角色名改為“業(yè)務(wù)主管”，使其與實(shí)際職位一致。

此外，雖應(yīng)用到角色這一介質(zhì)，但授權(quán)對象并不拘束于此。在會博通系統(tǒng)內(nèi)，亦可直接給指定人員、部門或整個公司授權(quán)，可根據(jù)管理需求靈活設(shè)置。

02解決“什么信息”的問題——授權(quán)范圍靈活設(shè)置

要發(fā)揮好權(quán)限的內(nèi)控作用，授權(quán)范圍的選擇必須準(zhǔn)確到位。

比如說，張三負(fù)責(zé)業(yè)務(wù)檔案的審批，但不負(fù)責(zé)其他類型檔案的審批，授權(quán)范圍就須對應(yīng)檔案管理架構(gòu)中業(yè)務(wù)檔案這一分類，管理權(quán)限須與管理范圍相對應(yīng)。

權(quán)限范圍不準(zhǔn)確，權(quán)限就無法明確、有針對性地進(jìn)行控制。試想一下，負(fù)責(zé)業(yè)務(wù)檔案審批的張三，還收到了會計(jì)檔案、文書檔案的審批申請？這極易造成管理混亂，帶來巨大風(fēng)險(xiǎn)。

在會博通系統(tǒng)內(nèi)，授權(quán)范圍非常靈活，既可針對各級分類授權(quán)，也可針對具體文件授權(quán)。企業(yè)組織可結(jié)合自身檔案管理架構(gòu)與工作需求進(jìn)行設(shè)置。

此外，對于如經(jīng)營報(bào)表、財(cái)務(wù)數(shù)據(jù)等機(jī)密信息，如何通過訪問權(quán)限進(jìn)行管控，防止外泄？會博通還有利器——密級。

會博通系統(tǒng)內(nèi)的每個文件、每條信息都可設(shè)定密級，密級又與權(quán)限角色或具體用戶關(guān)聯(lián)。比如，業(yè)務(wù)管理員這一角色可訪問的最高密級是“機(jī)密級”，那張三即可訪問“機(jī)密級”及以下密級，無權(quán)限訪問在該密級之上的文件。

密級與權(quán)限交叉，構(gòu)建了一張嚴(yán)密的信息安全防護(hù)網(wǎng)，更穩(wěn)固守護(hù)檔案信息安全。

03解決“什么操作”的問題——細(xì)化把控權(quán)限行為

不同用戶應(yīng)用檔案系統(tǒng)的需求不一樣，有的需查閱檔案，有的需修改文件……如何整體把控操作行為，防止“越界”操作？

通過設(shè)定權(quán)限行為，可規(guī)范用戶在與職能相匹配的“指定動作”內(nèi)進(jìn)行操作。以會博通系統(tǒng)提供的17種基本權(quán)限為例，包括了類型管理、業(yè)務(wù)管理、刪除、修改、創(chuàng)建、下載、閱讀等等，涵蓋了應(yīng)用系統(tǒng)時的多種工作場景。

值得留意的是，某些權(quán)限提供了多種選擇，比如“刪除”分為“刪除”、“刪除（自己創(chuàng)建的）”兩種，對應(yīng)了更細(xì)化的工作場景。比如，在檔案錄入時，可為錄入人員授予“刪除（自己創(chuàng)建的）”權(quán)限，那么他僅可刪除自己創(chuàng)建的，無法刪除他人創(chuàng)建的文件，避免誤刪等風(fēng)險(xiǎn)。

再如“閱讀”權(quán)限，區(qū)分為“閱讀”、“閱讀條目”、“閱讀（自己創(chuàng)建的）”等五種。例如在跨部門協(xié)作中，可為非本部門成員授予“閱讀條目”權(quán)限，使其僅可查看對應(yīng)檔案條目；當(dāng)工作需要查閱時，可通過流程發(fā)起申請，依審批授權(quán)在規(guī)定期限內(nèi)查閱。

如此一來，確保不同用戶的操作行為符合實(shí)際工作需要，無權(quán)限用戶無法接觸對應(yīng)信息或進(jìn)行相關(guān)操作，避免信息外泄、損壞等風(fēng)險(xiǎn)。

企業(yè)組織需要什么樣的角色、該角色具備哪些權(quán)限、可訪問密級是什么，通過權(quán)限設(shè)定，可按需自由打造，進(jìn)行精細(xì)把控。各分類內(nèi)，哪些角色具備什么權(quán)限，管理員亦可通過分級授權(quán)清單清楚了解，及時調(diào)整，確保職權(quán)清晰對應(yīng)。

04寫在最后

會博通文件、檔案、知識一體化管理軟件，具備細(xì)?；臋?quán)限管理體系。多年來，覆蓋十大行業(yè)、不同規(guī)模的企業(yè)組織客戶應(yīng)用會博通進(jìn)行檔案管理，同時亦打造了個性化的權(quán)限管理框架，更好地保障了檔案應(yīng)用安全。如果您對安全、可靠的檔案管理系統(tǒng)有需求，歡迎搜索會博通咨詢了解，我們將竭誠為您提供專業(yè)、個性化的解決方案。

推薦閱讀：

展望2024 | 新一年，會博通將有這些大動作！

企業(yè)內(nèi)應(yīng)用多個業(yè)務(wù)系統(tǒng)，能與會博通檔案系統(tǒng)統(tǒng)一對接嗎？

“統(tǒng)計(jì)功能原來這么好用！”會博通檔案統(tǒng)計(jì)使用攻略來了