前陣子，小博看完了一部國安題材反諜劇，在緊湊劇情中看國安人員與間諜組織斗智斗勇，深感國家安全來之不易，更震撼于國家安全背后，是無數(shù)“隱形守護者”們在負隅前行、默默守護。

安全無小事，一方安穩(wěn)往往是多方通力協(xié)作的結(jié)果。對于企業(yè)組織的檔案信息安全亦是如此。

在檔案管理系統(tǒng)內(nèi)，也有這樣的“隱形守護者”，以無形的大手規(guī)范用戶的各項行為、限制不合規(guī)行為，守護檔案數(shù)據(jù)安全——Ta就是權(quán)限體系。

權(quán)限體系是如何發(fā)揮內(nèi)控作用的？如何防止機密信息內(nèi)泄？——要回答這些問題，我們不妨根據(jù)“誰（who），對什么檔案信息（what），進行什么操作（how）”這一思路去梳理。

接下來，我們就以會博通檔案管理系統(tǒng)為例，看看權(quán)限體系這個“隱形守護者”是如何多層次、多維度把控檔案信息安全的。

01 解決“誰”的問題——為不同角色（職能）授權(quán)

不同職能、不同級別的成員，如何區(qū)分授權(quán)？是整體授權(quán)，還是單獨一個人一個人授權(quán)？

這里我們引入“角色”這一概念，它基于權(quán)限管理常用到的RBAC（Role-Based Access Control基于角色的訪問控制）模型。在會博通系統(tǒng)中，角色也可以理解為崗位，它與對應權(quán)限關(guān)聯(lián)；當用戶成為某角色后，即自動擁有了該角色下的權(quán)限，方便批量或快速授權(quán)。

在授予權(quán)限角色時，建議根據(jù)實際職權(quán)進行匹配。比如，業(yè)務檔案的借閱、歸還等需由業(yè)務主管張三審批，那么可將“業(yè)務管理員”（具業(yè)務管理權(quán)）角色授予主管張三。

不同規(guī)模、不同類型的企業(yè)組織，所適合的權(quán)限角色構(gòu)成亦有不同。比較方便的是，在會博通系統(tǒng)內(nèi)，除了預設的權(quán)限角色，還可根據(jù)需要自行設計權(quán)限角色，為角色命名、授權(quán)，比如將主管張三的權(quán)限角色名改為“業(yè)務主管”，使其與實際職位一致。

此外，雖應用到角色這一介質(zhì)，但授權(quán)對象并不拘束于此。在會博通系統(tǒng)內(nèi)，亦可直接給指定人員、部門或整個公司授權(quán)，可根據(jù)管理需求靈活設置。

02解決“什么信息”的問題——授權(quán)范圍靈活設置

要發(fā)揮好權(quán)限的內(nèi)控作用，授權(quán)范圍的選擇必須準確到位。

比如說，張三負責業(yè)務檔案的審批，但不負責其他類型檔案的審批，授權(quán)范圍就須對應檔案管理架構(gòu)中業(yè)務檔案這一分類，管理權(quán)限須與管理范圍相對應。

權(quán)限范圍不準確，權(quán)限就無法明確、有針對性地進行控制。試想一下，負責業(yè)務檔案審批的張三，還收到了會計檔案、文書檔案的審批申請？這極易造成管理混亂，帶來巨大風險。

在會博通系統(tǒng)內(nèi)，授權(quán)范圍非常靈活，既可針對各級分類授權(quán)，也可針對具體文件授權(quán)。企業(yè)組織可結(jié)合自身檔案管理架構(gòu)與工作需求進行設置。

此外，對于如經(jīng)營報表、財務數(shù)據(jù)等機密信息，如何通過訪問權(quán)限進行管控，防止外泄？會博通還有利器——密級。

會博通系統(tǒng)內(nèi)的每個文件、每條信息都可設定密級，密級又與權(quán)限角色或具體用戶關(guān)聯(lián)。比如，業(yè)務管理員這一角色可訪問的最高密級是“機密級”，那張三即可訪問“機密級”及以下密級，無權(quán)限訪問在該密級之上的文件。

密級與權(quán)限交叉，構(gòu)建了一張嚴密的信息安全防護網(wǎng)，更穩(wěn)固守護檔案信息安全。

03解決“什么操作”的問題——細化把控權(quán)限行為

不同用戶應用檔案系統(tǒng)的需求不一樣，有的需查閱檔案，有的需修改文件……如何整體把控操作行為，防止“越界”操作？

通過設定權(quán)限行為，可規(guī)范用戶在與職能相匹配的“指定動作”內(nèi)進行操作。以會博通系統(tǒng)提供的17種基本權(quán)限為例，包括了類型管理、業(yè)務管理、刪除、修改、創(chuàng)建、下載、閱讀等等，涵蓋了應用系統(tǒng)時的多種工作場景。

值得留意的是，某些權(quán)限提供了多種選擇，比如“刪除”分為“刪除”、“刪除（自己創(chuàng)建的）”兩種，對應了更細化的工作場景。比如，在檔案錄入時，可為錄入人員授予“刪除（自己創(chuàng)建的）”權(quán)限，那么他僅可刪除自己創(chuàng)建的，無法刪除他人創(chuàng)建的文件，避免誤刪等風險。

再如“閱讀”權(quán)限，區(qū)分為“閱讀”、“閱讀條目”、“閱讀（自己創(chuàng)建的）”等五種。例如在跨部門協(xié)作中，可為非本部門成員授予“閱讀條目”權(quán)限，使其僅可查看對應檔案條目；當工作需要查閱時，可通過流程發(fā)起申請，依審批授權(quán)在規(guī)定期限內(nèi)查閱。

如此一來，確保不同用戶的操作行為符合實際工作需要，無權(quán)限用戶無法接觸對應信息或進行相關(guān)操作，避免信息外泄、損壞等風險。

企業(yè)組織需要什么樣的角色、該角色具備哪些權(quán)限、可訪問密級是什么，通過權(quán)限設定，可按需自由打造，進行精細把控。各分類內(nèi)，哪些角色具備什么權(quán)限，管理員亦可通過分級授權(quán)清單清楚了解，及時調(diào)整，確保職權(quán)清晰對應。

04寫在最后

會博通文件、檔案、知識一體化管理軟件，具備細粒化的權(quán)限管理體系。多年來，覆蓋十大行業(yè)、不同規(guī)模的企業(yè)組織客戶應用會博通進行檔案管理，同時亦打造了個性化的權(quán)限管理框架，更好地保障了檔案應用安全。如果您對安全、可靠的檔案管理系統(tǒng)有需求，歡迎搜索會博通咨詢了解，我們將竭誠為您提供專業(yè)、個性化的解決方案。

推薦閱讀：

展望2024 | 新一年，會博通將有這些大動作！

企業(yè)內(nèi)應用多個業(yè)務系統(tǒng)，能與會博通檔案系統(tǒng)統(tǒng)一對接嗎？

“統(tǒng)計功能原來這么好用！”會博通檔案統(tǒng)計使用攻略來了