如何完善政府采购电子档案制度？

来源：滚动播报

（来源：中国政府采购报）

近年来，政府采购电子档案的重要性日趋显现。笔者认为，可参考借鉴美国做法，进一步完善政府采购电子档案制度。美国系统安全计划（System Security Plan，以下简称SSP）、灾难恢复计划（Disaster Recovery Plan, 以下简称DRP）与持续运营计划（Continuity of Operations Plan，以下简称COOP），共同构成采购电子档案系统的“制度三角架构”。

SSP是整个档案系统治理的基础文件，用于系统性说明政府采购电子档案平台如何被配置、保护与监督。在采购档案系统中的关键内容包括以下几点：一是系统边界描述，明确采购档案系统是独立平台还是嵌入式模块，包含哪些核心组成部分（数据库、服务器、API、云存储等）。二是安全控制措施清单，包括谁可访问合同信息、是否启用电子签章机制、哪些环节具备审计追踪能力等。三是责任角色划分，明确谁是系统拥有者（通常为信息中心）、谁负责数据完整性验证（档案管理人员）、谁负责访问审批（采购主管）。四是风险评估整合，系统性分析可能面临的关键风险（如投标数据被提前泄露或合同被恶意篡改），并列明相应技术应对机制。五是合规审计准备，为美国国家档案和记录管理局、政府审计署或联邦检查机构提供清晰可审的系统安全依据。如果没有SSP，采购档案系统就处于“制度裸奔”状态，将面临信息泄露、合规失败与司法审查无法应对等系统性风险。

DRP是一份聚焦于系统遭遇故障后技术层面恢复流程的计划，用以确保在遭遇重大中断事件（如勒索病毒、服务器宕机、云平台故障等）后，采购档案能被及时、完整地恢复。在采购情境下应包括以下内容：一是关键优先级判定。不同记录恢复顺序应区分，如进行中的招标、尚未签署的合同文件、被投诉的评标记录应优先恢复。二是依赖系统与服务。如果采购档案存储在有关平台，DRP需包括相关服务等级协议、数据导出格式和应急联系方式。三是恢复时间目标设置。例如，中标公告可能要求在6小时内恢复，而普通报销记录可设置48小时。四是备份策略说明，包括备份频率、存储位置、是否加密、是否具备不可篡改属性等。五是测试与演练机制。至少每年进行1次完整恢复演练，模拟丢失档案、被篡改记录等真实场景，以验证恢复能力。DRP之所以重要，是因为政府采购流程通常具有法定时限等，档案恢复若延误将引发合同纠纷、供应商索赔甚至国家信誉风险。美国政府的采购数据灾难恢复策略不是孤立存在的技术举措，而是嵌入美国国家标准与技术研究院的应急规划指南、美国国家档案和记录管理局的档案管理制度等框架中。

与DRP偏重IT系统恢复不同，COOP更关注当组织或者机构面临广义的运营中断时，如何保障政府采购功能与档案管理职能持续进行，哪怕数字系统暂时不可用。在采购电子档案系统中的关键内容包括以下几点：一是替代业务流程机制。若电子系统瘫痪，是否预设离线登记、纸质备份或加密U盘接收投标等机制。二是备选办公场所或远程办公机制。如果系统所在大楼因地震瘫痪，档案访问权限是否可切换至应急中心。三是权限接替设计。若主要负责人（采购科长、档案主管）不可履职，是否明确第二责任人具备法定授权。四是外部协同流程。断网或系统失联期间，如何通知供应商、与其他采购单位协同、接受审计单位临时质询。五是关键职能确认机制。比如，紧急物资、抗疫设备等采购项目中的档案归档工作是否优先保障。六是政府采购受法律约束。即便发生灾害，采购合法性、记录完整性和对公众的责任也不能中断。

这三项计划构成美国政府采购电子档案系统的三根“制度支柱”。其中SSP确保系统设计的可信性与可审核性，是常态运行的治理依据；DRP确保系统遭遇技术性打击后能够恢复，是非常状态下的数据保障；COOP确保机构面临组织性中断时仍能运行，是制度韧性的体现。