基于多维度的档案数字化外包业务安全管理体系研究
在档案数字化外包过程中如何保障档案原件和档案信息的安全、降低风险,档案行政管理部门如何对该行业中涉及的档案信息安全进行整体全面的监控,已经成为档案数字化外包行业发展中急需解决的问题。
档案数字化外包业务安全管理体系是档案部门、数字化公司、档案行政管理部门等各方面在档案数字化系统实施的整个生命周期中,通过对系统软硬件、场地等方面存在的风险进行分析,制定安全管理制度,设计相关检查报表,在关键地方设置风险检查点以避免错误,降低风险,制定并执行相应的安全保障策略,确保档案信息的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障数字化外包工作顺利实施。
可将档案数字化外包行业安全管理体系结构图描述如下:
由图可知该体系是复杂多维的综合管理体系,可从多种属性角度对其分析。
1 相关各方维度
1.1 数字化公司
1.1.1 风险。上世纪90年代以来,随着档案业务外包市场的逐渐形成,大大小小的档案数字化服务机构应运而生,鱼龙混杂。公司内部数字加工人员流动大,水平不一,档案服务的质量可想而知,安全性难以保障。
1.1.2 保障措施。公司内部要建立健全各项规章制度,包括执业考核、奖惩制度等,形成规范的工作程序和有效的内部激励、约束机制。同时结合档案行政管理部门的有效管理,促进行业规范发展。
1.2 档案部门
1.2.1 风险。一些档案部门对于档案数字化中的风险重视不够,几乎不具有任何安全意识和基本的安全知识。
1.2.2 选择数字化公司的方法。档案部门需要通过一定的方式,比如通过网络来发布自己准备将档案数字化业务外包的信息,内容应明确、具体,如案卷的数量、类别,还要把外包方所需条件、资质、经验等写清楚[1]。
1.2.3 签订保密协议。档案部门应使外包方认识到保密的重要性,与公司签订保密协议书。
1.2.4 建立严格的安全保密制度和措施。档案部门要严格遵守相关的安全保密制度,非公开的档案信息不得数字化,不得上网共享。上网的目录和全文信息要经过严格控制和鉴定。
1.3 档案行政管理部门
1.3.1 不作为风险。有些档案行政管理部门人员认为档案信息安全主要是技术人员的事情,与己无关。
1.3.2 担负起行政指导监督职能
档案行政管理部门应该从管理上下功夫,树立安全意识,做到一体化、同步安全管理,担负起行政监督职能。(1)档案行政管理部门对数字化公司实行登记备案审查制度。档案行政管理部门加强对外包公司的审查,提高企业的准入门槛。备案时要求公司①经工商行政管理部门注册,并取得营业执照;②经营范围必须包含数字化业务;③具备相应的档案整理、数字化的资格和能力;④具有两名以上档案专业人员(有中级职称)。申请材料:营业执照,机构备案登记表,人员简历、身份证、资格证明复印件(加盖企业公章)。
(2)档案行政管理部门对数字化工作人员建立执业资格审查制度。档案行政管理部门应建立数字化人员职业资格审查、考核、培训、持证上岗和注册制度。在培训尤其是上岗培训中加强职业道德培训,提升保密意识。聘请IT行业、档案专业专家进行安全管理方面授课,加强安全保密知识培训。
(3)制定有效的安全管理标准和安全操作规范。档案行政管理部门必须优先制定档案数字化等方面的标准和安全操作规范,保证档案数字化信息的完整性、真实性、有效性。档案部门在数字化外包之前就必须根据上述标准规范编制适合自身需要的标准体系,包括网络平台搭建、数据库建设、信息处理、共享和安全管理。
2 生命周期维度
档案数字化外包所使用的软件是一种信息系统,安全措施需要融入系统生命周期全过程。数字化工作还涉及日常工作的各环节,档案从借出、整理、录入、扫描、挂接、恢复到入库的整个周期都有可能泄密。
2.1 计划组织。档案数字化准备外包之初,就要:(1)全面涉及和考虑信息安全问题,制定并落实安全方案。(2)通过仔细调查分析,挑选一家或几家技术好、有经验的公司作为外包商。(3)最好采用成熟的加工软件。(4)对拟参与数字化项目的专业技术人员进行培训。培训的内容主要是数字化加工技术、安全保密知识。
2.2 签订合同。在合同起草时,应有IT和法律专家参与。一定要做好充分的调研,可以结合历史项目的实践经验和相关领域的行业经验,评估出与外包商谈判项目的价格,科学地评估所需要的时间并预留风险缓冲时间[2],对于合同中没有提到的,但在日后工作中遇见的问题,档案部门应及时与外包商联系、协商、解决。
2.3 实施交付。项目的验收应该跟随项目过程同时开始、同时进行、同时结束,以保证最后的验收顺利完成。
2.4 日常工作。日常管理中要将档案实体与信息的安全放在同等重要的地位,安全制度要及时更新,制定修订要经过包括领导专家和执行者组成的正式团队按规定程序进行的论证,新旧制度要协调,执行要严格。原始档案要求实体完好、不丢失。主要依靠严密的档案交接手续和加工过程中档案的妥善保管来保证。
2.4.1 档案交接。加工方应指定唯一的档案交接人员负责与档案部门指定的负责人进行档案交接,签署档案交接记录。为保证档案交接清晰、提高工作效率,建议领取一批档案资料后待全部加工完毕后再归还。 2.4.2 档案保管。在加工现场安置密码档案柜,用于临时存放当批加工的档案资料。每日工作完毕后,全部档案资料均应放入密码柜保存,并区分已加工和待加工档案。档案密码柜由专人设置密码,并负责开启关闭。
2.4.3 过程监督。档案部门等应对外包工作进行监督、管理、定期检查。设计加工档案的《调档登记表》、《前处理登记表》、《加工登记表》、《数字档案检验登记表》、《存储备份登记表》和《验收还档登记表》等,每张表格均标明日期、全宗号、目录号、数量、张页数、重量、破损情况等相关信息,并要求相关交接人员签字确认,让数字化工作中每份档案都有一份明确清晰的、记录有每个加工环节的“安全档案”[3]。
2.5 项目结束。数字化项目结束后,应将计算机、硬盘、存储设备一并交给档案部门,加工方不可自留。
3 软硬件环境维度
数字化系统信息泄露主要有网络传输、移动存储器、手机照相和打印到纸介质上四种情况。可采用物理隔离、屏蔽手机信号、封闭USB口、监控录像、禁止带出任何纸张等方法防护。还要记录日志以备事后追踪。
3.1 数字化加工场所。现场应由档案部门指定,并制定严格的人员出入制度,工作人员全部个人物品存放到个人储物柜中,储物柜与工作场地分离;加工所用设备及工具带入加工场地前均应交由档案部门检查,加工结束之前任何工具及设备不得带出工作现场。如有需更换的报废工具,需交由档案部门负责人员处理;禁止个别加工人员单独在工作场地逗留或进出。禁止在加工场所内吸烟,在加工工作台饮水、餐饮等。数字化场所应有接收区、扫描区、后处理区3个独立工作区域,设置多个录像镜头,确保处理全程监控。
3.2 档案数字化软件。应引入大型数据库,采用数据库大对象或文件系统方式存储,以确保运行时数据安全。软件要采用多层安全防护,第一层是严格的客户端认证,检查用户是否网络服务器的合法用户。第二层是数据库的安全防护,对数据的任何操作,都可以在系统后台进行监控,阻止非法用户破坏数据系统。第三层是文件分级防护。在对数字档案进行分类时要注意,一些“党委文件”、“党组会议”、“人事类”等档案应与一般档案相区分,没有特殊授权的用户不能访问这些数据。在设置“下载及打印”权限时,要严格阻止非授权用户下载和打印档案复制件[4]。档案检索查询系统应与外网分离,确保数据不外泄,同时避免黑客入侵。
3.3 计算机和服务器等数字化设备。计算机设备全部安装加密网卡,拆除光驱,封闭USB端口,主机加锁,硬盘格式化,安装正版系统及杀毒软件,及时升级病毒库及安装补丁。采用具有安全功能的专用U盘拷贝数据。可采用保密局专业检测工具,检测电脑的拷贝记录。数据服务器磁盘采用RAID5冗余备份或镜像备份,一旦发生数据缺损,可保证数据完全恢复,定时对目录数据进行全部备份,同时保存磁盘和光盘两套数据。配备足够大小UPS电源,保证一旦发生突然断电,计算机有足够的数据保存时间。
