摘 要：通過檔案數字化業(yè)務的相關各方、實施周期、軟硬件環(huán)境三個維度分析檔案數字化外包風險，幫助準備進行檔案數字化外包的檔案部門定位安全建設的現(xiàn)狀、了解安全建設的需求、組織未來安全建設的規(guī)劃實施，并將納入檔案行政管理部門的全程監(jiān)控之下，以促進該行業(yè)的健康發(fā)展，確保檔案數字化建設的安全。

關鍵詞：檔案數字化；外包；安全管理；監(jiān)控

在檔案數字化外包過程中如何保障檔案原件和檔案信息的安全、降低風險，檔案行政管理部門如何對該行業(yè)中涉及的檔案信息安全進行整體全面的監(jiān)控，已經成為檔案數字化外包行業(yè)發(fā)展中急需解決的問題。

檔案數字化外包業(yè)務安全管理體系是檔案部門、數字化公司、檔案行政管理部門等各方面在檔案數字化系統(tǒng)實施的整個生命周期中，通過對系統(tǒng)軟硬件、場地等方面存在的風險進行分析，制定安全管理制度，設計相關檢查報表，在關鍵地方設置風險檢查點以避免錯誤，降低風險，制定并執(zhí)行相應的安全保障策略，確保檔案信息的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障數字化外包工作順利實施。

可將檔案數字化外包行業(yè)安全管理體系結構圖描述如下：

由圖可知該體系是復雜多維的綜合管理體系，可從多種屬性角度對其分析。

1 相關各方維度

1.1 數字化公司

1.1.1 風險。上世紀90年代以來，隨著檔案業(yè)務外包市場的逐漸形成，大大小小的檔案數字化服務機構應運而生，魚龍混雜。公司內部數字加工人員流動大，水平不一，檔案服務的質量可想而知，安全性難以保障。

1.1.2 保障措施。公司內部要建立健全各項規(guī)章制度，包括執(zhí)業(yè)考核、獎懲制度等，形成規(guī)范的工作程序和有效的內部激勵、約束機制。同時結合檔案行政管理部門的有效管理，促進行業(yè)規(guī)范發(fā)展。

1.2 檔案部門

1.2.1 風險。一些檔案部門對于檔案數字化中的風險重視不夠，幾乎不具有任何安全意識和基本的安全知識。

1.2.2 選擇數字化公司的方法。檔案部門需要通過一定的方式，比如通過網絡來發(fā)布自己準備將檔案數字化業(yè)務外包的信息，內容應明確、具體，如案卷的數量、類別，還要把外包方所需條件、資質、經驗等寫清楚[1]。

1.2.3 簽訂保密協(xié)議。檔案部門應使外包方認識到保密的重要性，與公司簽訂保密協(xié)議書。

1.2.4 建立嚴格的安全保密制度和措施。檔案部門要嚴格遵守相關的安全保密制度，非公開的檔案信息不得數字化，不得上網共享。上網的目錄和全文信息要經過嚴格控制和鑒定。

1.3 檔案行政管理部門

1.3.1 不作為風險。有些檔案行政管理部門人員認為檔案信息安全主要是技術人員的事情，與己無關。

1.3.2 擔負起行政指導監(jiān)督職能

檔案行政管理部門應該從管理上下功夫，樹立安全意識，做到一體化、同步安全管理，擔負起行政監(jiān)督職能。（1）檔案行政管理部門對數字化公司實行登記備案審查制度。檔案行政管理部門加強對外包公司的審查，提高企業(yè)的準入門檻。備案時要求公司①經工商行政管理部門注冊，并取得營業(yè)執(zhí)照；②經營范圍必須包含數字化業(yè)務；③具備相應的檔案整理、數字化的資格和能力；④具有兩名以上檔案專業(yè)人員（有中級職稱）。申請材料：營業(yè)執(zhí)照，機構備案登記表，人員簡歷、身份證、資格證明復印件（加蓋企業(yè)公章）。

（2）檔案行政管理部門對數字化工作人員建立執(zhí)業(yè)資格審查制度。檔案行政管理部門應建立數字化人員職業(yè)資格審查、考核、培訓、持證上崗和注冊制度。在培訓尤其是上崗培訓中加強職業(yè)道德培訓，提升保密意識。聘請IT行業(yè)、檔案專業(yè)專家進行安全管理方面授課，加強安全保密知識培訓。

（3）制定有效的安全管理標準和安全操作規(guī)范。檔案行政管理部門必須優(yōu)先制定檔案數字化等方面的標準和安全操作規(guī)范，保證檔案數字化信息的完整性、真實性、有效性。檔案部門在數字化外包之前就必須根據上述標準規(guī)范編制適合自身需要的標準體系，包括網絡平臺搭建、數據庫建設、信息處理、共享和安全管理。

2 生命周期維度

檔案數字化外包所使用的軟件是一種信息系統(tǒng)，安全措施需要融入系統(tǒng)生命周期全過程。數字化工作還涉及日常工作的各環(huán)節(jié)，檔案從借出、整理、錄入、掃描、掛接、恢復到入庫的整個周期都有可能泄密。

2.1 計劃組織。檔案數字化準備外包之初，就要：（1）全面涉及和考慮信息安全問題，制定并落實安全方案。（2）通過仔細調查分析，挑選一家或幾家技術好、有經驗的公司作為外包商。（3）最好采用成熟的加工軟件。（4）對擬參與數字化項目的專業(yè)技術人員進行培訓。培訓的內容主要是數字化加工技術、安全保密知識。

2.2 簽訂合同。在合同起草時，應有IT和法律專家參與。一定要做好充分的調研，可以結合歷史項目的實踐經驗和相關領域的行業(yè)經驗，評估出與外包商談判項目的價格，科學地評估所需要的時間并預留風險緩沖時間[2]，對于合同中沒有提到的，但在日后工作中遇見的問題，檔案部門應及時與外包商聯(lián)系、協(xié)商、解決。

2.3 實施交付。項目的驗收應該跟隨項目過程同時開始、同時進行、同時結束，以保證最后的驗收順利完成。

2.4 日常工作。日常管理中要將檔案實體與信息的安全放在同等重要的地位，安全制度要及時更新，制定修訂要經過包括領導專家和執(zhí)行者組成的正式團隊按規(guī)定程序進行的論證，新舊制度要協(xié)調，執(zhí)行要嚴格。原始檔案要求實體完好、不丟失。主要依靠嚴密的檔案交接手續(xù)和加工過程中檔案的妥善保管來保證。

2.4.1 檔案交接。加工方應指定唯一的檔案交接人員負責與檔案部門指定的負責人進行檔案交接，簽署檔案交接記錄。為保證檔案交接清晰、提高工作效率，建議領取一批檔案資料后待全部加工完畢后再歸還。

2.4.2 檔案保管。在加工現(xiàn)場安置密碼檔案柜，用于臨時存放當批加工的檔案資料。每日工作完畢后，全部檔案資料均應放入密碼柜保存，并區(qū)分已加工和待加工檔案。檔案密碼柜由專人設置密碼，并負責開啟關閉。

2.4.3 過程監(jiān)督。檔案部門等應對外包工作進行監(jiān)督、管理、定期檢查。設計加工檔案的《調檔登記表》、《前處理登記表》、《加工登記表》、《數字檔案檢驗登記表》、《存儲備份登記表》和《驗收還檔登記表》等，每張表格均標明日期、全宗號、目錄號、數量、張頁數、重量、破損情況等相關信息，并要求相關交接人員簽字確認，讓數字化工作中每份檔案都有一份明確清晰的、記錄有每個加工環(huán)節(jié)的“安全檔案”[3]。

2.5 項目結束。數字化項目結束后，應將計算機、硬盤、存儲設備一并交給檔案部門，加工方不可自留。

3 軟硬件環(huán)境維度

數字化系統(tǒng)信息泄露主要有網絡傳輸、移動存儲器、手機照相和打印到紙介質上四種情況。可采用物理隔離、屏蔽手機信號、封閉USB口、監(jiān)控錄像、禁止帶出任何紙張等方法防護。還要記錄日志以備事后追蹤。

3.1 數字化加工場所?，F(xiàn)場應由檔案部門指定，并制定嚴格的人員出入制度，工作人員全部個人物品存放到個人儲物柜中，儲物柜與工作場地分離；加工所用設備及工具帶入加工場地前均應交由檔案部門檢查，加工結束之前任何工具及設備不得帶出工作現(xiàn)場。如有需更換的報廢工具，需交由檔案部門負責人員處理；禁止個別加工人員單獨在工作場地逗留或進出。禁止在加工場所內吸煙，在加工工作臺飲水、餐飲等。數字化場所應有接收區(qū)、掃描區(qū)、后處理區(qū)3個獨立工作區(qū)域，設置多個錄像鏡頭，確保處理全程監(jiān)控。

3.2 檔案數字化軟件。應引入大型數據庫，采用數據庫大對象或文件系統(tǒng)方式存儲，以確保運行時數據安全。軟件要采用多層安全防護，第一層是嚴格的客戶端認證，檢查用戶是否網絡服務器的合法用戶。第二層是數據庫的安全防護，對數據的任何操作，都可以在系統(tǒng)后臺進行監(jiān)控，阻止非法用戶破壞數據系統(tǒng)。第三層是文件分級防護。在對數字檔案進行分類時要注意，一些“黨委文件”、“黨組會議”、“人事類”等檔案應與一般檔案相區(qū)分，沒有特殊授權的用戶不能訪問這些數據。在設置“下載及打印”權限時，要嚴格阻止非授權用戶下載和打印檔案復制件[4]。檔案檢索查詢系統(tǒng)應與外網分離，確保數據不外泄，同時避免黑客入侵。

3.3 計算機和服務器等數字化設備。計算機設備全部安裝加密網卡，拆除光驅，封閉USB端口，主機加鎖，硬盤格式化，安裝正版系統(tǒng)及殺毒軟件，及時升級病毒庫及安裝補丁。采用具有安全功能的專用U盤拷貝數據?？刹捎帽Ｃ芫謱I(yè)檢測工具，檢測電腦的拷貝記錄。數據服務器磁盤采用RAID5冗余備份或鏡像備份，一旦發(fā)生數據缺損，可保證數據完全恢復，定時對目錄數據進行全部備份，同時保存磁盤和光盤兩套數據。配備足夠大小UPS電源，保證一旦發(fā)生突然斷電，計算機有足夠的數據保存時間。

參考文獻：

[1]趙延杰.檔案信息數字化業(yè)務外包研究[D].石家莊：河北大學，2011.

[2] 曾照云，于愛卿. 館藏文獻數字化項目的實施模式及管理 [J].現(xiàn)代情報，2007（7）：84～86.

[3]王冬艷.淺析檔案數字化過程中的信息保密問題[J].黑龍江檔案，2012（2）：117.

[4]朱錚.檔案數字化研究[D].蘇州：蘇州大學，2006.

（作者單位：鄭州市檔案局 來稿日期：2013-02-20）