龐　莉（陜西師范大學檔案館，陜西西安，710062）

?

基于信息安全保障策略的檔案外包業(yè)務過程監(jiān)管研究

龐莉
（陜西師范大學檔案館，陜西西安，710062）

［摘要］在數(shù)字檔案建設過程中，檔案外包業(yè)務是一項重要的工作，也是檔案信息化發(fā)展的必然趨勢，而檔案信息安全保障涉及到國家機關和社會團體的切身利益，始終貫穿于檔案工作的每個環(huán)節(jié)。檔案外包工作必須符合國家信息安全保障的總體要求，文章深入研究了在信息安全保障策略的背景下檔案外包業(yè)務過程監(jiān)管中存在的問題、成因以及過程監(jiān)管措施。

［關鍵詞］信息安全保障策略檔案外包過程監(jiān)管保密

［分類號］G271

檔案外包業(yè)務不僅能實現(xiàn)館藏檔案數(shù)字化、增量檔案信息化以及安全利用和存儲等功能，并能有效降低檔案部門的成本投入，而且由于專業(yè)分工的優(yōu)勢，還能提供高質(zhì)量、高效益的全程優(yōu)化服務，已在我國數(shù)字檔案建設中發(fā)揮著重要的作用。與此同時，在檔案外包業(yè)務過程中暴露出的信息安全問題也是不容忽視的。本文深入探討了基于信息安全保障策略的檔案外包業(yè)務過程中的問題和對策，以期對今后檔案外包服務提供有益的參考。

1　檔案數(shù)字化外包業(yè)務過程監(jiān)管中存在的問題

1.1檔案信息外泄問題

檔案外包業(yè)務的開展使得非本機構(gòu)的人員以及非檔案專業(yè)的人員可以接觸檔案工作，許多檔案涉及到國家機密或個人信息等敏感數(shù)據(jù)，某些檔案外包機構(gòu)在工作中有意或無意地散播檔案信息機密，不注重保護檔案信息安全，尤其在實施檔案數(shù)字化加工時，外包機構(gòu)工作人員在工作時有可能會進入檔案部門已有檔案管理軟件和相關數(shù)據(jù)庫，如果檔案機構(gòu)管理員沒有設置相應的訪問權(quán)限，外部人員就可能輕易進入，越權(quán)訪問重要機密檔案，非法拷貝檔案信息，惡意傳播檔案機密，甚至將病毒引入到檔案機構(gòu)的內(nèi)部局域網(wǎng)絡；還有些檔案外包機構(gòu)沒有很好地遵循生效法律合同的約定，惡意將檔案信息轉(zhuǎn)賣給其他機構(gòu)，產(chǎn)生嚴重的后果。

1.2檔案實體安全問題

在數(shù)字化外包業(yè)務中，檔案的信息安全令人擔憂，檔案的實體安全也存在莫大隱患。由于檔案外包機構(gòu)對工作人員疏于管理，檔案保護意識欠缺，因此對檔案的整理過于粗糙，甚至存在檔案實體上涂寫亂畫現(xiàn)象，還有些檔案外包機構(gòu)無意識地將檔案裝訂金屬留存在檔案中，這都給檔案實體安全帶來了極大的危害。有些檔案外包機構(gòu)將檔案外借進行數(shù)字化工作，利用小規(guī)模的廠房甚至是廢棄庫房改造而成的空間工作，設備落后、溫度、濕度不符合標準，沒有很好的防火防盜措施，資金的缺乏和利益的驅(qū)使使得加工環(huán)境達不到檔案保管的規(guī)范標準，不能很好地保證檔案實體安全。

1.3檔案外包成品質(zhì)量控制問題

檔案數(shù)字化外包后，檔案部門往往容易徹底地將業(yè)務委托給檔案外包商，而忽略了整個過程的監(jiān)管和檔案成品驗收問題。這種完全放任的態(tài)度就使檔案外包成品質(zhì)量得不到保證。監(jiān)管機制的不完善使得檔案外包商有可能利用發(fā)包部門的這種放任態(tài)度而降低服務的標準，檔案部門可能得不償失，得到低質(zhì)量服務成果。檔案成品驗收是檔案業(yè)務外包的最終環(huán)節(jié)，也是最重要的環(huán)節(jié)，檔案管理部門如果不重視這個環(huán)節(jié)也會使整個外包監(jiān)管前功盡棄。眾多檔案部門在檔案數(shù)字化結(jié)束后的驗收就是草率的接收過程，很少有部門建立自己的驗收標準，驗收流程也流于形式。

1.4檔案外包實施過程風險問題

在外包的實施過程中還可能存在尚未收集齊的檔案在外包后提交上來，還有庫房現(xiàn)有外包檔案在借出或轉(zhuǎn)移過程中存在遺漏，檔案部門如果不注意這些問題就會導致外包機構(gòu)的實際數(shù)字化檔案缺失，這樣即使最后完成了整個外包過程，但實際情況是檔案數(shù)字化沒有最終完成。外包項目實施過程的監(jiān)管也存在很多問題，譬如檔案機構(gòu)疏于管理和監(jiān)督、檔案實施過程由于資金問題存在糾紛以及檔案出入庫沒有完善的流程步驟等?！绊椖康膶嵤┉h(huán)節(jié)直接反映數(shù)字檔案機構(gòu)外包項目的內(nèi)在結(jié)構(gòu)和質(zhì)量，這個階段的風險主要體現(xiàn)在對外包項目的監(jiān)督與管理方面，如管理策略失誤或弱勢管理而導致項目失??；后期需求不斷變更；沒有統(tǒng)一的技術(shù)規(guī)范或是一開始標準制定過高，導致成本太高而無法繼續(xù)進行項目；缺乏常規(guī)的進度報告制度?！保?］

圖1　全國45個副省級地區(qū)頒布檔案法規(guī)圖

2　檔案外包監(jiān)管問題之成因

2.1檔案立法不完善

檔案數(shù)字化規(guī)模的逐年加大，有力地推動了檔案外包機構(gòu)的快速發(fā)展，而相應的法律法規(guī)總體上滯后于行業(yè)需要，國家立法對于檔案數(shù)字化外包，信息技術(shù)外包均沒有明確的法律規(guī)定，檔案外包機構(gòu)法律責任不明確導致在外包過程中產(chǎn)生法律糾紛問題，致使檔案機構(gòu)無法維護自身權(quán)益。另外，檔案立法對于檔案服務外包機構(gòu)的基礎設施也沒有明確要求，沒有規(guī)范的業(yè)務指南和市場價格指導，因此不同的承包商提供的服務質(zhì)量大相徑庭。最重要的是對檔案外包機構(gòu)從業(yè)人員整體隊伍的層次、專業(yè)性沒有具體規(guī)定，在檔案外包行業(yè)存在工作人員流動率高，整個行業(yè)中對具有檔案學專業(yè)教育背景和相關工作經(jīng)驗的人都無明確要求。有些地區(qū)雖然出臺了有關檔案外包的法律制度和條例，卻沒有較好的貫徹執(zhí)行，也對檔案外包過程疏于監(jiān)督和管理。圖1顯示45個副省級以上地區(qū)（不包括香港、澳門、臺灣，西藏未出臺檔案法規(guī)）頒布的檔案法規(guī)（為本級人民代表大會常務委員會頒布）中，有25個對檔案外包（實質(zhì)上即是檔案管理服務外包供應商）做出了規(guī)定，約占53.3﹪。由此可見立法的分布和完善程度都不盡人意。［2］

2.2檔案外包服務機構(gòu)資質(zhì)不規(guī)范

現(xiàn)階段，大部分檔案外包機構(gòu)順應時代發(fā)展開展檔案數(shù)字化加工業(yè)務，而且隨著行業(yè)的發(fā)展不斷擴展其他服務手段，但是大多數(shù)檔案外包機構(gòu)受制于資金限制和人員的不足，只能小規(guī)模運營，目前在全國范圍內(nèi)少有能擁有較大較好的運營規(guī)模、專業(yè)人員、高端先進技術(shù)設備的檔案外包機構(gòu)。事實證明，“要想實現(xiàn)檔案業(yè)務外包市場規(guī)范化，就必須有一套完整健全的法律體系，我國至今尚未形成針對檔案外包機構(gòu)的一套健全、規(guī)范的法律體系，且各檔案外包機構(gòu)處于互不溝通，各自發(fā)展，很難形成有市場競爭力的檔案外包機構(gòu)?！保?］

2.3外包過程監(jiān)管機制不明確

為了保證檔案數(shù)字化外包業(yè)務工作的質(zhì)量和品質(zhì)，應該對外包過程建立一套完整的監(jiān)督管理機制，目的是能不斷提高和改進外包服務和外包成品質(zhì)量，事實上外包工作各流程相互關聯(lián)，檔案管理機構(gòu)往往只重視其中的一個環(huán)節(jié)，或者在外包過程中不重視溝通和管理，忽視了外包過程的監(jiān)督，導致了檔案在外包過程中的種種損失，還有些檔案部門存在檔案意識薄弱，業(yè)務水平差的情況，對外包整個過程的監(jiān)管就更加不在乎，外包過程監(jiān)管機制的不明確是造成檔案外包質(zhì)量不高的主要原因。

3　基于信息安全保障策略的檔案外包監(jiān)管措施

電子檔案信息安全的內(nèi)涵實際囊括了兩個方面的內(nèi)容，即網(wǎng)絡系統(tǒng)運行安全和電子檔案信息內(nèi)容安全。網(wǎng)絡系統(tǒng)運行安全是電子檔案信息安全的基礎，是指電子檔案信息網(wǎng)絡的軟硬件系統(tǒng)布局合理，對于網(wǎng)絡平臺和軟件操作規(guī)范，管理嚴密，整個網(wǎng)絡系統(tǒng)能夠發(fā)揮預定的各項功能，能按照設定的要求正常運行。而電子檔案信息內(nèi)容安全則是電子檔案信息安全的核心，它包括電子檔案信息的存儲安全和傳輸利用安全，即在保管和利用電子檔案信息的過程中維護電子檔案信息的真實性、完整性、憑證性和有效性。電子檔案信息安全保障體系是以信息技術(shù)為支撐，軟硬件配套設施為依托，對機構(gòu)內(nèi)外產(chǎn)生的電子文件、檔案部門保存的電子檔案進行安全、嚴格的組織和管理，以防止電子檔案在網(wǎng)絡上存儲、傳輸、以及提供保管利用等過程中被故意或無意的泄露、拷貝、修改、破壞或使信息在被非法授權(quán)的情況下使用，從而確保電子檔案的安全。從電子檔案信息安全的內(nèi)涵可以總結(jié)出電子檔案信息安全致力于這四個目標，只有當電子檔案信息滿足真實性、完整性、憑證性及長期可用性時，此時的電子檔案信息才是安全的。電子檔案信息的安全保障涉及設備硬件、管理軟件、工作人員、存儲環(huán)境等因素，必須以規(guī)范管理為基礎，積極完善管理保障體系，提高電子檔案信息安全防護能力。另外，電子檔案信息利用的流程、安全備份和受災后的修復，都是建立涵蓋電子檔案信息安全利用和保護過程的關鍵。

3.1檔案外包前的立項過程

檔案外包前的立項過程是數(shù)字檔案機構(gòu)外包項目的首要環(huán)節(jié)，這個環(huán)節(jié)最重要的就是要明確檔案外包服務法律規(guī)范和行業(yè)條款。我國的檔案外包機構(gòu)立法進程明顯滯后。從各地區(qū)對檔案外包立法區(qū)域劃分來看，在全國頒布檔案法規(guī)的30多個地區(qū)，有60﹪多的檔案法規(guī)涉及到了檔案外包業(yè)務，沒有涉及檔案外包法規(guī)的地區(qū)主要分布在甘肅、廣西、青海等9省份，說明檔案外包機構(gòu)的法規(guī)建設分布不均衡。從調(diào)研數(shù)據(jù)來看，東部檔案外包機構(gòu)發(fā)展較快的地區(qū)關于檔案外包的立法規(guī)定較多；從檔案立法的內(nèi)容來看，大多數(shù)地區(qū)都對檔案外包服務的范圍有明確規(guī)定，規(guī)定范圍也包括檔案整理、評估、鑒定及咨詢，只有少部分對檔案外包服務基礎設施、人員資質(zhì)和專業(yè)性有具體規(guī)定。［4］

現(xiàn)階段各地區(qū)的檔案立法沒有涉及檔案外包從業(yè)人員的從業(yè)資格、檔案人員的執(zhí)業(yè)資格認定問題，也沒有對檔案外包機構(gòu)的注冊、登記、注冊資金數(shù)給出具體規(guī)范。對于檔案外包機構(gòu)的性質(zhì)、地位、功能等均沒有明確規(guī)定，就更談不上機構(gòu)業(yè)務責任、數(shù)字化外包收費標準的規(guī)范。因此，要建立起全國范圍內(nèi)健全、完整的檔案外包機構(gòu)法律規(guī)章制度，盡快解決各地區(qū)的檔案外包法律規(guī)章制度各自為政的狀態(tài)。

這一階段的主要工作是需求分析、前期調(diào)研和項目規(guī)劃。（1）需求調(diào)研。需求調(diào)研是整個外包項目的起點。如果需求描述不準確或需求不清晰，那么外包實施階段的管理、外包結(jié)果的驗收等工作將無法開展。檔案機構(gòu)應在項目外包之前，充分調(diào)研以確定外包的檔案范圍，選擇合適的檔案進行批量數(shù)字化，以量化結(jié)果準確描述需求并按需要調(diào)整需求等。（2）可行性分析。當外包業(yè)務需求確定后，進入項目可行性分析階段。檔案機構(gòu)需充分征求檔案各業(yè)務部門、相關專家的意見，對數(shù)字檔案機構(gòu)的功能需求進行細化，形成功能可行性方案。（3）項目規(guī)劃。功能需求方案應既符合檔案管理的實際需要，又便于實現(xiàn)，這就為整個項目規(guī)劃打好了基礎。最后對項目外包的可行性進行論證，制定項目外包規(guī)劃，明確各時期工作目標，對整個項目進行整體估價，同時制定項目外包方案等。具體分析見圖2。

3.2檔案外包機構(gòu)招投標及簽約過程

檔案外包業(yè)務缺乏規(guī)范性，主要是不重視檔案外包機構(gòu)資質(zhì)，沒有嚴審簽約時的服務合同和保密協(xié)議。目前我國的檔案外包機構(gòu)必須具備以下幾個條件：第一，擁有相關管理部門的注冊、登記，具有合法的營業(yè)執(zhí)照；第二，取得執(zhí)業(yè)職業(yè)資格認證及從業(yè)人員資格認定；第三，必要的注冊資金和固定的業(yè)務場所。檔案外包機構(gòu)要意識到規(guī)范化的必要性，先抓機構(gòu)內(nèi)部的管理規(guī)范，制定相應的管理制度，實行規(guī)范化管理，對機構(gòu)內(nèi)部存在的問題進行排查，嚴格要求服務質(zhì)量和服務意識，制定業(yè)務質(zhì)量評價體系和監(jiān)督體系，加強全程管理，力求規(guī)范和科學管理，從而符合國家和檔案行業(yè)對檔案外包服務業(yè)務的規(guī)定。在外包過程中，檔案機構(gòu)也要嚴審檔案外包服務合同和相應的保密協(xié)議，層層把關，確保檔案在數(shù)字化過程中符合檔案信息安全的基本要求。

檔案部門按照國家有關規(guī)定開展相應的招標和競標活動，從候選服務商中確定最終服務商，與之協(xié)商之后簽訂外包合同。外包合同應在法律部門的指導下將涉及的外包具體內(nèi)容和范圍、雙方權(quán)利和責任、服務條款和質(zhì)量標準、保密協(xié)議、費用結(jié)算和違約等事項做出具體規(guī)定。檔案外包業(yè)務最不可缺少的環(huán)節(jié)就是用合同來維護雙方利益。對于外包過程中涉及的保密信息，檔案部門應當明確規(guī)定保密責任和相關保密內(nèi)容，與外包商簽訂詳細的“保密協(xié)議”，對外包機構(gòu)的工作人員提出保密要求和應承擔的義務，以保證檔案信息安全。關于服務和質(zhì)量標準方面，檔案部門應要求服務商確保專業(yè)技術(shù)團隊的穩(wěn)定性，規(guī)定外包質(zhì)量水平，并規(guī)定達不到相應的要求時須采取的補救措施。在費用結(jié)算時，檔案部門應綜合考慮內(nèi)外因素，進行預算控制，避免出現(xiàn)超支情況。關于付款事宜，檔案部門應采用分批付款的方式，檔案部門先支付一定的費用，外包驗收合格后再支付一部分費用。對違約責任的劃分，防止由于檔案部門自身業(yè)務、技術(shù)以及環(huán)境的變化而造成不利影響，合同條款既要體現(xiàn)原則性又要有靈活性［5］。

3.3外包過程后期服務驗收與維護過程

圖2　檔案外包前立項過程示意圖

外包商完成任務后，檔案部門應組織專家對產(chǎn)品或服務進行驗收。驗收環(huán)節(jié)首先必須規(guī)范驗收程序，選擇正確的驗收辦法，明確驗收標準，避免驗收過程流于形式。在外包驗收時，需要注意以下幾個方面：（1）根據(jù)外包成品交付方式采取合適的驗收方式。通常情況下，應針對外包商交付成品的特點，選擇對產(chǎn)品或服務進行分階段驗收的方式，這樣既準確又不耽誤時間成本。（2）由外包項目負責人、質(zhì)量監(jiān)控部門等相關人員組成評估小組，根據(jù)技術(shù)外包合同約定的質(zhì)量和服務標準，嚴格按照驗收標準全面測試和審查服務商交付的成品，評價外包項目的質(zhì)量或服務是否達標，保證驗收合格后結(jié)算費用。（3）驗收中若發(fā)現(xiàn)不符合合同約定的情況，應與外包商協(xié)商采取相應的補救措施并依據(jù)損失的大小按照法定流程進行索賠。維護監(jiān)管是對驗收后疏漏以及未發(fā)現(xiàn)的問題，如數(shù)字化過程中漏掃問題，頁碼錯誤問題，檔案文件信息與實體不匹配問題進行進一步的后期處理，以達到外包合同要求的最終數(shù)字化目標。

綜上所述，檔案外包業(yè)務對于檔案數(shù)字化具有重要的推動作用，也是節(jié)省時間與成本，高效實施檔案數(shù)字化及檔案保存和利用的有效手段，隨著檔案數(shù)字化的要求不斷提高，新技術(shù)、新設備也不斷的更新?lián)Q代，檔案外包機構(gòu)要從自身的發(fā)展方向定位，依靠高技術(shù)含量的業(yè)務和優(yōu)質(zhì)服務增強市場競爭力。檔案外包機構(gòu)必須及時更新現(xiàn)有設備，保證服務跟上發(fā)展的要求。除了設備上的更新，外包機構(gòu)的工作人員也要及吋提高自己的服務水平。人員能力和技術(shù)水平的提升最能保證檔案外包機構(gòu)向高質(zhì)量、高技術(shù)水平的方向發(fā)展。檔案管理機構(gòu)的工作人員也要不斷豐富自己的知識體系，擴展技術(shù)水平以利于檔案業(yè)務外包的順利實施，尤其要重視的是在外包工作開展中，檔案機構(gòu)應利用各種技術(shù)手段和保密協(xié)議確保檔案實體和信息的安全。

參考文獻

［1］張百慧.數(shù)字檔案機構(gòu)項目外包風險分布的探析—基于項目生命周期的視角［J］.數(shù)字與縮微影像，2014（2）:41.

［2］許風風.我國檔案業(yè)務外包研究［D］.合肥.安徽大學，2013（4）:21.

［3］王麗麗.高校檔案機構(gòu)業(yè)務外包研究［D］.保定：河北大學，2013（5）:33.

［4］潘玉明.地方檔案法規(guī)關于檔案中介服務規(guī)定的集成與分析［J］.檔案學通訊，2007（6）:47-48.

［5］王鳳嬌.數(shù)字檔案機構(gòu)建設中的信息技術(shù)外包控制流程研究［J］.浙江檔案，2014（04）:8.

龐莉，女，陜西師范大學檔案館館員，碩士，主要從事數(shù)字資源長期保存和檔案信息資源管理研究。

Research on the Regulatory Process of Archives Outsourcing Work Based on Information Securities Assurance Strategy

Pang Li
（Archives of Shanxi Normal University，Xi'an，Shanxi，710062）

Abstract：In the process of the construction of Smart Archives and Digital Archives，archives outsourcing is an important work，also an inevitable trend of development of archives informational，and archives information security involves the vital interests of the state and society groups，runs throughout the archives work of each part，the archives outsourcing work must conform to the overall requirements of the national information security，this paper in-depth study in the problems existing in the archives outsourcing process，cause analysis and process regulation under the background of the information security strategy.

Keywords：Information Security；Safeguard Strategy；Archives Outsourcing；Process Regulation；Confidentiality

［作者簡介］