浅谈高校控制档案数字化服务外包安全风险的措施
张忠良
摘? 要:档案数字化服务外包是高校档案部门加快档案信息化建设的主要形式之一,档案数字化服务外包工作的安全不但关系到档案原件安全,还关系到档案信息资源安全,正确认识档案数字化服务外包中存在的安全风险,制定行之有效的防范措施,才能将安全风险降到最低。
关键词:高校;控制;服务外包;安全风险;措施
1 引言
随着计算机技术和现代通信技术的快速发展和广泛应用,对传统馆藏纸质档案资源进行数字化加工成为必然趋势,国家档案局发布的《纸质档案数字化技术规范》为档案数字化工作提供标准依据。2008年教育部和国家档案局联合发布《高等学校档案管理办法》,明确要求组织实施档案信息化建设和电子文件归档工作。
2 高校档案数字化服务外包安全风险
2.1 档案实体风险。档案数字化加工中,必然要经历搬运、人为直接接触、设备接触、环境变化等环节,各环节都有可能导致实体档案的损伤,特别是年代久远、材质脆弱的档案。
2.2 档案信息风险。在档案数字化之后,档案信息易于扩散,在处理、存储、传输和使用上有着严重的脆弱性,很容易被滥用、遗漏和丢失,甚至泄密和篡改,而且有时难以察觉。
2.3 加工环境风险。加工环境的风险主要是加工场地、数字化设备和设备应用几个方面。
2.4 组织管理风险。组织管理风险主要存在于组织机构建设定位、规章制度、监督管理、标准执行、外包形式、供应商选择等几个方面。
3 高校档案数字化服务外包安全风险防范
3.1 树立安全风险防范意识。首先,要确立全员遵守安全保密要求的原则。建立全员遵守安全保密的制度,涉及数字化的所有人员要有保密意识、责任心、全局安全观念。
其次,建立非涉密档案数字化的原则。在进行档案数字化外包服务时,建立并坚持非涉密档案数字化的原则,对于标有密级且未解密的档案,不能交由外包服务机构进行整理、数字化。
最后,确保档案实体和数据安全的原则。将非涉密档案交给外包服务商进行整理和数字化加工时,也要确保档案实体和档案信息数据安全。[1]
3.2 严格选择外包服务机构
3.2.1 备案遴选。按照《河南省档案管理条例》第二十五条的规定:从事档案鉴定、评估、咨询等中介服务机构,必须到省档案行政管理部门备案。高校在有档案数字化服务需求前,就要借助档案主管部门的慧眼,在公布的备案有效期内的档案中介服务机构中进行公告遴选。
3.2.2 审核资质。严格审查外包机构资质,要求外包服务机构必须是正式成立的法人机构、营业范围中有档案数字化加工业务、没有外资投资背景、具有档案数字化加工所需的软硬件设备、取得国家保密机构颁发的“国家秘密载体印制资质”,并在所在省档案局进行了档案中介服务机构备案等。
3.2.3 审核方案。严格审核外包机构人员资质及项目实施方案。参与档案数字化加工的人员应为国内公民,无犯罪记录,与项目组签订保密协议,项目负责人要具备档案初级以上职称,接受过保密培训及档案局组织的上岗培训;项目实施方案要满足项目要求,软硬件设备投入、项目质量、进度管理以及应急措施要详细。
3.2.4 明确职责。与外包机构签署保密协议,明确双方的安全责任和义务。要求外包机构建立安全和保密制度、措施,规定外包机构不得留存、持有业主方的任何档案信息,外包机构的工作人员要进行身份审查并向业主方进行登记备案,如违反相关法律法规,追究其法律责任。
3.3 加工环境安全防范,确保档案实体安全。档案数字化的加工场所要临近档案库房,配备防盗报警、防火及视频监控等设备,提供稳定的电源设备,加工场地符合档案安全管理规定中防尘、防湿、防高温、防有害生物等安全管理要求,严禁工作人员在场所内从事与数字化加工无关的活动,比如饮水、进食、抽烟等。
数字化加工场所按临时保密要害部位进行管理,在生产加工场所安装监控摄像头和录像设备,全覆盖、全过程监控、摄录加工现场情况,专人负责,对数字化加工过程进行全程、无死角视频监控。建立档案数字化加工场所的安全管理制度,指定专人进行场所内安全管理,加强对场所内所有人员的监督、管理;制定人员进出场所管理制度,严禁无关人员出入加工场所,所有工作人员实行挂牌制度,签订并严格落实安全保密协议书,做到绝对不外泄任何信息。
日常管理方面,生产加工场所应有专门的休息室或储物柜,便于工作人员存放私人物品。严禁将手机、数码相机、摄像机、个人移动存储介质等设备带入生产加工场所,与档案数字化加工工作无关的个人物品也严禁带到加工场所,严禁从加工场所带离物品。
在整理过程中加强档案完整性管理,对破损页应及时修复,严禁破损页丢失;拆除装订线或金属装订物时,避免用力太大损坏档案;不得篡改档案内容;不得丢弃档案内容。扫描过程中,对较薄、脆性等纸张必须使用平板扫描仪;对不允许拆卷的档案使用零边距扫描仪;对适合高速扫描仪的档案在加工前须征得委托方同意方可使用高速扫描仪扫描。
档案装订采用三孔一线的方式,影响装订的纸张要进行侧裱,超过A4画幅的纸张要进行折叠,折叠时尽量远离有字的地方;装订时尽量采用原孔装订,不重新打孔,以免对档案造成伤害;不能出现倒页、错页、压字情况,要求装订牢固,不掉页。加工现场案卷数量进行整体控制,争取做到,借一批、留一批、还一批,避免现场案卷过多而引起管理混乱。[2]
3.4 加强数字化加工软硬件管理,确保档案信息安全。首先,选择专用局域网,实行物理隔离。所使用的掃描仪等设备,必须符合保密、安全技术标准和要求,并按涉密设备进行管理和使用,加工设备(PC机)上不得安装与作业无关的软件;所有PC及服务器进场后必须进行数据检查,清除硬盘信息,确定没有其他无关数据;进行计算机病毒查杀,确认安全才能在项目中使用。封闭除服务器外的数字化设备信息出口,光驱、软驱和USB端口封闭使用。所有加工现场设备均进行登记型号、配置等信息,建立加工设备台账。如设备必须带离加工现场维修的,必须拆除硬盘,并进入台账管理。[3]
其次,做好加工人员的安全管理。数字化加工现场不允许讨论档案信息内容,不允许使用他人账号登录加工系统,现场的废弃物、纸片、纸屑等统一收集保管,不得带出加工现场。
最后,做好数据安全措施。每个项目作业人员根据实施方现场经理分配的用户账户信息登录,不同人员有相应的权限等级;涉及服务器操作管理权限只有实施方现场经理具有。按照既定规则、路径,自动备份目录数据、图像文件;保留用户登录操作日志,形成信息安全的溯源机制。
参考文献:
[1]黄丽华,宋华.档案数字化外包安全管理研究[J].中国档案,2015(06):60-61.
[2]马雁云.档案数字化外包安全隐患与对策[J].档案与建设,2016(07):85-86.
[3]石华.基于多维度的档案数字化外包业务安全管理体系研究[J].档案管理,2013(03):34-35.
(作者单位:郑州铁路职业技术学院 来稿日期:2020-04-17)