档案数字化安全管理体系的构建

文/福建省档案馆 林月娥

一、档案数字化安全控制的原则

纸质档案数字化是一项涵盖档案实体与信息安全的档案信息化建设工程。数字化外包服务效率高、成本低，是档案部门加快档案资源数字化的主要形式，我馆馆藏民国档案数字化也是采用外包模式，但外包服务存在员工素质良莠不齐、安全意识淡薄、培训管理不到位等安全隐患。因此，做好档案数字化外包服务的安全管控，是保障档案信息及实体安全的关键所在。

我馆严格按照国家的要求，严格贯彻“安全第一，预防为主”的原则，对数字化服务机构、场所、加工设备等进行科学有效的安全管理。一是成立了以分管领导为组长的数字化工作协调小组，明晰了各相关业务处室作为档案数字化工作责任部门，以及确定了相应责任人和职责分工，协调解决数字化过程中的安全与质量问题，有力保障了数字化工作安全有效开展。二是根据档案数字化总体规划，确定数字化外包加工对象必须是馆藏开放档案。三是强化规范管理，通过委托第三方服务形式，引进监理机制，解决馆藏档案数字化实施过程中的安全监管及质量控制问题。四是建章立制，严格按照国家、省里有关档案数字化加工的规定，结合我馆馆藏民国档案数字化工作实际，提出档案数字化外包有关人员、设备、实体等安全管理要求，建立档案实体周转、数字化过程管控、数字化成果验收与移交、存储载体介质管理、档案实体保护等规章制度，使安全管理工作有章可循，并在数字化加工项目实施过程中不断完善制度，强化制度保障，确保档案实体和数据安全。

二、档案数字化安全控制措施

（一）数字化外包服务机构的安全管控。参与数字化外包服务的机构（包括加工单位和监理单位）除了按照政府采购有关规定要求外，其经营业务范围必须包括档案数字化工作或数据处理类项目，未曾发生过安全事故；服务机构员工团队必须提供本人身份证明，以及公安部门提供的无犯罪记录证明，如实填写《人员政审考核表》；服务机构必须与其员工团队签订符合国家劳动法律法规要求的劳动合同以及保密协议，对员工进行必要的安全保密教育和上岗培训；服务机构必须建立安全岗位责任制，配备专人负责安全保密工作。数字化外包项目一经启动，应及时配套建立项目管理档案体系，保证实施项目的全过程真实完整。

（二）数字化工作场所以及人员的安全管控。档案数字化场所必须符合档案库房“八项”要求；应配置相应的视频监控设备，确保档案暂存处、数字化工作工位、数据输入输出端口及门窗等无监控死角；要按相关规定，定期检查回放监控视频数据，在删除监控视频数据前，做好视频回放检查记录,加工局域网络，配备全覆盖无死角视频监控系统及防火、防盗等设备，监控视频数据保存至项目完工后一年。在加工现场，要设置专门安全员岗位，配备专职保安加强现场安全管理。在档案临时库房，要设置专职库房管理员，数字化服务器设置密码并安排专人操作；要配备安全可靠的档案装具，用于档案的临时保管与存放。同时，要加强人员管理，与服务机构及其员工团队签订安全保密协议，及时备案员工身份证、个人简历及相关证件的复印件；坚持定期对加工人员进行安全保密安全教育，做到人员进出场所进行登记管理，严禁加工人员在非工作时间进出场所；加工人员进场不得携带各类电子设备、各类移动存储介质以及水杯、食物等生活物品；严禁擅自将数字化工作场所内的物品带离现场。加工场所外，要设置专门储物柜，用于服务机构员工存放私人物品。档案馆、数字化服务机构应指派专人对数字化工作场所开展实时巡查和不定期的抽查，确保数字化各项规章制度真正贯彻落实到位。

（三）数字化设备和数据载体的安全管控。馆藏数字化项目招标时，就要明确规定：数字化加工方只提供人员和技术，档案数字化工作过程中使用的所用设备包括服务器、计算机、扫描仪、可移动存储设备、安全管理软件、刻录机、办公家具等全部由档案馆提供。数字化设备进场，要安排专人跟踪记录。要按照保密局规定，对用于数字化的电子设备进行加密处理。档案馆可在数字化局域网内安装具有系统登录权限管理、现场设备管理、数据输入输出端口管理、系统日志管理等功能的数字化加工安全保护系统（简称DPSS），从技术手段入手，建立统一、可控、可跟踪和易管理的安全防护系统，从根本上解决现有档案数字化加工过程中的档案信息安全问题。安全保护系统可以准确记录系统内上线用户的各项行为、数字化成果信息流转等情况，使档案数字化工作网络与其他网络物理隔离，如现场计算机、扫描仪等设备，封闭信息输出装置或端口（USB接口、光驱接口等），并定期进行检查。除操作系统、杀毒软件、加工软件和第三方安全管理软件外，数字化工作计算机不允许安装任何其他软件。现场禁止使用任何无线设备。严禁将数字化设备、存储介质与其他工作交叉使用，严禁非数字化专用的设备、存储介质进入工作场所。数字化过程中使用的移动存储介质、刻录设备，由档案馆指定专人保管，并建立使用台账。数字化成果拷贝、刻录等，专人专管。服务机构因工作需要进行数据迁移、临时备份等工作，须办理手续并在档案馆管理人员在场时方可实施，实施完毕后立即封闭接口；完成拷贝、刻录的数据介质（包括已损坏的数据介质），应及时交接，由档案馆专人专管，并形成交接台账。这样，就能够从数字化工作设备、网络环境与数据载体的管理上，切断失密、泄密途径，确保档案数据安全。

（四）各工作环节的安全管理。一是定期组织数字化三方（档案馆、加工方、监理方）召开联席会议，及时解决数字化加工过程中遇到的问题，把好数字化加工安全关和质量关。二是要充分发挥数字化项目监理的作用，做到档案交接、数据移交、服务器数据删除等重要事项均有书面交接记录，在临时库房管理、数据迁移备份、服务器操作、破损档案修复等关键节点，安排专人专岗负责，并做好相关台账记录备案；案卷调卷、案卷清点检查以页为单位，加工各环节交接设立工作流程单，及时建立工作日志等台账并及时整理、汇总，做好数字化流程中档案实体流转表单及质检验收台账的收集汇总，确保每卷档案及图像数据的“回溯”可查。三是重点环节，着重监控。狠抓数字化加工重点环节，设置专人管理岗位,档案实体流转安排专人监管，调取、消毒、归还以及加工各环节间流转均由专人负责，并做好登账记录；破损案卷裱糊专人送去和取回，做好登记台账；严格按照案卷清点具体到页为单位的原则，抓牢每页档案在加工环节的流转管理；加工各环节设立档案数字化流程工作单，跟踪记录每个环节具体操作人员，责任到人，有力地监控每一页档案的动态；数字化档案数据库安排专人管理，设置口令，定期备份，保障档案数据安全。四是要加大安全检查力度。严格落实监管机制，定期督查数字化服务机构的保密、安全措施落实情况，避免档案实体受损、丢失，禁止服务机构擅自复制、留存、使用档案信息的行为。

三、深化数字化工作安全控制的几点建议

（一）提高安全防范意识。参与数字化工作的部门和人员，要进一步认识开展档案数字化工作的目标和任务，明确开展这项工作的重要意义，才能为深化做好包括档案数字化安全控制在内的各项事宜打下坚实的思想基础。

（二）定期开展风险评估。档案数字化项目每个阶段任务完成后，档案馆要组织专业人员按照有关规定，对移交的数字化工作介质（如存储介质、移动介质、备份介质等）和服务机构在档案数字化外包加工各工作流程及各环节中的安全隐患，分析评估风险危害性与损失，提出有针对性地应对风险的安全防范对策及管理要求。

（三）设计安全管控模型应对数字化外包加工中可能存在的安全问题。要认真分析项目的可行性方案、项目管理、技术规范、设备安全、流程管理、信息存储等各方面情况；研究设计从档案前处理、实体扫描、图像优化、数据交换、存储备份等数字化全过程的安全环境模型，制定档案数字化的操作指南及管理办法，提出可供参考、可推进实施的数字化外包整体解决方案，明确档案部门在数字化外包各工作环节中应掌握的安全要求，从而为各级各类档案馆（室）以及档案数字化服务机构开展的安全管理和风险控制起到重要的指导作用。