CONTACT US
1.總則
1.1為加強檔案數字化外包安全管理,確保檔案數字化過(guò)程中檔案實(shí)體與信息安全,根據國家有關(guān)規定和標準,制定本《規范》。
1.2各級各類(lèi)檔案館、室等檔案部門(mén)(以下簡(jiǎn)稱(chēng)“檔案部門(mén)”)開(kāi)展檔案數字化外包工作,具有獨立法人身份的檔案數字化加工服務(wù)機構(以下簡(jiǎn)稱(chēng)“數字化服務(wù)機構”)承擔檔案數字化外包服務(wù),應遵循本《規范》開(kāi)展安全管理工作。檔案部門(mén)自行開(kāi)展檔案數字化時(shí),可參照本《規范》實(shí)施安全管理。
1.3本《規范》所稱(chēng)數字化外包檔案指非涉密檔案,涉密檔案數字化按國家有關(guān)規定執行。
1.4檔案數字化外包安全管理應按照“安全第一、預防為主”的原則,采取科學(xué)有效的安全管理措施,應用確保檔案安全的技術(shù)手段,建立權責明確、覆蓋檔案數字化全過(guò)程的崗位責任制,對檔案數字化全過(guò)程實(shí)行嚴格監督和管理,確保檔案實(shí)體與信息安全。
2.檔案部門(mén)的安全管理
2.1成立由主要領(lǐng)導或分管領(lǐng)導同志參加的檔案數字化外包管理組織,明確檔案數字化管理的部門(mén)、人員及其職責。
2.2根據檔案數字化總體規劃,確定數字化外包檔案的范圍,提出檔案數字化外包安全管理要求和技術(shù)指標。
2.3提出檔案數字化外包招標文件中有關(guān)安全管理的要求,協(xié)助制定招標文件,審定合同。
2.4對數字化服務(wù)機構的相關(guān)資質(zhì)、業(yè)績(jì)、人員、設備和加工軟件等進(jìn)行考察,并了解是否存在違約行為、安全事故等不良記錄。在同等條件下,應優(yōu)先選用具有與數字化加工相關(guān)涉密資質(zhì)的數字化服務(wù)機構。
2.5建立檔案數字化安全保密制度,與數字化服務(wù)機構簽訂安全保密協(xié)議,并對檔案數字化加工人員進(jìn)行安全保密教育。
2.6制定檔案實(shí)體交接、數字化加工過(guò)程管理、數字化成果驗收與交接、存儲介質(zhì)管理、檔案實(shí)體保護等操作規程或規章制度。
2.7建立檔案數字化外包項目管理檔案,記錄檔案部門(mén)和數字化服務(wù)機構實(shí)施檔案數字化外包項目的全過(guò)程。
2.8建立監管機制,對數字化服務(wù)機構的保密、安全措施落實(shí)情況進(jìn)行監督、檢查,防止檔案實(shí)體受損、丟失,杜絕數字化服務(wù)機構擅自復制、留存、使用檔案信息的行為。
3.數字化服務(wù)機構的安全管理
3.1數字化服務(wù)機構必須具有工商管理部門(mén)核發(fā)的有效營(yíng)業(yè)執照,業(yè)務(wù)范圍必須包括檔案數字化加工或數據處理類(lèi)項目。
3.2數字化服務(wù)機構的法人必須是中華人民共和國境內注冊的企業(yè)法人或事業(yè)單位法人,股東及工作人員必須為中華人民共和國境內公民,國家另有規定的除外。
3.3數字化服務(wù)機構的工作人員必須提供本人身份證明和公安部門(mén)提供的無(wú)犯罪記錄證明,必要時(shí)提供政審材料。
3.4數字化服務(wù)機構必須與其工作人員簽訂符合國家勞動(dòng)法律法規要求的勞動(dòng)合同。
3.5數字化服務(wù)機構的人員數量與素質(zhì)、技術(shù)與管理水平、設施與設備狀況能夠滿(mǎn)足擬承擔項目的要求。
3.6數字化服務(wù)機構必須制定并執行數字化安全保密制度,制定并執行檔案實(shí)體交接、數字化加工過(guò)程管理、數字化成果驗收與交接、存儲介質(zhì)管理、檔案實(shí)體保護等操作規范和管理制度。
3.7數字化服務(wù)機構應建立安全崗位責任制,配備專(zhuān)人負責安全保密工作。
3.8數字化服務(wù)機構應對工作人員進(jìn)行安全保密教育和必要的上崗培訓,并與工作人員簽訂保密協(xié)議,明確規定工作人員不得閱讀、摘抄、外泄檔案內容和其他安全保密責任、義務(wù)。安全保密協(xié)議應報送檔案部門(mén)備案。
3.9數字化服務(wù)機構必須積極支持、配合檔案行政管理部門(mén)的安全保密檢查。
4.數字化場(chǎng)所的安全管理
4.1數字化加工場(chǎng)所一般設在檔案部門(mén)獨立、可封閉的建筑內。
4.2數字化加工場(chǎng)所應符合防盜、防火、防塵、防水、防潮、防高溫、防日光及紫外線(xiàn)照射、防有害生物、防污染等安全管理要求。
4.3數字化加工場(chǎng)所應配備滿(mǎn)足安全管理需要的視頻監控設備,確保檔案暫存處、數字化加工工位、服務(wù)器、數據導出端及門(mén)窗等無(wú)監控死角;視頻監控系統應由檔案部門(mén)專(zhuān)人負責,數字化加工場(chǎng)所設于檔案部門(mén)之外的,檔案部門(mén)應定期檢查視頻監控系統,數字化服務(wù)機構應將視頻監控數據移交檔案部門(mén)保存;視頻監控數據自產(chǎn)生之日起保存不少于6個(gè)月;檔案部門(mén)應定期對視頻監控數據進(jìn)行回放檢查,在刪除視頻監控數據之前,要留存視頻回放安全檢查記錄。
4.4數字化加工場(chǎng)所應配備符合國家標準并滿(mǎn)足工作需要的檔案裝具,用于分別存放待數字化處理和已數字化處理的檔案。
4.5數字化加工場(chǎng)所須封斷所有檔案數字化加工設備的無(wú)線(xiàn)網(wǎng)絡(luò )功能,并定期進(jìn)行相關(guān)檢測。
4.6數字化工作人員存放隨身物品要有專(zhuān)用儲物箱柜,并與檔案裝具分區放置;數字化加工場(chǎng)所不得有非工作需要的私人物品,包括照相機、攝像機、手機、錄音機、筆記本電腦、平板電腦等各類(lèi)電子設備和各類(lèi)移動(dòng)存儲介質(zhì);嚴禁擅自將數字化加工場(chǎng)所內的物品帶離現場(chǎng)。
4.7工作人員要掛牌上崗,接受身份核查登記和安全檢查,嚴禁無(wú)關(guān)人員進(jìn)入數字化加工場(chǎng)所。
4.8工作人員不得在數字化加工場(chǎng)所內從事與數字化無(wú)關(guān)的活動(dòng),嚴禁在數字化加工區內喝水、進(jìn)食、吸煙等,嚴禁攜帶火種進(jìn)入數字化加工場(chǎng)所。
4.9檔案部門(mén)和數字化服務(wù)機構應指定有關(guān)人員經(jīng)常對數字化加工場(chǎng)所進(jìn)行巡查,確保有關(guān)數字化加工和管理的各項規章制度和操作規范得到切實(shí)貫徹和執行。
5.數字化加工設備、網(wǎng)絡(luò )環(huán)境與數據載體的安全管理
5.1檔案數字化加工過(guò)程中建議使用檔案部門(mén)提供的相關(guān)設備,使用數字化服務(wù)機構設備的,檔案部門(mén)應當對其進(jìn)行必要的安全檢查。
5.2檔案數字化加工使用的計算機、掃描儀等設備,必須采用技術(shù)手段或專(zhuān)業(yè)物理設備封閉所有不必要的信息輸出裝置或端口,如USB接口、紅外線(xiàn)、藍牙、SCSI接口、光驅接口等,封閉的裝置或端口要定期進(jìn)行檢查。
5.3檔案數字化加工過(guò)程中推薦使用國產(chǎn)設備并使用正版軟件。數據安全與網(wǎng)絡(luò )監控軟硬件必須使用通過(guò)國家安全認證的國產(chǎn)品牌產(chǎn)品。除必要的操作系統、殺毒軟件、加工軟件和第三方安全管理軟件外,檔案數字化加工計算機不允許安裝任何與加工無(wú)關(guān)的軟件。
5.4檔案數字化加工網(wǎng)絡(luò )要與其他網(wǎng)絡(luò )物理隔離,禁止使用無(wú)線(xiàn)網(wǎng)卡、無(wú)線(xiàn)鍵盤(pán)、無(wú)線(xiàn)鼠標等設備。
5.5檔案數字化加工網(wǎng)絡(luò )環(huán)境中應配備具有權限管理、設備管理、端口管理、日志管理和安全審計等功能的數字化加工安全保護系統,準確記錄授權用戶(hù)的訪(fǎng)問(wèn)行為、設備接入和電子檔案信息流向等信息。
5.6檔案數字化加工系統應具備流程定義、任務(wù)分配、過(guò)程跟蹤、質(zhì)量檢測、成品制作、數據驗收、數據備份管理等功能,并分別設置管理員、保密員、審計員,實(shí)行“三員分離”。
5.7檔案數字化加工過(guò)程中建議由檔案部門(mén)提供計算機等設備的硬盤(pán)、移動(dòng)存儲介質(zhì)以及無(wú)法確保數據可靠清除的設備,并逐一進(jìn)行檢查、登記。數字化工作完成后,這些設備必須交由檔案部門(mén)統一保管或銷(xiāo)毀,嚴禁擅自帶走。
5.8用于檔案數字化加工的設備和存儲介質(zhì)嚴禁與其他設備和存儲介質(zhì)交叉使用,非數字化專(zhuān)用的設備和存儲介質(zhì)嚴禁帶入數字化加工場(chǎng)所。
5.9檔案數字化過(guò)程中使用的移動(dòng)存儲介質(zhì)和刻錄設備應由檔案部門(mén)指定專(zhuān)人保管,并對使用情況進(jìn)行記錄。檔案數字化成果的拷貝和刻錄應相對集中。檔案部門(mén)應指定專(zhuān)人負責移動(dòng)存儲介質(zhì)數量的清點(diǎn),數字化服務(wù)機構完成拷貝或刻錄的數據介質(zhì)(包括損壞的數據介質(zhì))應及時(shí)交接給檔案部門(mén)指定的人員,并辦理交接手續。
5.10檔案數字化設備和存儲介質(zhì)不得擅自送外維修,必須送外維修的應辦理書(shū)面審批手續,并由檔案部門(mén)人員現場(chǎng)監督。
5.11處理尚未開(kāi)放檔案的信息設備的管理和使用應符合國家有關(guān)秘密載體管理和使用的相關(guān)規定。
6.檔案實(shí)體的安全管理
6.1檔案部門(mén)要對擬數字化的檔案進(jìn)行涉密性、完整性、有序性及檔案實(shí)體與目錄的一致性檢查。涉密檔案要予以篩除,檔案實(shí)體破損、殘缺的要進(jìn)行登記與處理,檔案實(shí)體與文件目錄不對應的要進(jìn)行必要的記錄或標示。
6.2檔案部門(mén)人員應按照工作計劃分批調檔,并與數字化服務(wù)機構的檔案接收人員進(jìn)行清點(diǎn)、核對,雙方確認準確無(wú)誤后填寫(xiě)檔案交接清單一式兩份,注明交接檔案的內容、數量、狀況、交接時(shí)間和經(jīng)辦人等。
6.3檔案數字化加工不得損毀檔案,出現檔案損毀的,需按有關(guān)規定進(jìn)行處罰,并進(jìn)行修復和登記。需要拆裝檔案時(shí),應盡可能地保持檔案原貌。
6.4檔案數字化過(guò)程中要建立檔案流程單,流程單包括檔號、加工工序、設備編號、數量、經(jīng)手人、加工時(shí)間等,數字化加工過(guò)程中檔案流程單應與檔案實(shí)體同步流轉。
6.5檔案數字化過(guò)程中發(fā)現有涉密標識且無(wú)解密標識的檔案,數字化外包服務(wù)機構應停止該檔案的數字化加工,在登記目錄后立即將檔案移交檔案部門(mén)。
6.6正在進(jìn)行數字化加工的檔案必須每天入庫(柜),不得在加工工位上留存過(guò)夜。
6.7數字化檔案要專(zhuān)人專(zhuān)柜保管,數字化加工完畢的檔案要及時(shí)歸還入庫。對于離庫時(shí)間較長(cháng)或有蟲(chóng)霉隱患的檔案,應進(jìn)行消毒殺蟲(chóng)處理。
7.檔案數字化成果移交接收與設備處理的安全管理
7.1檔案數字化任務(wù)完成后,檔案部門(mén)應組織專(zhuān)業(yè)人員按照本《規范》的要求,對向檔案部門(mén)移交的數字化加工介質(zhì)(如存儲介質(zhì)、移動(dòng)介質(zhì)、備份介質(zhì)等)、加工監控視頻回放安全檢查記錄、檔案實(shí)體出入庫交接記錄、加工人員變更記錄等進(jìn)行安全保密專(zhuān)項驗收;凡未開(kāi)展安全保密專(zhuān)項驗收或驗收不合格的,不得對項目進(jìn)行總體驗收。
7.2檔案數字化成果必須通過(guò)完整性、準確性、可用性和安全性檢測,檢測合格后雙方辦理數據交接手續。
7.3檔案數字化任務(wù)完成后,數字化服務(wù)機構應會(huì )同檔案部門(mén)拆除其自帶加工設備中的硬盤(pán)等存儲介質(zhì),并將其與數字化過(guò)程中使用過(guò)的其他移動(dòng)存儲介質(zhì)一起移交給檔案部門(mén),并辦理相關(guān)移交手續。
7.4檔案數字化任務(wù)完成后,檔案部門(mén)必須組織專(zhuān)業(yè)人員對數字化服務(wù)機構所用的設備進(jìn)行檢查,以確保其設備中無(wú)信息留存。凡存有信息的,必須作清除信息的安全處理。
7.5數字化服務(wù)機構應將檔案數字化過(guò)程中形成的日志、記錄等原始記錄材料移交檔案部門(mén),作為項目檔案內容進(jìn)行管理。