档案数字化外包潜在风险分析及安全管理措施研究

   档案数字化外包是开展档案数字化的主要形式之一，同时也是档案信息资源建设中最容易出现安全问题的环节之一。档案数字化外包引进安全风险管理方法，构建系统完整的数字化外包安全管理策略，对规范档案数字化外包工作，确保档案实体与档案信息安全具有重要意义。

　　档案数字化外包安全风险分析

　　为建立科学的综合风险管理体系和具体的风险控制方法，可以从两个维度将档案数字化外包项目的安全风险因素进行归类。

　　一是档案实体风险和档案信息风险。在档案数字化外包过程中，档案实体必然经历出入库搬运、拆卷整理、破损修复等环节，各类人员的接触、设备的接触、场地环境变化等因素都有可能导致实体档案的乱序、损伤甚至丢失。在数字化外包过程中，档案数字化必然需要网络部署、目录信息著录或迁移、数字信息处理等环节，管理失控可能导致重大的信息安全事故。

　　二是加工环境的风险和组织管理的风险。加工场地涉及环境因素主要包括场地条件以及安保设施等。在不适宜保存档案实体的场所进行数字化加工，存在档案实体受损风险;在不适宜设备使用的环境进行数字化加工，存在设备系统故障风险。加工场地内的安全防护设备用于预防各类安全事故发生，出现突发安全事件时，能够及时控制，减少或消除事故影响。组织管理对于数字化外包工作有效的风险控制至关重要。数字化加工企业随档案部门需求应运而生，目前缺乏市场准入机制约束，任何一家服务公司都可以介入这个领域，导致数字化企业良莠不齐，险象环生。另外，档案数字化涉及大量的企业加工人员，在数字化外包项目实施中，建章立制不规范，数字化加工过程管理监督不严，将导致数字化质量失控。

　　档案数字化外包安全风险管理对策

　　分析全流程各环节的风险因素，研究和把握数字化外包过程中的安全管理规律，建立基于风险控制的安全管理体系。应对上述各类潜在的数字化外包安全风险因素，可采取以下相应的管理对策。

　　一是强化档案部门监管职责。档案部门应强化档案数字化外包安全监管的职责，建立档案数字化工作组织，明确相关部门的职责分工，指派专人负责外包过程中的安全监管工作。建立安全管理制度，在相关工作规定中明确相应安全保密要求，建立安全保密教育制度;优选外包机构，对数字化外包机构的相关资质、业绩、设备和加工系统等进行考察，掌握基本情况，优先考虑具有保密行政管理部门授予的“国家秘密载体印制资质(档案数字化加工类)”的数字化外包机构;数字化全过程监管，指派专人负责对全过程实行严格的安全监督和管理;档案保管部门、信息化部门与安全保卫等职能部门应认真把关，对项目安全进行专门检查验收。

　　二是落实外包机构安全责任。要特别重视对外包机构相关资质、安全管理规范、人员管理培训等方面情况的甄别和确认。外包机构必须具有有效营业执照，其业务范围必须包括档案数字化加工类项目，工作人员必须有本人身份证明和公安部门提供的无犯罪记录证明;外包机构必须制定数字化岗位安全责任制，由专人负责外包项目的安全保密工作;外包机构应对其工作人员进行定期安全保密教育和必要的上岗培训。

　　三是跟踪加工场所安全监管。数字化外包加工场所应选在档案部门建筑内，相对独立、可封闭，符合档案安全管理要求。加工场所应合理划分加工区域与工休更衣区域。加工区域应配备视频监控并由档案部门专人管控，监控数据保存不少于6个月，场所内应屏蔽WIFI信号;工作人员挂牌上岗，上、下岗登记及安全检查;加工区域不得带入非工作需要的私人物品，严禁擅自将数字化加工区域内的任何物品带离现场。

　　四是确认网络软硬件安全管理。档案数字化加工需要网络部署、加工管理系统配置、设备配备等，要采取有效措施，确保对网络软硬件安全予以确认。档案数字化加工网络应与其他网络物理隔离，禁止使用无线网卡、无线键盘、无线鼠标等设备，数字化加工网络应配备通过相关安全认证的数字化加工安全保护系统;加工过程中使用外包机构的设备，档案部门应当进行安全检查;外包机构自行研发的数字化加工软件系统应有自主知识产权证明。

　　五是规范档案实体安全管理，落实安全保密管理机制和质量管理机制，对每个加工人员及工作环节规范操作。档案部门要对列入数字化范围的馆(室)档案逐卷逐件检查，确定列入外包加工档案的范围;档案部门应按照数字化工作计划分批进行调档，与数字化外包机构人员对所调档案进行清点、检查与核对;外包机构在数字化过程中要严格执行档案加工流程单制度，档案流程单要与档案实体同步流转，与数字化成果一起递交验收。

　　六是加强档案信息安全管理。档案部门会同外包机构的安全负责人必须加强对外包全过程的档案信息安全监管，不定期对档案数字化加工系统、数字化图像处理情况、数字化成果存储进行安全检查，发现隐患及时督促。档案部门应在外包机构完成一批档案信息数据的自检基础上，对照档案实体随机抽检该批数字化转换的所有数据;建立完善的数据移交制度，数字化成果必须通过检测;项目完成后，档案部门必须检查数字化加工所有设备中是否有信息暂存，外包机构自带设备的硬盘、移动存储介质等在数字化过程中使用过的存储部件应全部移交档案部门，按国家秘密载体管理或销毁。

　　(本文摘编自国际档案理事会2015年年会上的报告——《档案数字化外包安全管理问题分析及解决方案研究》，作者系国家档案局技术部副主任)

　　原载于《中国档案报》2015年11月23日 总第2840期 第三版