1.總則
1.1為加強檔案數字化外包的安全管理,確保檔案數字化過程中檔案實體和信息的安全,根據國家相關法規和標準,制定本規範。
1.2各級檔案部門(以下簡稱“檔案部門”)和各類檔案館應當開展檔案數字化外包,具有獨立法人資格的檔案數字化加工服務機構(以下簡稱“數字化服務機構”)應當承擔檔案數字化外包服務,並按照本規範進行安全管理。檔案部門自行實施檔案數字化時,可參照本規範實施安全管理。
1.3本規範中提到的數字化外包檔案是指非涉密檔案,涉密檔案的數字化按照國家有關規定執行。?
1.4檔案數字化外包的安全管理應遵循“安全第壹,預防為主”的原則,采取科學有效的安全管理措施,運用技術手段保障檔案安全,建立權責明確、覆蓋檔案數字化全過程的崗位責任制,嚴格監督管理檔案數字化全過程,確保檔案實體和信息安全。?
2.檔案部門的安全管理
2.1建立由主要領導或分管領導同誌參加的檔案數字化外包管理組織,明確檔案數字化管理的部門、人員和職責。
2.2根據數字檔案館總體規劃,確定數字外包檔案館的範圍,提出數字外包檔案館的安全管理要求和技術指標。
2.3在數字檔案外包招標文件中提出安全管理要求,協助制定招標文件和審批合同。?
2.4調查數字化服務機構的相關資質、業績、人員、設備、處理軟件等情況,了解有無違約、安全事故等不良記錄。同等條件下,應優先考慮具有數字處理相關保密資質的數字服務機構。
2.5建立檔案數字化安全保密制度,與數字化服務機構簽訂安全保密協議,對檔案數字化處理人員進行安全保密教育。
2.6制定檔案實體移交、數字化處理流程管理、數字化成果驗收移交、存儲介質管理、檔案實體保護等操作規程或規章制度。
2.7建立檔案數字化外包項目管理檔案,記錄檔案部門和數字化服務機構實施檔案數字化外包項目的全過程。
2.8建立監督機制,監督檢查數字服務機構保密安全措施的落實情況,防止檔案實體損毀或丟失,杜絕數字服務機構擅自復制、留存和使用檔案信息。
3.數字服務機構的安全管理
3.1數字化服務機構必須具有工商行政管理部門核發的有效營業執照,其業務範圍必須包括檔案數字化加工或數據處理項目。
3.2數字服務機構的法人必須是在中華人民共和國註冊的企業法人或事業單位法人,其股東和工作人員必須是中華人民共和國和中華人民共和國公民,國家另有規定的除外。?
3.3數字服務機構工作人員必須提供本人身份證明和公安部門提供的無犯罪記錄證明,必要時提供政審材料。
3.4數字服務機構必須與員工簽訂符合國家勞動法律法規要求的勞動合同。?
3.5數字化服務機構的人員數量和素質、技術和管理水平、設施設備能夠滿足擬建項目的要求。
3.6數字化服務機構必須制定並實施數字化安全保密制度,制定並實施檔案實體移交、數字化處理過程管理、數字化成果驗收移交、存儲介質管理、檔案實體保護等操作規範和管理制度。
3.7數字服務機構應建立安全崗位責任制,指定專人負責安全保密工作。
3.8數字化服務機構應對其工作人員進行安全保密教育和必要的崗位培訓,並與工作人員簽訂保密協議,明確規定工作人員不得閱讀、摘抄、泄露檔案內容等安全保密責任和義務。保密協議應當報檔案部門備案。
3.9數字服務機構必須積極支持和配合檔案行政管理部門的安全檢查。
4.數字場所的安全管理
4.1數字處理場地壹般設在檔案部門獨立、可封閉的建築內。
4.2數字化處理場所應滿足防盜、防火、防塵、防水、防潮、防高溫、防日光和紫外線輻射、防蟲害和防汙染的安全管理要求。
4.3數字化處理場所應配備滿足安全管理需要的視頻監控設備,確保文件暫存、數字化處理站、服務器、數據導出終端、門窗等無監控死角;視頻監控系統由檔案部門負責。數字化處理場所設在檔案部門以外的,檔案部門應當定期檢查視頻監控系統,數字化服務機構應當將視頻監控資料移交檔案部門保存。視頻監控數據應當自生成之日起保存不少於6個月;檔案部門應當定期檢查視頻監控資料,並在刪除視頻監控資料前保存視頻回放安全檢查記錄。
4.4數字化處理場所應配備符合國家標準和工作需要的檔案配件,分別用於存放待數字化和已數字化的檔案。
4.5數字化處理現場應關閉所有檔案數字化處理設備的無線網絡功能,並定期進行相關測試。?
4.6數字化工作人員應有存放個人物品的專用儲物櫃,應放置在有檔案配件的單獨區域;數碼加工場所不得存放工作不需要的個人物品,包括照相機、攝像機、手機、錄音機、筆記本電腦、平板電腦等電子設備和各種移動存儲介質;嚴禁擅自將數碼加工場地內的物品帶離場地。?
4.7工作人員應掛牌上崗,接受身份驗證、登記和安全檢查,無關人員嚴禁進入數字化加工場所。?
4.8工作人員不得在數字化加工區從事與數字化無關的活動,禁止在數字化加工區內飲食、吸煙,禁止攜帶火種進入數字化加工區。
4.9檔案部門和數字化服務機構應指定相關人員定期檢查數字化處理場所,確保與數字化處理和管理相關的各項規章制度和操作規範得到有效落實和執行。
5.數字處理設備、網絡環境和數據載體的安全管理。
5.1檔案數字化處理過程中建議使用檔案部門提供的相關設備。使用數字化服務機構設備的,檔案部門應當進行必要的安全檢查。
5.2用於檔案數字化處理的計算機、掃描儀等設備必須采用技術手段或專業的物理設備,關閉所有不必要的信息輸出設備或端口,如USB接口、紅外、藍牙、SCSI接口、光盤接口等。,並定期檢查關閉的設備或端口。
5.3檔案數字化處理建議使用國產設備和正版軟件。數據安全和網絡監控軟硬件必須使用通過國家安全認證的國產品牌產品。除必要的操作系統、殺毒軟件、處理軟件和第三方安全管理軟件外,檔案數字化處理計算機不得安裝任何與處理無關的軟件。
5.4檔案數字處理網絡應與其他網絡物理隔離,禁止使用無線網卡、無線鍵盤、無線鼠標等設備。
5.5檔案數字化處理網絡環境應配備具有權限管理、設備管理、端口管理、日誌管理和安全審計功能的數字化處理安全防護系統,以準確記錄授權用戶的訪問行為、設備訪問和電子檔案的信息流。
5.6檔案數字化處理系統應具備流程定義、任務分配、流程跟蹤、質量檢查、成品制作、數據驗收和數據備份管理等功能,並分別設置管理員、保安員和審核員,實行“三員分離”。?
5.7在檔案數字化處理過程中,建議檔案部門提供硬盤、可移動存儲介質和不能保證數據可靠移動的設備,並逐壹檢查登記。數字化工作完成後,這些設備必須由檔案部門保管或銷毀,嚴禁擅自帶走。
5.8用於檔案數字化處理的設備和存儲介質嚴禁與其他設備和存儲介質互換使用,嚴禁將非數字化專用設備和存儲介質帶入數字化處理場所。
5.9檔案數字化過程中使用的移動存儲介質和記錄設備由檔案部門指定專人保管,並記錄使用情況。檔案數字化成果的復制和刻錄應相對集中。檔案部門應指定專人負責清點移動存儲介質的數量,數字化服務機構復制或刻錄的數據介質(包括損壞的數據介質)應及時移交給檔案部門指定的人員,並辦理交接手續。
5.10檔案數字化設備和存儲介質不得擅自送修,必須送修的應辦理書面審批手續,並由檔案部門人員現場監督。
5.11處理未開放檔案的信息設備的管理和使用,應當遵守國家有關涉密載體管理和使用的規定。
6.檔案單位的安全管理
6.1檔案部門應檢查待數字化檔案的保密性、完整性、有序性以及檔案實體與目錄的壹致性。應對機密文件進行篩選,對損壞或不完整的文件進行登記和處理,對與文件目錄不符的文件進行必要的記錄或標記。
6.2檔案部門人員應根據工作計劃分批轉移檔案,並與數字化服務機構的檔案接收人清點核對。雙方確認無誤後,應填寫文件移交清單壹式兩份,註明移交文件的內容、數量、狀態、移交時間和經辦人。
6.3檔案的數字化處理不得損壞檔案。檔案損壞的,應按有關規定進行處罰,並予以修復和登記。當文件需要拆卸時,應盡可能保持原樣。
6.4文件數字化過程中應建立文件流程表,包括文件編號、處理程序、設備號、數量、經手人、處理時間等。在數字化加工過程中,文件流程圖應與文件實體同步。?
6.5在檔案數字化過程中,如發現有涉密標識而無解密標識的檔案,數字化外包服務機構應停止對該檔案的數字化處理,並在登記目錄後立即向檔案部門移交。
6.6數字化處理的檔案必須每天入庫(櫃),不得在處理站過夜。
6.7數字文件應由專人專櫃保管,數字處理後的文件應及時退回倉庫。對長期離庫或有蟲黴隱患的檔案,應進行消毒殺蟲處理。
7.檔案數字化成果的移交、接收和設備處理的安全管理。
7.1檔案數字化任務完成後,檔案部門應當組織專業人員對數字化處理介質(如存儲介質、移動介質、備份介質等)進行專項安全保密檢查。)移交檔案部門,加工監控錄像回放安全檢查記錄,檔案實體出入庫交接記錄,加工人員變動記錄。凡未進行專項安全驗收或驗收不合格的,不得進行工程總體驗收。
7.2檔案數字化成果必須通過完整性、準確性、可用性和安全性檢查,檢查合格後雙方辦理資料移交手續。
7.3檔案數字化任務完成後,數字化服務機構應會同檔案部門拆除其自有處理設備中的硬盤等存儲介質,與數字化過程中使用的其他移動存儲介質壹並移交給檔案部門,並辦理相關移交手續。
7.4檔案數字化任務完成後,檔案部門必須組織專業人員對數字化服務機構使用的設備進行檢查,確保設備中無信息殘留。哪裏有信息,就必須安全地刪除它。
7.5數字化服務機構應將文件數字化過程中形成的日誌、記錄等原始記錄材料作為項目檔案的內容移交檔案部門管理。