刻不容缓:档案数字化建设中的信息安全

2012-10-08 信息来源:浙江档案局 浏览次数: 字体:[ ]

——读《关于加强涉密档案登记备份和数字化管理的通知》有感

理明

档案信息安全涉及多个方面,档案数字化加工管理中的信息安全是档案信息安全诸多环节中的重要一环,加强管理,刻不容缓。

我省自开展档案信息化建设,尤其是全面推进档案登记备份战略以来,档案的数字化建设突飞猛进,全面开花,不仅各级各类档案馆已全面开展档案数字化工作,而且各级机关、各专业部门也都积极行动起来,投身数字化的行列。档案数字化建设真可谓“如火如荼”。但是,在大规模开展档案数字化的同时,档案的信息安全问题,不可忽视。例如:对数字化加工的中介服务机构的监管问题、对数字化加工场地的监管问题、对数字化加工人员的管理问题、对数字化加工成果的管理问题等等,都存在着监管不严,管理不规范的问题。

由浙江省档案局和浙江省保密局联合下发的《关于加强涉密档案登记备份和数字化管理的通知》(以下简称《通知》),为规范我省的档案数字化建设提供了制度保障。笔者围绕《通知》精神,就加强档案数字化建设中的信息安全工作谈一谈个人的感想。

一、加强对数字化加工中介组织和加工人员的管理是加强档案信息安全的基础。

档案数字化是依靠加工人员来完成的,所以,加强数字化加工人员的管理,对于档案信息安全来讲,是前提和基础。我省的档案数字化加工一般采用两种形式:一是自行加工;二是委托中介加工。由于加工形式不同,对于人员的管理方式也是不一样的。

《通知》要求:“涉密档案数字化加工不得外包,应由本单位涉密人员或者委托同级国家综合档案馆进行。”同时,档案保管单位具有做好数字化加工人员保密教育和日常管理的义务和责任,“凡参与涉密档案数字化加工的,必须经档案行政管理部门和保密行政管理部门组织的档案与保密业务培训后方能上岗。”

对于非涉密档案的数字化工作,《通知》并不禁止外包,但对外包工作提出了规范要求:第一:“在外包之前,要认真审核承包单位的背景情况,不得由存有安全隐患的中介组织和公司承揽档案数字化项目。”这里所说的“存有安全隐患的中介组织和公司”主要是指在以往的数字化加工工作中,曾有擅自复制拷贝用户数据以及私自倒卖、私自发布用户数据行为的组织公司和个人。对于这样的单位和个人,档案部门宜建立里名单,将其永远拒之门外;第二:“业主单位应与承包单位签订安全保密协议,按照本通知要求加强数字化加工人员管理、场地管理、设备和网络管理。”在此,对业主单位与承包单位签订的保密协议内容进行了规范,强调了要在加工人员管理、场地管理、设备和网络管理三个方面,按照本通知要求,写入协议内容;第三:“严禁外包公司在服务过程中非法下载、留存、持有、使用任何档案信息。”档案数字化成果是档案信息的总汇,是档案信息安全保护的主要对象与目标,是档案数字化加工的生命线。《通知》不仅要求外包单位在信息安全上作出庄严承诺,对此造成的一切后果,承担法律责任,而且,提醒业主方,也要在信息的下载、留存、持有、使用诸环节上,加强安全意识,加强监督管理,确保档案在数字化加工中,信息的万无一失。

二、加强档案数字化加工场所的监督与管理,是加强档案信息安全的环境保障。

档案数字化加工离不开场地保障。由于,国家和省里从未对数字化加工场地作过任何规范与要求,以致在实践中,借用他人场所开展档案数字化者有之;由外包加工单位将档案带离馆室,自找场所进行档案数字化者有之;等等,不一而足,隐患重重。

《通知》对档案数字化加工场所作了明确的要求与规范:第一:“档案馆、室必须在本单位安排专门场所就地进行数字化加工,档案不得带离原单位;”就地加工原则,确保档案原件不出馆(室),始终保持档案处于馆(室)的严格监管之下;第二,加强对加工场所的监督与管理:“加工场所应安装监控设备,并派人实行全过程监管;”无论是自行组织加工,还是委托外包加工,在加工场所均应安装监控设备,并由业主单位派人实行全过程监管,一方面保证档案实体原件在加工过程中的安全,另一方面,防范一些不规范行为的发生。第三,加强对进入加工场所人员的管理,“数字化加工人员不得私带U盘等存储介质和手机、摄录设备进入加工场所。”

三、加强对数字化加工设备和网络的管理,防止档案信息的外泄。

档案的数字化加工离不开计算机软硬件设备的支持,也离不开网络的应用。由于计算机及其网络信息传播的便利与快捷性,对于档案信息的安全保护构成了无形的威胁。

为加强对数字化加工设备和网络的管理,防止档案信息的外泄,《通知》要求:第一,“涉密档案数字化加工所需的所有计算机、扫描仪、存储介质等设备和软件必须经本级保密行政管理部门进行安全保密技术检测,符合安全保密要求。建立局域网的,必须通过相关部门的涉密网络验收”;第二,所有数字化“加工场所的设备和网络应保持独立,不得与单位办公网络或互联网连接与共享,加工场所的所有计算机及网络严禁上互联网”;加工场所应加工工作的需要,可以建局域网络,但是该网络必须是独立的,既不能连接单位办公网,也不能连接互联网。同时要求,加工场所的所有设备一律禁上互联网,目的就是阻断加工场所与外界网络的一切联系,防止档案信息的传播;第三,所有数字化加工场所的一切设备,“应通过一定的技术手段,拆、封外设设备信息出口,确保数据无接口,防止信息外泄。”

四、加强数据管理是保证档案信息安全的根本出发点与落脚点。

档案数字化产生的所有档案信息,最终都集中到数字化成果数据上,因此,归根结底,档案数字化中的信息安全问题,数字化成果数据管理是关键。

《通知》对于涉密档案的数字化成果如何管理,提出三点要求:一是“涉密档案的数字化成果必须存储在涉密介质或系统内。”对于涉密介质和涉密系统,国家和省保密局都有详细的标准和规范,只要按照保密部门的相关要求执行即可;二是对于数字化加工过程中,成果的管理,从设备到人员,进一步加强管理,并提出“有条件的单位应在加工设备上安装审计软件等监控设施,预防、监督数据外泄”;三是对于保存在档案馆的数字化成果,“要严格区分密与非密,分别管理。同时,按照有关规定做好涉密档案的解密降密工作。”“涉密档案信息不得上非涉密的网络信息系统进行管理与利用。”

《通知》所讲的三点要求虽然是针对涉密档案数字化成果管理提出的,但对一般档案数字化成果的管理,同样具有借鉴意义,值得认真学习与思考。

 

作者单位:浙江省档案局

分享到:
0
【打印本页】 【关闭窗口】

Produced By 大汉网络 大汉版通发布系统