轉自 中國保密在線
所謂檔案數(shù)字化��,是指利用數(shù)據庫技術�、數(shù)據壓縮技術、高速掃描技術等手段����,將紙質文件、聲像文件等傳統(tǒng)介質的文件和已歸檔保存的電子檔案����,系統(tǒng)組織成具有有序結構的檔案信息庫。近年來�,檔案數(shù)字化工作在黨政機關、企事業(yè)單位快速推進�。然而,在對涉及國家秘密的檔案數(shù)字化過程中����,由于保密管理不到位,已造成了國家秘密的泄露��。因此�����,必須加強對涉及國家秘密的檔案數(shù)字化的保密管理工作����,確保檔案數(shù)字化和保密管理協(xié)調共進��。
檔案數(shù)字化包括傳統(tǒng)載體檔案的數(shù)字化轉換和數(shù)字化檔案的管理與利用。傳統(tǒng)載體檔案數(shù)字化轉換是手段�����,數(shù)字化檔案的管理與利用是目的�����。在檔案數(shù)字化轉換過程中�����,涉及檔案鑒定�����、整理�����、著錄�����、掃描、圖像處理���、數(shù)據掛接����、校驗���、還原入庫等眾多環(huán)節(jié)��;在數(shù)字化檔案的管理與利用方面��,涉及數(shù)字化檔案的遠程查詢�、調閱�,數(shù)字化檔案的公開、開放等環(huán)節(jié)����。從近年來發(fā)生的違反保密法律法規(guī)案件情況來看,在檔案數(shù)字化轉換環(huán)節(jié)以及數(shù)字化檔案成果的管理與利用環(huán)節(jié)存在大量泄密風險和隱患�,需要引起高度重視。
原始載體涉密情況被忽視
涉密檔案數(shù)字化之前����,要認真梳理準備檔案原件���,不允許將涉密檔案和非涉密檔案混同進行數(shù)字化,更不允許將涉密檔案作為非涉密檔案進行數(shù)字化�。在對檔案進行數(shù)字化時�,應首先查看檔案原件情況,明確檔案文件資料是否標有密級�����,是否屬于國家秘密��,必要時要征詢檔案產生單位的意見���。近年來����,由于對擬數(shù)字化的檔案原件審核不嚴�����,導致涉密檔案作為非涉密檔案數(shù)字化并被公開的事件時有發(fā)生��,甚至造成大量國家秘密泄露,教訓深刻�����。
2012年12月��,有關部門在工作中發(fā)現(xiàn)��,某地檔案部門門戶網站違規(guī)刊登多份涉密文件資料��。經查����,2003年起,該檔案部門開展現(xiàn)行文件利用服務工作���,期間向有關機關單位征集非涉密現(xiàn)行文件資料��。在此過程中��,檔案管理科有關人員未履行保密審查職責�,在未核對實體文件資料的情況下��,對征集的文件資料直接蓋章確認為可公開的現(xiàn)行文件資料,導致多份涉密文件資料被誤作為可公開的文件資料���。2008年���,在檔案數(shù)字化過程中,該檔案部門編研科未履行保密審查手續(xù)���,將2003年收集的確認為可公開的現(xiàn)行文件資料���,交由某軟件技術公司掃描加工、鏈接刊登在門戶網站上����,造成泄密����。事件發(fā)生后,有關部門給予時任該檔案部門檔案管理科科長劉某�、編研科副科長吳某行政警告處分;對時任檔案部門督導科科長潘某���、編研科副科長馮某進行誡勉談話�����。
2011年11月���,某地檔案部門門戶網站被發(fā)現(xiàn)違規(guī)刊登涉密文件資料�。經查����,2008年3月,為方便公眾查詢���,該檔案部門將數(shù)年來有關機關單位移交的紙質檔案文件資料1萬余份進行數(shù)字化處理�,因在掃描錄入過程中沒有進行認真的保密審查���,導致部分涉密文件資料被發(fā)布在網站上�。事件發(fā)生后��,有關部門給予負有領導責任的該檔案部門負責人何某��、黃某黨內警告處分�。
違規(guī)委托風險巨大
檔案數(shù)字化是依靠加工人員來完成的,因此�,加強對數(shù)字化加工人員的管理,對于涉密檔案的安全是前提和基礎。具體而言�,檔案數(shù)字化工作通常由本單位實施或委托檔案服務公司實施。對于非涉密檔案����,可以交由檔案服務公司實施;對于涉密檔案�,其數(shù)字化加工則不得外包,應當由本單位的涉密人員完成�。有的地方允許委托同級國家綜合檔案館進行,筆者認為��,根據檔案法的規(guī)定����,國家綜合檔案館是集中管理檔案的文化事業(yè)機構,機關單位必須按照國家規(guī)定定期向檔案館移交檔案��,因此在確保安全的前提下委托其實施檔案數(shù)字化也是可行的��。
不允許將涉密檔案數(shù)字化加工外包主要是從涉密檔案的安全性上考慮���,委托檔案服務公司對涉密檔案進行數(shù)字化可能引發(fā)嚴重的安全保密風險,即知悉范圍的擴大�。
實踐中,由于檔案數(shù)字化工作量大,許多機關單位仍然違規(guī)委托檔案服務公司實施涉密檔案數(shù)字化加工����。一些機關單位保密意識不強,管理機制不健全�,在對委托的檔案服務公司缺乏嚴格審查和監(jiān)管的情況下,將涉及國家秘密的檔案整理����、數(shù)字化及檔案信息系統(tǒng)的管理、維護工作進行外包���,完全交由檔案服務公司處理��,導致大量涉密和未公開檔案信息被服務公司非法留存����、持有和使用��,有的服務公司還通過互聯(lián)網對涉密檔案信息進行遠程技術處理���,違法違規(guī)現(xiàn)象極為突出�。2013年��,某檔案服務公司員工宋某為了防止已數(shù)字化的涉密檔案丟失、損毀��,擅自違規(guī)復制涉密檔案�,并存儲在個人計算機中,造成泄密����。
在本單位自行組織實施涉密檔案數(shù)字化過程中,應進一步強化對數(shù)字化過程中保密關鍵環(huán)節(jié)的把握�,加強對數(shù)字化加工人員的保密教育和日常管理,提高數(shù)字化加工人員的保密意識和能力�����。對此�,一些地方的檔案部門和保密行政管理部門,如浙江省檔案局和保密局聯(lián)合出臺規(guī)定����,要求凡參與涉密檔案數(shù)字化加工的人員,必須通過檔案行政管理部門和保密行政管理部門組織的檔案與保密業(yè)務培訓方能上崗���。這對于加強涉密檔案數(shù)字化過程中的保密管理具有重要意義。
即使實施的是非涉密檔案的數(shù)字化����,由于檔案信息具有不公開性等特征�,一些檔案信息涉及商業(yè)秘密和個人隱私��,其保密管理也是相當重要的����。將非涉密檔案提供給檔案服務公司進行整理、數(shù)字化時���,有關機關單位應當認真審核服務公司的背景情況��,同時與服務公司簽訂安全保密協(xié)議�����,與參與數(shù)字化的相關人員簽訂保密協(xié)議�,規(guī)定其不得下載����、留存、持有和使用數(shù)字化的檔案信息�,明確檔案服務公司的保密義務和法律責任,明確違約的法律后果����。承攬檔案數(shù)字化工作的檔案服務公司�,應當對全體參與人員進行資格審查���、開展崗前保密教育��、簽訂保密承諾書����,明確保密責任和違法后果���。
不合規(guī)實施場所埋隱患
檔案數(shù)字化離不開場地保障���。目前,有關法律法規(guī)對于檔案數(shù)字化場地的要求還不明確��。實踐中����,有的機關單位借用他人場地開展檔案數(shù)字化,有的由外包單位將檔案帶離檔案保管單位�����,自找場所進行檔案數(shù)字化����,這些行為都存在嚴重的泄密隱患。不論是黨政機關���,還是企事業(yè)單位����,涉及國家秘密的檔案一旦離開本單位����,不可控因素就會增加。因此�����,涉密檔案的數(shù)字化工作場所均應設置在本單位內���,嚴禁將涉密檔案帶離原單位���。
由于未對實施場所進行有效的保密監(jiān)管而導致的保密違法違規(guī)案件時有發(fā)生,甚至造成了嚴重的泄密后果���。
2013年7月��,某檔案服務公司承擔了某地方檔案數(shù)字化工作����。該公司數(shù)字化加工項目辦經理宋某,為防止制作完成的數(shù)字化檔案在處理中丟失����,違規(guī)將5年多的包括涉密檔案在內的所有電子檔案信息帶出委托單位,擅自違規(guī)存儲在連接互聯(lián)網的計算機中�。經鑒定,其中涉及數(shù)百份國家秘密����。事件發(fā)生后,該公司給予直接責任人宋某開除處理��,某地檔案部門對本部門責任人員也給予了相應的處理��。
因此�,在涉密檔案數(shù)字化過程中,要嚴格數(shù)字化場所的保密管理�,應當安裝門禁系統(tǒng)、防盜報警系統(tǒng)、視頻監(jiān)控系統(tǒng)�、電磁干擾系統(tǒng)等安防和保密設施,防止涉密檔案被帶出��、防止涉密檔案在數(shù)字化過程中因電磁輻射而泄露�、防止在數(shù)字化過程中發(fā)生其他違規(guī)行為����。檔案服務公司對涉密檔案信息系統(tǒng)進行技術服務時,檔案保管單位應當派人實行全過程監(jiān)管��。要制定嚴格的數(shù)字化工作場所人員出入制度���,加強對進入加工場所人員的管理����,數(shù)字化加工人員不得私自攜帶U盤等存儲介質和手機���、攝錄像設備進入加工場所��。要加強對數(shù)字化加工場所的監(jiān)督�,進行定期����、不定期的保密檢查�����,發(fā)現(xiàn)問題及時解決����,防止泄密事件的發(fā)生���。
設備不符合保密標準存風險
檔案的數(shù)字化離不開計算機等設備的軟硬件支持��,離不開網絡的應用�����。計算機及移動存儲介質強大的存儲處理功能和網絡信息傳播的便利與快捷性�,對涉密檔案信息的安全保護構成了嚴重威脅�����。
用于涉密檔案數(shù)字化的計算機����、掃描儀��、存儲介質等設備及信息系統(tǒng)要按照擬數(shù)字化檔案的最高密級確定密級�,并按照同等密級涉密載體管理����。涉密檔案數(shù)字化前,對于加工所需的所有計算機���、掃描儀、存儲介質等����,有關機關單位應當送保密行政管理部門進行安全保密技術檢測,符合安全保密要求的才能使用�,存在安全保密隱患的一律不得使用。對涉密檔案數(shù)字化加工場所使用的一切設備�,應當通過一定的技術手段,拆除或封住信息出口���,確保數(shù)據無接口�,防止信息外泄����。在涉密檔案數(shù)字化任務完成時,有關機關單位可請保密行政管理部門檢查所使用的設備中是否有信息留存。有信息留存的���,必須清除信息并作安全技術處理��。此外����,要高度重視電磁泄漏問題���,利用高靈敏度的儀器截獲計算機及其外部設備�����、傳輸線路中的電磁泄漏信息竊取情報比其他方法獲得情報要準確�、可靠�����、及時�,而且隱蔽性好,不易被察覺�����。因此,在涉密檔案數(shù)字化過程中���,要采取一定的防電磁泄漏的措施�,確保計算機及其外部設備�����、傳輸線路的電磁安全�。
此外,對于涉密檔案數(shù)字化場所使用網絡的問題�����,原則上要求所有涉密檔案數(shù)字化加工場所的設備應保持獨立�,涉密檔案數(shù)字化使用的系統(tǒng)必須采用物理隔離方式��,禁止安裝使用無線網卡�、無線鍵盤等各類具有無線互聯(lián)功能的硬件模塊和無線外圍設備,禁止與單位辦公網絡或互聯(lián)網連接與共享����。涉密檔案加工場所由于工作需要,可以建設局域網絡���,但該網絡應該是獨立的�����,不能連接單位辦公網�,更不能連接互聯(lián)網,且必須通過保密行政管理部門的涉密網絡測評����。涉密檔案加工場所的所有設備一律禁止連接互聯(lián)網,目的是阻斷加工場所與外界網絡的一切聯(lián)系���,防止涉密檔案信息通過網絡傳播泄露�。要進行安全檢測�����,避免因網絡設備等問題造成信息泄露��。目前����,一些機關單位,特別是大型企業(yè)�����,其檔案數(shù)字化與公文流轉數(shù)字化工作同步進行,檔案系統(tǒng)與辦公系統(tǒng)對接��,存在著嚴重的安全隱患�。因此,對于此類機關單位�,不論是公文流轉系統(tǒng),還是檔案數(shù)字化系統(tǒng)����,其存儲、處理涉及國家秘密信息的設備要符合保密管理要求���,其使用的網絡應當獨立��,與其他網絡物理隔離,并通過保密行政管理部門的涉密網絡驗收����。
實踐中,需要使用檔案服務公司信息設備從事涉密檔案數(shù)字化的�,應當對設備進行檢查,確保其符合相關的保密標準和安全規(guī)范����。檔案服務公司完成工作任務后���,應將其自帶信息設備中的全部存儲部件及數(shù)字化過程中使用過的全部移動存儲介質移交給委托單位,由委托單位按照相應密級的涉密載體進行保管或銷毀���。
首頁
中心概況
科學研究
新聞動態(tài)
國際合作
海島國家專欄
黨群園地
招生招聘
