基于信息安全保障策略的档案外包业务过程监管研究

庞　莉（陕西师范大学档案馆，陕西西安，710062）



基于信息安全保障策略的档案外包业务过程监管研究

庞莉
（陕西师范大学档案馆，陕西西安，710062）

［摘要］在数字档案建设过程中，档案外包业务是一项重要的工作，也是档案信息化发展的必然趋势，而档案信息安全保障涉及到国家机关和社会团体的切身利益，始终贯穿于档案工作的每个环节。档案外包工作必须符合国家信息安全保障的总体要求，文章深入研究了在信息安全保障策略的背景下档案外包业务过程监管中存在的问题、成因以及过程监管措施。

［关键词］信息安全保障策略档案外包过程监管保密

［分类号］G271

档案外包业务不仅能实现馆藏档案数字化、增量档案信息化以及安全利用和存储等功能，并能有效降低档案部门的成本投入，而且由于专业分工的优势，还能提供高质量、高效益的全程优化服务，已在我国数字档案建设中发挥着重要的作用。与此同时，在档案外包业务过程中暴露出的信息安全问题也是不容忽视的。本文深入探讨了基于信息安全保障策略的档案外包业务过程中的问题和对策，以期对今后档案外包服务提供有益的参考。

1　档案数字化外包业务过程监管中存在的问题

1.1档案信息外泄问题

档案外包业务的开展使得非本机构的人员以及非档案专业的人员可以接触档案工作，许多档案涉及到国家机密或个人信息等敏感数据，某些档案外包机构在工作中有意或无意地散播档案信息机密，不注重保护档案信息安全，尤其在实施档案数字化加工时，外包机构工作人员在工作时有可能会进入档案部门已有档案管理软件和相关数据库，如果档案机构管理员没有设置相应的访问权限，外部人员就可能轻易进入，越权访问重要机密档案，非法拷贝档案信息，恶意传播档案机密，甚至将病毒引入到档案机构的内部局域网络；还有些档案外包机构没有很好地遵循生效法律合同的约定，恶意将档案信息转卖给其他机构，产生严重的后果。

1.2档案实体安全问题

在数字化外包业务中，档案的信息安全令人担忧，档案的实体安全也存在莫大隐患。由于档案外包机构对工作人员疏于管理，档案保护意识欠缺，因此对档案的整理过于粗糙，甚至存在档案实体上涂写乱画现象，还有些档案外包机构无意识地将档案装订金属留存在档案中，这都给档案实体安全带来了极大的危害。有些档案外包机构将档案外借进行数字化工作，利用小规模的厂房甚至是废弃库房改造而成的空间工作，设备落后、温度、湿度不符合标准，没有很好的防火防盗措施，资金的缺乏和利益的驱使使得加工环境达不到档案保管的规范标准，不能很好地保证档案实体安全。

1.3档案外包成品质量控制问题

档案数字化外包后，档案部门往往容易彻底地将业务委托给档案外包商，而忽略了整个过程的监管和档案成品验收问题。这种完全放任的态度就使档案外包成品质量得不到保证。监管机制的不完善使得档案外包商有可能利用发包部门的这种放任态度而降低服务的标准，档案部门可能得不偿失，得到低质量服务成果。档案成品验收是档案业务外包的最终环节，也是最重要的环节，档案管理部门如果不重视这个环节也会使整个外包监管前功尽弃。众多档案部门在档案数字化结束后的验收就是草率的接收过程，很少有部门建立自己的验收标准，验收流程也流于形式。

1.4档案外包实施过程风险问题

在外包的实施过程中还可能存在尚未收集齐的档案在外包后提交上来，还有库房现有外包档案在借出或转移过程中存在遗漏，档案部门如果不注意这些问题就会导致外包机构的实际数字化档案缺失，这样即使最后完成了整个外包过程，但实际情况是档案数字化没有最终完成。外包项目实施过程的监管也存在很多问题，譬如档案机构疏于管理和监督、档案实施过程由于资金问题存在纠纷以及档案出入库没有完善的流程步骤等。“项目的实施环节直接反映数字档案机构外包项目的内在结构和质量，这个阶段的风险主要体现在对外包项目的监督与管理方面，如管理策略失误或弱势管理而导致项目失败；后期需求不断变更；没有统一的技术规范或是一开始标准制定过高，导致成本太高而无法继续进行项目；缺乏常规的进度报告制度。”［1］

图1　全国45个副省级地区颁布档案法规图

2　档案外包监管问题之成因

2.1档案立法不完善

档案数字化规模的逐年加大，有力地推动了档案外包机构的快速发展，而相应的法律法规总体上滞后于行业需要，国家立法对于档案数字化外包，信息技术外包均没有明确的法律规定，档案外包机构法律责任不明确导致在外包过程中产生法律纠纷问题，致使档案机构无法维护自身权益。另外，档案立法对于档案服务外包机构的基础设施也没有明确要求，没有规范的业务指南和市场价格指导，因此不同的承包商提供的服务质量大相径庭。最重要的是对档案外包机构从业人员整体队伍的层次、专业性没有具体规定，在档案外包行业存在工作人员流动率高，整个行业中对具有档案学专业教育背景和相关工作经验的人都无明确要求。有些地区虽然出台了有关档案外包的法律制度和条例，却没有较好的贯彻执行，也对档案外包过程疏于监督和管理。图1显示45个副省级以上地区（不包括香港、澳门、台湾，西藏未出台档案法规）颁布的档案法规（为本级人民代表大会常务委员会颁布）中，有25个对档案外包（实质上即是档案管理服务外包供应商）做出了规定，约占53.3﹪。由此可见立法的分布和完善程度都不尽人意。［2］

2.2档案外包服务机构资质不规范

现阶段，大部分档案外包机构顺应时代发展开展档案数字化加工业务，而且随着行业的发展不断扩展其他服务手段，但是大多数档案外包机构受制于资金限制和人员的不足，只能小规模运营，目前在全国范围内少有能拥有较大较好的运营规模、专业人员、高端先进技术设备的档案外包机构。事实证明，“要想实现档案业务外包市场规范化，就必须有一套完整健全的法律体系，我国至今尚未形成针对档案外包机构的一套健全、规范的法律体系，且各档案外包机构处于互不沟通，各自发展，很难形成有市场竞争力的档案外包机构。”［3］

2.3外包过程监管机制不明确

为了保证档案数字化外包业务工作的质量和品质，应该对外包过程建立一套完整的监督管理机制，目的是能不断提高和改进外包服务和外包成品质量，事实上外包工作各流程相互关联，档案管理机构往往只重视其中的一个环节，或者在外包过程中不重视沟通和管理，忽视了外包过程的监督，导致了档案在外包过程中的种种损失，还有些档案部门存在档案意识薄弱，业务水平差的情况，对外包整个过程的监管就更加不在乎，外包过程监管机制的不明确是造成档案外包质量不高的主要原因。

3　基于信息安全保障策略的档案外包监管措施

电子档案信息安全的内涵实际囊括了两个方面的内容，即网络系统运行安全和电子档案信息内容安全。网络系统运行安全是电子档案信息安全的基础，是指电子档案信息网络的软硬件系统布局合理，对于网络平台和软件操作规范，管理严密，整个网络系统能够发挥预定的各项功能，能按照设定的要求正常运行。而电子档案信息内容安全则是电子档案信息安全的核心，它包括电子档案信息的存储安全和传输利用安全，即在保管和利用电子档案信息的过程中维护电子档案信息的真实性、完整性、凭证性和有效性。电子档案信息安全保障体系是以信息技术为支撑，软硬件配套设施为依托，对机构内外产生的电子文件、档案部门保存的电子档案进行安全、严格的组织和管理，以防止电子档案在网络上存储、传输、以及提供保管利用等过程中被故意或无意的泄露、拷贝、修改、破坏或使信息在被非法授权的情况下使用，从而确保电子档案的安全。从电子档案信息安全的内涵可以总结出电子档案信息安全致力于这四个目标，只有当电子档案信息满足真实性、完整性、凭证性及长期可用性时，此时的电子档案信息才是安全的。电子档案信息的安全保障涉及设备硬件、管理软件、工作人员、存储环境等因素，必须以规范管理为基础，积极完善管理保障体系，提高电子档案信息安全防护能力。另外，电子档案信息利用的流程、安全备份和受灾后的修复，都是建立涵盖电子档案信息安全利用和保护过程的关键。

3.1档案外包前的立项过程

档案外包前的立项过程是数字档案机构外包项目的首要环节，这个环节最重要的就是要明确档案外包服务法律规范和行业条款。我国的档案外包机构立法进程明显滞后。从各地区对档案外包立法区域划分来看，在全国颁布档案法规的30多个地区，有60﹪多的档案法规涉及到了档案外包业务，没有涉及档案外包法规的地区主要分布在甘肃、广西、青海等9省份，说明档案外包机构的法规建设分布不均衡。从调研数据来看，东部档案外包机构发展较快的地区关于档案外包的立法规定较多；从档案立法的内容来看，大多数地区都对档案外包服务的范围有明确规定，规定范围也包括档案整理、评估、鉴定及咨询，只有少部分对档案外包服务基础设施、人员资质和专业性有具体规定。［4］

现阶段各地区的档案立法没有涉及档案外包从业人员的从业资格、档案人员的执业资格认定问题，也没有对档案外包机构的注册、登记、注册资金数给出具体规范。对于档案外包机构的性质、地位、功能等均没有明确规定，就更谈不上机构业务责任、数字化外包收费标准的规范。因此，要建立起全国范围内健全、完整的档案外包机构法律规章制度，尽快解决各地区的档案外包法律规章制度各自为政的状态。

这一阶段的主要工作是需求分析、前期调研和项目规划。（1）需求调研。需求调研是整个外包项目的起点。如果需求描述不准确或需求不清晰，那么外包实施阶段的管理、外包结果的验收等工作将无法开展。档案机构应在项目外包之前，充分调研以确定外包的档案范围，选择合适的档案进行批量数字化，以量化结果准确描述需求并按需要调整需求等。（2）可行性分析。当外包业务需求确定后，进入项目可行性分析阶段。档案机构需充分征求档案各业务部门、相关专家的意见，对数字档案机构的功能需求进行细化，形成功能可行性方案。（3）项目规划。功能需求方案应既符合档案管理的实际需要，又便于实现，这就为整个项目规划打好了基础。最后对项目外包的可行性进行论证，制定项目外包规划，明确各时期工作目标，对整个项目进行整体估价，同时制定项目外包方案等。具体分析见图2。

3.2档案外包机构招投标及签约过程

档案外包业务缺乏规范性，主要是不重视档案外包机构资质，没有严审签约时的服务合同和保密协议。目前我国的档案外包机构必须具备以下几个条件：第一，拥有相关管理部门的注册、登记，具有合法的营业执照；第二，取得执业职业资格认证及从业人员资格认定；第三，必要的注册资金和固定的业务场所。档案外包机构要意识到规范化的必要性，先抓机构内部的管理规范，制定相应的管理制度，实行规范化管理，对机构内部存在的问题进行排查，严格要求服务质量和服务意识，制定业务质量评价体系和监督体系，加强全程管理，力求规范和科学管理，从而符合国家和档案行业对档案外包服务业务的规定。在外包过程中，档案机构也要严审档案外包服务合同和相应的保密协议，层层把关，确保档案在数字化过程中符合档案信息安全的基本要求。

档案部门按照国家有关规定开展相应的招标和竞标活动，从候选服务商中确定最终服务商，与之协商之后签订外包合同。外包合同应在法律部门的指导下将涉及的外包具体内容和范围、双方权利和责任、服务条款和质量标准、保密协议、费用结算和违约等事项做出具体规定。档案外包业务最不可缺少的环节就是用合同来维护双方利益。对于外包过程中涉及的保密信息，档案部门应当明确规定保密责任和相关保密内容，与外包商签订详细的“保密协议”，对外包机构的工作人员提出保密要求和应承担的义务，以保证档案信息安全。关于服务和质量标准方面，档案部门应要求服务商确保专业技术团队的稳定性，规定外包质量水平，并规定达不到相应的要求时须采取的补救措施。在费用结算时，档案部门应综合考虑内外因素，进行预算控制，避免出现超支情况。关于付款事宜，档案部门应采用分批付款的方式，档案部门先支付一定的费用，外包验收合格后再支付一部分费用。对违约责任的划分，防止由于档案部门自身业务、技术以及环境的变化而造成不利影响，合同条款既要体现原则性又要有灵活性［5］。

3.3外包过程后期服务验收与维护过程

图2　档案外包前立项过程示意图

外包商完成任务后，档案部门应组织专家对产品或服务进行验收。验收环节首先必须规范验收程序，选择正确的验收办法，明确验收标准，避免验收过程流于形式。在外包验收时，需要注意以下几个方面：（1）根据外包成品交付方式采取合适的验收方式。通常情况下，应针对外包商交付成品的特点，选择对产品或服务进行分阶段验收的方式，这样既准确又不耽误时间成本。（2）由外包项目负责人、质量监控部门等相关人员组成评估小组，根据技术外包合同约定的质量和服务标准，严格按照验收标准全面测试和审查服务商交付的成品，评价外包项目的质量或服务是否达标，保证验收合格后结算费用。（3）验收中若发现不符合合同约定的情况，应与外包商协商采取相应的补救措施并依据损失的大小按照法定流程进行索赔。维护监管是对验收后疏漏以及未发现的问题，如数字化过程中漏扫问题，页码错误问题，档案文件信息与实体不匹配问题进行进一步的后期处理，以达到外包合同要求的最终数字化目标。

综上所述，档案外包业务对于档案数字化具有重要的推动作用，也是节省时间与成本，高效实施档案数字化及档案保存和利用的有效手段，随着档案数字化的要求不断提高，新技术、新设备也不断的更新换代，档案外包机构要从自身的发展方向定位，依靠高技术含量的业务和优质服务增强市场竞争力。档案外包机构必须及时更新现有设备，保证服务跟上发展的要求。除了设备上的更新，外包机构的工作人员也要及吋提高自己的服务水平。人员能力和技术水平的提升最能保证档案外包机构向高质量、高技术水平的方向发展。档案管理机构的工作人员也要不断丰富自己的知识体系，扩展技术水平以利于档案业务外包的顺利实施，尤其要重视的是在外包工作开展中，档案机构应利用各种技术手段和保密协议确保档案实体和信息的安全。

参考文献

［1］张百慧.数字档案机构项目外包风险分布的探析—基于项目生命周期的视角［J］.数字与缩微影像，2014（2）:41.

［2］许风风.我国档案业务外包研究［D］.合肥.安徽大学，2013（4）:21.

［3］王丽丽.高校档案机构业务外包研究［D］.保定：河北大学，2013（5）:33.

［4］潘玉明.地方档案法规关于档案中介服务规定的集成与分析［J］.档案学通讯，2007（6）:47-48.

［5］王凤娇.数字档案机构建设中的信息技术外包控制流程研究［J］.浙江档案，2014（04）:8.

庞莉，女，陕西师范大学档案馆馆员，硕士，主要从事数字资源长期保存和档案信息资源管理研究。

Research on the Regulatory Process of Archives Outsourcing Work Based on Information Securities Assurance Strategy

Pang Li
（Archives of Shanxi Normal University，Xi'an，Shanxi，710062）

Abstract：In the process of the construction of Smart Archives and Digital Archives，archives outsourcing is an important work，also an inevitable trend of development of archives informational，and archives information security involves the vital interests of the state and society groups，runs throughout the archives work of each part，the archives outsourcing work must conform to the overall requirements of the national information security，this paper in-depth study in the problems existing in the archives outsourcing process，cause analysis and process regulation under the background of the information security strategy.

Keywords：Information Security；Safeguard Strategy；Archives Outsourcing；Process Regulation；Confidentiality

［作者简介］