|
EN
 
2016年中心保密宣传月
档案数字化保密风险面面观(上)
来源:
浏览:
时间:2016-08-30
字号: {{fontSize}}

转自 中国保密在线

 所谓档案数字化,是指利用数据库技术、数据压缩技术、高速扫描技术等手段,将纸质文件、声像文件等传统介质的文件和已归档保存的电子档案,系统组织成具有有序结构的档案信息库。近年来,档案数字化工作在党政机关、企事业单位快速推进。然而,在对涉及国家秘密的档案数字化过程中,由于保密管理不到位,已造成了国家秘密的泄露。因此,必须加强对涉及国家秘密的档案数字化的保密管理工作,确保档案数字化和保密管理协调共进。

 档案数字化包括传统载体档案的数字化转换和数字化档案的管理与利用。传统载体档案数字化转换是手段,数字化档案的管理与利用是目的。在档案数字化转换过程中,涉及档案鉴定、整理、著录、扫描、图像处理、数据挂接、校验、还原入库等众多环节;在数字化档案的管理与利用方面,涉及数字化档案的远程查询、调阅,数字化档案的公开、开放等环节。从近年来发生的违反保密法律法规案件情况来看,在档案数字化转换环节以及数字化档案成果的管理与利用环节存在大量泄密风险和隐患,需要引起高度重视。

原始载体涉密情况被忽视

 涉密档案数字化之前,要认真梳理准备档案原件,不允许将涉密档案和非涉密档案混同进行数字化,更不允许将涉密档案作为非涉密档案进行数字化。在对档案进行数字化时,应首先查看档案原件情况,明确档案文件资料是否标有密级,是否属于国家秘密,必要时要征询档案产生单位的意见。近年来,由于对拟数字化的档案原件审核不严,导致涉密档案作为非涉密档案数字化并被公开的事件时有发生,甚至造成大量国家秘密泄露,教训深刻。

 2012年12月,有关部门在工作中发现,某地档案部门门户网站违规刊登多份涉密文件资料。经查,2003年起,该档案部门开展现行文件利用服务工作,期间向有关机关单位征集非涉密现行文件资料。在此过程中,档案管理科有关人员未履行保密审查职责,在未核对实体文件资料的情况下,对征集的文件资料直接盖章确认为可公开的现行文件资料,导致多份涉密文件资料被误作为可公开的文件资料。2008年,在档案数字化过程中,该档案部门编研科未履行保密审查手续,将2003年收集的确认为可公开的现行文件资料,交由某软件技术公司扫描加工、链接刊登在门户网站上,造成泄密。事件发生后,有关部门给予时任该档案部门档案管理科科长刘某、编研科副科长吴某行政警告处分;对时任档案部门督导科科长潘某、编研科副科长冯某进行诫勉谈话。

 2011年11月,某地档案部门门户网站被发现违规刊登涉密文件资料。经查,2008年3月,为方便公众查询,该档案部门将数年来有关机关单位移交的纸质档案文件资料1万余份进行数字化处理,因在扫描录入过程中没有进行认真的保密审查,导致部分涉密文件资料被发布在网站上。事件发生后,有关部门给予负有领导责任的该档案部门负责人何某、黄某党内警告处分。

违规委托风险巨大

 档案数字化是依靠加工人员来完成的,因此,加强对数字化加工人员的管理,对于涉密档案的安全是前提和基础。具体而言,档案数字化工作通常由本单位实施或委托档案服务公司实施。对于非涉密档案,可以交由档案服务公司实施;对于涉密档案,其数字化加工则不得外包,应当由本单位的涉密人员完成。有的地方允许委托同级国家综合档案馆进行,笔者认为,根据档案法的规定,国家综合档案馆是集中管理档案的文化事业机构,机关单位必须按照国家规定定期向档案馆移交档案,因此在确保安全的前提下委托其实施档案数字化也是可行的。

 不允许将涉密档案数字化加工外包主要是从涉密档案的安全性上考虑,委托档案服务公司对涉密档案进行数字化可能引发严重的安全保密风险,即知悉范围的扩大。

 实践中,由于档案数字化工作量大,许多机关单位仍然违规委托档案服务公司实施涉密档案数字化加工。一些机关单位保密意识不强,管理机制不健全,在对委托的档案服务公司缺乏严格审查和监管的情况下,将涉及国家秘密的档案整理、数字化及档案信息系统的管理、维护工作进行外包,完全交由档案服务公司处理,导致大量涉密和未公开档案信息被服务公司非法留存、持有和使用,有的服务公司还通过互联网对涉密档案信息进行远程技术处理,违法违规现象极为突出。2013年,某档案服务公司员工宋某为了防止已数字化的涉密档案丢失、损毁,擅自违规复制涉密档案,并存储在个人计算机中,造成泄密。

 在本单位自行组织实施涉密档案数字化过程中,应进一步强化对数字化过程中保密关键环节的把握,加强对数字化加工人员的保密教育和日常管理,提高数字化加工人员的保密意识和能力。对此,一些地方的档案部门和保密行政管理部门,如浙江省档案局和保密局联合出台规定,要求凡参与涉密档案数字化加工的人员,必须通过档案行政管理部门和保密行政管理部门组织的档案与保密业务培训方能上岗。这对于加强涉密档案数字化过程中的保密管理具有重要意义。

 即使实施的是非涉密档案的数字化,由于档案信息具有不公开性等特征,一些档案信息涉及商业秘密和个人隐私,其保密管理也是相当重要的。将非涉密档案提供给档案服务公司进行整理、数字化时,有关机关单位应当认真审核服务公司的背景情况,同时与服务公司签订安全保密协议,与参与数字化的相关人员签订保密协议,规定其不得下载、留存、持有和使用数字化的档案信息,明确档案服务公司的保密义务和法律责任,明确违约的法律后果。承揽档案数字化工作的档案服务公司,应当对全体参与人员进行资格审查、开展岗前保密教育、签订保密承诺书,明确保密责任和违法后果。

不合规实施场所埋隐患

 档案数字化离不开场地保障。目前,有关法律法规对于档案数字化场地的要求还不明确。实践中,有的机关单位借用他人场地开展档案数字化,有的由外包单位将档案带离档案保管单位,自找场所进行档案数字化,这些行为都存在严重的泄密隐患。不论是党政机关,还是企事业单位,涉及国家秘密的档案一旦离开本单位,不可控因素就会增加。因此,涉密档案的数字化工作场所均应设置在本单位内,严禁将涉密档案带离原单位。

 由于未对实施场所进行有效的保密监管而导致的保密违法违规案件时有发生,甚至造成了严重的泄密后果。

 2013年7月,某档案服务公司承担了某地方档案数字化工作。该公司数字化加工项目办经理宋某,为防止制作完成的数字化档案在处理中丢失,违规将5年多的包括涉密档案在内的所有电子档案信息带出委托单位,擅自违规存储在连接互联网的计算机中。经鉴定,其中涉及数百份国家秘密。事件发生后,该公司给予直接责任人宋某开除处理,某地档案部门对本部门责任人员也给予了相应的处理。

 因此,在涉密档案数字化过程中,要严格数字化场所的保密管理,应当安装门禁系统、防盗报警系统、视频监控系统、电磁干扰系统等安防和保密设施,防止涉密档案被带出、防止涉密档案在数字化过程中因电磁辐射而泄露、防止在数字化过程中发生其他违规行为。档案服务公司对涉密档案信息系统进行技术服务时,档案保管单位应当派人实行全过程监管。要制定严格的数字化工作场所人员出入制度,加强对进入加工场所人员的管理,数字化加工人员不得私自携带U盘等存储介质和手机、摄录像设备进入加工场所。要加强对数字化加工场所的监督,进行定期、不定期的保密检查,发现问题及时解决,防止泄密事件的发生。

设备不符合保密标准存风险

 档案的数字化离不开计算机等设备的软硬件支持,离不开网络的应用。计算机及移动存储介质强大的存储处理功能和网络信息传播的便利与快捷性,对涉密档案信息的安全保护构成了严重威胁。

 用于涉密档案数字化的计算机、扫描仪、存储介质等设备及信息系统要按照拟数字化档案的最高密级确定密级,并按照同等密级涉密载体管理。涉密档案数字化前,对于加工所需的所有计算机、扫描仪、存储介质等,有关机关单位应当送保密行政管理部门进行安全保密技术检测,符合安全保密要求的才能使用,存在安全保密隐患的一律不得使用。对涉密档案数字化加工场所使用的一切设备,应当通过一定的技术手段,拆除或封住信息出口,确保数据无接口,防止信息外泄。在涉密档案数字化任务完成时,有关机关单位可请保密行政管理部门检查所使用的设备中是否有信息留存。有信息留存的,必须清除信息并作安全技术处理。此外,要高度重视电磁泄漏问题,利用高灵敏度的仪器截获计算机及其外部设备、传输线路中的电磁泄漏信息窃取情报比其他方法获得情报要准确、可靠、及时,而且隐蔽性好,不易被察觉。因此,在涉密档案数字化过程中,要采取一定的防电磁泄漏的措施,确保计算机及其外部设备、传输线路的电磁安全。

 此外,对于涉密档案数字化场所使用网络的问题,原则上要求所有涉密档案数字化加工场所的设备应保持独立,涉密档案数字化使用的系统必须采用物理隔离方式,禁止安装使用无线网卡、无线键盘等各类具有无线互联功能的硬件模块和无线外围设备,禁止与单位办公网络或互联网连接与共享。涉密档案加工场所由于工作需要,可以建设局域网络,但该网络应该是独立的,不能连接单位办公网,更不能连接互联网,且必须通过保密行政管理部门的涉密网络测评。涉密档案加工场所的所有设备一律禁止连接互联网,目的是阻断加工场所与外界网络的一切联系,防止涉密档案信息通过网络传播泄露。要进行安全检测,避免因网络设备等问题造成信息泄露。目前,一些机关单位,特别是大型企业,其档案数字化与公文流转数字化工作同步进行,档案系统与办公系统对接,存在着严重的安全隐患。因此,对于此类机关单位,不论是公文流转系统,还是档案数字化系统,其存储、处理涉及国家秘密信息的设备要符合保密管理要求,其使用的网络应当独立,与其他网络物理隔离,并通过保密行政管理部门的涉密网络验收。

 实践中,需要使用档案服务公司信息设备从事涉密档案数字化的,应当对设备进行检查,确保其符合相关的保密标准和安全规范。档案服务公司完成工作任务后,应将其自带信息设备中的全部存储部件及数字化过程中使用过的全部移动存储介质移交给委托单位,由委托单位按照相应密级的涉密载体进行保管或销毁。

相关链接:

本站部分内容来源于网络或者报刊杂志,如有不妥请立即与我们联系,并将具体链接发给我们,我们将酌情删改,谢谢!

联系我们 邮箱登录