國(guó)家保密局網(wǎng)站>>宣傳教育>>警鐘長(zhǎng)鳴

檔案數(shù)字化工作要謹(jǐn)防失泄密

2019年01月11日    來(lái)源:【字體: 打印

檔案數(shù)字化,是指利用數(shù)據(jù)庫(kù)技術(shù)、數(shù)據(jù)壓縮技術(shù)、高速掃描技術(shù)等技術(shù)手段,將紙質(zhì)文件、聲像文件等傳統(tǒng)介質(zhì)的文件資料和已歸檔保存的電子檔案,系統(tǒng)組織成的具有有序結(jié)構(gòu)的檔案數(shù)字信息庫(kù)。與紙質(zhì)檔案等傳統(tǒng)介質(zhì)的檔案資料相比,數(shù)字化檔案資料具有節(jié)省檔案存儲(chǔ)空間、緩解檔案原件頻繁使用磨損、提高信息檢索速度、加強(qiáng)檔案信息資源的開(kāi)發(fā)和利用等方面的優(yōu)勢(shì)。近年來(lái),檔案數(shù)字化工作在黨政機(jī)關(guān)推進(jìn)較快,在發(fā)揮積極作用的同時(shí),也暴露出管理上的安全風(fēng)險(xiǎn)隱患。保密行政管理部門(mén)在案件查處工作中發(fā)現(xiàn),部分機(jī)關(guān)單位在檔案數(shù)字化工作中違反保密法律法規(guī)規(guī)定操作,導(dǎo)致失泄密案件時(shí)有發(fā)生。

檔案數(shù)字化工作中常見(jiàn)的失泄密環(huán)節(jié)

檔案數(shù)字化工作按流程可以分為生成、流轉(zhuǎn)、存儲(chǔ)、利用4個(gè)環(huán)節(jié),其中存在很多共性的失泄密隱患。

1.生成環(huán)節(jié):違規(guī)外包掃描

案例1:2014年10月,有關(guān)部門(mén)檢查發(fā)現(xiàn),某部檔案管理系統(tǒng)服務(wù)器上存有大量涉密文件掃描件,檔案室1臺(tái)連接互聯(lián)網(wǎng)的計(jì)算機(jī)存有該部涉密檔案掃描文件。經(jīng)查,2014年4月,承擔(dān)該部檔案數(shù)字化工作的甲公司工作人員何某,因擔(dān)心以前由乙公司(在甲公司之前接受委托負(fù)責(zé)該部檔案數(shù)字化工作)掃描整理的有關(guān)文件掃描件在新程序下讀取遇到問(wèn)題導(dǎo)致數(shù)據(jù)損壞,便私自將全部原始數(shù)據(jù)備份保存在了檔案服務(wù)器的D盤(pán)上,準(zhǔn)備運(yùn)行正常后刪除。2014年4月檔案管理軟件系統(tǒng)升級(jí)后,系統(tǒng)中的圖片文件命名需重新進(jìn)行統(tǒng)一后才能正常使用,何某在幫助修改涉密掃描件文件名時(shí),違規(guī)在連接互聯(lián)網(wǎng)計(jì)算機(jī)上操作,且修改完成后忘記及時(shí)刪除,導(dǎo)致泄密。案件發(fā)生后,有關(guān)單位對(duì)何某予以辭退,甲公司項(xiàng)目負(fù)責(zé)人王某調(diào)離數(shù)字化項(xiàng)目組,職務(wù)降為副職,扣發(fā)3個(gè)月獎(jiǎng)金;對(duì)該部保密辦主任某通報(bào)批評(píng),并取消當(dāng)年評(píng)優(yōu)資格。

評(píng)析:檔案數(shù)字化工作大都是對(duì)紙質(zhì)檔案進(jìn)行掃描加工,這項(xiàng)工作通常由檔案管理部門(mén)外包給有關(guān)公司進(jìn)行。這其中,外包公司是否具備處理涉密檔案資料的相關(guān)資質(zhì)、檔案管理部門(mén)是否對(duì)數(shù)字化工作進(jìn)程進(jìn)行了全程監(jiān)督管理、是否完整記錄數(shù)字化工作的各個(gè)環(huán)節(jié)以備倒查,對(duì)于保密管理至關(guān)重要。上述案例中,正是檔案管理部門(mén)未對(duì)外包公司進(jìn)行保密審查和監(jiān)管,對(duì)數(shù)字化工作不聞不問(wèn),為最終的泄密埋下了隱患。

2.流轉(zhuǎn)環(huán)節(jié):檔案數(shù)字化資料流轉(zhuǎn)不登記

案例2:2016年8月,有關(guān)部門(mén)在工作中發(fā)現(xiàn),1份標(biāo)注“機(jī)密”的文件資料在某微信群中傳播。經(jīng)查,發(fā)布者系某省檔案局服務(wù)人員孫某,該局在當(dāng)年的檔案數(shù)字化工作中,在對(duì)原始紙質(zhì)檔案資料進(jìn)行拆封掃描的過(guò)程中,因現(xiàn)場(chǎng)工作人員的疏忽,未對(duì)檔案的復(fù)原逐項(xiàng)檢查,導(dǎo)致涉案文件落在數(shù)字化現(xiàn)場(chǎng)。孫某清理衛(wèi)生時(shí)發(fā)現(xiàn)涉案文件內(nèi)容與其兒子工作有關(guān),遂將其拍成圖片格式,發(fā)在家庭微信群中,造成泄密。案件發(fā)生后,有關(guān)部門(mén)對(duì)孫某作出辭退處理,給予該檔案局?jǐn)?shù)字化工作負(fù)責(zé)人高某黨內(nèi)嚴(yán)重警告處分。

評(píng)析:檔案數(shù)字化工作具有數(shù)量大的特點(diǎn),往往需要多人同時(shí)進(jìn)行,要求對(duì)原始檔案的拆封和復(fù)原嚴(yán)格登記造冊(cè),做好記錄,交接過(guò)程也要認(rèn)真進(jìn)行清點(diǎn),并出具相關(guān)手續(xù)。上述案例中,作為數(shù)字化工作負(fù)責(zé)人的高某,未制定和實(shí)施嚴(yán)密的數(shù)字化工作安全制度,原始檔案的出庫(kù)入庫(kù)也未進(jìn)行仔細(xì)檢查,直至涉案文件被上傳至微信群才恍然大悟。

3.存儲(chǔ)環(huán)節(jié):存儲(chǔ)載體丟失

案例3:2015年12月,某市檔案局工作人員在工作中發(fā)現(xiàn),在對(duì)相關(guān)檔案資料進(jìn)行現(xiàn)場(chǎng)數(shù)字化工作結(jié)束后,存儲(chǔ)檔案數(shù)據(jù)的1個(gè)移動(dòng)硬盤(pán)下落不明,隨即向上級(jí)檔案局和該市國(guó)家保密局報(bào)告。經(jīng)該省國(guó)家保密局對(duì)硬盤(pán)內(nèi)的備份數(shù)據(jù)進(jìn)行密級(jí)鑒定,硬盤(pán)存儲(chǔ)的檔案資料中包括1份機(jī)密級(jí)、1份秘密級(jí)國(guó)家秘密。案件發(fā)生后,有關(guān)部門(mén)對(duì)該檔案局?jǐn)?shù)字化加工場(chǎng)所現(xiàn)場(chǎng)負(fù)責(zé)人胡某、李某作出辭退處理,并在單位內(nèi)部開(kāi)展保密整改。

評(píng)析:上述案例暴露出有關(guān)檔案部門(mén)保密工作缺乏全程性、跟蹤性的問(wèn)題,胡某和李某作為數(shù)字化加工現(xiàn)場(chǎng)負(fù)責(zé)人,一方面未能妥善保管涉密移動(dòng)硬盤(pán),另一方面未對(duì)檔案數(shù)字化工作場(chǎng)所的保密管理采取相應(yīng)措施,導(dǎo)致存儲(chǔ)硬盤(pán)丟失后無(wú)跡可尋。提前安裝監(jiān)控錄像設(shè)施、加強(qiáng)對(duì)進(jìn)出檔案數(shù)字化場(chǎng)所人員的檢查,能夠最大限度地避免此類(lèi)案件的發(fā)生。

4.利用環(huán)節(jié):違規(guī)復(fù)制擴(kuò)散

案例4:2002年12月,有關(guān)部門(mén)監(jiān)控發(fā)現(xiàn),兩份秘密級(jí)檔案資料通過(guò)互聯(lián)網(wǎng)電子郵件被傳遞。經(jīng)查,發(fā)件人系某州檔案局職工李某,其好友印某和刀某以要寫(xiě)論文為由,向李某索要有關(guān)方面的檔案資料。李某利用職務(wù)之便,在檔案局系統(tǒng)中找到7份相關(guān)檔案資料(其中包括2份秘密級(jí)國(guó)家秘密),并擅自導(dǎo)出至非涉密電腦,通過(guò)互聯(lián)網(wǎng)電子郵箱傳遞給印某,隨后印某轉(zhuǎn)發(fā)給刀某,造成泄密。案件發(fā)生后,有關(guān)部門(mén)給予李某留黨察看一年、行政記大過(guò)處分。

評(píng)析:上述案例一方面暴露出有的檔案部門(mén)工作人員保密意識(shí)薄弱、責(zé)任心不強(qiáng)等問(wèn)題,另一方面也能看出數(shù)字化檔案資料易于復(fù)制和傳播、且不容易被監(jiān)控的缺陷。與傳統(tǒng)紙質(zhì)等其他介質(zhì)的檔案資料一樣,涉密的數(shù)字化檔案資料同樣應(yīng)該被嚴(yán)格控制知悉范圍,很多別有用心的人正是利用其形式虛擬化的特點(diǎn),非但不盡職盡責(zé)對(duì)數(shù)字化檔案資料進(jìn)行妥善保管,反而“監(jiān)守自盜”,以為沒(méi)有實(shí)體檔案的流轉(zhuǎn),就不會(huì)留下“罪證”。同時(shí)也提醒檔案部門(mén)要建立后臺(tái)管理機(jī)制,數(shù)字化檔案資料的使用要“有跡可循”,并嚴(yán)格控制工作人員相關(guān)權(quán)限,堵住非法復(fù)制、傳播的口子。

檔案數(shù)字化泄密案件反映出的問(wèn)題

1.工作人員缺乏“兩識(shí)”。一是檔案數(shù)字化工作人員缺乏基本的保密意識(shí)和常識(shí),檔案管理部門(mén)認(rèn)為外包公司具備保密資質(zhì)且只是暫時(shí)參與相關(guān)工作,僅對(duì)原始檔案資料進(jìn)行掃描歸檔不會(huì)出保密問(wèn)題,未按要求對(duì)相關(guān)人員進(jìn)行保密教育和提醒;外包公司人員則管理松懈,以追求利益最大化為目標(biāo)。甲乙雙方思想上的麻痹大意,直接為最終的泄密埋下隱患。二是認(rèn)知偏差,數(shù)字化檔案資料是以二進(jìn)制代碼的形式存儲(chǔ)在信息載體的,具有形式虛擬的特點(diǎn),同時(shí),復(fù)制和傳播數(shù)字化檔案資料簡(jiǎn)單便捷,而且進(jìn)程容易在計(jì)算機(jī)技術(shù)的“掩護(hù)”下清除痕跡,有的檔案部門(mén)工作人員錯(cuò)誤地以為電子版的檔案資料可以隨便復(fù)制、共享使用,便“監(jiān)守自盜”,造成國(guó)家秘密知悉范圍擴(kuò)大,最終導(dǎo)致泄密。

2.外包監(jiān)管?chē)?yán)重缺位。檔案數(shù)字化工作一般外包給專業(yè)公司進(jìn)行,有的檔案管理部門(mén)沒(méi)有對(duì)有關(guān)公司資質(zhì)、人員等信息進(jìn)行審查,當(dāng)起了“甩手掌柜”,既不規(guī)定數(shù)字化工作的場(chǎng)所,也不派專人或采取安裝攝像頭等技術(shù)手段對(duì)數(shù)字化過(guò)程進(jìn)行全程監(jiān)管,甚至對(duì)相關(guān)的數(shù)字化設(shè)備也不進(jìn)行安全檢查,使國(guó)家秘密處于危險(xiǎn)境地,隨時(shí)可能失控,自認(rèn)為“高枕無(wú)憂”,實(shí)則“危機(jī)四伏”。

3.成果流轉(zhuǎn)“予取予求”。一是檔案數(shù)字化過(guò)程中對(duì)于原始檔案的管理,出庫(kù)和入庫(kù)、拆封和復(fù)原等環(huán)節(jié)沒(méi)有交接手續(xù),也不逐卷核對(duì)是否一一對(duì)應(yīng),不僅會(huì)給“有心之人”提供可乘之機(jī),也不利于數(shù)字化效率的提升。二是完成數(shù)字化的檔案資料在使用過(guò)程中,有的人隨意復(fù)制和打印,缺乏完善的后臺(tái)管理機(jī)制,沒(méi)有建立相關(guān)臺(tái)賬,出事后做不到對(duì)數(shù)字化檔案的操作“有跡可循”,為違規(guī)和泄密行為留下實(shí)施空間。

對(duì)加強(qiáng)檔案數(shù)字化保密管理的警示

1.開(kāi)展檔案數(shù)字化專項(xiàng)保密教育。檔案數(shù)字化工作中暴露出來(lái)的保密問(wèn)題本質(zhì)上是人的問(wèn)題,只有使有關(guān)人員主觀上認(rèn)識(shí)到檔案數(shù)字化涉及保密工作的重要性、掌握并踐行保密工作的知識(shí)和技能,才能為檔案數(shù)字化工作中扎緊保密的籠子、確保國(guó)家秘密安全奠定堅(jiān)實(shí)基礎(chǔ)。要加強(qiáng)對(duì)檔案數(shù)字化工作人員的安全保密教育和技能培訓(xùn),重點(diǎn)從檔案數(shù)字化的重要性、常見(jiàn)的失泄密情形、保密管理要求等方面,結(jié)合生動(dòng)的案例開(kāi)展教育培訓(xùn),確保相關(guān)工作人員樹(shù)立強(qiáng)烈的保密意識(shí),掌握基本的保密常識(shí)。

2.強(qiáng)化檔案數(shù)字化全過(guò)程保密監(jiān)管。一是要按照國(guó)家檔案局印發(fā)的《檔案數(shù)字化外包安全管理規(guī)范》要求,慎重選擇外包公司開(kāi)展數(shù)字化工作,涉及涉密檔案資料的數(shù)字化必須在專門(mén)場(chǎng)所進(jìn)行,加工場(chǎng)所要安裝監(jiān)控設(shè)備,并派專人全程監(jiān)管。對(duì)于掃描儀、打印機(jī)等設(shè)備也要做好技術(shù)防范工作。二是對(duì)存儲(chǔ)涉密數(shù)字化檔案資料的計(jì)算機(jī)等信息設(shè)備采取物理隔離措施,并嚴(yán)格看管,禁止接入互聯(lián)網(wǎng)。三是對(duì)參與檔案數(shù)字化工作的人員做好身份審核、登記等工作,參與涉密檔案數(shù)字化工作的人員還須具備涉密背景。對(duì)相關(guān)人員承擔(dān)檔案數(shù)字化工作的具體安排要嚴(yán)格記錄在案,確保監(jiān)管的可追蹤性。

3.規(guī)范檔案數(shù)字化成果管理。一是檔案數(shù)字化工作中要做好交接手續(xù),嚴(yán)格清點(diǎn)相關(guān)文件資料,確保不丟件、不錯(cuò)件。加工完成的數(shù)字化檔案資料要認(rèn)真整理、登記后及時(shí)存入專用存儲(chǔ)設(shè)備中。二是存儲(chǔ)數(shù)字化檔案的信息存儲(chǔ)設(shè)備、系統(tǒng)要建立完善的后臺(tái)管理機(jī)制,相關(guān)數(shù)字化資料的查閱、復(fù)制、打印等操作要有記錄,做到“有據(jù)可查”。尤其是對(duì)于存儲(chǔ)涉密數(shù)字化檔案資料的存儲(chǔ)設(shè)備要專機(jī)專用,禁止移動(dòng)存儲(chǔ)介質(zhì)隨意插入,定期檢查,數(shù)據(jù)的調(diào)取使用要嚴(yán)格履行審批流程,確保數(shù)據(jù)安全。三是要加強(qiáng)對(duì)數(shù)字檔案的安全防護(hù),嚴(yán)格區(qū)分?jǐn)?shù)字檔案涉密與非密,并定期進(jìn)行檢查。同時(shí),按照《電子文件歸檔與管理規(guī)范》等有關(guān)制度,做好相關(guān)數(shù)字檔案的備份工作。    

(原載于《保密工作》2018年第12期)