信息安全视角下档案业务外包边界的探析
2018-09-10陆尘香
陆尘香
[摘要]档案业务外包是档案工作在现代化成长转型过程中局部功能社会化的发展趋势,是社会分工专业化、精细化的产物。论文在信息安全视角下分析了档案业务外包边界模糊带来的安全风险以及界定档案业务外包边界的理论与实践基础,从档案部门、外包公司和外包场地情况三个方面探讨了档案业务外包边界的界定标准,并提出界定档案业务外包边界的流程,以期为档案业务外包实践工作提供参考。
[关键词]信息安全档案业务外包边界
[分类号]G272
Analysis on the Boundary of Archival Business Outsourcing from the Perspective of Information Security
Lu Chenxiang
(Management School of Guangxi University for Nationalities, Nanning, Guangxi, 53006)
Abstract: Archival business outsourcing is the development trend of partial function socialization in the process of modernization and transformation of archival work. It is the product of specialization and refinement of social division of labor. This paper analyzes the security risks brought by the blurring of outsourcing boundary of archival business and the theoretical and practical basis for defining the boundary of the outsourcing of archival business from the perspective of information security. This paper discusses the definition criteria for the outsourcing boundary of archival business from three aspects: archival department, outsourcing company and outsourcing site, and puts forward the process of defining the outsourcing boundary of archival business in order to provide the references for the practical work of archival outsourcing.
Keywords: InformationSecurity;Archives;BusinessOutsourcing;Boundary
檔案业务外包是指档案馆将部分业务工作授权委托给其他机构、社会组织来完成,以降低成本,提高效益。近年来,档案领域引入业务外包,学者们对档案业务外包进行了理论探讨,大部分学者认同档案业务外包可有效节约成本、提升效率、高效服务,也有部分学者不赞同开展档案业务外包,认为其存在安全隐患、信息泄露等风险。既然档案馆开展档案业务外包有利有弊,在此之中必然存在一条“边界”,划清这条边界对今后档案业务外包工作的开展具有重要指导意义,笔者将基于信息安全视角对档案业务外包的边界进行探析。
1档案业务外包边界模糊带来的安全风险
1.1档案实体安全问题
档案实体是档案信息内容的载体,与档案信息安全紧密相关。若档案业务外包边界模糊,将一些档案实体情况较为脆弱的档案外包出去,会给档案实体带来莫大的安全隐患。如纸张质量薄脆的档案在数字化加工、扫描过程中极易损坏;外包工作人员专业素质低,在外包工作时求数量不求质量,造成档案的损坏;外包场所选择不当,温湿度不符合档案暂存标准也会威胁档案实体的安全。
1.2档案内容失密风险
档案业务外包是社会第三方参与到档案工作的过程,在此过程中非档案部门的工作人员有机会接触到档案,直接获取档案内容。2015年6月,中唱公司将一批“文革”时期的珍贵文献母盘外包给中日合资公司进行数字化处理,央视主持人崔永元微博发声质疑中国唱片总公司泄密历史文献[1],引发社会各界广泛关注。中国唱片总公司事后发表声明称这批唱片母带内容并不涉密,但此次事件充分体现档案业务外包面临着严峻的信息内容失密风险。
1.3档案知识产权受损
外包过程中,外包公司会获得档案部门提供的大量拥有知识产权的档案信息,如科研档案等。若档案部门在此过程中对这部分档案管控不严,外包公司可能会窃取这部分档案信息进行倒卖或者二次开发利用。在档案信息系统开发等技术难度较高的业务外包中,所产生的功能需求分析和系统设计方案等属于档案部门的知识产权,掌握核心技术的外包公司若未经授权将其应用到其它项目中,也会造成档案部门知识产权受损。
2界定档案业务外包边界的理论与实践基础
2.1理论基础
(1)核心竞争力理论
核心竞争力理论指出,一个机构确定自己的核心业务与优势后,把非核心的业务外包给其他专业机构,从而把更多资源投入核心业务,建立核心优势。[2]档案馆的核心业务是指其独有的、难以被诸如图书馆、博物馆等文化事业单位及其他信息部门,甚至是其他档案机构、部门所代替的业务。[3]在核心竞争力理论的分析框架下,档案业务外包边界的界定就是对档案馆“核心业务”与“非核心业务”进行划分,二者的划分为档案业务外包边界的界定提供了可供参考的理论依据。
(2)博弈论
博弈论是研究多个个体或团队间在特定条件制约下对局中利用相关方,实施对应策略的科学。[4]在博弈论的分析框架下,档案部门可将自身需求与外包商的情况进行综合分析建立博弈模型,对可能出现的外包方案及可能产生的风险进行分析预测,运用博弈模型与数理统计工具对外包的风险与效益做出初步评估,实现利益最大化。开展档案业务外包实际上是档案部门与外包商间的博弈,这个博弈过程实质是档案馆对外包业务范围和内容的抉择,即业务外包边界的界定。
2.2实践基础
(1)档案业务外包广泛兴起
首先,档案部门业务外包需求大。信息时代社会对档案信息需求剧增,档案部门信息技术和人才短缺使档案馆靠自身力量难以完成诸如档案数字化、数字资源建设等繁重业务,档案业务外包应运而生。其次,档案中介机构不断发展壮大。以广西为例,据笔者调研,截至2018年3月,南宁市档案中介企业有26家,其它市县档案企业有18家,档案中介机构的壮大促进了业务外包的发展。但随着档案业务外包活动的广泛兴起,外包过程中档案的安全问题亟待解决。
(2)档案安全体系的构建
2010年,全国档案安全体系建设工作会提出要建立确保档案安全保密的档案安全体系,把档案安全工作放在档案工作首位[5],自此各地檔案部门开始积极探索档案安全体系建设。2016年国家档案局印发《全国档案事业发展“十三五”规划纲要》再次强调要强化档案安全保障,确保档案实体与信息安全。[6]档案业务外包活动必须在档案安全体系建设框架下进行,档案部门开展外包工作时需考虑如何将外包带来的安全隐患最小化以促进档案安全体系的构建,在安全体系框架内选择档案外包业务内容与范围,界定档案业务外包的边界。
3信息安全视角下档案业务外包边界的界定标准
档案业务外包活动中的主体是档案部门与外包公司,二者通过业务外包活动产生关系,外包场所是二者关系活动的中介。基于信息安全视角下界定档案业务外包的边界需要综合考虑档案部门、外包公司及外包场所三个要素,笔者基于上述三个要素初步构建档案业务外包边界的界定标准,具体如图1所示。
3.1以档案部门情况为界定标准
(1)档案内容情况
档案内容涉密与否是界定档案业务外包边界的首要、根本标准。2013年全国档案局长馆长会议上杨冬权指出进行档案数字化外包服务前,应做好涉密和内容敏感档案的挑选、鉴定、解降密工作,不再涉密的档案可在解降密后委托外包,仍涉密档案则不外包。[7]档案业务外包涵盖了档案工作的方方面面,不仅是档案数字化工作,任何情况下包含涉密内容的档案均不可外包。为保障档案信息安全,涉密档案应明确划分在档案业务外包的边界以内,遵守“内容不涉密档案可外包,内容涉密档案绝不外包”的准则。
(2)档案实体情况
档案的实体情况包括档案载体以及档案完整程度,实施业务外包前提是最大限度地确保档案实体安全。首先,档案载体较为脆弱的档案在外包过程中易损坏,如磁带母带和唱片母盘等,这部分档案应划分在业务外包边界之内,不实施外包。其次,档案完整程度分为两种情况,一是载体的完整程度即档案是否有破损,若破损程度和数量超过档案部门修复的技术能力,则需寻求外部力量;二是若档案收集尚不完整,实施外包可能面临实体丢失风险,破坏档案内容完整性,这部分档案不实施外包。
3.2以外包公司情况为界定标准
(1)外包公司资历资质
外包公司的资历资质主要从以下几方面进行考察:一是运营规模,外包公司必须具有工商管理部门核发的营业执照并且业务范围包括档案类项目,法人应是中国境内注册的企业法人或事业单位法人,股东及工作人员需为中国境内公民。二是保密资质,选择外包公司时要对其保密资质进行审核,拥有保密资质的外包公司方可成为档案部门的合作对象。三是企业信誉,档案外包服务机构应具备较强的社会责任感和政治素质,具有依法缴纳税收的良好记录,无违法违纪行为,年检、资质审查合格,企业信誉良好。四是安全制度制定情况,外包公司必须制定并执行安全保密制度、安全操作规范和管理制度,对档案业务外包工作有成熟的管理方法和业务流程。
(2)外包公司服务水平
外包公司服务水平主要从以下几方面进行考察:一是服务经验,拥有丰富的外包服务经验的外包公司一般服务水平较高,丰富的服务经验积累使其完备外包活动中保障档案信息安全的能力。二是服务质量,向曾经与其合作过的客户了解其服务质量和服务情况,选择拥有良好业界口碑的外包公司承担档案业务外包工作。三是工作人员,其专业素质和服务能力直接影响外包档案的信息安全,外包工作人员应接受过档案安全保密教育和上岗培训,拥有较高的专业素质和技术能力。四是技术状况,重点考察外包公司的专业技术能力和水平,审核其专业技术情况是否符合档案部门的外包需求。
3.3以外包场所情况为界定标准
(1)外包场所环境
档案业务外包工作场地既是实体档案的暂存地,又是档案数字化成果源生和汇集地,场所的安全性在整个档案业务外包过程中的重要性不言而喻。[8]场所环境安全与否与档案安全工作紧密相关,是界定档案业务外包边界的重要标准。外包场所应严格遵从国家档案局于2014年出台的《档案数字化外包安全管理规范》中关于场所安全管理的相关规定,将外包场所设在档案部门独立、可封闭的建筑之内并且要符合档案安全管理“八防”的要求,外包场所还应切断所有档案数字化加工设备的无线网络功能,并定期进行相关检测[9]。
(2)安全设施设备
保障档案安全的设施设备决定了业务外包过程中档案的安全。外包场所应该配备以下保障档案安全的设施设备:一是配备满足安全管理需要的视频监控设备,确保外包场所无监控死角;二是配备符合国家标准并且满足外包业务工作需要的档案装具,用于分别存放移出档案库房待处理以及处理完毕的档案;三是配备专业的档案加工设备,如高速扫描仪、电脑设备以及软硬件设施、修裱装订工具等,确保档案业务外包工作的顺利开展。
4信息安全视角下档案业务外包边界的界定流程
档案业务外包边界的界定是档案部门选择是否进行业务外包的基础性工作,可指导档案业务外包工作的开展,保障外包过程档案的实体和信息安全。选择合适的方法和流程是准确界定档案业务外包边界的关键,结合前文中档案业务外包边界的界定标准,将边界的界定流程具体绘制如图2所示。
首先,成立安全督察专项小组,全权负责档案业务外包的安全问题。业务外包安全督查小组成员由档案部门领导、技术人员及业务人员组成,保证核查业务外包相关安全问题的全面性和专业性。安全督查小组成员应具备较高的责任感和较强的执行力,熟悉档案工作的日常业务和专业技术,拥有承担调研外包公司情况的能力,对档案安全风险防范有敏锐的洞察力。
其次,进行综合评估。评估对象包括档案部门情况、外包公司情况和外包场地情况三方面,按照前文的界定标准对三者进行全面、客观评估。安全督查小组一是需要对本部门档案实体和内容情况进行客观评估,确定档案部门是否有外包需求及需要外包的档案是否满足可进行外包的标准。二是对外包公司情况进行调研,考察外包公司的资历资质及服务能力,为选择外包合作对象提供可靠的前期调查数据。三是对外包场地情况进行实地考察评估,确定外包场地地点,核查其是否满足临时档案库房的安全管理要求。
最后,确定档案业务外包方案。选择可外包的档案和合乎条件的外包公司并确定外包场所后,根据综合评估的标准判断开展业务外包有无安全风险,若不存在安全风险或风险程度极小,那么业务外包方案的选择处于档案安全边界以内,可以进行业务外包;反之,若选择的业务外包方案不符合边界的界定标准,存在极大的档案安全风险隐患,则需调整外包方案,重新进行综合评估。
从业务外包理念在国外的提出和兴起,到国内档案界对档案业务外包的实践尝试,体现了档案工作在现代化成长转型过程中局部功能社会化,符合现代社会分工专业化、精细化的发展趋势。在此过程中,并非所有档案均可实施外包,应对档案业务外包的边界进行明确界定,为业务外包实践活动提供判断参照和决策依据,保障档案业务外包活动在安全的范围内进行。
*本文系广西民族大學2017年研究生教育创新计划项目(项目编号:GXUN——CHXZS2017094)研究成果之一。
参考文献
[1]中国青年报.崔永元质疑中唱公司涉嫌泄密警方准备调查[EB\OL].[2015-06-10]. http://business.sohu.com/20150610/n414740803.shtml.
[2]何小菁,吴建华.档案馆业务外包的可行性[J].中国档案,2003(4):41-42.
[3]黄小忠,史江.理论与实践视角下的档案业务外包适用范围探析[J].档案学通讯,2012(1):81-84.
[4]MBA智库百科.博弈论[EB\OL].[2017-12-21]. http://wiki.mbalib.com/wiki/% E5%8D%9A%E5%BC%88%E8%AE%BA.
[5]杨冬权.在全国档案安全体系建设工作会议上的讲话[J].档案学研究,2010(3):4-12.
[6]张锦云,秦垒.基于动态风险评估视角的档案安全管理研究[J].浙江档案,2017(2):11-13.
[7]杨冬权.在全国档案局长馆长会议上的讲话[J].中国档案,2014(1):26-28.
[8]马雁云.档案数字化外包安全隐患与对策[J].档案与建设,2016(7):85-86.
[9]国家档案局.档案数字化外包安全管理规范[N].中国档案报,2015-01-29.
