數(shù)字化信息安全管理制度

目前，在我國醫(yī)療信息化過程中，醫(yī)院 內(nèi)部信息安全、病人隱私保護(hù)，以及一系列與安全相關(guān)的問題，都沒有引起有關(guān)部門的足夠重視。我國醫(yī)療信息化建設(shè) 還存在信息安全保障建設(shè)的嚴(yán)重滯后，缺少必要的信息安全保障手段。對于復(fù)雜的醫(yī)療信息化而言，安全問題其實不是一個簡單的問題，盡快制定信息安全相關(guān)機(jī)制，確定信息安全的邊界，才有利于開展醫(yī)療信息化建設(shè)。筆者將從醫(yī)療信息系統(tǒng)的安全現(xiàn)狀出發(fā)，探究如何建立適應(yīng)未來發(fā)展趨勢的信息安全可用性體系。

二、醫(yī)療信息的安全威脅

美國聯(lián)邦調(diào)查局曾于2015年對2066家公司和組織進(jìn)行了計算機(jī) 安全犯罪及事故調(diào)查，統(tǒng)計 結(jié)果表明發(fā)生概率排在前四位的分別是：①病毒；②信息的未授權(quán)訪問；③內(nèi)部網(wǎng)絡(luò) 資源濫用；④計算機(jī)或移動設(shè)備失竊�？梢�，隨著互聯(lián)網(wǎng)技術(shù)的改變，各種混合型威脅相繼出現(xiàn)，這種混合型威脅直接導(dǎo)致了信息安全建設(shè)的復(fù)雜性和艱巨性。因此，醫(yī)療網(wǎng)絡(luò)的安全威脅已不僅僅是來自于蠕蟲病毒、木馬等攻擊帶來的風(fēng)險。醫(yī)療信息系統(tǒng)在日常運(yùn)行中面臨的各種風(fēng)險大致可歸納為內(nèi)網(wǎng)和外網(wǎng)兩類攻擊。來自外網(wǎng)的安全挑戰(zhàn)主要是由網(wǎng)絡(luò)病毒、黑客入侵等方式直接導(dǎo)致的系統(tǒng)效率下降甚至癱瘓。其主要原因是操作系統(tǒng)補(bǔ)丁沒有及時更新、安全軟件不能及時升級或垃圾郵件的肆意泛濫等造成的。目前絕大多數(shù)的醫(yī)院已經(jīng)部署了網(wǎng)絡(luò)防火墻，客戶端防病毒等產(chǎn)品，但醫(yī)院網(wǎng)絡(luò)依然會不斷遭受蠕蟲、特洛伊木馬、間諜軟件、廣告軟件等威脅的攻擊。針對此類問題，應(yīng)當(dāng)研究如何保證內(nèi)部終端用戶的補(bǔ)丁和病毒庫始終處于最新狀態(tài)，有效隔離安全隱患機(jī)器的接入。內(nèi)網(wǎng)威脅主要是指內(nèi)部工作人員無意或有意導(dǎo)致的資源丟失、信息泄露等問題。醫(yī)院的重要信息經(jīng)常以電子 郵件，文件傳輸甚至移動設(shè)備等形式輕而易舉地流出，大部分內(nèi)容涉及病人的隱私、藥品采購、財務(wù) 信息等。此類問題屬于面向醫(yī)療信息本身的安全性問題，需要對其產(chǎn)生、使用、傳輸、存儲等各個環(huán)節(jié)予以控制。因此醫(yī)院應(yīng)設(shè)立相應(yīng)的技術(shù)措施和管理 制度 ，避免核心機(jī)密的違規(guī)泄露和拷貝。

三、面向外網(wǎng)的安全治理

醫(yī)療信息系統(tǒng)的軟硬件系統(tǒng)本身面臨的威脅越來越多樣化和頻繁化，各種新型威脅層出不窮。針對當(dāng)前各類相互融合的網(wǎng)絡(luò)攻擊手段，應(yīng)從如下多個層次上實施外網(wǎng)的安全控制策略。

（1）端點防控

提升終端自身的安全防護(hù)力度，在內(nèi)部各網(wǎng)關(guān)及重要網(wǎng)段配置防火墻和入侵檢測軟件。強(qiáng)制保證操作系統(tǒng)補(bǔ)丁定時更新，反病毒軟件實時運(yùn)行以及病毒庫的及時更新。對于不符合安全標(biāo)準(zhǔn)的終端，在網(wǎng)絡(luò)設(shè)備的接入點將對其進(jìn)行隔離，限制或拒絕其對內(nèi)網(wǎng)進(jìn)行訪問。

（2）權(quán)限設(shè)置

部署網(wǎng)絡(luò)內(nèi)部強(qiáng)制訪問控制策略和權(quán)限等級設(shè)置，根據(jù)口令信息為數(shù)據(jù)流提供明確的允許或拒絕訪問指令。準(zhǔn)入控制的成功實施取決于控制粒度的大小，而控制流程的自動化決定了使用者的接受度和控制機(jī)制的適應(yīng)性。

（3）行為監(jiān)測

在一些信息系統(tǒng)安全級別相對較高的網(wǎng)段部署安全監(jiān)控措施，對非授權(quán)設(shè)備的私自接入或網(wǎng)絡(luò)發(fā)送行為進(jìn)行檢查，并予以有效阻斷，發(fā)生嚴(yán)重泄漏事件時應(yīng)提供報警。

（4）數(shù)據(jù)備份與恢復(fù)

信息系統(tǒng)的核心內(nèi)容是數(shù)據(jù)，因為操作系統(tǒng)、軟件等被破壞后都可以重新安裝，但數(shù)據(jù)丟失是無法挽回的。軟件級別的單點恢復(fù)技術(shù)對于火災(zāi)，地震等災(zāi)難性事故是無法應(yīng)對的。因此除了客戶端的定期軟件備份以外，還有必要提供異地數(shù)據(jù)備份功能，利用通信 網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量地傳送至遠(yuǎn)程的容災(zāi)中心保存。

四、面向內(nèi)網(wǎng)的安全治理

在復(fù)雜的醫(yī)療信息運(yùn)行環(huán)境中，針對外網(wǎng)不安全因素的監(jiān)視和攔截可視為第一道防線，但僅僅依靠這類單一手段必然無法達(dá)到理想的安全治理水平。只有面向信息本身的安全，實現(xiàn)從被動防御到主動防御的轉(zhuǎn)變，才能進(jìn)一步加強(qiáng)安全體系的防御深度，排除不可預(yù)測的潛在風(fēng)險。面向信息本身的安全性即面向數(shù)據(jù)的安全性，主要涉及數(shù)據(jù)的私密性、真實性、完整性和不可否認(rèn)性。這些性質(zhì)應(yīng)用于不同的醫(yī)療活動中。

（1）私密性

私密性要求敏感信息不能泄露給未經(jīng)授權(quán)的人，授予了病人控制醫(yī)療信息泄露的權(quán)利。這對于完善居民電子健康檔案、電子病歷等涉及居民隱私的網(wǎng)絡(luò)信任體系是十分重要的。通過加密、數(shù)字信封和匿名化等技術(shù)能有效解決這一問題，保證信息安全無誤的送達(dá)已授權(quán)的第三方或安全存儲于服務(wù)器的數(shù)據(jù)庫中。在利用非對稱密鑰機(jī)制解決這類問題時，只需對解密密鑰保密，因此從加密密鑰破解出解密密鑰的過程必須設(shè)計 得足夠復(fù)雜，以致難以實施。

（2）真實性、完整性

醫(yī)療診斷信息在醫(yī)院使用和流動過程中可能遭受惡意篡改或刪除，從而影響最終的治療效果。尤其是在經(jīng)過復(fù)雜網(wǎng)絡(luò)傳輸?shù)倪h(yuǎn)程醫(yī)療中，信息的來源真實性和可用性更為重要。采用公開密鑰加密體制PKI和數(shù)字簽名相結(jié)合的技術(shù)，把病人的隱私信息加密后作為水印載荷的一部分嵌入文件中來傳遞，用于驗證文檔完整性和來源可靠性，能有效杜絕外來入侵導(dǎo)致的敏感信息的惡意篡改，同時確認(rèn)信息來源的真實性。

（3）不可否認(rèn)性

不可否認(rèn)性是現(xiàn)有醫(yī)療體系中很容易被忽略的一個問題，也是最容易引起醫(yī)患糾紛的一個問題。利用數(shù)字簽名技術(shù)，不論醫(yī)生 或是患者都可以基于自身的私鑰對認(rèn)定的文件進(jìn)行簽名，從而確認(rèn)文件已簽署這一事實，事后對有關(guān)事件或行為均具有不可抵賴性。此外，基于雙重加密原理的數(shù)字簽名還可以保證信息自簽發(fā)后未曾作過修改，結(jié)合數(shù)字時間戳可進(jìn)一步對簽發(fā)文件的時間提供佐證。這些關(guān)鍵性內(nèi)容對于醫(yī)療事故的責(zé)任認(rèn)定都是很有價值的。

五、安全管理體系建設(shè)

醫(yī)療信息系統(tǒng)的安全運(yùn)行除了系統(tǒng)本身的安全之外，相關(guān)的醫(yī)療信息管理體系的構(gòu)建也起著至關(guān)重要的作用。管理體系的建設(shè)目標(biāo)是實現(xiàn)法律 層面和道德 層面的雙重約束。一個完善的醫(yī)療信息系統(tǒng)通常需要足夠的人力來進(jìn)行安全維護(hù)，因此真正起到管理執(zhí)行命令的主體還是醫(yī)療信息管理人員。面對醫(yī)療機(jī)構(gòu)對于復(fù)合型人才的缺乏現(xiàn)狀，需要加大對于醫(yī)療復(fù)合型人才的投入，提高技術(shù)管理人員對職業(yè)道德、安全意識、法律法規(guī)的認(rèn)識。同時，設(shè)立專門的信息安全管理機(jī)構(gòu)，通過安全管理制度明確相關(guān)人員的責(zé)任。在政策調(diào)控方面，宏觀上，應(yīng)制定一系列與醫(yī)療信息安全有關(guān)的法律法規(guī)和標(biāo)準(zhǔn)，以保證健康保險 流通性，降低醫(yī)療欺詐行為，并強(qiáng)制醫(yī)療信息標(biāo)準(zhǔn)，以保護(hù)電子健康信息安全及隱私。微觀上，應(yīng)制定符合醫(yī)療行業(yè)規(guī)范的信息安全管理制度和執(zhí)行流程，主要包括醫(yī)療信息系統(tǒng)應(yīng)急預(yù)案、網(wǎng)絡(luò)系統(tǒng)管-理-員崗位職責(zé)、網(wǎng)絡(luò)服務(wù)器故障的應(yīng)急處理流程等制度，確保信息系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行，以及與醫(yī)療有關(guān)的個人身份信息、醫(yī)療記錄等信息在傳輸、交換、存貯、使用過程中的安全管理。

六、結(jié)論

雖然目前很多醫(yī)療機(jī)構(gòu)已經(jīng)逐步實施了一些信息安全策略，但其中絕大部分只是把這些手段單獨加以運(yùn)用，而很少考慮將它們聯(lián)合起來建立縱深防御的安全管理機(jī)制以及人在醫(yī)療信息系統(tǒng)中的影響。綜上所述，一套較為完整的醫(yī)療信息安全管理機(jī)制應(yīng)該在技術(shù)方面保證先進(jìn)的信息安全手段能得以充分適當(dāng)?shù)膽?yīng)用，在管理方面使機(jī)構(gòu)組織、制度及人員得到充分保障或約束，在法律法規(guī)方面保證安全技術(shù)和管理措施得到相關(guān)支持。

檔案數(shù)字化外包安全管理規(guī)范2015-07-10 15:17 | #2樓

1.總則

1.1為加強(qiáng)檔案數(shù)字化外包安全管理，確保檔案數(shù)字化過程中檔案實體與信息安全，根據(jù)國家有關(guān)規(guī)定和標(biāo)準(zhǔn)，制定本《規(guī)范》。

1.2各級各類檔案館、室等檔案部門（以下簡稱“檔案部門”）開展檔案數(shù)字化外包工作，具有獨立法人身份的檔案數(shù)字化加工服務(wù)機(jī)構(gòu)（以下簡稱“數(shù)字化服務(wù)機(jī)構(gòu)”）承擔(dān)檔案數(shù)字化外包服務(wù)，應(yīng)遵循本《規(guī)范》開展安全管理工作。檔案部門自行開展檔案數(shù)字化時，可參照本《規(guī)范》實施安全管理。

1.3本《規(guī)范》所稱數(shù)字化外包檔案指非涉密檔案，涉密檔案數(shù)字化按國家有關(guān)規(guī)定執(zhí)行。

1.4檔案數(shù)字化外包安全管理應(yīng)按照“安全第一、預(yù)防為主”的原則，采取科學(xué)有效的安全管理措施，應(yīng)用確保檔案安全的技術(shù)手段，建立權(quán)責(zé)明確、覆蓋檔案數(shù)字化全過程的崗位責(zé)任制，對檔案數(shù)字化全過程實行嚴(yán)格監(jiān)督和管理，確保檔案實體與信息安全。

2.檔案部門的安全管理

2.1成立由主要領(lǐng)導(dǎo)或分管領(lǐng)導(dǎo)同志參加的檔案數(shù)字化外包管理組織，明確檔案數(shù)字化管理的部門、人員及其職責(zé)。

2.2根據(jù)檔案數(shù)字化總體規(guī)劃，確定數(shù)字化外包檔案的范圍，提出檔案數(shù)字化外包安全管理要求和技術(shù)指標(biāo)。

2.3提出檔案數(shù)字化外包招標(biāo)文件中有關(guān)安全管理的要求，協(xié)助制定招標(biāo)文件，審定合同。

2.4對數(shù)字化服務(wù)機(jī)構(gòu)的相關(guān)資質(zhì)、業(yè)績、人員、設(shè)備和加工軟件等進(jìn)行考察，并了解是否存在違約行為、安全事故等不良記錄。在同等條件下，應(yīng)優(yōu)先選用具有與數(shù)字化加工相關(guān)涉密資質(zhì)的數(shù)字化服務(wù)機(jī)構(gòu)。

2.5建立檔案數(shù)字化安全保密制度，與數(shù)字化服務(wù)機(jī)構(gòu)簽訂安全保密協(xié)議，并對檔案數(shù)字化加工人員進(jìn)行安全保密教育。

2.6制定檔案實體交接、數(shù)字化加工過程管理、數(shù)字化成果驗收與交接、存儲介質(zhì)管理、檔案實體保護(hù)等操作規(guī)程或規(guī)章制度。

2.7建立檔案數(shù)字化外包項目管理檔案，記錄檔案部門和數(shù)字化服務(wù)機(jī)構(gòu)實施檔案數(shù)字化外包項目的全過程。

2.8建立監(jiān)管機(jī)制，對數(shù)字化服務(wù)機(jī)構(gòu)的保密、安全措施落實情況進(jìn)行監(jiān)督、檢查，防止檔案實體受損、丟失，杜絕數(shù)字化服務(wù)機(jī)構(gòu)擅自復(fù)制、留存、使用檔案信息的行為。

3.數(shù)字化服務(wù)機(jī)構(gòu)的安全管理

3.1數(shù)字化服務(wù)機(jī)構(gòu)必須具有工商管理部門核發(fā)的有效營業(yè)執(zhí)照，業(yè)務(wù)范圍必須包括檔案數(shù)字化加工或數(shù)據(jù)處理類項目。

3.2數(shù)字化服務(wù)機(jī)構(gòu)的法人必須是中華人民共和國境內(nèi)注冊的企業(yè)法人或事業(yè)單位法人，股東及工作人員必須為中華人民共和國境內(nèi)公民，國家另有規(guī)定的除外。

3.3數(shù)字化服務(wù)機(jī)構(gòu)的工作人員必須提供本人身份證明和公安部門提供的無犯罪記錄證明，必要時提供政審材料。

3.4數(shù)字化服務(wù)機(jī)構(gòu)必須與其工作人員簽訂符合國家勞動法律法規(guī)要求的勞動合同。

3.5數(shù)字化服務(wù)機(jī)構(gòu)的人員數(shù)量與素質(zhì)、技術(shù)與管理水平、設(shè)施與設(shè)備狀況能夠滿足擬承擔(dān)項目的要求。

3.6數(shù)字化服務(wù)機(jī)構(gòu)必須制定并執(zhí)行數(shù)字化安全保密制度，制定并執(zhí)行檔案實體交接、數(shù)字化加工過程管理、數(shù)字化成果驗收與交接、存儲介質(zhì)管理、檔案實體保護(hù)等操作規(guī)范和管理制度。

3.7數(shù)字化服務(wù)機(jī)構(gòu)應(yīng)建立安全崗位責(zé)任制，配備專人負(fù)責(zé)安全保密工作。

3.8數(shù)字化服務(wù)機(jī)構(gòu)應(yīng)對工作人員進(jìn)行安全保密教育和必要的上崗培訓(xùn)，并與工作人員簽訂保密協(xié)議，明確規(guī)定工作人員不得閱讀、摘抄、外泄檔案內(nèi)容和其他安全保密責(zé)任、義務(wù)。安全保密協(xié)議應(yīng)報送檔案部門備案。

3.9數(shù)字化服務(wù)機(jī)構(gòu)必須積極支持、配合檔案行政管理部門的安全保密檢查。

4.數(shù)字化場所的安全管理

4.1數(shù)字化加工場所一般設(shè)在檔案部門獨立、可封閉的建筑內(nèi)。

4.2數(shù)字化加工場所應(yīng)符合防盜、防火、防塵、防水、防潮、防高溫、防日光及紫外線照射、防有害生物、防污染等安全管理要求。

4.3數(shù)字化加工場所應(yīng)配備滿足安全管理需要的視頻監(jiān)控設(shè)備，確保檔案暫存處、數(shù)字化加工工位、服務(wù)器、數(shù)據(jù)導(dǎo)出端及門窗等無監(jiān)控死角；視頻監(jiān)控系統(tǒng)應(yīng)由檔案部門專人負(fù)責(zé)，數(shù)字化加工場所設(shè)于檔案部門之外的，檔案部門應(yīng)定期檢查視頻監(jiān)控系統(tǒng)，數(shù)字化服務(wù)機(jī)構(gòu)應(yīng)將視頻監(jiān)控數(shù)據(jù)移交檔案部門保存；視頻監(jiān)控數(shù)據(jù)自產(chǎn)生之日起保存不少于6個月；檔案部門應(yīng)定期對視頻監(jiān)控數(shù)據(jù)進(jìn)行回放檢查，在刪除視頻監(jiān)控數(shù)據(jù)之前，要留存視頻回放安全檢查記錄。

4.4數(shù)字化加工場所應(yīng)配備符合國家標(biāo)準(zhǔn)并滿足工作需要的檔案裝具，用于分別存放待數(shù)字化處理和已數(shù)字化處理的檔案。

4.5數(shù)字化加工場所須封斷所有檔案數(shù)字化加工設(shè)備的無線網(wǎng)絡(luò)功能，并定期進(jìn)行相關(guān)檢測。

4.6數(shù)字化工作人員存放隨身物品要有專用儲物箱柜，并與檔案裝具分區(qū)放置；數(shù)字化加工場所不得有非工作需要的私人物品，包括照相機(jī)、攝像機(jī)、手機(jī)、錄音機(jī)、筆記本電腦、平板電腦等各類電子設(shè)備和各類移動存儲介質(zhì)；嚴(yán)禁擅自將數(shù)字化加工場所內(nèi)的物品帶離現(xiàn)場。

4.7工作人員要掛牌上崗，接受身份核查登記和安全檢查，嚴(yán)禁無關(guān)人員進(jìn)入數(shù)字化加工場所。

4.8工作人員不得在數(shù)字化加工場所內(nèi)從事與數(shù)字化無關(guān)的活動，嚴(yán)禁在數(shù)字化加工區(qū)內(nèi)喝水、進(jìn)食、吸煙等，嚴(yán)禁攜帶火種進(jìn)入數(shù)字化加工場所。

4.9檔案部門和數(shù)字化服務(wù)機(jī)構(gòu)應(yīng)指定有關(guān)人員經(jīng)常對數(shù)字化加工場所進(jìn)行巡查，確保有關(guān)數(shù)字化加工和管理的各項規(guī)章制度和操作規(guī)范得到切實貫徹和執(zhí)行。

5.數(shù)字化加工設(shè)備、網(wǎng)絡(luò)環(huán)境與數(shù)據(jù)載體的安全管理

5.1檔案數(shù)字化加工過程中建議使用檔案部門提供的相關(guān)設(shè)備，使用數(shù)字化服務(wù)機(jī)構(gòu)設(shè)備的，檔案部門應(yīng)當(dāng)對其進(jìn)行必要的安全檢查。

5.2檔案數(shù)字化加工使用的計算機(jī)、掃描儀等設(shè)備，必須采用技術(shù)手段或?qū)�業(yè)物理設(shè)備封閉所有不必要的信息輸出裝置或端口，如USB接口、紅外線、藍(lán)牙、SCSI接口、光驅(qū)接口等，封閉的裝置或端口要定期進(jìn)行檢查。

5.3檔案數(shù)字化加工過程中推薦使用國產(chǎn)設(shè)備并使用正版軟件。數(shù)據(jù)安全與網(wǎng)絡(luò)監(jiān)控軟硬件必須使用通過國-家-安-全認(rèn)證的國產(chǎn)品牌產(chǎn)品。除必要的操作系統(tǒng)、殺毒軟件、加工軟件和第三方安全管理軟件外，檔案數(shù)字化加工計算機(jī)不允許安裝任何與加工無關(guān)的軟件。

5.4檔案數(shù)字化加工網(wǎng)絡(luò)要與其他網(wǎng)絡(luò)物理隔離，禁止使用無線網(wǎng)卡、無線鍵盤、無線鼠標(biāo)等設(shè)備。

5.5檔案數(shù)字化加工網(wǎng)絡(luò)環(huán)境中應(yīng)配備具有權(quán)限管理、設(shè)備管理、端口管理、日志管理和安全審計等功能的數(shù)字化加工安全保護(hù)系統(tǒng)，準(zhǔn)確記錄授權(quán)用戶的訪問行為、設(shè)備接入和電子檔案信息流向等信息。

5.6檔案數(shù)字化加工系統(tǒng)應(yīng)具備流程定義、任務(wù)分配、過程跟蹤、質(zhì)量檢測、成品制作、數(shù)據(jù)驗收、數(shù)據(jù)備份管理等功能，并分別設(shè)置管-理-員、保密員、審計員，實行“三員分離”。

5.7檔案數(shù)字化加工過程中建議由檔案部門提供計算機(jī)等設(shè)備的硬盤、移動存儲介質(zhì)以及無法確保數(shù)據(jù)可靠清除的設(shè)備，并逐一進(jìn)行檢查、登記。數(shù)字化工作完成后，這些設(shè)備必須交由檔案部門統(tǒng)一保管或銷毀，嚴(yán)禁擅自帶走。

5.8用于檔案數(shù)字化加工的設(shè)備和存儲介質(zhì)嚴(yán)禁與其他設(shè)備和存儲介質(zhì)交叉使用，非數(shù)字化專用的設(shè)備和存儲介質(zhì)嚴(yán)禁帶入數(shù)字化加工場所。

5.9檔案數(shù)字化過程中使用的移動存儲介質(zhì)和刻錄設(shè)備應(yīng)由檔案部門指定專人保管，并對使用情況進(jìn)行記錄。檔案數(shù)字化成果的拷貝和刻錄應(yīng)相對集中。檔案部門應(yīng)指定專人負(fù)責(zé)移動存儲介質(zhì)數(shù)量的清點，數(shù)字化服務(wù)機(jī)構(gòu)完成拷貝或刻錄的數(shù)據(jù)介質(zhì)（包括損壞的數(shù)據(jù)介質(zhì)）應(yīng)及時交接給檔案部門指定的人員，并辦理交接手續(xù)。

5.10檔案數(shù)字化設(shè)備和存儲介質(zhì)不得擅自送外維修，必須送外維修的應(yīng)辦理書面審批手續(xù)，并由檔案部門人員現(xiàn)場監(jiān)督。

5.11處理尚未開放檔案的信息設(shè)備的管理和使用應(yīng)符合國家有關(guān)秘密載體管理和使用的相關(guān)規(guī)定。

6.檔案實體的安全管理

6.1檔案部門要對擬數(shù)字化的檔案進(jìn)行涉密性、完整性、有序性及檔案實體與目錄的一致性檢查。涉密檔案要予以篩除，檔案實體破損、殘缺的要進(jìn)行登記與處理，檔案實體與文件目錄不對應(yīng)的要進(jìn)行必要的記錄或標(biāo)示。

6.2檔案部門人員應(yīng)按照工作計劃分批調(diào)檔，并與數(shù)字化服務(wù)機(jī)構(gòu)的檔案接收人員進(jìn)行清點、核對，雙方確認(rèn)準(zhǔn)確無誤后填寫檔案交接清單一式兩份，注明交接檔案的內(nèi)容、數(shù)量、狀況、交接時間和經(jīng)辦人等。

6.3檔案數(shù)字化加工不得損毀檔案，出現(xiàn)檔案損毀的，需按有關(guān)規(guī)定進(jìn)行處罰，并進(jìn)行修復(fù)和登記。需要拆裝檔案時，應(yīng)盡可能地保持檔案原貌。

6.4檔案數(shù)字化過程中要建立檔案流程單，流程單包括檔號、加工工序、設(shè)備編號、數(shù)量、經(jīng)手人、加工時間等，數(shù)字化加工過程中檔案流程單應(yīng)與檔案實體同步流轉(zhuǎn)。

6.5檔案數(shù)字化過程中發(fā)現(xiàn)有涉密標(biāo)識且無解密標(biāo)識的檔案，數(shù)字化外包服務(wù)機(jī)構(gòu)應(yīng)停止該檔案的數(shù)字化加工，在登記目錄后立即將檔案移交檔案部門。

6.6正在進(jìn)行數(shù)字化加工的檔案必須每天入庫（柜），不得在加工工位上留存過夜。

6.7數(shù)字化檔案要專人專柜保管，數(shù)字化加工完畢的檔案要及時歸還入庫。對于離庫時間較長或有蟲霉隱患的檔案，應(yīng)進(jìn)行消毒殺蟲處理。

7.檔案數(shù)字化成果移交接收與設(shè)備處理的安全管理

7.1檔案數(shù)字化任務(wù)完成后，檔案部門應(yīng)組織專業(yè)人員按照本《規(guī)范》的要求，對向檔案部門移交的數(shù)字化加工介質(zhì)（如存儲介質(zhì)、移動介質(zhì)、備份介質(zhì)等）、加工監(jiān)控視頻回放安全檢查記錄、檔案實體出入庫交接記錄、加工人員變更記錄等進(jìn)行安全保密專項驗收；凡未開展安全保密專項驗收或驗收不合格的，不得對項目進(jìn)行總體驗收。

7.2檔案數(shù)字化成果必須通過完整性、準(zhǔn)確性、可用性和安全性檢測，檢測合格后雙方辦理數(shù)據(jù)交接手續(xù)。

7.3檔案數(shù)字化任務(wù)完成后，數(shù)字化服務(wù)機(jī)構(gòu)應(yīng)會同檔案部門拆除其自帶加工設(shè)備中的硬盤等存儲介質(zhì)，并將其與數(shù)字化過程中使用過的其他移動存儲介質(zhì)一起移交給檔案部門，并辦理相關(guān)移交手續(xù)。

7.4檔案數(shù)字化任務(wù)完成后，檔案部門必須組織專業(yè)人員對數(shù)字化服務(wù)機(jī)構(gòu)所用的設(shè)備進(jìn)行檢查，以確保其設(shè)備中無信息留存。凡存有信息的，必須作清除信息的安全處理。

7.5數(shù)字化服務(wù)機(jī)構(gòu)應(yīng)將檔案數(shù)字化過程中形成的日志、記錄等原始記錄材料移交檔案部門，作為項目檔案內(nèi)容進(jìn)行管理。

【數(shù)字化信息安全管理制度】相關(guān)文章：

檔案數(shù)字化安全管理制度03-28

信息安全管理制度01-27

信息安全管理制度06-20

數(shù)據(jù)及信息安全管理制度06-02

【熱】信息安全管理制度03-16

信息安全管理制度【熱門】04-01

【推薦】信息安全管理制度04-01

【精】信息安全管理制度04-01

信息安全管理制度【精】04-01

【薦】信息安全管理制度04-01