外包服務安全管理制度

1.總則

1.1為加強檔案數(shù)字化外包安全管理，確保檔案數(shù)字化過程中檔案實體與信息安全，根據(jù)國家有關規(guī)定和標準，制定本《規(guī)范》。

1.2各級各類檔案館、室等檔案部門（以下簡稱“檔案部門”）開展檔案數(shù)字化外包工作，具有獨立法人身份的檔案數(shù)字化加工服務機構（以下簡稱“數(shù)字化服務機構”）承擔檔案數(shù)字化外包服務，應遵循本《規(guī)范》開展安全管理工作。檔案部門自行開展檔案數(shù)字化時，可參照本《規(guī)范》實施安全管理。

1.3本《規(guī)范》所稱數(shù)字化外包檔案指非涉密檔案，涉密檔案數(shù)字化按國家有關規(guī)定執(zhí)行。

1.4檔案數(shù)字化外包安全管理應按照“安全第一、預防為主”的原則，采取科學有效的安全管理措施，應用確保檔案安全的技術手段，建立權責明確、覆蓋檔案數(shù)字化全過程的崗位責任制，對檔案數(shù)字化全過程實行嚴格監(jiān)督和管理，確保檔案實體與信息安全。

2.檔案部門的安全管理

2.1成立由主要領導或分管領導同志參加的檔案數(shù)字化外包管理組織，明確檔案數(shù)字化管理的部門、人員及其職責。

2.2根據(jù)檔案數(shù)字化總體規(guī)劃，確定數(shù)字化外包檔案的范圍，提出檔案數(shù)字化外包安全管理要求和技術指標。

2.3提出檔案數(shù)字化外包招標文件中有關安全管理的要求，協(xié)助制定招標文件，審定合同。

2.4對數(shù)字化服務機構的相關資質、業(yè)績、人員、設備和加工軟件等進行考察，并了解是否存在違約行為、安全事故等不良記錄。在同等條件下，應優(yōu)先選用具有與數(shù)字化加工相關涉密資質的數(shù)字化服務機構。

2.5建立檔案數(shù)字化安全保密制度，與數(shù)字化服務機構簽訂安全保密協(xié)議，并對檔案數(shù)字化加工人員進行安全保密教育。

2.6制定檔案實體交接、數(shù)字化加工過程管理、數(shù)字化成果驗收與交接、存儲介質管理、檔案實體保護等操作規(guī)程或規(guī)章制度。

2.7建立檔案數(shù)字化外包項目管理檔案，記錄檔案部門和數(shù)字化服務機構實施檔案數(shù)字化外包項目的全過程。

2.8建立監(jiān)管機制，對數(shù)字化服務機構的保密、安全措施落實情況進行監(jiān)督、檢查，防止檔案實體受損、丟失，杜絕數(shù)字化服務機構擅自復制、留存、使用檔案信息的行為。

3.數(shù)字化服務機構的安全管理

3.1數(shù)字化服務機構必須具有工商管理部門核發(fā)的有效營業(yè)執(zhí)照，業(yè)務范圍必須包括檔案數(shù)字化加工或數(shù)據(jù)處理類項目。

3.2數(shù)字化服務機構的法人必須是中華人民共和國境內注冊的企業(yè)法人或事業(yè)單位法人，股東及工作人員必須為中華人民共和國境內公民，國家另有規(guī)定的除外。

3.3數(shù)字化服務機構的工作人員必須提供本人身份證明和公安部門提供的無犯罪記錄證明，必要時提供政審材料。

3.4數(shù)字化服務機構必須與其工作人員簽訂符合國家勞動法律法規(guī)要求的勞動合同。

3.5數(shù)字化服務機構的人員數(shù)量與素質、技術與管理水平、設施與設備狀況能夠滿足擬承擔項目的要求。

3.6數(shù)字化服務機構必須制定并執(zhí)行數(shù)字化安全保密制度，制定并執(zhí)行檔案實體交接、數(shù)字化加工過程管理、數(shù)字化成果驗收與交接、存儲介質管理、檔案實體保護等操作規(guī)范和管理制度。

3.7數(shù)字化服務機構應建立安全崗位責任制，配備專人負責安全保密工作。

3.8數(shù)字化服務機構應對工作人員進行安全保密教育和必要的上崗培訓，并與工作人員簽訂保密協(xié)議，明確規(guī)定工作人員不得閱讀、摘抄、外泄檔案內容和其他安全保密責任、義務。安全保密協(xié)議應報送檔案部門備案。

3.9數(shù)字化服務機構必須積極支持、配合檔案行政管理部門的安全保密檢查。

4.數(shù)字化場所的安全管理

4.1數(shù)字化加工場所一般設在檔案部門獨立、可封閉的建筑內。

4.2數(shù)字化加工場所應符合防盜、防火、防塵、防水、防潮、防高溫、防日光及紫外線照射、防有害生物、防污染等安全管理要求。

4.3數(shù)字化加工場所應配備滿足安全管理需要的視頻監(jiān)控設備，確保檔案暫存處、數(shù)字化加工工位、服務器、數(shù)據(jù)導出端及門窗等無監(jiān)控死角；視頻監(jiān)控系統(tǒng)應由檔案部門專人負責，數(shù)字化加工場所設于檔案部門之外的，檔案部門應定期檢查視頻監(jiān)控系統(tǒng)，數(shù)字化服務機構應將視頻監(jiān)控數(shù)據(jù)移交檔案部門保存；視頻監(jiān)控數(shù)據(jù)自產(chǎn)生之日起保存不少于6個月；檔案部門應定期對視頻監(jiān)控數(shù)據(jù)進行回放檢查，在刪除視頻監(jiān)控數(shù)據(jù)之前，要留存視頻回放安全檢查記錄。

4.4數(shù)字化加工場所應配備符合國家標準并滿足工作需要的檔案裝具，用于分別存放待數(shù)字化處理和已數(shù)字化處理的檔案。

4.5數(shù)字化加工場所須封斷所有檔案數(shù)字化加工設備的無線網(wǎng)絡功能，并定期進行相關檢測。

4.6數(shù)字化工作人員存放隨身物品要有專用儲物箱柜，并與檔案裝具分區(qū)放置；數(shù)字化加工場所不得有非工作需要的私人物品，包括照相機、攝像機、手機、錄音機、筆記本電腦、平板電腦等各類電子設備和各類移動存儲介質；嚴禁擅自將數(shù)字化加工場所內的物品帶離現(xiàn)場。

4.7工作人員要掛牌上崗，接受身份核查登記和安全檢查，嚴禁無關人員進入數(shù)字化加工場所。

4.8工作人員不得在數(shù)字化加工場所內從事與數(shù)字化無關的活動，嚴禁在數(shù)字化加工區(qū)內喝水、進食、吸煙等，嚴禁攜帶火種進入數(shù)字化加工場所。

4.9檔案部門和數(shù)字化服務機構應指定有關人員經(jīng)常對數(shù)字化加工場所進行巡查，確保有關數(shù)字化加工和管理的各項規(guī)章制度和操作規(guī)范得到切實貫徹和執(zhí)行。

5.數(shù)字化加工設備、網(wǎng)絡環(huán)境與數(shù)據(jù)載體的安全管理

5.1檔案數(shù)字化加工過程中建議使用檔案部門提供的相關設備，使用數(shù)字化服務機構設備的，檔案部門應當對其進行必要的安全檢查。

5.2檔案數(shù)字化加工使用的計算機、掃描儀等設備，必須采用技術手段或專業(yè)物理設備封閉所有不必要的信息輸出裝置或端口，如USB接口、紅外線、藍牙、SCSI接口、光驅接口等，封閉的裝置或端口要定期進行檢查。

5.3檔案數(shù)字化加工過程中推薦使用國產(chǎn)設備并使用正版軟件。數(shù)據(jù)安全與網(wǎng)絡監(jiān)控軟硬件必須使用通過國-家-安-全認證的國產(chǎn)品牌產(chǎn)品。除必要的操作系統(tǒng)、殺毒軟件、加工軟件和第三方安全管理軟件外，檔案數(shù)字化加工計算機不允許安裝任何與加工無關的軟件。

5.4檔案數(shù)字化加工網(wǎng)絡要與其他網(wǎng)絡物理隔離，禁止使用無線網(wǎng)卡、無線鍵盤、無線鼠標等設備。

5.5檔案數(shù)字化加工網(wǎng)絡環(huán)境中應配備具有權限管理、設備管理、端口管理、日志管理和安全審計等功能的數(shù)字化加工安全保護系統(tǒng)，準確記錄授權用戶的訪問行為、設備接入和電子檔案信息流向等信息。

5.6檔案數(shù)字化加工系統(tǒng)應具備流程定義、任務分配、過程跟蹤、質量檢測、成品制作、數(shù)據(jù)驗收、數(shù)據(jù)備份管理等功能，并分別設置管-理-員、保密員、審計員，實行“三員分離”。

5.7檔案數(shù)字化加工過程中建議由檔案部門提供計算機等設備的硬盤、移動存儲介質以及無法確保數(shù)據(jù)可靠清除的設備，并逐一進行檢查、登記。數(shù)字化工作完成后，這些設備必須交由檔案部門統(tǒng)一保管或銷毀，嚴禁擅自帶走。

5.8用于檔案數(shù)字化加工的設備和存儲介質嚴禁與其他設備和存儲介質交叉使用，非數(shù)字化專用的設備和存儲介質嚴禁帶入數(shù)字化加工場所。

5.9檔案數(shù)字化過程中使用的移動存儲介質和刻錄設備應由檔案部門指定專人保管，并對使用情況進行記錄。檔案數(shù)字化成果的拷貝和刻錄應相對集中。檔案部門應指定專人負責移動存儲介質數(shù)量的清點，數(shù)字化服務機構完成拷貝或刻錄的數(shù)據(jù)介質（包括損壞的數(shù)據(jù)介質）應及時交接給檔案部門指定的人員，并辦理交接手續(xù)。

5.10檔案數(shù)字化設備和存儲介質不得擅自送外維修，必須送外維修的應辦理書面審批手續(xù)，并由檔案部門人員現(xiàn)場監(jiān)督。

5.11處理尚未開放檔案的信息設備的管理和使用應符合國家有關秘密載體管理和使用的相關規(guī)定。

6.檔案實體的安全管理

6.1檔案部門要對擬數(shù)字化的檔案進行涉密性、完整性、有序性及檔案實體與目錄的一致性檢查。涉密檔案要予以篩除，檔案實體破損、殘缺的要進行登記與處理，檔案實體與文件目錄不對應的要進行必要的記錄或標示。

6.2檔案部門人員應按照工作計劃分批調檔，并與數(shù)字化服務機構的檔案接收人員進行清點、核對，雙方確認準確無誤后填寫檔案交接清單一式兩份，注明交接檔案的內容、數(shù)量、狀況、交接時間和經(jīng)辦人等。

6.3檔案數(shù)字化加工不得損毀檔案，出現(xiàn)檔案損毀的，需按有關規(guī)定進行處罰，并進行修復和登記。需要拆裝檔案時，應盡可能地保持檔案原貌。

6.4檔案數(shù)字化過程中要建立檔案流程單，流程單包括檔號、加工工序、設備編號、數(shù)量、經(jīng)手人、加工時間等，數(shù)字化加工過程中檔案流程單應與檔案實體同步流轉。

6.5檔案數(shù)字化過程中發(fā)現(xiàn)有涉密標識且無解密標識的檔案，數(shù)字化外包服務機構應停止該檔案的數(shù)字化加工，在登記目錄后立即將檔案移交檔案部門。

6.6正在進行數(shù)字化加工的檔案必須每天入庫（柜），不得在加工工位上留存過夜。

6.7數(shù)字化檔案要專人專柜保管，數(shù)字化加工完畢的檔案要及時歸還入庫。對于離庫時間較長或有蟲霉隱患的檔案，應進行消毒殺蟲處理。

7.檔案數(shù)字化成果移交接收與設備處理的安全管理

7.1檔案數(shù)字化任務完成后，檔案部門應組織專業(yè)人員按照本《規(guī)范》的要求，對向檔案部門移交的數(shù)字化加工介質（如存儲介質、移動介質、備份介質等）、加工監(jiān)控視頻回放安全檢查記錄、檔案實體出入庫交接記錄、加工人員變更記錄等進行安全保密專項驗收；凡未開展安全保密專項驗收或驗收不合格的，不得對項目進行總體驗收。

7.2檔案數(shù)字化成果必須通過完整性、準確性、可用性和安全性檢測，檢測合格后雙方辦理數(shù)據(jù)交接手續(xù)。

7.3檔案數(shù)字化任務完成后，數(shù)字化服務機構應會同檔案部門拆除其自帶加工設備中的硬盤等存儲介質，并將其與數(shù)字化過程中使用過的其他移動存儲介質一起移交給檔案部門，并辦理相關移交手續(xù)。

7.4檔案數(shù)字化任務完成后，檔案部門必須組織專業(yè)人員對數(shù)字化服務機構所用的設備進行檢查，以確保其設備中無信息留存。凡存有信息的，必須作清除信息的安全處理。

7.5數(shù)字化服務機構應將檔案數(shù)字化過程中形成的日志、記錄等原始記錄材料移交檔案部門，作為項目檔案內容進行管理。

運維管理服務外包2015-07-11 12:40 | #2樓

1、IT運維管理的重要性

所謂IT運維管理，是指組織內部的IT管理部門或外部服務機構，采用相關的技術、制度、流程和文檔等一系列的方法和手段,針對IT基礎設施、IT業(yè)務系統(tǒng)和IT運維人員等三大方面展開綜合管理的過程。具體地講其主要內容有日常工作管理、基礎設施管理、數(shù)據(jù)管理、應用/服務管理、信息資源管理、業(yè)務系統(tǒng)管理、資產(chǎn)管理、信息安全管理等。

隨著信息技術的飛速發(fā)展，信息化已滲透到社會生活的各個方面，各行各業(yè)乃至所有的社會組織對信息系統(tǒng)也日益依賴，信息系統(tǒng)也變得越來越龐大、越來越復雜、越來越專業(yè)。因此，如何維持信息系統(tǒng)有效、穩(wěn)定、持續(xù)地運行，也就成為信息化發(fā)展進程中不得不面對的突出問題。

IT系統(tǒng)運行維護管理活動的時間，在整個IT系統(tǒng)生命周期內占80%以上，運維管理的質量直接影響IT資源的運行效率和效益。因此建立完善而成熟的IT運維管理體制，適應組織的業(yè)務環(huán)境，滿足組織的業(yè)務需求，促進組織的業(yè)務發(fā)展，具有十分重要的意義。

2、傳統(tǒng)運維存在的突出問題

雖然IT運維管理在信息化建設中的作用顯而易見，但在現(xiàn)實工作中并未得到應有的重視，重建設輕管理的現(xiàn)象十分普遍。很多單位愿意投入大量資金進行IT系統(tǒng)建設，但對后期的運維卻不愿投入相應的成本，導致IT系統(tǒng)運維狀況不佳，IT系統(tǒng)運行效率低下，IT資源浪費嚴重。

傳統(tǒng)的IT運維由于缺乏系統(tǒng)的方法-論和完善的制度規(guī)范體系，導致運維管理工作嚴重落后，遠不能滿足信息化建設的發(fā)展 ，主要問題集中在以下幾個方面：

不斷增長的需求黑洞。人們總認為IT系統(tǒng)運行中出現(xiàn)的問題，是因為管理人員技術不夠強，或設備不夠高端，于是人員隊 伍不斷擴大，高端設備不斷增多，但問題卻依然存在，造成極大的資源浪費。

高檔設備低檔使用。我們發(fā)現(xiàn)，在信息化建設中，IT設備高檔化趨勢越來越嚴重，但許多高檔設備的性能和功能并沒有被 充分挖掘，IT資源利用率相當?shù)拖隆?/p>

救火式被動工作模式。對于絕大多數(shù)IT管理部門來說，IT運維工作模式是響應式、救火式的被動工作模式。服務響應速度 緩慢，故障恢復時間長，越來越不能滿足日益增長的業(yè)務發(fā)展需求。

難以實現(xiàn)規(guī)范化管理。雖然部分IT管理者意識到，IT運維工作中存在的諸多問題，主要是由于管理不善造成的，希望能加 強規(guī)范化管理，但卻不知道從何處下手，或者雖然制訂了一些運維管理制度，但這些制度卻又很難長久地貫徹執(zhí)行下去。

IT系統(tǒng)的安全噩夢。為了保證IT系統(tǒng)的數(shù)據(jù)安全，管理者不斷采購各種安全產(chǎn)品，但系統(tǒng)仍然漏洞百出；隨著機房規(guī)模的 擴大和設備的增多，機房火災隱患也讓每一位管理者寢食難安。IT系統(tǒng)的安全隱患已然成為IT管理者的噩夢。

徹底淪為IT技術服務部門。在傳統(tǒng)的管理思維和工作模式下，IT部門的管理職能越來越弱，技術服務職能越來越凸顯，直 至成為一個并不專業(yè)的純技術服務部門。

導致IT運維管理工作存在的這些問題主要原因主要有以下幾個方面：

管理的規(guī)范化問題：由于對運維管理的研究不夠，尚未形成一個完整IT運維管理方法-論體系；

管理的成本問題：要建立并運行一套完整的IT運維管理服務體系，對于一個規(guī)模不大的單位組織來說其成本是太高了；

管理的專業(yè)化問題：IT運維管理是一項專業(yè)化很強的工作，要想維持一個高度專業(yè)的運維管理隊伍是件非常困難的事情；

管理的體制問題：作為IT管理部門，既是服務主體又是監(jiān)管者，服務與監(jiān)管職能無法分離，導致IT治理結構的先天性缺陷 。

當然，除了以上問題外，IT運維管理還存在許多其它障礙，這些障礙是導致許多組織的IT運維水平低下的根本原因。

3、基于ITIL的IT服務管理

正是由于傳統(tǒng)的IT運維管理中普遍存在的這些種種問題，因此迫切需要一套能幫助IT管理部門實現(xiàn)標準化管理的有效方法 ，于是ITIL便應運而生了。

ITIL對IT運維管理活動的整個過程加以梳理和研究，推出了一套較為完整的以管理流程為導向的管理方法-論體系，提出了 IT服務管理（ITSM—IT Service Management）的概念。

ITSM拋棄了傳統(tǒng)IT運維管理中以技術為驅動的傳統(tǒng)，確立以組織戰(zhàn)略目標和業(yè)務需求為出發(fā)點，以管理流程為導向，通過 對IT服務與組織業(yè)務的整合，提出了一套對IT系統(tǒng)的規(guī)劃、研發(fā)、實施和運營進行有效管理的高質量IT服務管理方法，其目的 是提高組織IT服務提供和服務支持的能力及其水平。

4、實施ITIL的意義

當然，按照ITIL標準全面實施標準化、規(guī)范化、指標化的管理，不僅需要一個涵蓋網(wǎng)絡、數(shù)據(jù)、機房基礎設施、安防、終端設備等專業(yè)化的技術團隊，還需要各種職能的管理團隊，其實施成本是非常高的。因此，對于絕大多數(shù)單位組織來說，將IT運維管理外包給專業(yè)的IT服務管理公司將是一個比較合理的選擇。運維管理的專業(yè)化是IT行業(yè)發(fā)展的必由之路、大勢所趨。5、服務外包乃大勢所趨

6、湖南美音運維管理體系

湖南美音具有多年的大型計算機網(wǎng)絡、數(shù)據(jù)中心、安防系統(tǒng)的建設和運維經(jīng)驗，IT運維管理服務外包是我們的核心業(yè)務之一，一直以來我們高度重視運維服務體系的建設。湖南美音成立了IT運維服務管理中心，專門負責ITIL理論研究、運維制度規(guī)范開發(fā)、運維支撐體系建設、運維團隊建設，為用戶提供最專業(yè)的運維管理服務。

湖南美音基于ITIL最佳實踐，結合多年的集成和運維經(jīng)驗，為客戶提供的包括網(wǎng)絡、數(shù)據(jù)中心、應用系統(tǒng)、基礎設施等系統(tǒng)的實時監(jiān)控服務、日常運行維護管理、以及系統(tǒng)優(yōu)化服務在內的整體服務，也可以依據(jù)客戶的需求和運作模式為客戶量身定做專業(yè)的運維管理外包服務。

湖南美音運維服務體系包括組織體系、制度體系、管理平臺、最佳實踐組成：

組織體系。湖南美音建立了IT運維管理中心，內設高度專業(yè)化的服務臺、網(wǎng)絡監(jiān)控中心、質量管控中心，組建了一支由服務器與存儲工程師、網(wǎng)絡工程師、安全工程師、數(shù)據(jù)庫工程師、應用系統(tǒng)工程師組成的專業(yè)分工合理、經(jīng)驗豐富的一線運維團隊、二線支持團隊，以及由各專業(yè)專家與協(xié)作廠商工程師組成的三線支持隊伍。

制度體系。本著“管理制度化、工作流程化、作業(yè)規(guī)范化、考核指標化”的管理原則，湖南美音建立了一系列運維管理的制度、流程、規(guī)范和考核指標（KPI），構成了一套完整的運維管理制度體系。

支撐體系。湖南美音深入研究IT運維管理理論，通過多年的運維實踐積累了豐富的運維經(jīng)驗，形成了湖南美音在政府IT系統(tǒng)運維領域的最佳實踐，并結合強大的軟件產(chǎn)品研發(fā)能力，自主開發(fā)了網(wǎng)鷹IT運維管理系統(tǒng)，集成了服務臺管理、事件管理、問題管理、變更管理、發(fā)布管理、配置管理、可用性管理、能力管理、巡檢管理、安全管理、供應商管理等功能模塊，通過本系統(tǒng)實現(xiàn)了各專業(yè)運維工程師的協(xié)作，大大提高了工作的效率，使得工作按照流程有序開展、運維工作可量化可考核。 

我們還開發(fā)了分布式網(wǎng)絡監(jiān)控系統(tǒng)，為用戶提供遠程監(jiān)控服務，實現(xiàn)可靠地遠程巡檢，排除用戶的后顧之憂。

最佳實踐。湖南美音在運維管理實踐中不斷總結、不斷提升，建立了自己的知識庫，使運維實踐經(jīng)驗和技術知識文檔化、系統(tǒng)化和組織化。

7、湖南美音運維管理目標

秉承“專業(yè)、服務、創(chuàng)新”的理念，研究運維管理理論，不斷深化實踐，實現(xiàn)運維工作的“四化”、“四可”，成為最專業(yè)的 IT 服務提供商。

【外包服務安全管理制度】相關文章：

外包服務安全管理制度03-22

外包服務管理制度02-12

信息技術外包服務安全管理制度04-04

外包安全管理制度04-03

信息技術外包服務安全管理制度2篇04-04

外包作業(yè)安全管理制度（精選15篇）04-18

外包安全管理制度（通用14篇）05-21

外包服務合同04-16

外包服務合同11-09

it外包服務合同12-11