中国档案

学术论文

企业档案外包服务及其安全风险防范的实践与探讨——以国泰君安证券股份有限公司档案外包服务为例
 

国泰君安证券股份有限公司  刘俊

[内容摘要] 档案服务外包能有效弥补企业档案管理能力的不足,越来越多的企业开始采用档案业务外包服务,但档案业务外包服务中也存在着较大的档案安全风险。文章以国泰君安证券股份有限公司档案外包服务为例,介绍了企业档案业务外包兴起的背景、种类、流程环节及对企业的现实意义,总结了企业档案业务外包中存在的档案安全风险,并探讨了安全风险防范措施。

    [关键词] 档案业务外包  档案安全  风险防范

    近些年来,档案管理机构普遍采用业务外包的方式来辅助管理档案,据统计,“85%以上的世界500 强企业采用了档案业务外包服务[1]从公共档案馆的数字化到县政府档案室文书档案的立件整理,从历史档案的录入到企业档案室的构建,都离不开档案业务外包[2]作为目前国内规模最大、经营范围最宽、机构分布最广的证券公司之一,国泰君安证券股份有限公司(以下简称“国泰君安”)也采用了档案业务外包的方式对公司档案进行辅助管理,通过采取关键业务自管结合普通业务外包给专业公司相结合的方式,很好地解决了公司档案的安全保管、便捷利用及管理成本性价比的难题,取得了良好效果,并成为市档案局在此领域的档案管理先进示范单位,对相关行业确有可借鉴参考之处。下面,笔者将以国泰君安档案业务外包为例,对档案业务外包及其安全风险防范进行探讨。

1企业档案业务外包的兴起背景及种类

1.1企业档案业务外包的兴起背景

  我国企业档案业务外包的兴起是随着国内社会经济的快速发展而出现的,具有一定的历史必然性。

1.1.1企业档案数量在迅猛增长

社会经济和企业的快速发展,使得企业尤其是规模比较大的企业产生的档案数量越来越大,加之多年累积的存量,企业的档案数量已十分庞大,这使得企业已无法有效的对档案进行管理。因此,引入外包公司的档案管理力量成为了大多数企业的选择。如国泰君安由原国泰证券和原君安证券于1999年合并新设而成,截止2013年底,共有原国泰证券全宗、原君安证券全宗和国泰君安证券全宗三个全宗共852万卷(册),约5000万页,档案排架长度约30000米,并且随着公司的不断发展,产生的档案数量还在快速增长着。面对存量和增量都如此庞大的档案,只靠国泰君安自身力量,已无法对公司档案实现既经济又有效的管理,因此,借助外包公司的力量势在必行。

1.1.2企业的档案利用需求在不断提高

信息技术飞速发展,信息化成为企业提高工作效率和创新能力的不二法门。对于企业的档案管理,企业希望的是能从种类繁多数量庞大的档案中远程快速获取所需档案信息,从而高效的支持企业运转。要达成这一目标,就必须进行档案信息化和数字化建设。档案信息化和数字化建设,既包含着大量的技术性劳动,如软件开发,也包含着大量的基础性工作,如纸质档案扫描,仅靠企业自身力量远远不够或人力成本巨大,因此将一些业务外包给专业公司是解决问题的有效途径。

1.2企业档案业务外包的种类

企业档案业务外包从功能上主要可以划分为档案寄存外包、档案数字化外包和档案信息化外包等。

1.2.1档案寄存外包

档案寄存外包是指企业为了降低档案管理成本,将普通非涉密档案寄存于档案业务外包公司,外包公司为寄存档案提供专业化保管服务的行为。档案寄存外包是最早出现的档案外包业务,据了解,早在1993年国内就有商业性档案寄存企业出现,特别是近几年,档案外包行业逐年扩大,商业性档案寄存外包企业不断涌现。目前,国泰君安将一般个人普通客户档案寄存在上海某档案寄存托管公司,作为档案寄存外包保管,在确保档案信息安全的情况下,达到了较经济的保管费用性价比。

1.2.2档案数字化外包

档案数字化外包是目前比较流行也是档案外包服务中业务量最大的档案外包服务。档案数字化过程中主要依靠的是两种技术:一是数字压缩技术;一是扫描技术。档案数字化外包就是企业将非涉密纸质档案交由档案数字化外包公司,外包公司通过专业的图像扫描、图像压缩等技术将纸质档案转化成数字档案,同时建立纸质档案与数字档案对应关系的过程。国泰君安将档案数字化外包给上海某档案数字化服务公司,自2009年至今,相关外包公司已为国泰君安完成加工了存量档案超过3600万页,同时每年以加工600-800万页的增量档案进行档案数字化工作。

1.2.3档案信息化外包

“档案信息化外包就是档案管理部门将其信息化过程中非核心非保密的业务领域交由外部力量负责,以充分利用外部的人力资源物质资源和其他可用资源,提高效率,降低成本”[3]对于大多数企业档案管理部门而言,单纯依靠自身力量很难进行档案信息化建设,因此在进行信息化建设时都或多或少地借助了外部的技术力量,进行了全部或部分的信息化外包。国泰君安的档案全文电子化管理系统就是由国泰君安提出档案业务各项功能需求,与某档案专业软件公司共同合作开发完成的。

2企业档案业务外包的现实意义

2.1提高企业档案管理的工作质量

档案信息化、档案数字化等是外包公司的专业强项,借助外包公司的专业化服务,能明显提升企业档案管理的工作质量。如在档案数字化方面,外包公司拥有成套的专业设备、配套的专门人员和丰富的项目经验,将档案数字化外包,显然能极大的提高档案数字化的质量和速度。例如某档案数字化服务公司向国泰君安提供数字化外包服务,该公司拥有的双面扫描仪,具有自动去空白页以及自动去黑边、校正的功能,既提高了档案数字化工作的效率也保证了其质量。

2.2降低企业档案管理成本

通过将非核心档案业务外包,企业可以减少在标准库房建设、购买数字化设备及雇佣人员中的投入和开销,从而既能保证档案管理工作的质量又能降低成本。如国泰君安投资千余万元建成了标准化的档案库房,目前保存有近500万卷重要档案,而国泰君安现共有852万卷各类档案,如果把公司所有档案都保存在公司标准化档案库房,那公司就需要再次投入大笔资金建造标准化库房,而现在通过将非涉密的普通档案寄存于档案业务外包公司,国泰君安每年只需支付外包公司数十万元寄存费用,极大的降低了公司档案管理成本。

2.3促进企业档案信息化建设

外包公司为企业档案信息化建设提供了专业的外部力量,促进了企业档案信息化建设。例如国泰君安与档案专业软件公司合作开发了档案全文电子化管理系统,该系统将公司客户档案以实物原件为标准进行电子化集中扫描,根据“按户立卷”要求实现同客户代码自动并卷,并提供客户档案信息与柜面系统客户信息比对功能,要件检查、合规检查等合规审核功能等,系统查询响应速度在秒级,可同时支持千人级的并发查询,极大的提高了公司的档案信息远程共享能力

3企业档案业务外包中存在的安全风险及防范措施

3.1企业档案业务外包中存在的安全风险

档案业务外包虽然能弥补企业档案管理能力的不足,提升企业档案管理水平,但是企业档案业务外包也存在着较大的档案安全风险。“一份完整的档案由载体和记录信息两部分组成,档案的安全问题也主要体现在载体的安全和记录信息的安全两个方面”[4],企业的档案业务外包存在着档案原件损毁和丢失以及档案信息内容泄露的安全风险。

3.1.1档案原件损毁和丢失

档案原件损毁和丢失的风险主要存在于档案寄存外包服务和档案数字化外包服务中。无论是档案寄存外包还是档案数字化外包都会涉及到档案的搬运问题,在档案搬运过程中,如果管理不善,极易发生档案原件的损毁和丢失。与档案寄存外包相比,档案数字化外包更容易发生档案原件的损毁和丢失。档案寄存于外包公司库房内,一般会较少发生再次移动以及开盒查档等,涉及的人员也比较少,加之对档案库房的管理也相对较容易,因此发生档案原件损毁和丢失的风险也相对较小。而外包公司在对企业档案进行数字化时,需要对档案一页一页进行扫描以及核对,涉及多次搬运、开盒、取出、装入且涉及的人员众多,在这些过程中,存在着较大的档案原件损毁和丢失风险。

3.1.2档案信息内容泄露

档案价值的发挥要依赖其信息内容,因此档案信息内容的安全问题更是不能有丝毫懈怠。档案信息内容泄露的风险几乎存在于所有的档案业务外包服务中,对比档案原件损毁和丢失,档案信息内容泄露更容易发生且危害性更大。在档案的寄存外包中,当寄存档案没有封箱移库以及开箱调阅档案时都容易发生档案信息内容泄露;在档案数字化外包中,在档案的扫描、录入、组卷以及核对等过程中都存在着较大的档案信息内容泄露风险;在档案信息化外包中,外包公司在对信息系统进行升级维护以及员工进行档案信息远程查阅等过程中都存在着档案信息内容泄露的风险;有些企业也将档案销毁工作外包,如果对销毁过程监督不力或者档案销毁不彻底,都会造成档案信息内容的泄露。

3.2企业档案业务外包安全风险防范措施

风险是普遍存在的,任何事物都不可能绝对安全,夸大风险只会固步自封,漠视风险只会身临险境,只有客观对待风险,科学防范,才能充分利用事物的优势来发展自己。企业在进行档案业务外包时,必须要有有效的档案安全风险防范措施,来保证档案的安全。

3.2.1严格鉴定,限定外包档案范围

企业在进行档案业务外包时必须严格遵守“涉密档案不外包、外包档案不涉密”的原则,对外包档案进行严格的鉴定挑选。“所有外包的档案中不应有涉密或敏感信息,凡带有涉密或敏感信息的档案应按照《中华人民共和国保守国家秘密法》及国家其他有关涉密管理的规定保管。”[5]国泰君安严格遵守档案外包原则,选择将一般个人普通客户档案进行业务外包,对其它如机构客户、融资融券信用客户等敏感重要档案都进行自管,不进行外包处理。

3.2.2建立门槛,选择合格的外包公司

在企业档案业务外包中,外包公司直接涉及企业档案实体和信息内容安全,与企业的利益息息相关。因此在选择外包公司时,有必要建立门槛,选择合格的外包公司,从而保证档案安全。选择外包公司可以从以下几方面进行:

1)所有制性质

审核外包公司所有制性质,主要考虑公司是内资背景还是外资背景,对公司管理层人员的背景也要加以审核。

2)资质和规模

从事档案业务外包服务的机构应该是依法在工商管理登记的企业,具有独立法人资格,最好是具体一定的保密资质认定的,能够独立承担民事责任,具有独立的财务管理、会计核算和资产管理制度,具有依法缴纳税收和社会保障资金的良好记录以及在市场竞争中无违纪违法行为等。对外包公司的规模也有必要考虑,一般情况下,“要选择注册资金100万元以上、员工人数50人以上”[6]的公司进行业务外包。

3)业务水平

外包公司在从事档案业务外包服务时,应该拥有相应的标准化库房、成套的档案数字化设备、固定且熟悉相关业务的专职人员,同时其内部还应有一套完整的管理制度,制度包括公司人员管理制度以及相关业务各个环节的工作规范和指标等。除此之外在选择外包公司时,还要结合外包公司其它项目案例综合考虑,要选择项目经验丰富,拥有众多大中型单位客户的外包公司。例如国泰君安选择某档案寄存托管公司,其库房达到了“防热、防高温、防潮、防水、防光、防尘、防霉、防虫、防盗、防火”的“十防”要求,还制定了《档案保密制度》、《档案借阅、利用制度》、《库房管理制度》、《库区安全制度》、《档案人员工作制度》、《档案保管制度》等各项规章制度并严格执行,为寄存档案创造了安全的保存环境。

3.2.3明晰权责,把握好合同细节

选择好合格的档案业务外包公司后,就要与之签订合同。合同是规定合同双方权利和义务,并保证合同双方履行义务和行使权利的法律凭证,内容包括业务范围、工作标准、违约责任、定价及费用等、人员管理及其它条款。合同签订后,合同双方的行为依据和标准都来自合同中的规定,因此合同条款至关重要。企业在与外包公司签订合同时,要尽可能详细而明确的列出涉及业务事项的规定,尤其是涉及档案安全的条款,必须要严肃对待,可考虑高额的违约处罚条款,使外包公司在经济效益层面更加重视档案安全保密工作,以免造成巨额赔偿责任。企业不仅要与档案业务外包公司签订合同协议,还必须签订保密协议或是在合同协议中明确保密条款。

1)档案寄存外包合同中的档案安全条款

在档案寄存外包中要特别注意档案运输和档案调阅中的档案安全。在合同条款中须明确规定档案运输过程中必须进行盖章密封,并且有企业人员全程押运,档案到达目的地后还要对交接入库过程进行监督,直到档案安全放入外包公司库房档案架后,企业人员才可离开;寄存档案都要进行封箱处理,未经企业同意,外包公司不得擅自开箱,企业需要查阅(借阅)档案时,外包公司必须调出整箱档案交予企业人员并做好查(借)阅登记,由企业人员进行开箱,查(借)阅结束后也由企业人员进行封箱处理再作归还入库。企业还需与外包公司签订档案寄存保密协议,规定外包公司不得以任何形式泄露企业档案信息,并规定严厉的违约处罚措施,外包公司对其聘用的工作人员也要进行身份审查和登记备案,并与其签订保密协议。

2)档案数字化外包合同中的档案安全条款

在档案数字化外包中存在的档案安全风险点较多,因此,相关条款必须详尽并且有针对性。合同必须有下列条款:企业安保人员对外包公司整理、数字化工作场地有实时监控的权利,企业档案管理人员须对外包公司实行全流程现场监督管理,并实现数字化场地等24小时无死角实时监控录像以备考察,档案实体未经企业工作人员允许不得带离加工现场;外包公司必须对其数字化加工电脑信息出口统一做封闭处理(封闭USB接口、可写光驱等),档案数字化电脑不得连入互联网;外包公司工作人员不得携带个人物品进入工作场所(包括手机等通讯设备以及移动硬盘、U盘等存储设备),在工作期间不允许喝水、抽烟、饮食、禁用通讯设备及做其它可能损坏档案的行为;外包公司完成的半成品数据需要进行数据交换的要在企业工作人员监督下进行统一输出至由企业提供并保存管理的外接存储器;外包公司数字化任务完成时,企业有权检查外包公司所有设备是否有信息留存,凡有信息留存的,必须对所有存储设备进行物理格式化并做安全技术处理,确保清除所有相关数据。企业也同样需要与外包公司签订安全保密协议,规定外包公司不得下载、留存、持有和使用企业的任何档案信息。

3)档案信息化外包合同中的档案安全条款

在档案信息化外包合同中必须规定外包公司工作人员进行系统开发工作时仅限内网和测试数据开发,档案信息集中存放在企业服务器上,外包人员不得将相关档案信息(数据)下载至本地个人电脑上使用,同时系统内的所有操作记录系统都自动实现留痕备案。在档案信息化外包中,企业同样需要与外包公司签订保密协议,限定其不得以任何方式向任何第三方泄露保密信息,保密信息不得带离企业提供的工作场所。

3.2.4做好监督,控制全程运作

合同签订后,合同双方就要按合同规定开展各项工作,企业的主要工作就是对外包公司的业务运作进行监督管理。在档案安全管理方面,企业要实时监督外包公司是否按合同规定严格执行,同时也要尽可能的发现外包公司业务运作中存在的档案安全风险。在档案寄存外包中,企业要定期和不定期的对寄存于外包公司的档案箱(盒)密封情况进行检查,一旦发现安全隐患,应责成外包公司限期整改,整改不到位的,应撤回所寄存档案。在档案数字化外包中,企业驻场人员要严格监督外包公司的项目管理,发现档案安全隐患就要立即向外包公司进行反馈,责其快速整改以消除隐患。在档案信息化外包中,要定期和不定期的检查外包人员系统内的操作记录,保证档案信息内容不泄露。此外,“企业还可以借助外部专业监管力量(如工商部门、消防部门、保密部门)以及依靠档案主管部门的力量,对档案业务外包公司进行监管”[7],如工商部门检查商业信誉,消防部门检查消防设备运行效能、保密部门检查审核外包公司保密服务资质,以及企业进行档案业务外包时向档案行政管理部门备案等。

4结语

企业档案业务外包的兴起有其历史必然性,企业借助外包公司的力量能弥补其档案管理能力的不足,提升档案管理水平,降低管理成本,促进档案信息化建设。但是企业档案业务外包存在着较大的档案原件损毁和丢失以及档案信息内容泄露的安全风险,只有通过事前制定对应的措施,科学防范,才能有效消除风险,从而能充分利用档案业务外包来辅助企业档案管理。相信随着相关法律法规的完善以及行业的发展成熟,档案业务外包服务将在企业的档案管理中发挥越来越大的作用。