《涉密檔案數(shù)字化加工服務(wù)規(guī)范》

ICS03.080.20

CCSA14

SDBMXH

團(tuán)體標(biāo)準(zhǔn)

T/SDBMXHXXX—2023

涉密檔案數(shù)字化加工服務(wù)規(guī)范

Specificationfordigitalprocessingserviceofclassifiedarchive

（征求意見稿）

（本草案完成時間：2023.9.28）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

2023-XX-XX發(fā)布XXXX-XX-XX實施

山東省保密協(xié)會發(fā)布

T/SDBMXHXXX—2023

涉密檔案數(shù)字化加工服務(wù)規(guī)范

1范圍

本文件規(guī)定了涉密檔案數(shù)字化加工服務(wù)工作中承包方的服務(wù)規(guī)范、信用評價與質(zhì)量監(jiān)督規(guī)范。

本文件適用于機(jī)關(guān)、企事業(yè)單位和其他社會組織開展的涉及國家秘密檔案數(shù)字化服務(wù)外包工作。涉

及工作秘密、商業(yè)秘密的檔案數(shù)字化加工服務(wù)工作可參照本文件執(zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

DA/T68.1檔案服務(wù)外包工作規(guī)范第1部分：總則

DA/T68.2檔案服務(wù)外包工作規(guī)范第2部分：檔案數(shù)字化服務(wù)

3術(shù)語和定義

DA/T68.1、DA/T68.2界定的術(shù)語和定義適用于本文件。

4服務(wù)規(guī)范

4.1總體要求

承包方應(yīng)堅持合法、安全、保密、可控原則開展涉密檔案數(shù)字化加工服務(wù)工作。

4.2涉密檔案數(shù)字化加工前的工作

4.2.1合同簽訂前，承包方應(yīng)積極配合發(fā)包方對本單位保密資質(zhì)、企業(yè)信用、企業(yè)股權(quán)結(jié)構(gòu)、企業(yè)法

人代表身份、實際控制人身份等情況的核實、審查工作。

4.2.2承包方在與發(fā)包方簽訂服務(wù)合同時，應(yīng)在合同中明確雙方的保密責(zé)任與義務(wù)，或單獨與發(fā)包方

簽訂保密協(xié)議，并應(yīng)在合同文本或保密協(xié)議中明確該項目密級。

4.2.3承包方應(yīng)獲得發(fā)包方委托證明后，方可開展工作。

4.3制定工作方案

4.3.1工作開始之前，承包方應(yīng)對發(fā)包方的具體實際需求進(jìn)行調(diào)查研究，掌握擬數(shù)字化加工的涉密檔

案的數(shù)量、質(zhì)量和管理狀況，明確涉密檔案數(shù)字化服務(wù)的工作目標(biāo)，以及完成目標(biāo)所需的條件，編制工

作方案。

4.3.2承包方應(yīng)根據(jù)涉密檔案數(shù)字化加工項目實際，結(jié)合業(yè)務(wù)工作流程，編制專項保密工作方案。保

密工作方案內(nèi)容應(yīng)包括但不限于：工作目標(biāo)、工作內(nèi)容、信息設(shè)備配置、保密工作機(jī)構(gòu)和涉密人員崗位

職責(zé)分工、各環(huán)節(jié)安全保密管理措施、風(fēng)險控制、應(yīng)急處置等，確保管理全程可控可查。

4.4人員管理

4.4.1承包方應(yīng)按照國家保密相關(guān)規(guī)定，加強(qiáng)參與涉密檔案數(shù)字化外包服務(wù)工作人員的保密教育管理。

4.4.2承包方應(yīng)保證參與檔案數(shù)字化加工的工作人員是與承包方簽訂正式合同人員，且已按照國家相

關(guān)保密要求明確為相應(yīng)等級的涉密人員、進(jìn)行了每年度不少于10個學(xué)時的保密教育培訓(xùn)、簽訂保密承

諾書。

4.4.3承包方應(yīng)將直接參與本項目涉密檔案數(shù)字化加工過程的員工名單向發(fā)包方備案。積極配合發(fā)包

方，對參與本項目的人員進(jìn)行背景審查。

3

T/SDBMXHXXX—2023

4.4.4涉密檔案數(shù)字化加工項目開始后，承包方不應(yīng)調(diào)整工作人員。確因需要調(diào)整工作人員的，應(yīng)經(jīng)

發(fā)包方同意，并符合4.4.2相關(guān)要求。離職離崗人員應(yīng)清退各類涉密載體、涉密信息設(shè)備和涉密存儲設(shè)

備，簽訂離職離崗保密承諾書，按照國家相關(guān)保密要求實行脫密期管理。

4.5信息系統(tǒng)和設(shè)備管理

4.5.1涉密檔案數(shù)字化加工期間，承包方用來存儲、處理、傳輸?shù)南到y(tǒng)或網(wǎng)絡(luò)，應(yīng)經(jīng)過系統(tǒng)測評或者

風(fēng)險評估，經(jīng)審查合格取得《涉及國家秘密的信息系統(tǒng)審查合格證》。合格證涉及事項發(fā)生變化時，應(yīng)

按照有關(guān)規(guī)定及時報告。若承包方未建立涉密網(wǎng)絡(luò)，則必須使用滿足保密要求的涉密單機(jī)開展檔案數(shù)字

化加工工作。

4.5.2承包方原則上應(yīng)具備滿足檔案數(shù)字化加工的設(shè)備能力，禁止使用臨時租賃的計算機(jī)、掃描儀、

照相機(jī)、攝像機(jī)等設(shè)備開展涉密檔案數(shù)字化加工工作。承包方原則上應(yīng)使用發(fā)包方提供的硬件設(shè)備和軟

件系統(tǒng)開展涉密檔案數(shù)字化加工工作。

4.5.3承包方應(yīng)發(fā)包方要求提供硬件設(shè)備和軟件系統(tǒng)的，相關(guān)設(shè)備應(yīng)通過保密行政管理部門設(shè)立或授

權(quán)的檢測機(jī)構(gòu)檢測合格。

4.5.4涉密檔案數(shù)字化加工所需的計算機(jī)及存儲介質(zhì)、打印機(jī)、復(fù)印機(jī)、掃描儀、照相機(jī)、攝像機(jī)等

具有信息存儲和處理的設(shè)備，應(yīng)符合國家有關(guān)保密規(guī)定，粘貼密級、標(biāo)號、責(zé)任人等標(biāo)識，并建立管理

臺賬，實行全生命周期管理。臺賬一式兩份，分別由發(fā)包方、承包方留存。

4.5.5除必要的計算機(jī)操作系統(tǒng)、殺毒軟件、檔案數(shù)字化加工軟件、數(shù)據(jù)庫軟件和第三方安全管理軟

件外，承包方不應(yīng)安裝其他無關(guān)軟件。

4.5.6承包方應(yīng)對涉密檔案數(shù)字化加工使用的計算機(jī)，安裝涉密計算機(jī)及移動存儲介質(zhì)保密管理系統(tǒng)

（簡稱“三合一”），對掃描儀等信息采集設(shè)備，應(yīng)采用技術(shù)手段或物理設(shè)備封閉所有不必要的信息輸

出裝置或端口，如USB接口、紅外線、藍(lán)牙、SCSI接口、光驅(qū)接口等，發(fā)包方應(yīng)對封閉的裝置或端口

進(jìn)行定期檢查。

4.5.7涉密檔案數(shù)字化加工使用的計算機(jī)、移動存儲介質(zhì)，承包方應(yīng)按照存儲、處理信息的最高密級

進(jìn)行管理與防護(hù)。

4.5.8承包方使用的涉密檔案數(shù)字化加工信息設(shè)備應(yīng)符合相關(guān)保密規(guī)定。不應(yīng)將涉密信息設(shè)備接入互

聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；不應(yīng)將涉密信息設(shè)備接入內(nèi)部非涉密信息系統(tǒng)；不應(yīng)使用非涉密信息設(shè)備存

儲、處理涉密信息；不應(yīng)超越計算機(jī)、移動存儲介質(zhì)的涉密等級存儲、處理涉密信息；不應(yīng)在涉密計算

機(jī)和非涉密計算機(jī)之間交叉使用移動存儲介質(zhì)；不應(yīng)在涉密計算機(jī)與非涉密計算機(jī)之間共用打印機(jī)、掃

描儀等信息設(shè)備。

4.5.9承包方應(yīng)在發(fā)包方的監(jiān)督下，對涉密檔案數(shù)字化加工使用的計算機(jī)、服務(wù)器等涉密信息設(shè)備采

取身份鑒別、訪問控制、違規(guī)外聯(lián)監(jiān)控、安全審計、移動存儲介質(zhì)管控等安全保密措施，并及時升級病

毒和惡意代碼樣本庫，定期進(jìn)行病毒和惡意代碼查殺。信息管理軟件應(yīng)建立身份鑒別、訪問權(quán)限設(shè)置等

安全保密措施，根據(jù)員工類型及崗位職責(zé)賦予相應(yīng)的訪問權(quán)限。

4.5.10涉密檔案數(shù)字化加工的信息設(shè)備的信息導(dǎo)入導(dǎo)出應(yīng)嚴(yán)格履行審批程序，相對集中、有效控制，

并采取相應(yīng)審計措施。

4.5.11涉密檔案數(shù)字化加工使用的計算機(jī)及辦公自動化設(shè)備應(yīng)拆除具有無線聯(lián)網(wǎng)功能的硬件模塊，不

應(yīng)使用具有無線互聯(lián)功能或配備無線鍵盤、無線鼠標(biāo)等無線外圍裝置的信息設(shè)備存儲、處理涉密信息。

4.5.12涉密檔案數(shù)字化加工使用的信息設(shè)備的維修，原則上應(yīng)在承包方內(nèi)部進(jìn)行，由承包方維修人員

進(jìn)行維修，維修人員應(yīng)為涉密人員。內(nèi)部維修人員無法維修時，應(yīng)選擇由相應(yīng)資質(zhì)的維修單位，簽訂合

同和保密協(xié)議，維修時，承包方工作人員全程旁站陪同。確需外送維修時，應(yīng)拆除所有存儲過涉密信息

的硬件和固件，承包方派人全程監(jiān)督陪同。涉密信息設(shè)備中存儲過涉密信息的硬件和固件、涉密存儲設(shè)

備需要維修時，應(yīng)選擇到具有保密行政管理部門頒發(fā)的涉密信息數(shù)據(jù)恢復(fù)資質(zhì)的單位進(jìn)行維修，并派專

人負(fù)責(zé)取送。

4.5.13涉密檔案數(shù)字化加工使用的信息設(shè)備改作非涉密信息設(shè)備使用或淘汰處理時，承包方應(yīng)將涉密

信息存儲部件拆除。涉密存儲設(shè)備不應(yīng)變更為非密存儲設(shè)備使用。淘汰處理的涉密存儲介質(zhì)和涉密信息

存儲部件，應(yīng)送交當(dāng)?shù)厣婷茌d體銷毀機(jī)構(gòu)銷毀。

4.5.14涉密檔案數(shù)字化加工使用的計算機(jī)及移動存儲介質(zhì)攜帶外出應(yīng)嚴(yán)格履行審批手續(xù)，帶出前和帶

4

T/SDBMXHXXX—2023

回后，均應(yīng)接受保密檢查，并真實記錄。

4.6場所管理

4.6.1承包方原則上應(yīng)具備內(nèi)部固定的檔案數(shù)字化加工場所，不應(yīng)臨時在外租賃場所開展檔案數(shù)字化

加工。涉密檔案數(shù)字加工服務(wù)原則上應(yīng)在發(fā)包方指定的涉密場所進(jìn)行。加工場所應(yīng)符合國家關(guān)于保密要

害部位安全保密的相關(guān)防護(hù)要求，采取出入口控制（電子門禁）、入侵報警、視頻監(jiān)控等技術(shù)防護(hù)措施。

4.6.2承包方提供相關(guān)安全防護(hù)設(shè)備的，應(yīng)符合國家保密相關(guān)要求。安裝部署后，應(yīng)通過保密行政管

理部門設(shè)立或授權(quán)的檢測機(jī)構(gòu)檢測合格。

4.6.3應(yīng)對進(jìn)出檔案數(shù)字化加工場所的工作人員進(jìn)行審批授權(quán)，非授權(quán)人員禁止進(jìn)出。人員進(jìn)出時應(yīng)

進(jìn)行詳細(xì)登記，并接受加工場所管理人員的檢查。

4.6.4工作人員應(yīng)將私人物品放置的場所外的儲物柜內(nèi)，不應(yīng)帶入工作區(qū)域。不應(yīng)將照相機(jī)、攝像機(jī)、

手機(jī)、電腦、移動存儲介質(zhì)、智能手環(huán)（表）、對講機(jī)等電子設(shè)備帶入工作區(qū)域。

4.6.5檔案數(shù)字化加工場所內(nèi)作業(yè)完畢后，不應(yīng)關(guān)閉的監(jiān)控、報警、消防等電源，保持安防設(shè)備的持

續(xù)工作。

4.6.6承包方應(yīng)建立現(xiàn)場上下班物品清點值班制度，嚴(yán)禁任何人員擅自將檔案數(shù)字化加工場所內(nèi)的物

品帶離現(xiàn)場。下班后，移動存儲設(shè)備應(yīng)存放于專柜、上鎖，指定專人負(fù)責(zé)保管。

4.7訪客管理

4.7.1承包方因業(yè)務(wù)需要，邀請或接受非工作人員進(jìn)入檔案數(shù)字化加工場所時，應(yīng)征得發(fā)包方的同意，

并對訪客的身份、來訪事由進(jìn)行審核和登記。

4.7.2訪客在進(jìn)入涉密檔案數(shù)字化加工場所前應(yīng)簽訂保密承諾書，承諾不泄露在參觀過程中可能接觸

的任何檔案信息。

4.7.3訪客不應(yīng)將手機(jī)、電腦、照相機(jī)、錄像機(jī)等具有拍照、錄音、錄像功能的設(shè)備帶入涉密檔案數(shù)

字化加工場所。

4.7.4訪客進(jìn)入涉密檔案數(shù)字化加工場所，并由發(fā)包方或承包方工作人員全程陪同。

4.7.5訪客應(yīng)遵守涉密檔案數(shù)字化加工場所安全保密管理規(guī)定，在指定區(qū)域內(nèi)進(jìn)行參觀，不應(yīng)隨意走

動，不應(yīng)觸碰物品。

4.8涉密檔案數(shù)字化過程管理

4.8.1承包方應(yīng)加強(qiáng)涉密檔案數(shù)字化加工全過程、全方位的保密管理。涉密檔案實體和數(shù)字化加工成

果應(yīng)嚴(yán)格控制知悉范圍，嚴(yán)禁擅自復(fù)制、留存。

4.8.2承包方應(yīng)對擬數(shù)字化的涉密檔案進(jìn)行一致性檢查，對發(fā)現(xiàn)的無法確認(rèn)密級的檔案應(yīng)及時向發(fā)包

方報告。

4.8.3承包方應(yīng)配合發(fā)包方建立涵蓋涉密檔案實體、數(shù)字化加工成果、信息存儲設(shè)備及其他涉及國家

秘密載體的接受、保管、領(lǐng)用、交付、銷毀等環(huán)節(jié)的交接登記制度，登記內(nèi)容包括品種、名稱、數(shù)量、

時間、批準(zhǔn)人、經(jīng)辦人情況等。

4.8.4對正在進(jìn)行數(shù)字化加工的涉密檔案，承包方應(yīng)安排專人保管，每天入庫(保密柜)或及時交由發(fā)

包方保管，不應(yīng)在工位上留存過夜。對于數(shù)字化加工完畢的檔案，承包方應(yīng)及時發(fā)包方與辦理交接手

續(xù)，入庫（保密柜）保存。

4.8.5對涉密檔案數(shù)字化加工過程中使用的計算機(jī)硬盤、移動硬盤、U盤、光盤等各種存儲介質(zhì)應(yīng)嚴(yán)

格按照國家秘密管理要求和涉密存儲設(shè)備要求進(jìn)行全生命周期管理。

4.8.6承包方的打印、復(fù)制、光盤刻錄等行為應(yīng)嚴(yán)格按照雙方約定進(jìn)行，，并詳細(xì)登記，防止涉密數(shù)

字化方案成果失控，未經(jīng)發(fā)包方批準(zhǔn)，嚴(yán)謹(jǐn)擅自多印多制。

4.8.7承包方應(yīng)主動接受發(fā)包方的保密檢查和管理，及時對相關(guān)問題進(jìn)行整改。

4.8.8對發(fā)生或可能導(dǎo)致涉密檔案實體、數(shù)字化加工成果丟失或信息泄露等重大事件后，承包方應(yīng)第

一時間向發(fā)包方報告，采取補(bǔ)救措施，防止失泄密。

4.9成果管理

5

T/SDBMXHXXX—2023

4.9.1對于尚未移交發(fā)包方的涉密檔案數(shù)字化成果，承包方應(yīng)在發(fā)包方的監(jiān)督下做好備份管理，以免

數(shù)據(jù)丟失。

4.9.2承包方應(yīng)積極配合發(fā)包方對涉密檔案數(shù)字化加工成果進(jìn)行驗收。對不符合法規(guī)、標(biāo)準(zhǔn)、合同的

交付成果，承包方應(yīng)按照發(fā)包方要求限期整改。

4.9.3承包方應(yīng)將經(jīng)數(shù)據(jù)檢驗的涉密檔案數(shù)字化成果，包括涉密檔案數(shù)字化過程中形成的各種數(shù)字化

工作文件、日志、記錄、元數(shù)據(jù)等，以及使用的各種存儲介質(zhì)，及時移交發(fā)包方，并履行書面交接手續(xù)，

不應(yīng)擅自留存。

4.9.4承包方所加工的涉密數(shù)字化檔案成果，應(yīng)以光盤、硬盤等實物形式交付發(fā)包方，不應(yīng)利用互聯(lián)

網(wǎng)及其他公共信息網(wǎng)絡(luò)傳遞交付。

4.9.5承包方應(yīng)將涉密檔案數(shù)字化加工的各種信息設(shè)備及存儲介質(zhì)、打印及復(fù)制記錄、視頻監(jiān)控數(shù)據(jù)

及回放記錄、工作人員變更記錄等，交由發(fā)包方進(jìn)行保密檢查。

4.9.6承包方應(yīng)將各種工作人員名單、訪客名單、保密承諾書、檔案交接單、工作流程單、項目驗收

報告，以及工作過程中形成的其他記錄歸檔保存兩份，其中一份提交發(fā)包方。

4.9.7經(jīng)數(shù)據(jù)檢驗、安全保密確認(rèn)、驗收評估之后，發(fā)包方應(yīng)與承包方辦理檔案、數(shù)據(jù)、硬件設(shè)備、

軟件系統(tǒng)及其他相關(guān)記錄的交接手續(xù)。

4.9.8在涉密檔案數(shù)字化外包服務(wù)驗收后，承包方應(yīng)在發(fā)包方監(jiān)督下，對相關(guān)信息設(shè)備存儲部件拆除，

并委托當(dāng)?shù)乇Ｃ芗夹g(shù)服務(wù)機(jī)構(gòu)進(jìn)行銷毀或信息消除。

4.10持續(xù)改進(jìn)

承包方應(yīng)及時總結(jié)涉密檔案數(shù)字化服務(wù)過程中的經(jīng)驗，不斷改進(jìn)工作，持續(xù)提升服務(wù)能力。

5業(yè)務(wù)管理

5.1.1承包方應(yīng)按照資質(zhì)等級、類別承接涉密檔案數(shù)字化加工業(yè)務(wù)，不應(yīng)將承接的涉密檔案數(shù)字化加

工項目分包或轉(zhuǎn)包給不具備相應(yīng)資質(zhì)的單位。

5.1.2承