机关档案服务外包安全管理规范（征求意见稿）

1T/JXEA142—2026机关档案服务外包安全管理规范本文件规定了机关档案服务外包活动中，发包方与承包方在安全管理方面的原则、责任、流程与控制要求。本文件适用于各级国家机关、法律法规授权具有管理公共事务职能的组织将其档案管理相关业务委托给外部服务机构时，所涉及的安全管理活动。其他单位可参照执行。下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本适用于本文件。GB/T33481-2016党政机关电子公文归档规范DA/T31-2017纸质档案数字化规范DA/T68-2020档案服务外包工作规范GB/T22080-2016信息技术安全技术信息安全管理体系要求GB/T35273-2020信息安全技术个人信息安全规范《中华人民共和国档案法》《中华人民共和国保守国家秘密法》《中华人民共和国数据安全法》下列术语和定义适用于本文件。3.1档案服务外包机关将其档案管理业务中的部分或全部，以合同方式委托给具有相应资质和能力的法人或其他组织完成的活动。3.2发包方将档案服务业务委托出去的机关，是档案安全的第一责任主体。3.3承包方接受机关委托，提供档案服务的法人或其他组织。3.4涉密档案服务外包涉及国家秘密载体的整理、数字化、销毁等业务的委托活动。3.5核心业务数据2T/JXEA142—2026在档案服务外包过程中产生、传输、处理的，涉及国家秘密、工作秘密、重要政务信息、敏感个人信息及档案核心元数据等的数据集合。3.6服务现场服务商为履行合同而在发包方指定场所内开展工作的区域。4.1安全管理原则4.1.1安全第一，预防为主：将安全保障作为外包决策和管理的首要前提，建立覆盖事前、事中、事后的全过程风险防控机制。4.1.2权责一致，边界清晰：明确划分发包方与服务商的安全责任，发包方承担最终安全责任，服务商承担合同约定的具体安全义务。4.1.3最小必要，全程可控：外包服务范围和权限应遵循最小化原则，仅限于完成合同目标所必需；发包方应对服务过程保持必要的监督和控制能力。4.1.4分类分级，精准施策：根据档案的密级、重要性和敏感程度，实施差异化的安全管理策略和技术防护措施。4.1.5合法合规，持续改进：外包活动必须严格遵守国家法律法规和标准规范，并建立安全管理的持续评审与改进机制。4.2安全责任体系4.2.1发包方安全责任：a)建立健全外包安全管理制度和应急预案。b)负责服务商的资格审查与遴选。c)明确外包服务的安全目标、范围、要求和保密条款。d)监督、检查、评估服务商的安全履约情况。e)对服务人员进行必要的安全背景审查和入場安全教育。f)负责处理外包活动中发生的安全事件。4.2.2服务商安全责任：a)建立健全自身的安全管理体系，并获得发包方认可。b)确保其资质、人员、技术、设施满足合同约定的安全要求。c)严格遵守发包方的安全管理制度和操作流程。d)对其员工进行持续的安全培训和教育。e)采取有效措施保障档案实体、信息、环境及人员安全。f)及时报告安全风险与事件，并配合发包方进行调查处置。5.1服务商准入安全要求5.1.1基本资质：服务商应具有独立法人资格，具备履行合同所必需的设备和专业技术能力，财务状况良好，信誉良好。T/JXEA142—202635.1.2安全资质：鼓励服务商获得信息安全管理体系认证。涉及大量个人信息处理的，应具备相应的数据安全保护能力。涉密档案服务外包的服务商，必须具有国家保密行政管理部门认定的相应涉密资质，并在资质许可范围内承接业务。5.1.3人员要求：服务商项目负责人和关键岗位人员应具备相应的专业背景和工作经验，并接受过必要的安全保密培训。涉密岗位人员须通过保密行政管理部门组织的保密培训并取得证书。5.1.4设施与环境：服务商用于处理发包方档案的固定场所应具备必要的实体安全防护措施和符合要求的环境条件。5.2遴选与合同管理5.2.1发包方应成立由档案、保密、信息化、财务、法律等部门组成的遴选小组，制定包含安全权重在内的综合评审标准。5.2.2采购文件及合同中必须包含详细的安全要求条款，至少涵盖：a)安全责任划分与赔偿条款。b)保密义务与保密协议。c)信息安全控制要求。d)业务连续性及灾难恢复要求。e)监督、检查与审计权利。f)安全事件报告与处置流程。g)合同终止或到期后的数据、设备、物料归还与安全处置要求。5.2.3合同签订前，应对服务商进行安全尽职调查，必要时进行现场考察。6.1服务启动与人员管理6.1.1入场管理：服务商人员进入发包方场地工作前，应提交人员名单及背景资料，由发包方备案并进行入场安全教育，签订保密承诺书。涉密人员管理按国家保密规定执行。6.1.2身份标识与权限管理：服务人员应佩戴统一标识，其访问档案、信息系统、设备设施的权限应严格按“最小权限”原则分配，并定期复核。6.1.3现场行为管理：严禁服务人员私自携带摄像、录音、存储等设备进入工作区域；严禁擅自复制、传播、外泄任何工作内容与数据；工作区域内严禁使用个人智能终端。6.2实体档案安全管理6.2.1交接与流转：档案出库、入库、交接必须履行严格的清点、登记、签收手续，实现全程可追溯。交接单应详细记录档案数量、档号、状态、时间及交接人。6.2.2现场加工与保管：a)工作现场应实行封闭式管理，安装无死角视频监控，监控记录保存期限不少于6个月。b)档案不得脱离指定工作区域，下班后所有档案必须入柜上锁。c)数字化加工等环节产生的档案碎片、废件、测试样张等必须使用专用涉密碎纸机即时销毁，并登记销毁记录。d)档案存放场所应符合“八防”要求。6.3过程监督与审计T/JXEA142—202646.3.1发包方应指定专人负责外包服务的日常安全监督，定期和不定期进行现场巡查，巡查每周不少于一次。6.3.2发包方有权对服务商的操作流程、安全措施、日志记录等进行审计，服务商应予配合。关键操作日志应保存备查，保存时间不少于合同期满后2年。6.3.3鼓励采用技术手段对数字化加工流水线、数据上传下载等关键环节进行实时监控与审计。7.1信息系统与网络安全7.1.1服务商如需接入发包方内部网络或使用发包方信息系统，必须经过审批，并严格遵守发包方的网络安全管理规定。7.1.2服务商自有的用于处理发包方数据的信息系统，其安全防护等级应不低于发包方要求，并接受发包方的安全评估。7.1.3工作用计算机应拆除或禁用无关硬件接口，安装杀毒软件并及时更新，严禁安装未经许可的软件。7.2数据处理与传输安全7.2.1数字化形成的电子图像、目录数据等核心业务数据，必须在发包方指定的安全环境内进行处理和存储。7.2.2数据传输必须采用加密通道。严禁通过互联网公共邮箱、即时通讯工具等非安全方式传输核心业务数据。7.2.3数据备份策略应由双方确认，备份介质应安全存放，定期进行恢复性测试。8.1保密管理8.1.1发包方应根据档案内容明确界定外包服务所涉及的秘密范围和敏感信息范围，并以书面形式告知服务商。8.1.2服务商必须建立与所承担业务密级相符的保密管理制度，设立保密管理机构或指定保密管理人员。8.1.3涉密档案的整理、数字化、销毁等业务，必须在符合国家保密标准的场所内进行，其流程、人员、设备、载体管理必须严格遵守《保守国家秘密法》及其配套法规。8.2个人信息保护8.1.1外包服务涉及处理个人信息的，应遵循合法、正当、必要原则，不得超出约定范围处理。8.1.2应采取去标识化、加密存储、访问控制等技术措施保护个人信息安全。8.1.3服务商人员应签署个人信息保护承诺书，明确其违规处理个人信息的法律责任。T/JXEA142—202659.1应急预案9.1.1发包方应将外包服务可能引发的安全事件纳入本单位总体应急预案。9.1.2服务商应制定针对档案丢失、损坏、信息泄露、网络安全事件、自然灾害等情况的专项应急预案，并报发包方备案。9.1.3双方应定期组织联合应急演练，每年至少一次，并评估演练效果，修订预案。9.2业务连续性9.2.1服务商应具备保障服务连续性的能力，制定业务连续性计划，确保在发生中断事件时能在约定的时间内恢复服务。9.2.2关键业务应避免对单一服务商的过度依赖，必要时可考虑分标段或引入备用服务商。10.1安全绩效考核发包方应将安全管理要求纳入对服务商的定期考核指标，考核结果与服务费用支付、合同续签挂钩。安全考核应占总考核权重的30%以上。10.2风险报告与整改服务商应定期向发包方提交安全风险自查报告。发包方在监督检查中发现安全隐患，应下达书面整改通知，服务商须在规定期限内整改并反馈。10.