《涉密档案数字化加工服务规范》

ICS03.080.20

CCSA14

SDBMXH

团体标准

T/SDBMXHXXX—2023

涉密档案数字化加工服务规范

Specificationfordigitalprocessingserviceofclassifiedarchive

（征求意见稿）

（本草案完成时间：2023.9.28）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

2023-XX-XX发布XXXX-XX-XX实施

山东省保密协会发布

T/SDBMXHXXX—2023

涉密档案数字化加工服务规范

1范围

本文件规定了涉密档案数字化加工服务工作中承包方的服务规范、信用评价与质量监督规范。

本文件适用于机关、企事业单位和其他社会组织开展的涉及国家秘密档案数字化服务外包工作。涉

及工作秘密、商业秘密的档案数字化加工服务工作可参照本文件执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

DA/T68.1档案服务外包工作规范第1部分：总则

DA/T68.2档案服务外包工作规范第2部分：档案数字化服务

3术语和定义

DA/T68.1、DA/T68.2界定的术语和定义适用于本文件。

4服务规范

4.1总体要求

承包方应坚持合法、安全、保密、可控原则开展涉密档案数字化加工服务工作。

4.2涉密档案数字化加工前的工作

4.2.1合同签订前，承包方应积极配合发包方对本单位保密资质、企业信用、企业股权结构、企业法

人代表身份、实际控制人身份等情况的核实、审查工作。

4.2.2承包方在与发包方签订服务合同时，应在合同中明确双方的保密责任与义务，或单独与发包方

签订保密协议，并应在合同文本或保密协议中明确该项目密级。

4.2.3承包方应获得发包方委托证明后，方可开展工作。

4.3制定工作方案

4.3.1工作开始之前，承包方应对发包方的具体实际需求进行调查研究，掌握拟数字化加工的涉密档

案的数量、质量和管理状况，明确涉密档案数字化服务的工作目标，以及完成目标所需的条件，编制工

作方案。

4.3.2承包方应根据涉密档案数字化加工项目实际，结合业务工作流程，编制专项保密工作方案。保

密工作方案内容应包括但不限于：工作目标、工作内容、信息设备配置、保密工作机构和涉密人员岗位

职责分工、各环节安全保密管理措施、风险控制、应急处置等，确保管理全程可控可查。

4.4人员管理

4.4.1承包方应按照国家保密相关规定，加强参与涉密档案数字化外包服务工作人员的保密教育管理。

4.4.2承包方应保证参与档案数字化加工的工作人员是与承包方签订正式合同人员，且已按照国家相

关保密要求明确为相应等级的涉密人员、进行了每年度不少于10个学时的保密教育培训、签订保密承

诺书。

4.4.3承包方应将直接参与本项目涉密档案数字化加工过程的员工名单向发包方备案。积极配合发包

方，对参与本项目的人员进行背景审查。

3

T/SDBMXHXXX—2023

4.4.4涉密档案数字化加工项目开始后，承包方不应调整工作人员。确因需要调整工作人员的，应经

发包方同意，并符合4.4.2相关要求。离职离岗人员应清退各类涉密载体、涉密信息设备和涉密存储设

备，签订离职离岗保密承诺书，按照国家相关保密要求实行脱密期管理。

4.5信息系统和设备管理

4.5.1涉密档案数字化加工期间，承包方用来存储、处理、传输的系统或网络，应经过系统测评或者

风险评估，经审查合格取得《涉及国家秘密的信息系统审查合格证》。合格证涉及事项发生变化时，应

按照有关规定及时报告。若承包方未建立涉密网络，则必须使用满足保密要求的涉密单机开展档案数字

化加工工作。

4.5.2承包方原则上应具备满足档案数字化加工的设备能力，禁止使用临时租赁的计算机、扫描仪、

照相机、摄像机等设备开展涉密档案数字化加工工作。承包方原则上应使用发包方提供的硬件设备和软

件系统开展涉密档案数字化加工工作。

4.5.3承包方应发包方要求提供硬件设备和软件系统的，相关设备应通过保密行政管理部门设立或授

权的检测机构检测合格。

4.5.4涉密档案数字化加工所需的计算机及存储介质、打印机、复印机、扫描仪、照相机、摄像机等

具有信息存储和处理的设备，应符合国家有关保密规定，粘贴密级、标号、责任人等标识，并建立管理

台账，实行全生命周期管理。台账一式两份，分别由发包方、承包方留存。

4.5.5除必要的计算机操作系统、杀毒软件、档案数字化加工软件、数据库软件和第三方安全管理软

件外，承包方不应安装其他无关软件。

4.5.6承包方应对涉密档案数字化加工使用的计算机，安装涉密计算机及移动存储介质保密管理系统

（简称“三合一”），对扫描仪等信息采集设备，应采用技术手段或物理设备封闭所有不必要的信息输

出装置或端口，如USB接口、红外线、蓝牙、SCSI接口、光驱接口等，发包方应对封闭的装置或端口

进行定期检查。

4.5.7涉密档案数字化加工使用的计算机、移动存储介质，承包方应按照存储、处理信息的最高密级

进行管理与防护。

4.5.8承包方使用的涉密档案数字化加工信息设备应符合相关保密规定。不应将涉密信息设备接入互

联网及其他公共信息网络；不应将涉密信息设备接入内部非涉密信息系统；不应使用非涉密信息设备存

储、处理涉密信息；不应超越计算机、移动存储介质的涉密等级存储、处理涉密信息；不应在涉密计算

机和非涉密计算机之间交叉使用移动存储介质；不应在涉密计算机与非涉密计算机之间共用打印机、扫

描仪等信息设备。

4.5.9承包方应在发包方的监督下，对涉密档案数字化加工使用的计算机、服务器等涉密信息设备采

取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施，并及时升级病

毒和恶意代码样本库，定期进行病毒和恶意代码查杀。信息管理软件应建立身份鉴别、访问权限设置等

安全保密措施，根据员工类型及岗位职责赋予相应的访问权限。

4.5.10涉密档案数字化加工的信息设备的信息导入导出应严格履行审批程序，相对集中、有效控制，

并采取相应审计措施。

4.5.11涉密档案数字化加工使用的计算机及办公自动化设备应拆除具有无线联网功能的硬件模块，不

应使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备存储、处理涉密信息。

4.5.12涉密档案数字化加工使用的信息设备的维修，原则上应在承包方内部进行，由承包方维修人员

进行维修，维修人员应为涉密人员。内部维修人员无法维修时，应选择由相应资质的维修单位，签订合

同和保密协议，维修时，承包方工作人员全程旁站陪同。确需外送维修时，应拆除所有存储过涉密信息

的硬件和固件，承包方派人全程监督陪同。涉密信息设备中存储过涉密信息的硬件和固件、涉密存储设

备需要维修时，应选择到具有保密行政管理部门颁发的涉密信息数据恢复资质的单位进行维修，并派专

人负责取送。

4.5.13涉密档案数字化加工使用的信息设备改作非涉密信息设备使用或淘汰处理时，承包方应将涉密

信息存储部件拆除。涉密存储设备不应变更为非密存储设备使用。淘汰处理的涉密存储介质和涉密信息

存储部件，应送交当地涉密载体销毁机构销毁。

4.5.14涉密档案数字化加工使用的计算机及移动存储介质携带外出应严格履行审批手续，带出前和带

4

T/SDBMXHXXX—2023

回后，均应接受保密检查，并真实记录。

4.6场所管理

4.6.1承包方原则上应具备内部固定的档案数字化加工场所，不应临时在外租赁场所开展档案数字化

加工。涉密档案数字加工服务原则上应在发包方指定的涉密场所进行。加工场所应符合国家关于保密要

害部位安全保密的相关防护要求，采取出入口控制（电子门禁）、入侵报警、视频监控等技术防护措施。

4.6.2承包方提供相关安全防护设备的，应符合国家保密相关要求。安装部署后，应通过保密行政管

理部门设立或授权的检测机构检测合格。

4.6.3应对进出档案数字化加工场所的工作人员进行审批授权，非授权人员禁止进出。人员进出时应

进行详细登记，并接受加工场所管理人员的检查。

4.6.4工作人员应将私人物品放置的场所外的储物柜内，不应带入工作区域。不应将照相机、摄像机、

手机、电脑、移动存储介质、智能手环（表）、对讲机等电子设备带入工作区域。

4.6.5档案数字化加工场所内作业完毕后，不应关闭的监控、报警、消防等电源，保持安防设备的持

续工作。

4.6.6承包方应建立现场上下班物品清点值班制度，严禁任何人员擅自将档案数字化加工场所内的物

品带离现场。下班后，移动存储设备应存放于专柜、上锁，指定专人负责保管。

4.7访客管理

4.7.1承包方因业务需要，邀请或接受非工作人员进入档案数字化加工场所时，应征得发包方的同意，

并对访客的身份、来访事由进行审核和登记。

4.7.2访客在进入涉密档案数字化加工场所前应签订保密承诺书，承诺不泄露在参观过程中可能接触

的任何档案信息。

4.7.3访客不应将手机、电脑、照相机、录像机等具有拍照、录音、录像功能的设备带入涉密档案数

字化加工场所。

4.7.4访客进入涉密档案数字化加工场所，并由发包方或承包方工作人员全程陪同。

4.7.5访客应遵守涉密档案数字化加工场所安全保密管理规定，在指定区域内进行参观，不应随意走

动，不应触碰物品。

4.8涉密档案数字化过程管理

4.8.1承包方应加强涉密档案数字化加工全过程、全方位的保密管理。涉密档案实体和数字化加工成

果应严格控制知悉范围，严禁擅自复制、留存。

4.8.2承包方应对拟数字化的涉密档案进行一致性检查，对发现的无法确认密级的档案应及时向发包

方报告。

4.8.3承包方应配合发包方建立涵盖涉密档案实体、数字化加工成果、信息存储设备及其他涉及国家

秘密载体的接受、保管、领用、交付、销毁等环节的交接登记制度，登记内容包括品种、名称、数量、

时间、批准人、经办人情况等。

4.8.4对正在进行数字化加工的涉密档案，承包方应安排专人保管，每天入库(保密柜)或及时交由发

包方保管，不应在工位上留存过夜。对于数字化加工完毕的档案，承包方应及时发包方与办理交接手

续，入库（保密柜）保存。

4.8.5对涉密档案数字化加工过程中使用的计算机硬盘、移动硬盘、U盘、光盘等各种存储介质应严

格按照国家秘密管理要求和涉密存储设备要求进行全生命周期管理。

4.8.6承包方的打印、复制、光盘刻录等行为应严格按照双方约定进行，，并详细登记，防止涉密数

字化方案成果失控，未经发包方批准，严谨擅自多印多制。

4.8.7承包方应主动接受发包方的保密检查和管理，及时对相关问题进行整改。

4.8.8对发生或可能导致涉密档案实体、数字化加工成果丢失或信息泄露等重大事件后，承包方应第

一时间向发包方报告，采取补救措施，防止失泄密。

4.9成果管理

5

T/SDBMXHXXX—2023

4.9.1对于尚未移交发包方的涉密档案数字化成果，承包方应在发包方的监督下做好备份管理，以免

数据丢失。

4.9.2承包方应积极配合发包方对涉密档案数字化加工成果进行验收。对不符合法规、标准、合同的

交付成果，承包方应按照发包方要求限期整改。

4.9.3承包方应将经数据检验的涉密档案数字化成果，包括涉密档案数字化过程中形成的各种数字化

工作文件、日志、记录、元数据等，以及使用的各种存储介质，及时移交发包方，并履行书面交接手续，

不应擅自留存。

4.9.4承包方所加工的涉密数字化档案成果，应以光盘、硬盘等实物形式交付发包方，不应利用互联

网及其他公共信息网络传递交付。

4.9.5承包方应将涉密档案数字化加工的各种信息设备及存储介质、打印及复制记录、视频监控数据

及回放记录、工作人员变更记录等，交由发包方进行保密检查。

4.9.6承包方应将各种工作人员名单、访客名单、保密承诺书、档案交接单、工作流程单、项目验收

报告，以及工作过程中形成的其他记录归档保存两份，其中一份提交发包方。

4.9.7经数据检验、安全保密确认、验收评估之后，发包方应与承包方办理档案、数据、硬件设备、

软件系统及其他相关记录的交接手续。

4.9.8在涉密档案数字化外包服务验收后，承包方应在发包方监督下，对相关信息设备存储部件拆除，

并委托当地保密技术服务机构进行销毁或信息消除。

4.10持续改进

承包方应及时总结涉密档案数字化服务过程中的经验，不断改进工作，持续提升服务能力。

5业务管理

5.1.1承包方应按照资质等级、类别承接涉密档案数字化加工业务，不应将承接的涉密档案数字化加

工项目分包或转包给不具备相应资质的单位。

5.1.2承