零门槛落地档案整理服务安全保障的5步实操技术指南

前置准备：明确需安全保障的档案类型与工具

先整理2项核心清单，再安装2个免费合规工具，所有工具均支持Windows、macOS双平台。

核心清单1：区分敏感/普通档案

• 敏感档案：标注个人隐私（身份证号、手机号、病历）、企业商业秘密（合同草案、客户名单、财务原始凭证）的档案，需最高级加密
• 普通档案：企业公开规章制度、已发布的年报、无需保密的会议纪要，仅需基础权限管控

核心清单2：梳理档案流转节点

按“整理前-整理中-整理后-交接/归档/销毁”顺序，列出所有涉及操作的人员、设备、工具：

• 整理前：收集人、扫描/拍照设备、临时存储U盘/网盘
• 整理中：分类人、标注人、编辑工具（WPS Office/Office）、内网/外网权限
• 整理后：复核人、归档系统、备份介质（本地+云端异地）
• 交接/归档/销毁：交接双方签字记录、档案管理员、专用碎纸机（涉密碎纸机要求≥2×2mm）

合规工具安装

• 免费加密工具：VeraCrypt 1.26.7：下载地址https://www.veracrypt.fr/en/Downloads.html，选择对应系统版本安装，全程默认勾选（但需记住设置的至少12位含大小写字母+数字+特殊字符的主密码）
• 免费权限管控网盘：坚果云免费版：下载地址https://www.jianguoyun.com/d/home，注册个人/企业免费账号，企业版免费版支持最多5人协作

步骤1：整理前的物理与临时存储安全加固

物理安全优先，防止档案泄露的源头。

物理档案收集安全

• 纸质敏感档案必须用带锁的专用档案袋/档案箱收集，交接时填写纸质交接单（需双方签字确认档案份数、编号、密级）
• 电子敏感档案收集时，禁止使用公共WiFi，必须用内网USB接口（禁用外网的电脑）或坚果云个人加密文件夹传输（不要直接传至公共共享区）

临时存储加密操作

• 打开VeraCrypt，点击“创建卷”，选择“创建一个文件卷”→“标准VeraCrypt卷”→点击“选择文件”，在电脑非系统盘（如D盘）创建名为“档案整理临时区加密”的空文件→加密算法选择“AES-256”，哈希算法选择“SHA-512”→设置卷大小（建议预留至少2倍预估临时档案空间）→输入主密码（必须按前置要求设置，不要勾选“使用密钥文件”除非有专人管理密钥U盘）→格式选择“NTFS”（Windows）或“APFS加密”（macOS）→点击“格式化”→完成后关闭创建窗口
• 挂载加密卷：回到VeraCrypt主界面，选择任意未使用的盘符（如Z盘）→点击“选择文件”，选中刚才创建的加密卷→点击“挂载”，输入主密码后确认，临时加密区会以Z盘形式出现在电脑中

步骤2：整理中的操作权限与工具安全设置

控制每一步的操作权限，防止误操作或恶意泄露。

坚果云协作权限设置

仅适用于普通档案的多人协作整理：

• 打开坚果云网页版https://www.jianguoyun.com，登录企业免费账号→点击“新建文件夹”，命名为“XX项目普通档案整理区”→点击文件夹右侧的“分享”→选择“成员分享”→添加整理人、标注人、复核人账号→设置权限：整理人“编辑+删除”，标注人“编辑”，复核人“只读+评论”→不要开启“公开分享”功能
• 电子普通档案直接上传至该文件夹，不要上传敏感档案

电子档案编辑安全设置

• WPS Office/Office开启“自动保存+文件加密”：WPS点击左上角“文件”→“选项”→“备份中心”→勾选“自动备份间隔5分钟”→“备份到本地加密区Z盘”；Office点击左上角“文件”→“信息”→“保护文档”→“用密码进行加密”→输入至少8位含字母+数字的密码，保存路径必须选择挂载的Z盘
• 扫描/拍照设备设置：关闭自动上传云端功能，扫描/拍照完成后立即剪切至Z盘，清空设备本地回收站（Windows右键回收站→清空；macOS右键废纸篓→清空废纸篓并按住Option键→确认）

步骤3：整理后的备份与水印安全

防止档案丢失或未经授权使用。

三级备份操作（敏感/普通档案通用）

• 本地加密备份：整理完成后，将Z盘的所有文件复制到一个全新的加密U盘（同样用VeraCrypt创建标准卷，主密码与临时区加密卷不同，至少14位）
• 云端异地加密备份：普通档案上传至坚果云企业免费版的“XX项目归档区（只读）”，敏感档案先压缩成ZIP格式并设置双重密码（第一层压缩密码，第二层ZIP文件夹单独密码），然后上传至阿里云盘免费版的私密文件夹（地址https://www.aliyundrive.com，注册后默认开启私密文件夹，私密文件夹需绑定手机号+设置6位数字手势密码，不要用主密码相同的手势）
• 纸质备份归档：敏感纸质档案整理完成后，存入带锁的专用档案柜，由档案管理员一人保管钥匙；普通纸质档案存入普通档案柜，按编号分类摆放

水印添加操作（普通档案对外提供时）

• 批量添加水印用WPS Office免费版：打开WPS→点击“PDF转换”→“PDF批量处理”→导入所有对外提供的PDF档案→点击“水印”→选择“文字水印”→输入“仅供XX单位/人员使用，禁止外传”→设置透明度为30%，字号为12，颜色为灰色→点击“应用到所有页面”→点击“批量处理”→保存到指定文件夹

步骤4：档案销毁的安全操作

确保档案彻底无法恢复。

纸质档案销毁

• 敏感纸质档案必须用≥2×2mm的涉密碎纸机销毁，销毁时需2人在场监督，填写销毁记录（需双方签字确认档案份数、编号、密级、销毁时间）
• 普通纸质档案用普通碎纸机销毁，同样需1人监督并填写销毁记录

电子档案彻底删除操作

• Windows电脑：下载免费工具Eraser 6.2.0.2992，地址https://eraser.heidi.ie/download/，安装完成后右键点击Z盘或加密U盘的需删除文件→选择“Eraser”→“Erase”→默认选择“ Gutmann 35次擦除”→点击“OK”
• macOS电脑：打开“启动台”→“其他”→“终端”→输入命令diskutil list，找到需擦除的加密U盘或Z盘对应的磁盘编号（如disk2s1）→输入命令diskutil secureErase 4 /dev/disk2s1（其中4代表Gutmann 35次擦除，注意替换成自己的磁盘编号，输入前需确认，否则会误删其他文件）

步骤5：日常安全检查与应急处理

每周检查1次，防止安全隐患；提前制定应急方案。

日常安全检查内容

• 检查物理档案柜、档案袋的锁是否完好
• 检查加密U盘、VeraCrypt加密卷是否能正常挂载
• 检查云端备份是否完整，坚果云/阿里云盘的账号是否有异常登录记录（查看坚果云网页版“设置”→“安全中心”→“登录日志”；查看阿里云盘APP“我的”→“设置”→“账号与安全”→“登录设备管理”）

应急处理方案

• 若加密卷主密码丢失：立即停止操作，用本地加密U盘和云端异地加密备份恢复档案，重新创建加密卷并设置新的主密码
• 若敏感档案泄露：立即断开所有涉及泄露设备的网络，联系单位负责人和安全人员，同时保存所有异常登录记录和操作日志