符合企业档案管理法规要求的系统搭建与落地实操完整指南

前置法规合规校验清单

本清单完全匹配《中华人民共和国档案法》《企业档案管理规定》《电子公文归档管理暂行办法》的强制要求，所有项必须100%落地：

• 全操作留痕：档案的上传、查阅、修改、删除、权限变更操作必须记录操作人、时间、IP、设备信息，日志存储期限不低于档案本身有效期+3年
• 档案不可篡改：电子档案需生成唯一哈希校验值，涉密档案需加盖国家认可的可信时间戳，所有修改操作必须留存审批记录与历史版本
• 权限分级管控：涉密档案仅对应权限人员可访问，涉密档案访问、档案删除操作必须走双审批流程
• 灾备合规：电子档案需做至少2个不同地域的异地备份，备份间隔不超过24小时，恢复成功率要求100%

系统环境搭建实操

本次采用开源合规的Mayan EDMS档案管理系统，所有配置可直接复用，服务器最低要求：2核4G CPU/内存，1T以上存储硬盘，操作系统为Ubuntu 22.04 LTS。

步骤1：安装基础依赖，执行以下命令：

```bash sudo apt update && sudo apt upgrade -y sudo apt install docker.io docker-compose-plugin -y sudo systemctl enable --now docker ```

步骤2：创建配置目录并生成配置文件：

```bash mkdir -p /opt/mayan-edms && cd /opt/mayan-edms nano docker-compose.yml ```

将以下完整配置复制到docker-compose.yml文件中，可直接使用：

```yaml version: '3.9' services: mayan-edms: image: mayanedms/mayanedms:4.4 ports: - "8000:8000" volumes: - ./data:/var/lib/mayan environment: - MAYAN_CELERY_RESULT_BACKEND=redis://redis:6379/0 - MAYAN_BROKER_URL=redis://redis:6379/0 - MAYAN_DATABASES={"default":{"ENGINE":"django.db.backends.postgresql","NAME":"mayan","USER":"mayan","PASSWORD":"mayan123456@2024","HOST":"postgresql","PORT":5432}} restart: always depends_on: - postgresql - redis postgresql: image: postgres:14-alpine volumes: - ./postgres:/var/lib/postgresql/data environment: - POSTGRES_USER=mayan - POSTGRES_PASSWORD=mayan123456@2024 - POSTGRES_DB=mayan restart: always redis: image: redis:7-alpine restart: always ```

步骤3：启动系统，执行命令：

```bash docker compose up -d ```

等待3分钟后，访问http://你的服务器IP:8000，默认账号为admin，密码为admin，登录后第一时间修改默认密码，密码长度不低于12位，包含数字、字母、特殊字符。

合规配置项实操步骤

操作留痕与审计配置

1. 登录后台进入【设置】-【审计】模块，勾选“记录所有用户操作”“记录操作IP与设备信息”，审计日志存储期限设置为“永久”
2. 进入【存储】-【日志存储】，配置日志异地备份，备份地址可填阿里云OSS/腾讯云COS地址，示例：oss-cn-beijing.aliyuncs.com/你的bucket名称，备份频率设置为每1小时同步一次

防篡改配置

1. 进入【文档】-【哈希校验】，勾选“所有文档上传时自动生成SHA-256哈希值”“文档修改后自动更新哈希并留存历史哈希记录”
2. 如需对接可信时间戳，进入【设置】-【第三方服务】，填写国家授时中心时间戳接口地址：http://tsa.cnca.cn/tsa，接口密钥可向国家授时中心官方申请后填入，勾选“所有归档文档自动加盖时间戳”

权限分级配置

1. 进入【用户】-【角色管理】，创建3个默认角色：普通员工（仅可上传、查阅本人所属部门非涉密档案）、部门管理员（可审批本部门档案查阅、修改申请）、系统管理员（仅可配置系统，不可查阅任何涉密档案）
2. 开启权限双审规则：进入【设置】-【权限】，勾选“涉密档案访问、所有档案删除操作必须经申请人部门负责人+系统管理员双审批通过后方可生效”

灾备配置

1. 进入【存储】-【备份设置】，勾选“异地多副本备份”，至少配置2个不同地域的存储节点，比如主存储用本地服务器硬盘，备份1用阿里云OSS华北节点，备份2用腾讯云COS华南节点
2. 配置自动恢复校验：设置每天凌晨2点自动校验所有备份文件哈希值，校验失败自动发送告警到管理员邮箱，SMTP配置可直接用QQ邮箱：地址smtp.qq.com，端口465，开启SSL，密码填QQ邮箱授权码

合规验收自测步骤

所有配置完成后，必须完成以下自测，全部通过后方可上线使用：

1. 操作留痕测试：用普通员工账号上传一份测试档案，再修改档案内容，登录管理员账号查看审计日志，确认记录了操作人、时间、IP、操作内容，无遗漏
2. 防篡改测试：手动修改服务器/opt/mayan-edms/data目录下的测试档案源文件，进入系统【哈希校验】页面，点击全量校验，确认系统弹出“文件已被篡改”告警，且可查询到原始哈希值与历史版本
3. 权限测试：用普通员工账号申请查看涉密测试档案，确认系统自动触发双审批流程，未通过审批时无法访问档案内容
4. 灾备测试：删除本地存储的测试档案，进入【备份恢复】页面，选择任意异地备份节点执行恢复，确认恢复后的文件哈希值与原始哈希值完全一致

日常运维合规要求

• 每周导出一次审计日志，纸质打印后存档到企业档案库，存档期限不低于10年
• 每季度开展一次全量灾备恢复测试，留存测试报告，测试不通过的24小时内完成整改
• 每年配合企业合规部门开展一次档案系统合规审计，所有整改项需在15个工作日内落地