原標(biāo)題:檔案知識科普-之檔案信息系統(tǒng)安全保護(hù)基本要求
為指導(dǎo)和規(guī)范檔案部門進(jìn)一步加強檔案信息系統(tǒng)建設(shè)和管理����,提高檔案信息系統(tǒng)安全保護(hù)水平���,根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》和《檔案信息系統(tǒng)安全等級保護(hù)定級工作指南》����,結(jié)合檔案工作實際��,國家檔案局組織編制了《檔案信息系統(tǒng)安全保護(hù)基本要求》(以下簡稱《基本要求》)��。
一���、適用范圍
《基本要求》適用于省級(含計劃單列市�����、副省級市�����,下同)及以上檔案局館的非涉密檔案信息系統(tǒng)安全保護(hù)工作�。涉密檔案信息系統(tǒng)的安全保護(hù),按照國家保密法規(guī)和標(biāo)準(zhǔn)進(jìn)行;涉及密碼工作的�,按照國家密碼管理有關(guān)規(guī)定進(jìn)行。地市及以下各級檔案局館可參照《基本要求》的規(guī)定進(jìn)行非涉密檔案信息系統(tǒng)的安全保護(hù)����。
二、編制依據(jù)
(一)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239-2008)
(二)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T 22240-2008)
(三)《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》(GB/T 25070-2010)
(四)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》(GB/T 25058-2010)
(五)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB 17859-1999)
(六)《信息技術(shù)信息安全管理實用規(guī)則》(GB/T 19716-2005)
(七)《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T 20271-2006)
(八)《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》(GB 50174-2008)
(九)《信息安全技術(shù)政府部門信息安全管理基本要求》(GB/T 29245-2012)
(十)《檔案信息系統(tǒng)安全等級保護(hù)定級工作指南》(檔辦發(fā)〔2013〕5號)
(十一)《數(shù)字檔案館建設(shè)指南》(檔辦〔2010〕116號)
三����、工作原則
(一)安全引領(lǐng)。建立檔案信息系統(tǒng)����,要樹立“安全第一”的思想�����,不安全����、寧不建���,凡已建、必安全�����。對于準(zhǔn)備建設(shè)的檔案信息系統(tǒng)�,要按照同步規(guī)劃、同步建設(shè)�����、同步運行的原則�,建立健全檔案信息安全防護(hù)體系。對于已建設(shè)的檔案信息系統(tǒng)��,要按照國家有關(guān)信息系統(tǒng)安全的要求���,查找安全隱患����,堵塞風(fēng)險漏洞����,提升安全防護(hù)水平�,開展定級��、測評�、整改、檢查等信息安全工作���。
(二)管理科學(xué)��。按照計算機(jī)信息系統(tǒng)安全等級保護(hù)工作誰運行誰管理�、誰負(fù)責(zé)的要求�,遵循國家有關(guān)信息系統(tǒng)安全保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范,結(jié)合檔案信息系統(tǒng)特點�����,完善檔案信息系統(tǒng)安全保護(hù)的規(guī)章制度和操作規(guī)程�,建立本單位檔案信息系統(tǒng)安全管理機(jī)制,明確檔案信息系統(tǒng)的領(lǐng)導(dǎo)責(zé)任和崗位職責(zé)�����。以檔案數(shù)據(jù)為核心����,對不同安全級別的檔案數(shù)據(jù)實行區(qū)別管理。以預(yù)防為主���,制定應(yīng)急預(yù)案���,定期開展應(yīng)急演練,妥善應(yīng)對突發(fā)事件�����。
(三)保障有力����。貫徹國家有關(guān)文件精神,建立檔案信息系統(tǒng)安全管理經(jīng)費投入機(jī)制�。配備檔案信息系統(tǒng)安全管理人員,定期開展安全培訓(xùn)�,為檔案信息系統(tǒng)安全保護(hù)工作提供有力保障。
四��、關(guān)于《基本要求》的說明
1.《基本要求》主要以《檔案信息系統(tǒng)安全等級保護(hù)定級工作指南》中擬定為二級或三級的系統(tǒng)為對象�����,從“技術(shù)”和“管理”兩個方面對檔案信息系統(tǒng)的安全保護(hù)提出了具體要求。
2.《基本要求》中的“等保二級要求”“等保三級要求”中的有關(guān)規(guī)定均來源于《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T
22239-2008)中的規(guī)定�����,“檔案行業(yè)要求”中的有關(guān)規(guī)定是根據(jù)檔案信息系統(tǒng)的特點作出的補充規(guī)定���。
3.安全保護(hù)水平與等保二級保護(hù)水平相同的系統(tǒng)���,除滿足“等保二級要求”中的具體要求之外,還需同時滿足“檔案行業(yè)要求”�。安全保護(hù)水平與等保三級保護(hù)水平相同的系統(tǒng),除滿足“等保三級要求”的具體要求之外����,還需同時滿足“等保二級要求”,和“檔案行業(yè)要求”�����。
五�、檔案信息系統(tǒng)安全保護(hù)的管理要求
(見表1)
六、檔案信息系統(tǒng)安全保護(hù)的技術(shù)要求
(見表2)
表1 檔案信息系統(tǒng)安全保護(hù)的管理要求
表2 檔案信息系統(tǒng)安全保護(hù)的技術(shù)要求
本文轉(zhuǎn)載自申江萬國�,僅用于傳遞更多信息,版權(quán)歸原作者所有,如有侵權(quán)���,請聯(lián)系刪除。
溫馨提醒:目前已經(jīng)是等保2.0時代���,檔案信息系統(tǒng)做等級保護(hù)備案/測評前���,請咨詢當(dāng)?shù)乇O(jiān)管部門和行業(yè)主管部門,以新的標(biāo)準(zhǔn)要求為準(zhǔn)����,切莫主觀認(rèn)定,導(dǎo)致做一些無用功��。
等保測評咨詢
