浅谈档案管理信息系统的等级保护

  随着我国档案信息化的不断推进，档案日常业务已经极大地依赖信息技术和信息基础设施。然而，信息技术给我们带来方便的同时也带来了安全问题，近年来频繁发生的泄密事件给我们敲响了警钟。确保档案管理信息系统的安全可靠是构建档案安全保障体系的重点内容

一、信息系统安全等级保护的重要意义

       我国信息系统安全的概念其实很早就已经提出来了，而信息系统安全等级保护制度的形成是从1994的《中华人民共和国计算机信息系统安全保护条例》开始的，其中规定:“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年，《国家信息化领导小组关于加信息安全保障工作的意见》明确提出实行信息系统安全等级保护制度。2004年9月，公安部、国家保密局、国家密码管理局、国务信息办联合印发了《关于信息安全等级保护工作的实施意见》，明确了信息系统安全等级保护制度的原则和基本内容、职责分工和工作实施要求等。2007年6月，《信息安全等级保护管理办法》进一步明确了信息系统安全等级保护制度的上作流程、信息系统运营使用单位和主管部门、监管部门的职责和任务。随后颁布了一系列国家标准和行业标准如《信息系统安全等级保护实施指南》、《信息系统安全等级保护基本要求》等。初步形成了信息系统安全等级保护标准体系。

       为什么我国在信息系统安全的基础上要提出等级保护制度?等级保护制度对信息系统安全工作有重要意义，它使信息系统安全工作更加富有成效，资源配置更加科学合理。对于安全等级高的信息系统采取更为严格的安全保护措施，对十安全等级较低的信息系统则采取一般的安全保障措施即可，例如国家安全机构的信息系统安令要求远比一般中小企业的要高得多，同时为提供安全保障的成本也要多得多。想象假如没有等级保护制度，国家安全机构和一般中小企业采取统一的安全保护措施，结果不是安全保障措施达不到安全要求，就是安全要求过于严格造成资源浪费，均基本制度之一。

二、档案管理信息系统实施分级保护的必要性和基本内容

       (一)档案管理信息系统实施分级保护的必要性

       档案分级管理的概念很旱就已经明确，在《中华人民共和国档案法实施办法》第十五条特别强调的四个问题中就明确指出“根据档案的不同等级，采取有效措施，加以保护和管理”。这对全面提升现有档案管理水平、增强对重点档案的保护力度、合理使用资金等，都具有非常现实和长远的意义。随着档案信息化的不断深入，传统档案的数字化、电子文件的处理、档案信息网的建设等一系列档案信息化的过程都依赖千档案管理信息系统、从档案工作实践来看，档案信息安全滞后于档案信息化建设，档案管理信息系统有多方面的安全隐患。所以对档案管理信息系统实施等级保护不仅是国家信息安全战略的一部分，也是对档案分级保护工作的不断深化与发展。档案管理信息系统是涉及社会各个行业信息、政府信息以及国家秘密信息的重要信息系统，如果它遭到破坏对个人、社会甚至国家都会有危害，根据《关于开展全国重要信息系统安全等级保护定级工作的通知》对定级对象的规定，对档案管理信息系统实施等级是十分有必要的。

       (二)档案管理信息系统实施等级保护的基本内容

       档案管理信息系统等级保护是指档案管理信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分等级实施安全保护。

       根据《计算机信息系统安全保护等级划分准则》，档案管理信息系统应当划分为五个等级进行保护，即自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。不同等级的档案管理信息系统对应的基本安全保护能力都要求不同，根据实现方式的不同.基本安全要求分为基本技术要求和基本管理要求两大类，技术要求主要包括档案管理信息系统的物理安全、网络安全、主机安全、应用安全和数据安全方面，而管理要求主要包括档案管理信息系统的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理方面。

       对档案管理信息系统实施等级保护应当遵循的原则:

       1.自主保护原则，“谁主管谁负责，谁运营谁负责”，由各主管部门和运营使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护。

       2.同步建设原则，信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应，

       3.重点保护原则，要根据各地区、各行业信息系统的重要程度、业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全保护.要重点保护涉及国家安全、经济命脉、社会稳定等方面的重要信息系统。并集中资源优先确保重要信息系统安全。

       4.动态调整原则，要跟踪信息系统的变化情况，及时调整安全保护措施因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整清况.重新实施安全保护。

      三、档案管理信息系统等级保护的实施

       档案管理信息系统的安全等级保护，要以国家信息安全等级保护的基本要求为核心，结合档案管理信息系统自身的安全需求实施。对档案管理信息系统实施安全等级保护的过程包括五个主要阶段:系统定级阶段-一>安全规划设计阶段-一>安全实施阶段-一>安全运行管理阶段-》系统终止阶段。

       (一)档案管理信息系统安全保护定级

        档案管理信息系统安全保护定级工作是等级保护的基础，没有定级T作就不知道它对应安全保护基本要求，等级保护将无从下手。而且定级工作质量的好坏直接影响等级保护的质量.如果定级过低达不到基本安全要求，则对系统安令有巨大威胁;如果定级过高超出了安全要求，则会浪费大量的资源，所以定级一定要客观合理。

      等级划分要素关系表

       档案管理信息系统的安全保护等级由两个要素确定:

       1.档案管理信息系统受到破坏时所侵害的客体。主要包括:a.公民、法人和其他组织的合法权益;b.社会秩序、公共利益;c.国家安全。

       2.对客体造成侵害的程度。分为三级:a造成一般损害;b.造成严重损害;c.造成特别严重损害。

       应当注意:信息系统安全包括业务信息安全和系统服务安全.与之相关的受侵害客体和对客体的程度可能不同，所以，信息系统等级划分也应有业务信息安全等级和系统服务安全等级两方面来确定取较高者确定信息系统安辛保护等级。

      (二)档案管理信息系统等级保护的主要工作

      档案管理信息系统等级保护的主要工作包括:1.全面组织开展调查。各级档案部门、档案主管部门要对所属的档案管理信息系统进行摸底调杳，全面掌握档案管理信息系统的数量、分布、业务类型、应用范围、系统结构，以及系统建设规划等基本情况，为展开信息系统等级保护打下基础。2.开展安全整改工作。各级档案部门及其主管部门应当根据确定的安全保护等级，对已有的信息系统按照等级保护的管理规范和技术标准，落实对应的安全要求，完成系统的整改，对新建、改建、扩建的档案管理信息系统按照等级保护的基本要求进行规划、改造。3.组织系统安全测评。档案管理信息系统建设完成后，使用部门应当选择符合要求的测评机构对系统进行测评，对不符合安全要求的要进行整改。4.依法履行备案手续。系统安全等级被定为第二级以上的使用部门和主管部门，应当在系统投人使用后(新建系统)或确定等级后(以建系统)30日内到地(市)级以上公安机关网监部门办理备案手续;建议第一级到公安机关网监部门办理备案手续涉及国家秘密的档案管理信息系统根据国家保密局的有关规定，到保密工作部门备案。5.加强安全监督检查。公安机关应当会同有关部门加强对信息系统的监督检查，对未依法履行定级、备案手续的单位.督促其限期改正。发现定级不准的应当通知系统使用单位和主管部门取新审核确定了对安全措施不符合要求的，要指导其落实整改措施。各级保密下作部门加强对涉密档案信息管理系统安全等级保护工作的指导、监督和检查。

       (三)档案管理信息系统等级保护的动态维护

       档案管理信息系统的等级保护确定并不是一次定级就不再变了。根据客观情况的变化及档案管理信息系统内部建设的实际需要，安全等级要定期调整，以防止过度保护或保护不足。在安全运行管理阶段，要定期进行自查和接受机构测评，根据情况的变化调整，当局部调整等原因导致安全措施的变化时，通过风险评估判断在采取目前这一强度的安全措施的残余风险在可接受的范围内，不影响系统的安全等级.应从安全运行管理阶段进入安全实施阶段。否则、无论风险评估值是高于可接受范围的上限值，还是低于其下限值，都是不可接受的风险，应从安全运行管理阶段进人系统定级阶段，重新开始一次信息系统等级保护的实施过程，对安全措施的强度进行重新调整，使其达到要求。

       落实档案管理信息系统等级保护制度是档案信息化进程中不可或缺的工作，也是构建档案安全保障体系的熏要组成部分，我们必须加强档案誉理信息系统等级保护工作。确保档案信息管理系统安全，维护国家安全、公共利益、社会稳定，保证档案事业的健康发展。