为指导和规范档案部门进一步加强档案信息系统建设和管理,提高档案信息系统安全保护水平,根据《信息系统安全等级保护基本要求》和《档案信息系统安全等级保护定级工作指南》,结合档案工作实际,国家档案局组织编制了《档案信息系统安全保护基本要求》(以下简称《基本要求》)。
一、适用范围
《基本要求》适用于省级(含计划单列市、副省级市,下同)及以上档案局馆的非涉密档案信息系统安全保护工作。涉密档案信息系统的安全保护,按照国家保密法规和标准进行;涉及密码工作的,按照国家密码管理有关规定进行。地市及以下各级档案局馆可参照《基本要求》的规定进行非涉密档案信息系统的安全保护。
二、编制依据
(一)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
(二)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)
(三)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010)
(四)《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)
(五)《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
(六)《信息技术信息安全管理实用规则》(GB/T 19716-2005)
(七)《信息安全技术信息系统通用安全技术要求》 (GB/T 20271-2006)
(八)《电子信息系统机房设计规范》(GB 50174-2008)
(九)《信息安全技术政府部门信息安全管理基本要 求》(GB/T 29245-2012)
(十)《档案信息系统安全等级保护定级工作指南》(档办发〔2013〕5 号)
(十一)《数字档案馆建设指南》(档办〔2010〕116 号)
三、工作原则
(一)安全引领。建立档案信息系统,要树立“安全第一”的思想,不安全、宁不建,凡已建、必安全。对于准备建设的档案信息系统,要按照同步规划、同步建设、同步运行的原则,建立健全档案信息安全防护体系。对于已建设的档案信息系统,要按照国家有关信息系统安全的要求,查找安全隐患,堵塞风险漏洞,提升安全防护水平,开展定级、测评、整改、检查等信息安全工作。
(二)管理科学。按照计算机信息系统安全等级保护工作谁运行谁管理、谁负责的要求,遵循国家有关信息系统安全保护相关标准规范,结合档案信息系统特点,完善档案信息系统安全保护的规章制度和操作规程,建立本单位档案信息系统安全管理机制,明确档案信息系统的领导责任和岗位职责。以档案数据为核心,对不同安全级别的档案数据实行区别管理。以预防为主,制定应急预案,定期开展应急演练,妥善应对突发事件。
(三)保障有力。贯彻国家有关文件精神,建立档案信息系统安全管理经费投入机制。配备档案信息系统安全管理人员,定期开展安全培训,为档案信息系统安全保护工作提供有力保障。
四、关于《基本要求》的说明
1. 《基本要求》主要以《档案信息系统安全等级保护定级工作指南》中拟定为二级或三级的系统为对象,从“技术”和“管理”两个方面对档案信息系统的安全保护提出了具体要求。
2. 《基本要求》中的“等保二级要求”“等保三级要求”中的有关规定均来源于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)中的规定,“档案行业要求”中的有关规定是根据档案信息系统的特点作出的补充规定。
3. 安全保护水平与等保二级保护水平相同的系统,除满足“等保二级要求”中的具体要求之外,还需同时满足“档案行业要求”。安全保护水平与等保三级保护水平相同的系统,除满足“等保三级要求”的具体要求之外,还需同时满足“等保二级要求”,和“档案行业要求”。
五、档案信息系统安全保护的管理要求
六、档案信息系统安全保护的技术要求