档案信息系统安全等级保护
信息系统安全等级保护(三级)基本要求
12
访问控制(G3)
13
14
15
16
a) 应在网络边界部署访问控制设备,启用访问控制功 能; b) 应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力,控制粒度为端口级; c) 应对进出网络的信息内容进行过滤,实现对应用 层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的 控制; d) 应在会话处于非活跃一定时间或会话结束后终止 网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决定允许或 拒绝用户对受控系统进行资源访问,控制粒度为单个 安全审计(G3) a) 应对网络系统中的网络设备运行状况、网络流量、 用户行为等进行日志记录; b) 审计记录应包括:事件的日期和时间、用户、事件 类型、事件是否成功及其他与审计相关的信息; c) 应 能 够 根 据 记 录 数 据进 行 分 析, 并生 成 审 计 报 表; d) 应对审计记录进行保护,避免受到未预期的删除 边 界 完 整 性 检 查 a) 应能够对非授权设备私自联到内部网络的行为进 (S3) 行检查,准确定出位置,并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进 行检查,准确定出位置,并对其进行有效阻断。 入侵防范(G3) a) 应在网络边界处监视以下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出 攻击、IP碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源IP、攻击类型 、攻击目的、攻击时间,在发生严重入侵事件时应提 供报警。 恶 意 代 码 防 范 a) 应在网络边界处对恶意代码进行检测和清除; (G3) b) 应维护恶意代码库的升级和检测系统的更新。
信息安全等级保护标准
信息安全等级保护标准
1. 安全目标:明确了信息系统安全保护的目标,包括机密性、完整性和可用性。
2. 安全等级划分:根据信息系统的安全需求和重要性,将其划分为不同的安全等级。
3. 安全技术要求:包括物理安全、网络安全、系统安全等方面的技术要求,如访问控制、身份认证、加密传输等。
4. 安全管理措施:包括组织结构、人员管理、安全培训等方面的管理措施,以保证信息安全的有效管理。
5. 安全测试评估:对信息系统进行定期的安全测试和评估,发现系统中存在的安全漏洞和风险,并及时采取措施进行修复。
6. 安全事件响应:建立健全的安全事件响应机制,对安全事件进行及时处理和跟踪,同时进行安全事故的调查与处理。
等保标准适用于政府机关、企事业单位等组织,旨在加强信息系统的安全保护,防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。
对于不同行业和领域的组织,根据其安全需求和实际情况,可以进行相应的等级划分和安全措施的实施。
信息系统安全等级保护基本要求
目次前言 (IX)引言 (X)1 范围 (11)2规范性引用文件 (11)3术语和定义 (11)4信息系统安全等级保护概述 (11)4.1 信息系统安全保护等级 (11)4.2 不同等级的安全保护能力 (11)4.3 基本技术要求和基本管理要求 (12)4.4 基本技术要求的三种类型 (12)5第一级基本要求 (12)5.1 技术要求 (12)5.1.1物理安全 (12)5.1.1.1 物理访问控制(G1) (12)5.1.1.2 防盗窃和防破坏(G1) (12)5.1.1.3 防雷击(G1) (13)5.1.1.4 防火(G1) (13)5.1.1.5 防水和防潮(G1) (13)5.1.1.6 温湿度控制(G1) (13)5.1.1.7 电力供应(A1) (13)5.1.2网络安全 (13)5.1.2.1 结构安全(G1) (13)5.1.2.2 访问控制(G1) (13)5.1.2.3 网络设备防护(G1) (13)5.1.3主机安全 (13)5.1.3.1 身份鉴别(S1) (13)5.1.3.2 访问控制(S1) (13)5.1.3.3 入侵防范(G1) (14)5.1.3.4 恶意代码防范(G1) (14)5.1.4应用安全 (14)5.1.4.1 身份鉴别(S1) (14)5.1.4.2 访问控制(S1) (14)5.1.4.3 通信完整性(S1) (14)5.1.4.4 软件容错(A1) (14)5.1.5数据安全及备份恢复 (14)5.1.5.1 数据完整性(S1) (14)5.1.5.2 备份和恢复(A1) (14)5.2 管理要求 (14)5.2.1安全管理制度 (14)5.2.1.1 管理制度(G1) (14)5.2.1.2 制定和发布(G1) (14)5.2.2安全管理机构 (14)I5.2.2.1 岗位设置(G1) (14)5.2.2.2 人员配备(G1) (14)5.2.2.3 授权和审批(G1) (14)5.2.2.4 沟通和合作(G1) (15)5.2.3人员安全管理 (15)5.2.3.1 人员录用(G1) (15)5.2.3.2 人员离岗(G1) (15)5.2.3.3 安全意识教育和培训(G1) (15)5.2.3.4 外部人员访问管理(G1) (15)5.2.4系统建设管理 (15)5.2.4.1 系统定级(G1) (15)5.2.4.2 安全方案设计(G1) (15)5.2.4.3 产品采购和使用(G1) (15)5.2.4.4 自行软件开发(G1) (15)5.2.4.5 外包软件开发(G1) (15)5.2.4.6 工程实施(G1) (16)5.2.4.7 测试验收(G1) (16)5.2.4.8 系统交付(G1) (16)5.2.4.9 安全服务商选择(G1) (16)5.2.5系统运维管理 (16)5.2.5.1 环境管理(G1) (16)5.2.5.2 资产管理(G1) (16)5.2.5.3 介质管理(G1) (16)5.2.5.4 设备管理(G1) (16)5.2.5.5 网络安全管理(G1) (17)5.2.5.6 系统安全管理(G1) (17)5.2.5.7 恶意代码防范管理(G1) (17)5.2.5.8 备份与恢复管理(G1) (17)5.2.5.9 安全事件处置(G1) (17)6第二级基本要求 (17)6.1 技术要求 (17)6.1.1物理安全 (17)6.1.1.1 物理位置的选择(G2) (17)6.1.1.2 物理访问控制(G2) (17)6.1.1.3 防盗窃和防破坏(G2) (17)6.1.1.4 防雷击(G2) (18)6.1.1.5 防火(G2) (18)6.1.1.6 防水和防潮(G2) (18)6.1.1.7 防静电(G2) (18)6.1.1.8 温湿度控制(G2) (18)6.1.1.9 电力供应(A2) (18)6.1.1.10 电磁防护(S2) (18)6.1.2网络安全 (18)6.1.2.1 结构安全(G2) (18)II6.1.2.2 访问控制(G2) (18)6.1.2.3 安全审计(G2) (19)6.1.2.4 边界完整性检查(S2) (19)6.1.2.5 入侵防范(G2) (19)6.1.2.6 网络设备防护(G2) (19)6.1.3主机安全 (19)6.1.3.1 身份鉴别(S2) (19)6.1.3.2 访问控制(S2) (19)6.1.3.3 安全审计(G2) (19)6.1.3.4 入侵防范(G2) (20)6.1.3.5 恶意代码防范(G2) (20)6.1.3.6 资源控制(A2) (20)6.1.4应用安全 (20)6.1.4.1 身份鉴别(S2) (20)6.1.4.2 访问控制(S2) (20)6.1.4.3 安全审计(G2) (20)6.1.4.4 通信完整性(S2) (20)6.1.4.5 通信保密性(S2) (20)6.1.4.6 软件容错(A2) (21)6.1.4.7 资源控制(A2) (21)6.1.5数据安全及备份恢复 (21)6.1.5.1 数据完整性(S2) (21)6.1.5.2 数据保密性(S2) (21)6.1.5.3 备份和恢复(A2) (21)6.2 管理要求 (21)6.2.1安全管理制度 (21)6.2.1.1 管理制度(G2) (21)6.2.1.2 制定和发布(G2) (21)6.2.1.3 评审和修订(G2) (21)6.2.2安全管理机构 (21)6.2.2.1 岗位设置(G2) (21)6.2.2.2 人员配备(G2) (22)6.2.2.3 授权和审批(G2) (22)6.2.2.4 沟通和合作(G2) (22)6.2.2.5 审核和检查(G2) (22)6.2.3人员安全管理 (22)6.2.3.1 人员录用(G2) (22)6.2.3.2 人员离岗(G2) (22)6.2.3.3 人员考核(G2) (22)6.2.3.4 安全意识教育和培训(G2) (22)6.2.3.5 外部人员访问管理(G2) (22)6.2.4系统建设管理 (23)6.2.4.1 系统定级(G2) (23)6.2.4.2 安全方案设计(G2) (23)III6.2.4.3 产品采购和使用(G2) (23)6.2.4.4 自行软件开发(G2) (23)6.2.4.5 外包软件开发(G2) (23)6.2.4.6 工程实施(G2) (23)6.2.4.7 测试验收(G2) (23)6.2.4.8 系统交付(G2) (24)6.2.4.9 安全服务商选择(G2) (24)6.2.5系统运维管理 (24)6.2.5.1 环境管理(G2) (24)6.2.5.2 资产管理(G2) (24)6.2.5.3 介质管理(G2) (24)6.2.5.4 设备管理(G2) (24)6.2.5.5 网络安全管理(G2) (25)6.2.5.6 系统安全管理(G2) (25)6.2.5.7 恶意代码防范管理(G2) (25)6.2.5.8 密码管理(G2) (25)6.2.5.9 变更管理(G2) (25)6.2.5.10 备份与恢复管理(G2) (26)6.2.5.11 安全事件处置(G2) (26)6.2.5.12 应急预案管理(G2) (26)7第三级基本要求 (26)7.1 技术要求 (26)7.1.1物理安全 (26)7.1.1.1 物理位置的选择(G3) (26)7.1.1.2 物理访问控制(G3) (26)7.1.1.3 防盗窃和防破坏(G3) (26)7.1.1.4 防雷击(G3) (27)7.1.1.5 防火(G3) (27)7.1.1.6 防水和防潮(G3) (27)7.1.1.7 防静电(G3) (27)7.1.1.8 温湿度控制(G3) (27)7.1.1.9 电力供应(A3) (27)7.1.1.10 电磁防护(S3) (27)7.1.2网络安全 (28)7.1.2.1 结构安全(G3) (28)7.1.2.2 访问控制(G3) (28)7.1.2.3 安全审计(G3) (28)7.1.2.4 边界完整性检查(S3) (28)7.1.2.5 入侵防范(G3) (29)7.1.2.6 恶意代码防范(G3) (29)7.1.2.7 网络设备防护(G3) (29)7.1.3主机安全 (29)7.1.3.1 身份鉴别(S3) (29)7.1.3.2 访问控制(S3) (29)IV7.1.3.3 安全审计(G3) (30)7.1.3.4 剩余信息保护(S3) (30)7.1.3.5 入侵防范(G3) (30)7.1.3.6 恶意代码防范(G3) (30)7.1.3.7 资源控制(A3) (30)7.1.4应用安全 (30)7.1.4.1 身份鉴别(S3) (31)7.1.4.2 访问控制(S3) (31)7.1.4.3 安全审计(G3) (31)7.1.4.4 剩余信息保护(S3) (31)7.1.4.5 通信完整性(S3) (31)7.1.4.6 通信保密性(S3) (31)7.1.4.7 抗抵赖(G3) (31)7.1.4.8 软件容错(A3) (32)7.1.4.9 资源控制(A3) (32)7.1.5数据安全及备份恢复 (32)7.1.5.1 数据完整性(S3) (32)7.1.5.2 数据保密性(S3) (32)7.1.5.3 备份和恢复(A3) (32)7.2 管理要求 (32)7.2.1安全管理制度 (32)7.2.1.1 管理制度(G3) (32)7.2.1.2 制定和发布(G3) (33)7.2.1.3 评审和修订(G3) (33)7.2.2安全管理机构 (33)7.2.2.1 岗位设置(G3) (33)7.2.2.2 人员配备(G3) (33)7.2.2.3 授权和审批(G3) (33)7.2.2.4 沟通和合作(G3) (34)7.2.2.5 审核和检查(G3) (34)7.2.3人员安全管理 (34)7.2.3.1 人员录用(G3) (34)7.2.3.2 人员离岗(G3) (34)7.2.3.3 人员考核(G3) (34)7.2.3.4 安全意识教育和培训(G3) (34)7.2.3.5 外部人员访问管理(G3) (35)7.2.4系统建设管理 (35)7.2.4.1 系统定级(G3) (35)7.2.4.2 安全方案设计(G3) (35)7.2.4.3 产品采购和使用(G3) (35)7.2.4.4 自行软件开发(G3) (35)7.2.4.5 外包软件开发(G3) (36)7.2.4.6 工程实施(G3) (36)7.2.4.7 测试验收(G3) (36)V7.2.4.8 系统交付(G3) (36)7.2.4.9 系统备案(G3) (36)7.2.4.10 等级测评(G3) (37)7.2.4.11 安全服务商选择(G3) (37)7.2.5系统运维管理 (37)7.2.5.1 环境管理(G3) (37)7.2.5.2 资产管理(G3) (37)7.2.5.3 介质管理(G3) (37)7.2.5.4 设备管理(G3) (38)7.2.5.5 监控管理和安全管理中心(G3) (38)7.2.5.6 网络安全管理(G3) (38)7.2.5.7 系统安全管理(G3) (39)7.2.5.8 恶意代码防范管理(G3) (39)7.2.5.9 密码管理(G3) (39)7.2.5.10 变更管理(G3) (39)7.2.5.11 备份与恢复管理(G3) (39)7.2.5.12 安全事件处置(G3) (40)7.2.5.13 应急预案管理(G3) (40)8第四级基本要求.......................................................错误!未定义书签。
信息系统安全等级保护基本要求三级要求
信息系统安全等级保护基本要求第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
1 三级基本要求1.1技术要求1.1.1物理安全1.1.1.1物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2物理访问控制(G3)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3防盗窃和防破坏(G3)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)应对机房设置监控报警系统。
1.1.1.4防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。
1.1.1.5防火(G3)本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6防水和防潮(G3)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应米取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择(G3) (6)1.1.1.2 物理访问控制(G3) (6)1.1.1.3 防盗窃和防破坏(G3) (7)1.1.1.4 防雷击(G3) (7)1.1.1.5 防火(G3) (8)1.1.1.6 防水和防潮(G3) (8)1.1.1.7 防静电(G3) (8)1.1.1.8 温湿度控制(G3) (9)1.1.1.9 电力供应(A3) (9)1.1.1.10 电磁防护(S3) (9)1.1.2 网络安全 (10)1.1.2.1 结构安全(G3) (10)1.1.2.2 访问控制(G3) (10)1.1.2.3 安全审计(G3) (11)1.1.2.4 边界完整性检查(S3) (12)1.1.2.5 入侵防范(G3) (12)1.1.2.6 恶意代码防范(G3) (13)1.1.2.7 网络设备防护(G3) (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别(S3) (14)1.1.3.2 访问控制(S3) (14)1.1.3.3 安全审计(G3) (15)1.1.3.4 剩余信息保护(S3) (16)1.1.3.5 入侵防范(G3) (16)1.1.3.6 恶意代码防范(G3) (17)1.1.3.7 资源控制(A3) (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别(S3) (18)1.1.4.2 访问控制(S3) (18)1.1.4.3 安全审计(G3) (19)1.1.4.4 剩余信息保护(S3) (20)1.1.4.5 通信完整性(S3) (20)1.1.4.6 通信保密性(S3) (20)1.1.4.7 抗抵赖(G3) (20)1.1.4.8 软件容错(A3) (21)1.1.4.9 资源控制(A3) (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性(S3) (22)1.1.5.2 数据保密性(S3) (22)1.1.5.3 备份和恢复(A3) (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度(G3) (23)1.2.1.2 制定和发布(G3) (24)1.2.1.3 评审和修订(G3) (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置(G3) (25)1.2.2.2 人员配备(G3) (25)1.2.2.3 授权和审批(G3) (26)1.2.2.4 沟通和合作(G3) (26)1.2.2.5 审核和检查(G3) (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用(G3) (28)1.2.3.2 人员离岗(G3) (28)1.2.3.3 人员考核(G3) (29)1.2.3.4 安全意识教育和培训(G3) (29)1.2.3.5 外部人员访问管理(G3) (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级(G3) (30)1.2.4.2 安全方案设计(G3) (30)1.2.4.3 产品采购和使用(G3) (31)1.2.4.4 自行软件开发(G3) (32)1.2.4.5 外包软件开发(G3) (32)1.2.4.6 工程实施(G3) (33)1.2.4.7 测试验收(G3) (33)1.2.4.8 系统交付(G3) (34)1.2.4.9 系统备案(G3) (35)1.2.4.10 等级测评(G3) (35)1.2.4.11 安全服务商选择(G3) (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理(G3) (36)1.2.5.2 资产管理(G3) (37)1.2.5.3 介质管理(G3) (37)1.2.5.4 设备管理(G3) (38)1.2.5.5 监控管理和安全管理中心(G3). 39 1.2.5.6 网络安全管理(G3) (40)1.2.5.7 系统安全管理(G3) (41)1.2.5.8 恶意代码防范管理(G3) (42)1.2.5.9 密码管理(G3) (43)1.2.5.10 变更管理(G3) (43)1.2.5.11 备份与恢复管理(G3) (43)1.2.5.12 安全事件处置(G3) (44)1.2.5.13 应急预案管理(G3) (45)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
信息系统安全等级保护基本要求(一至四级)
S
技术要求 主机安全 访问控制
S
技术要求 主机安全 可信路径
S
技术要求 主机安全 安全审计
G
技术要求
主机安全
剩余信息 保护
S
技术要求 主机安全 入侵防范
G
技术要求
主机安全
恶意代码 防范
G
技术要求 主机安全 资源控制
A
技术要求 应用安全 身份鉴别
S
技术要求 应用安全 安全标记
S
技术要求 应用安全 访问控制
登记测评
G
管理要求
系统建设 管理
安全服务 商选择
G
管理要求
系统运维 管理
环境管理
G
管理要求
系统运维 管理
资产管理
G
管理要求
系统运维 管理
介质管理
G
管理要求
系统运维 管理
设备管理
G
管理要求
系统运维 管理
监控管理 和安全管
理中心
G
管理要求
系统运维 管理
网络安全 管理
G
管理要求
系统运维 管理
系统安全 管理
本项要求包括: a) 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰 期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问 路径; d) 应绘制与当前运行情况相符的网络拓扑结构图; e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等 因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子 网、网段分配地址段; f) 应避免将重要网段部署在网络边界处且直接连接外部信息系 统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证 在网络发生拥堵的时候优先保护重要主机。
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求1 三级基本要求 (3)1.1 技术要求 (3)1.1.1 物理安全 (3)1.1.1.1 物理位置的选择(G3) (3)1.1.1.2 物理访问控制(G3) (3)1.1.1.3 防盗窃和防破坏(G3) (3)1.1.1.4 防雷击(G3) (3)1.1.1.5 防火(G3) (3)1.1.1.6 防水和防潮(G3) (4)1.1.1.7 防静电(G3) (4)1.1.1.8 温湿度控制(G3) (4)1.1.1.9 电力供应(A3) (4)1.1.1.10 电磁防护(S3) (4)1.1.2 网络安全 (4)1.1.2.1 结构安全(G3) (4)1.1.2.2 访问控制(G3) (4)1.1.2.3 安全审计(G3) (5)1.1.2.4 边界完整性检查(S3) (5)1.1.2.5 入侵防范(G3) (5)1.1.2.6 恶意代码防范(G3) (5)1.1.2.7 网络设备防护(G3) (5)1.1.3 主机安全 (6)1.1.3.1 身份鉴别(S3) (6)1.1.3.2 访问控制(S3) (6)1.1.3.3 安全审计(G3) (6)1.1.3.4 剩余信息保护(S3) (7)1.1.3.5 入侵防范(G3) (7)1.1.3.6 恶意代码防范(G3) (7)1.1.3.7 资源控制(A3) (7)1.1.4 应用安全 (7)1.1.4.1 身份鉴别(S3) (7)1.1.4.2 访问控制(S3) (8)1.1.4.3 安全审计(G3) (8)1.1.4.4 剩余信息保护(S3) (8)1.1.4.5 通信完整性(S3) (8)1.1.4.6 通信保密性(S3) (8)1.1.4.7 抗抵赖(G3) (8)1.1.4.8 软件容错(A3) (8)1.1.4.9 资源控制(A3) (8)1.1.5 数据安全及备份恢复 (9)1.1.5.1 数据完整性(S3) (9)1.1.5.2 数据保密性(S3) (9)1.1.5.3 备份和恢复(A3) (9)1.2 管理要求 (9)1.2.1 安全管理制度 (9)1.2.1.1 管理制度(G3) (9)1.2.1.2 制定和发布(G3) (10)1.2.1.3 评审和修订(G3) (10)1.2.2 安全管理机构 (10)1.2.2.1 岗位设置(G3) (10)1.2.2.2 人员配备(G3) (10)1.2.2.3 授权和审批(G3) (10)1.2.2.4 沟通和合作(G3) (10)1.2.2.5 审核和检查(G3) (11)1.2.3 人员安全管理 (11)1.2.3.1 人员录用(G3) (11)1.2.3.2 人员离岗(G3) (11)1.2.3.3 人员考核(G3) (11)1.2.3.4 安全意识教育和培训(G3) (11)1.2.3.5 外部人员访问管理(G3) (12)1.2.4 系统建设管理 (12)1.2.4.1 系统定级(G3) (12)1.2.4.2 安全方案设计(G3) (12)1.2.4.3 产品采购和使用(G3) (12)1.2.4.4 自行软件开发(G3) (13)1.2.4.5 外包软件开发(G3) (13)1.2.4.6 工程实施(G3) (13)1.2.4.7 测试验收(G3) (13)1.2.4.8 系统交付(G3) (13)1.2.4.9 系统备案(G3) (14)1.2.4.10 等级测评(G3) (14)1.2.4.11 安全服务商选择(G3) (14)1.2.5 系统运维管理 (14)1.2.5.1 环境管理(G3) (14)1.2.5.2 资产管理(G3) (14)1.2.5.3 介质管理(G3) (15)1.2.5.4 设备管理(G3) (15)1.2.5.5 监控管理和安全管理中心(G3) (15)1.2.5.6 网络安全管理(G3) (15)1.2.5.7 系统安全管理(G3) (16)1.2.5.8 恶意代码防范管理(G3) (16)1.2.5.9 密码管理(G3) (16)1.2.5.10 变更管理(G3) (16)1.2.5.11 备份与恢复管理(G3) (17)1.2.5.12 安全事件处置(G3) (17)1.2.5.13 应急预案管理(G3) (17)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
档案信息系统安全保护制度
档案信息系统安全保护制度档案信息系统安全管理制度目录背景随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的防护能力和水平,已经成为加强档案信息安全管理,促进档案事业健康发展的一项重要内容。
为了保障档案信息系统的安全,防止网络安全突发事件,保证敏感时期的信息安全问题及时响应,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》《档案信息系统安全等级保护定级工作指南》等文件精神,结合我局馆实际,制定本管理制度。
总则第一条严格遵守国家有关法律、行政法规,严格执行安全保密制度,不得使用档案信息系统从事危害国家安全、泄露国家秘密等违法犯罪活动,不得利用档案信息系统制作、复制和传播破坏国家稳定,扰乱社会秩序,损害公民利益的信息;第二条与时俱进,根据新形势,不断加强信息安全系统建设,完善信息安全管理机制,坚决防止档案信息系统遭到侵入和破坏;坚持积极防范、突出重点,既保守国家秘密安全又有利于档案信息化健康开展的目标。
第三条在本局馆设立信息安全领导小组,统筹协调本机构及辖内信息安全工作,保障信息安全工作顺利实施和落实。
第四条按照相关要求,及时、准确、认真开展局馆档案信息系统备案事情测评,并及时向公安机关报告变换信息;第五条自觉接受公安机关收集信息安全部分的安全监督、搜检和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,积极配合公安机关查处通过计算机信息网络进行的违法立功行为;第六条档案信息系统的安全管理,实行“谁主管,谁使用,谁负责”的原则,同时实施主要领导负责制。
第一章信息系统人员岗位职责第一条本局馆设置专门的信息技术处,配置专业的信息安全人员对档案信息系统进行管理与维护。
具体由处长担任安全主管,总体负责信息系统安全事情。
并设置以下安全管理岗位:系统管理员、网络管理员、安全管理员、机房管理员。
第二条系统管理员负责信息系统运行维护管理,主要职责是:信息系统主机的日常运转与保护;各档案信息系统(包孕数字化加工系统,电子文件中心平台、目录中心平台、虚拟档案室业务平台、门户网站、政务网站等)的保护与备份;信息系统数据库备份的管理;应用系统访问权限的管理;系统管理员应至少配备2人,共同管理。
档案信息系统安全等级保护定级工作指南
档案信息系统安全等级保护定级工作指南目录1.工作背景22.适用范围23.编制依据24.档案信息系统类型的划分35.档案信息系统的定级45.1档案信息系统的定级原则45.2档案信息系统安全保护等级的划分55.2.1受侵害客体55.2.2对客体侵害程度的划分55.2.3档案信息系统安全等级的划分65.3档案信息系统安全保护等级确定的方法65.3.1确定定级对象75.3.2确定受侵害的客体75.3.3确定对客体的侵害程度75.3.4确定档案信息系统的安全保护等级85.3.5编制定级报告106.评审107.备案与报备118.等级变更11附录1《信息系统安全等级保护定级报告》模版12附录2《信息系统安全等级保护备案表》141. 工作背景1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。
近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。
随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。
为做好档案信息系统安全等级保护工作,国家档案局编制《档案信息系统安全等级保护定级工作指南》(以下简称《指南》),以指导档案信息系统安全等级保护的定级工作。
2. 适用范围本《指南》是档案信息系统安全等级保护定级工作的操作规范,适用于省级(含计划单列市、副省级市,下同)及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。
地市级档案局馆和其他档案馆可参照执行。
3. 编制依据本《指南》的编制主要依据以下标准、规范:●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)●《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)●《信息安全等级保护管理办法》(公通字〔2007〕43号)●《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)●《数字档案馆建设指南》(档办〔2010〕116号)●《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》(国家档案局、国家保密局1992年)●《计算机信息系统安全保护等级划分准则》(GB 17859—1999)●《信息安全技术信息安全事件分类分级指南》(GB/Z 20986—2007)●《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)●《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)4. 档案信息系统类型的划分档案信息系统是指开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统等三类信息管理系统。
《档案信息系统安全等级保护定级工作指南》的主要内容及思考
《档案信息系统安全等级保护定级工作指南》的主要内容及思
考
刘珂
【期刊名称】《北京档案》
【年(卷),期】2022()3
【摘要】2013年7月10日,国家档案局印发了《档案信息系统安全等级保护定级工作指南》的通知(档办发〔2013〕5号)。
《档案信息系统安全等级保护定级工作指南》,对我国档案主管部门及有关单位有效地开展非涉密信息系统安全等级保护定级工作,明确工作原则、内容、方法和流程,提供了切实的制度规范依据。
该文将在介绍和解读《档案信息系统安全等级保护定级工作指南》主要内容的基础上,进一步说明其主要特点和实践价值及完善该文件的相关思考。
【总页数】5页(P21-25)
【作者】刘珂
【作者单位】中国人民大学信息资源管理学院
【正文语种】中文
【中图分类】TP3
【相关文献】
1.《交通运输行业信息系统安全等级保护定级指南》解读交通运输行业等级保护工作扬帆启航
2.医院信息系统安全等级保护定级与整改结果探讨
3.信息系统安全等
级保护定级方法的思考4.《信息系统安全等级保护定级指南》r修订要点解析5.北京市城建档案馆召开信息系统安全等级保护定级专家会
因版权原因,仅展示原文概要,查看原文内容请购买。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求一、信息系统安全管理制度1.建立健全信息系统安全管理组织及职责制度;2.制定并实施信息系统安全管理规章制度和安全管理细则;3.建立信息系统安全管理人员的任职资格和培训制度;4.建立信息系统的安全审计制度;5.建立信息系统的安全风险管理制度;6.建立安全事件的处理和报告制度。
二、信息系统安全技术管理及应用要求1.对信息系统进行安全评估,并根据评估结果建立安全保护方案;2.采取措施确保信息系统的完整性、可用性和可靠性;3.配置安全防护设施,防范网络攻击、恶意代码等安全威胁;4.对信息系统进行定期的安全检查和安全测试;5.建立安全授权及证书管理制度;6.使用合法正版软件,并及时安装安全升级补丁;7.对信息系统进行信息安全事件的检测和应急处理;8.建立备份和恢复制度,确保信息系统的持续可用性;9.对外提供信息系统服务的机构,要建立安全审计制度并进行安全审计;10.针对关键信息系统,建立系统安全险评估制度,规范信息系统的安全性。
三、信息系统安全切换管理要求1.建立和实施信息系统安全切换管理制度;2.制定信息系统安全切换计划,确保信息系统在发生安全事件时能够快速切换到备用系统;3.对备用系统进行定期测试和演练,确保其正常运行和可靠性;4.配置安全切换所需的硬件设备和软件系统,确保其完整性;5.建立安全切换的操作程序和相关工作人员的技术培训制度;6.对安全切换进行监控和纪录,及时发现和解决问题;7.对安全切换进行评估和改进,提高切换的效率和准确性。
四、信息系统安全防护要求1.内外网分离,确保内外网的安全访问控制;2.建立网络边界防护系统,监测和阻断来自外部的网络攻击和恶意访问;3.建立安全访问控制制度,实施身份认证和访问控制;5.建立信息系统安全事件的处置工作流程和操作指南;6.定期进行安全演练和演练评估,提高应急响应能力;7.实施网络风险感知和网络安全事件的实时监控;8.建立信息系统的安全事件纪录和安全事故处理档案。
国家档案局办公室关于印发《档案信息系统安全等级保护定级工作指南》的通知
国家档案局办公室关于印发《档案信息系统安全等级保护定级工作指南》的通知文章属性•【制定机关】国家档案局•【公布日期】2013.07.10•【文号】档办发[2013]5号•【施行日期】2013.07.10•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】档案管理正文国家档案局办公室关于印发《档案信息系统安全等级保护定级工作指南》的通知(档办发〔2013〕5号)各省、自治区、直辖市档案局,各计划单列市档案局:为贯彻落实国家信息安全等级保护制度,我局结合档案行业实际,组织制定了《档案信息系统安全等级保护定级工作指南》。
现印发给你们,请遵照执行。
国家档案局办公室2013年7月10日档案信息系统安全等级保护定级工作指南(国家档案局2013年7月)目录1.工作背景2.适用范围3.编制依据4.档案信息系统类型的划分5.档案信息系统的定级5.1档案信息系统的定级原则5.2档案信息系统安全保护等级的划分5.2.1受侵害客体5.2.2对客体侵害程度的划分5.2.3档案信息系统安全等级的划分5.3档案信息系统安全保护等级确定的方法5.3.1确定定级对象5.3.2确定受侵害的客体5.3.3确定对客体的侵害程度5.3.4确定档案信息系统的安全保护等级5.3.5编制定级报告6.评审7.备案与报备8.等级变更附1《信息系统安全等级保护定级报告》模版附2《信息系统安全等级保护备案表》1.工作背景1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。
近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。
随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。
档案信息系统安全保护基本要求
档案信息系统安全保护基本要求档案信息系统安全保护基本要求为指导和规范档案部门进一步加强档案信息系统建设和管理,提高档案信息系统安全保护水平,根据《信息系统安全等级保护基本要求》和《档案信息系统安全等级保护定级工作指南》,结合档案工作实际,国家档案局组织编制了《档案信息系统安全保护基本要求》(以下简称《基本要求》)。
一、适用范围《基本要求》适用于省级(含计划单列市、副省级市,下同)及以上档案局馆的非涉密档案信息系统安全保护工作。
涉密档案信息系统的安全保护,按照国家保密法规和标准进行;涉及密码工作的,按照国家密码管理有关规定进行。
地市及以下各级档案局馆可参照《基本要求》的规定进行非涉密档案信息系统的安全保护。
二、编制依据(一)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)(二)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)(三)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010)(四)《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)(五)《计算机信息系统安全保护等级划分准则》(GB 17859-1999)(六)《信息技术信息安全管理实用规则》(GB/T 19716-2005)(七)《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)(八)《电子信息系统机房设计规范》(GB 50174-2008)(九)《信息安全技术政府部门信息安全管理基本要求》(GB/T 29245-2012)(十)《档案信息系统安全等级保护定级工作指南》(档办发〔2013〕5号)(十一)《数字档案馆建设指南》(档办〔2010〕116号)三、工作原则(一)安全引领。
建立档案信息系统,要树立“安全第一”的思想,不安全、宁不建,凡已建、必安全。
对于准备建设的档案信息系统,要按照同步规划、同步建设、同步运行的原则,建立健全档案信息安全防护体系。
初中级档案职称《档案工作实务》档案信息化建设题库一
初中级档案职称《档案工作实务》档案信息化建设题库一[单选题](江南博哥)1.根据国家的相关规定,档案信息系统等级保护可划分为五个安全等级,其中最高等级是()。
A.强制保护级B.指导保护级C.监督保护级D.专控保护参考答案:D[单选题]3.提出电子文件实行备份制度和建立本级电子文件备份中心或异地备份库的规范是()。
A.《全国档案信息化建设实施纲要》B.《电子文件归档与管理规范》C.《电子档案移交与接收办法》D.《电子文件管理暂行办法》参考答案:D[单选题]4.为了维护档案部门的合法权益,在发布图片、文档等档案资源时,可采取(),以防止他人非法盗用。
A.身份鉴别B.信息加密C.入侵监控D.数字水印技术参考答案:D[单选题]5.()主要是防止非法篡改、插入和删除。
A.安全审计B.信息完整性校验C.信息加密D.边界防卫技术参考答案:B[单选题]6.()是指确保档案信息未经授权不能改变的特性。
A.保密性B.完整性C.可控性参考答案:B[单选题]7.为保障档案信息安全,防止非法篡改、插入和删除的信息安全技术是()。
A.身份鉴别技术B.安全保密监测技术C.信息完整性校验D.抗抵赖技术参考答案:C[单选题]8.为保障档案信息安全,防止发送方发出数据后否认自己发送过此数据,及防止接收方收到数据后否认收到过此数据,可以采用的信息安全技术是()。
A.身份鉴别技术B.安全保密监测技术C.信息完整性校验D.抗抵赖技术参考答案:D[单选题]9.档案登记备份中心的所有备份数据应至少()保存,并定期检查、转存或迁移。
A.两套B.三套C.四套D.五套参考答案:A[单选题]10.以下不属于档案登记备份功能的是()。
A.便于提供利用B.保全档案证据C.保障信息安全D.保存真实记忆参考答案:A[单选题]11.在制定档案信息化建设规划的过程中应坚持()的原则。
A.全面性和可行性B.科学性和先进性C.实用性和完整性D.适用性和长期性参考答案:B[单选题]12.为了实现数字信息的长期保存,当遇到存储介质损坏、过时或升级的情况,一般采取的保存策是()。
档案信息系统安全等级保护基本要求
●应将系统等级及其他要求的备案材料报相应公安机关备案。
4.10等级测评
●在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;
●应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
●关键事务岗位应配备多人共同管理。
2.3授权和审批
●应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
●应针对关键活动建立审批流程,并由批准人签字确认。
●应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
●应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
●关键岗位人员离岗,需将其人员及工作内容信息保留1年以上。
3.3人员考核
●应定期对各个岗位的人员进行安全技能及安全认知的考核。
●应对关键岗位的人员进行全面、严格的安全审查和技能考核;
●应对考核结果进行记录并保存。
3.4安全意识教育和培训
●应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
●应确保提供软件设计的相关文档和使用指南;
●应在软件安装之前检测软件包中可能存在的恶意代码;
●应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
●应要求开发单位提供软件设计的相关文档和使用指南。
4.6工程实施
●应指定或授权专门的部门或人员负责工程实施过程的管理;
●应制定详细的工程实施方案,控制工程实施过程。
●应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
数字档案馆要求等保二级标准的依据
数字档案馆要求等保二级标准的依据一、引言数字档案馆是数字化时代的产物,它是为了管理、保存数字化的档案而建立的机构。
随着信息化技术的不断发展,数字档案馆的重要性越来越凸显。
为了保障数字档案的安全、完整和可靠,各国纷纷制定了相关标准来规范数字档案馆的建设与管理。
在我国,等保二级标准是保障数字档案馆安全的重要依据之一。
二、等保二级标准的概念和背景等保二级标准是指信息系统安全等级保护的一种级别标准,它是由我国国家互联网信息办公室发布的《信息安全等级保护等级划分准则》中规定的。
这一标准主要适用于重要商业安全和个人隐私信息的安全保护,也适用于数字档案馆这样的重要信息系统的安全保护。
三、等保二级标准的具体要求1. 安全管理对数字档案馆的安全管理要求很严格,包括建立健全的安全管理制度、进行安全培训和教育、加强对安全事件的监控和应急处置能力等。
2. 访问控制数字档案馆要求对不同级别的用户进行合理的访问控制,保证只有获得授权的用户才能访问相关信息。
3. 运维管理数字档案馆的运维管理要求高效可靠,包括对系统进行定期的巡检和维护、备份和恢复管理、安全审计等。
4. 安全防护数字档案馆需要建立完善的网络安全防护体系,包括入侵检测和防护、恶意代码防范、数据加密等。
5. 安全监测通过安全监测系统对数字档案馆进行实时监测,快速发现和处置安全威胁。
6. 安全应急数字档案馆需要建立健全的安全应急预案,确保在安全事件发生时能够及时、有效地进行处置。
四、数字档案馆等保二级标准的意义实施等保二级标准对数字档案馆有着极为重要的意义。
它有助于提升数字档案馆的安全保障能力,保护重要信息资料不受损失、泄露等风险。
它有助于提升数字档案馆的管理水平,规范数字档案馆的运行和管理,提高信息资源的利用率和公开透明度。
它有助于维护社会秩序和稳定,保障国家、社会和公民的信息安全。
五、个人观点与总结作为数字档案馆建设与管理的重要依据,等保二级标准对于提升数字档案馆的安全性、可信度和有效性具有重要意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
档案信息系统安全等级保护定级工作指南国家档案局2013年7月目录1.工作背景 (2)2.适用范围 (2)3.编制依据 (2)4.档案信息系统类型的划分 (3)5.档案信息系统的定级 (4)5.1档案信息系统的定级原则 (4)5.2档案信息系统安全保护等级的划分 (5)5.2.1受侵害客体 (5)5.2.2对客体侵害程度的划分 (5)5.2.3档案信息系统安全等级的划分 (6)5.3档案信息系统安全保护等级确定的方法 (6)5.3.1确定定级对象 (7)5.3.2确定受侵害的客体 (7)5.3.3确定对客体的侵害程度 (7)5.3.4确定档案信息系统的安全保护等级 (8)5.3.5编制定级报告 (10)6.评审 (10)7.备案与报备 (11)8.等级变更 (11)附录1《信息系统安全等级保护定级报告》模版 (12)附录2《信息系统安全等级保护备案表》 (14)1.工作背景1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。
近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。
随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。
为做好档案信息系统安全等级保护工作,国家档案局编制《档案信息系统安全等级保护定级工作指南》(以下简称《指南》),以指导档案信息系统安全等级保护的定级工作。
2.适用范围本《指南》是档案信息系统安全等级保护定级工作的操作规范,适用于省级(含计划单列市、副省级市,下同)及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。
地市级档案局馆和其他档案馆可参照执行。
3.编制依据本《指南》的编制主要依据以下标准、规范:●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)●《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)●《信息安全等级保护管理办法》(公通字〔2007〕43号)●《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)●《数字档案馆建设指南》(档办〔2010〕116号)●《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》(国家档案局、国家保密局1992年)●《计算机信息系统安全保护等级划分准则》(GB 17859—1999)●《信息安全技术信息安全事件分类分级指南》(GB/Z 20986—2007)●《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)●《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)4.档案信息系统类型的划分档案信息系统是指开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统等三类信息管理系统。
(1)档案信息管理系统类包括档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统等;(2)档案信息服务系统类包括档案利用服务系统、档案网站系统等;(3)档案办公系统类包括承担档案工作管理的档案局馆办公业务系统等。
档案信息系统的基本功能描述如表1。
表1 档案信息系统基本功能描述5.档案信息系统的定级5.1档案信息系统的定级原则自主定级原则。
档案信息系统使用单位按照国家相关法规、标准和本《指南》要求,自主确定档案信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则。
根据重要程度和业务特点,将档案信息系统划分为不同等级,实施不同强度的安全保护,集中资源,优先保护涉及重要数字档案资源的信息系统。
动态保护原则。
根据档案信息系统管理对象、服务范围等方面的变化,重新确定安全保护等级,及时调整安全保护措施。
同步建设原则。
档案信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障档案信息安全与档案信息化建设相适应。
5.2档案信息系统安全保护等级的划分5.2.1受侵害客体受侵害客体是指受法律保护对象受到破坏时所侵害的社会关系,主要包括国家安全;社会秩序、公共利益;公民、法人和其他社会组织的合法权益等三方面。
确定档案信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序、公共利益,最后判断是否侵害公民、法人和其他社会组织的合法权益。
5.2.2对客体侵害程度的划分等级保护对象受到破坏后对客体造成侵害的程度有三种:(1)造成一般损害工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题、较小的财产损失、有限的社会不良影响,对其他组织和个人造成较低损害。
(2)造成严重损害工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题、较大的财产损失、较大范围的社会不良影响,对其他组织和个人造成较严重损害。
(3)造成特别严重损害工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题、极大的财产损失、大范围的社会不良影响,对其他组织和个人造成非常严重损害。
5.2.3档案信息系统安全保护等级根据国家有关信息系统安全保护等级的相关规定和标准,从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级:第一级,自主保护级。
档案信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,指导保护级。
档案信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,监督保护级。
档案信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,强制保护级。
档案信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,专控保护级。
档案信息系统受到破坏后,会对国家安全造成特别严重损害。
5.3档案信息系统安全保护等级确定的方法档案信息系统安全保护等级确定的步骤包括:确定定级对象,确定档案信息系统受到破坏时受侵害的客体,确定档案信息系统受到破坏时对客体的侵害程度,确定档案信息系统的安全保护等级,编制定级报告。
5.3.1确定定级对象根据本《指南》对档案信息系统的划分,档案部门对本单位档案信息系统进行梳理,确定本单位应定级的档案信息系统。
5.3.2确定受侵害的客体根据档案行业特点,分析档案信息系统受到破坏时所侵害的客体,侵害的事项主要包括以下三个方面:(1)国家安全方面。
档案信息系统受到破坏后影响到有关国家政治、经济、文化、外交、科技、民族、宗教、安全等档案信息保管、利用、发布、展示的正常进行,进而损害国家政权稳固、国防建设、国家统一、民族团结和社会安定。
(2)社会秩序、公共利益方面。
档案信息系统受到破坏后影响数字档案资源的真实性、完整性和可用性,致使国家机关政务信息发布、档案业务开展、办公等工作无法正常进行,进而侵害社会正常生产、生活秩序和公众获取公开信息资源、使用公共设施、接受公共服务等方面的合法权益。
(3)公民、法人和其他组织的合法权益方面。
档案信息系统受到破坏后影响到档案的移交、接收、管理、保存、查阅、利用、获取、公布、展示、捐赠等工作的正常进行,进而侵害公民、法人和其他组织的隐私、知识产权、物权、信息获取等方面的合法权益。
5.3.3确定对客体的侵害程度档案信息系统受到破坏后,对客体的侵害程度与信息系统所属单位的行政级别、所管理信息的重要敏感程度以及信息系统的影响范围有关。
分别描述如下:国家级“数字档案管理系统”所管理的档案记录了过去和现在的国家政权的历史真实面貌,对国家历史、现在与未来具有不可或缺的重要作用,社会影响极大。
这些系统受到破坏,可能直接造成国家档案的损失,对国家安全造成一般损害或严重损害,对社会秩序和公共利益造成特别严重损害。
省级“数字档案管理系统”所管理的档案记录了过去和现在的省级党政机构的历史真实面貌,对该地区历史、现在与未来具有不可或缺的重要作用,社会影响重大。
这些系统受到破坏,可能直接造成该地区档案的损失,对国家安全造成一般损害,对社会秩序和公共利益造成一般损害或严重损害。
国家级“档案目录管理系统”、“数字档案接收系统”、“档案利用服务系统”包含有国家较高级别的敏感信息,具有很大的社会影响力。
这些系统受到破坏,可能导致敏感档案信息或政务信息的泄露或损失,档案管理和服务能力下降,对国家安全造成一般损害,对社会秩序和公共利益造成一般损害或严重损害,对公民、法人和其他组织的合法权益造成严重损害。
省级“档案目录管理系统”、“数字档案接收系统”、“档案利用服务系统”包含的业务信息有一定的区域性和社会影响力。
这些系统受到破坏,可能造成本地区敏感档案数字资源信息或政务信息泄露,档案管理和服务能力下降,对社会秩序和公共利益造成一般损害或严重损害,对公民、法人和其他组织的合法权益造成严重损害。
国家级、省级“档案数字化加工系统”包含有较高级别的敏感信息,但存储档案数量较少,这些系统受到破坏,可能导致档案业务能力下降,给信息系统所属单位造成一定损失,对单位权益造成严重损害。
国家级、省级“档案网站系统”、“档案办公系统”受到破坏,不直接影响档案管理业务,但可能造成公布信息的篡改、办公效率的下降,给信息系统所属单位造成一定的财产损失、经济纠纷、法律纠纷等,对单位权益或社会秩序造成一般损害或严重损害。
5.3.4确定档案信息系统的安全保护等级确定档案信息系统安全保护等级时需要考虑业务信息安全和系统服务安全两个方面,其中业务信息安全是指确保信息系统内信息的真实性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务。
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,可以形成业务信息安全保护等级矩阵表(表2),并可据此得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,可以形成系统服务安全保护等级矩阵表(表3),并可据此得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表在确定档案信息系统的安全保护等级时,应按业务信息安全保护等级和系统服务安全保护等级的较高者定级。