国家档案局办公室关于印发《档案信息系统安全保护基本要求》的通知 各省、自治区、直辖市档案局、馆,各计划单列市档案局、馆: 《档案信息系统安全保护基本要求》已经国家档案局局务会议讨论通过。现印发你们,请参照执行。 国家档案局办公室 2016年1月4日 档案信息系统安全保护基本要求 为指导和规范档案部门进一步加强档案信息系统建设和管理,提高档案信息系统安全保护水平,根据《信息系统安全等级保护基本要求》和《档案信息系统安全等级保护定级工作指南》,结合档案工作实际,国家档案局组织编制了《档案信息系统安全保护基本要求》(以下简称《基本要求》)。 一、适用范围 《基本要求》适用于省级(含计划单列市、副省级市,下同)及以上档案局馆的非涉密档案信息系统安全保护工作。涉密档案信息系统的安全保护,按照国家保密法规和标准进行;涉及密码工作的,按照国家密码管理有关规定进行。地市及以下各级档案局馆可参照《基本要求》的规定进行非涉密档案信息系统的安全保护。 二、编制依据 (一)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) (二)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008) (三)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010) (四)《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010) (五)《计算机信息系统安全保护等级划分准则》(GB 17859-1999) (六)《信息技术信息安全管理实用规则》(GB/T 19716-2005) (七)《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006) (八)《电子信息系统机房设计规范》(GB 50174-2008) (九)《信息安全技术政府部门信息安全管理基本要求》(GB/T 29245-2012) (十)《档案信息系统安全等级保护定级工作指南》(档办发〔2013〕5号) (十一)《数字档案馆建设指南》(档办〔2010〕116号) 三、工作原则 (一)安全引领。建立档案信息系统,要树立“安全第一”的思想,不安全、宁不建,凡已建、必安全。对于准备建设的档案信息系统,要按照同步规划、同步建设、同步运行的原则,建立健全档案信息安全防护体系。对于已建设的档案信息系统,要按照国家有关信息系统安全的要求,查找安全隐患,堵塞风险漏洞,提升安全防护水平,开展定级、测评、整改、检查等信息安全工作。 (二)管理科学。按照计算机信息系统安全等级保护工作谁运行谁管理、谁负责的要求,遵循国家有关信息系统安全保护相关标准规范,结合档案信息系统特点,完善档案信息系统安全保护的规章制度和操作规程,建立本单位档案信息系统安全管理机制,明确档案信息系统的领导责任和岗位职责。以档案数据为核心,对不同安全级别的档案数据实行区别管理。以预防为主,制定应急预案,定期开展应急演练,妥善应对突发事件。 (三)保障有力。贯彻国家有关文件精神,建立档案信息系统安全管理经费投入机制。配备档案信息系统安全管理人员,定期开展安全培训,为档案信息系统安全保护工作提供有力保障。 四、关于《基本要求》的说明 1.《基本要求》主要以《档案信息系统安全等级保护定级工作指南》中拟定为二级或三级的系统为对象,从“技术”和“管理”两个方面对档案信息系统的安全保护提出了具体要求。 2.《基本要求》中的“等保二级要求”“等保三级要求”中的有关规定均来源于《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)中的规定,“档案行业要求”中的有关规定是根据档案信息系统的特点作出的补充规定。 3.安全保护水平与等保二级保护水平相同的系统,除满足“等保二级要求”中的具体要求之外,还需同时满足“档案行业要求”。安全保护水平与等保三级保护水平相同的系统,除满足“等保三级要求”的具体要求之外,还需同时满足“等保二级要求”,和“档案行业要求”。 五、档案信息系统安全保护的管理要求 (见表1) 六、档案信息系统安全保护的技术要求 (见表2) (点击保存,图片可放大)
来源:国家档案局 |
|
|
来自: 昵称16788185 > 《档案》
