1、国家档案局办公室关于印发档案信息系统安全保护基本要求的通知档办发20161 号国家档案局办公室关于印发档案信息系统安全保护基本要求的通知各省、自治区、直辖市档案局、馆,各计划单列市档案局、馆:档案信息系统安全保护基本要求已经国家档案局局务会议讨论通过。现印发你们,请参照执行。国家档案局办公室2016 年 1 月 4 日档案信息系统安全保护基本要求为指导和规范档案部门进一步加强档案信息系统建设和管理,提高档案信息系统安全保护水平,根据信息系统安全等级保护基本要求和档案信息系统安全等级保护定级工作指南,结合档案工作实际,国家档案局组织编制了档案信息系统安全保护基本要求(以下简称基本要求)。一、适用
2、范围基本要求适用于省级(含计划单列市、副省级市,下同)及以上档案局馆的非涉密档案信息系统安全保护工作。涉密档案信息系统的安全保护,按照国家保密法规和标准进行;涉及密码工作的,按照国家密码管理有关规定进行。地市及以下各级档案局馆可参照基本要求的规定进行非涉密档案信息系统的安全保护。二、编制依据(一)信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)(二)信息安全技术信息系统安全等级保护定级指南(GB/T 22240-2008)(三)信息安全技术信息系统等级保护安全设计技术要求(GB/T 25070-2010)(四)信息安全技术信息系统安全等级保护实施指南(GB/T 250
3、58-2010)(五)计算机信息系统安全保护等级划分准则(GB 17859-1999)(六)信息技术信息安全管理实用规则(GB/T 19716-2005)(七)信息安全技术信息系统通用安全技术要求(GB/T 20271-2006)(八)电子信息系统机房设计规范(GB 50174-2008)(九)信息安全技术政府部门信息安全管理基本要求(GB/T 29245-2012)(十)档案信息系统安全等级保护定级工作指南(档办发20135 号)(十一)数字档案馆建设指南(档办2010116 号)三、工作原则(一)安全引领。建立档案信息系统,要树立“安全第一”的思想,不安全、宁不建,凡已建、必安全。对于准备
4、建设的档案信息系统,要按照同步规划、同步建设、同步运行的原则,建立健全档案信息安全防护体系。对于已建设的档案信息系统,要按照国家有关信息系统安全的要求,查找安全隐患,堵塞风险漏洞,提升安全防护水平,开展定级、测评、整改、检查等信息安全工作。(二)管理科学。按照计算机信息系统安全等级保护工作谁运行谁管理、谁负责的要求,遵循国家有关信息系统安全保护相关标准规范,结合档案信息系统特点,完善档案信息系统安全保护的规章制度和操作规程,建立本单位档案信息系统安全管理机制,明确档案信息系统的领导责任和岗位职责。以档案数据为核心,对不同安全级别的档案数据实行区别管理。以预防为主,制定应急预案,定期开展应急演练
5、,妥善应对突发事件。(三)保障有力。贯彻国家有关文件精神,建立档案信息系统安全管理经费投入机制。配备档案信息系统安全管理人员,定期开展安全培训,为档案信息系统安全保护工作提供有力保障。四、关于基本要求的说明1.基本要求主要以档案信息系统安全等级保护定级工作指南中拟定为二级或三级的系统为对象,从“技术”和“管理”两个方面对档案信息系统的安全保护提出了具体要求。2.基本要求中的“等保二级要求”“等保三级要求”中的有关规定均来源于信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)中的规定,“档案行业要求”中的有关规定是根据档案信息系统的特点作出的补充规定。3.安全保护水平与
6、等保二级保护水平相同的系统,除满足“等保二级要求”中的具体要求之外,还需同时满足“档案行业要求”。安全保护水平与等保三级保护水平相同的系统,除满足“等保三级要求”的具体要求之外,还需同时满足“等保二级要求”,和“档案行业要求”。五、档案信息系统安全保护的管理要求(见表 1)六、档案信息系统安全保护的技术要求(见表 2)表 1、表 2 表 1档案信息系统安全保护的管理要求一级指标二级指标 等保二级要求 等保三级要求 档案行业要求1.1 管理制度应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;应对安全管理活动中重要的管理内容建立安全管理制度;应对安全管理
7、人员或操作人员执行的重要管理操作建立操作规程。应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。安全管理制度、操作规程应涵盖档案信息系统建设、运维的所有工作环节。1.2制定和发布应指定或授权专门的部门或人员负责安全管理制度的制定;应组织相关人员对制定的安全管理制度进行论证和审定;应将安全管理制度以某种方式发布到相关人员手中。安全管理制度应具有统一的格式,并进行版本控制;安全管理制度应通过正式、有效的方式发布;安全管理制度应注明发布范围,并对收发文进行登记。1安全管理制度1.3评审和修订应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。信息安全领导小
8、组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。一级指标二级指标 等保二级要求 等保三级要求 档案行业要求2.1 岗位设置应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;应制定文件明确安全管理机构各个部门
9、和岗位的职责、分工和技能要求。档案馆领导负责对系统权限控制、档案数据处置等重要系统操作活动进行审批。2.2人员配备应配备一定数量的系统管理员、网络管理员、安全管理员等;应配备专职安全管理员,不可兼任;关键事务岗位应配备多人共同管理。2安全管理机构2.3授权和审批应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;应针对关键活动建立审批流程,并由批准人签字确认。应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审
10、批制度;应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; 应记录审批过程并保存审批文档。重要审批授权记录应存档备查。一级指标二级指标 等保二级要求 等保三级要求 档案行业要求2.4沟通和合作应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;应加强与兄弟单位、公安机关、电信公司的合作与沟通。应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系
11、方式等信息;应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。2.5审核和检查安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;应制定安全审核和安全检查制度,规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。建立安全检查通报机制,对系统日常安全运行情况进行检查,并将重要安全情况向上级
12、档案部门报告。一级指标二级指标 等保二级要求 等保三级要求 档案行业要求3.1人员录用应指定或授权专门的部门或人员负责人员录用;应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核; 应 与 从 事 关 键 岗 位 的 人 员 签 署 保 密 协 议 。应签署保密协议;应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。3.2人员离岗应规范人员离岗过程,及时终止离岗员工的所有访问权限;应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;应办理严格的调离手续。应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。关键岗位人员
13、离岗,需将其人员及工作内容信息保留1年以上。3人员安全管理3.3人员考核应定期对各个岗位的人员进行安全技能及安全认知的考核。应对关键岗位的人员进行全面、严格的安全审查和技能考核;应对考核结果进行记录并保存。一级指标二级指标 等保二级要求 等保三级要求 档案行业要求3.4安全意识教育和培训应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒; 应 制 定 安 全 教 育 和 培 训 计 划 , 对 信 息 安全 基 础 知 识 、 岗 位 操 作 规 程 等 进 行 培 训 。应对安全责任和惩戒措施进行书面规定
14、并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;应对安全教育和培训的情况和结果进行记录并归档保存。3.5外部人员访问管理应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。4系统建设管理4.1系统定级 应 明 确 信 息 系 统 的 边 界 和 安 全 保 护 等 级 ;应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;应确保信息系统的定级结果经过相
15、关部门的批准。应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。一级指标二级指标 等保二级要求 等保三级要求 档案行业要求4.2安全方案设计应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作
16、计划; 应 根 据 信 息 系 统 的 等 级 划 分 情 况 , 统一 考 虑 安 全 保 障 体 系 的 总 体 安 全 策 略 、安 全 技 术 框 架 、 安 全 管 理 策 略 、 总 体 建设 规 划 和 详 细 设 计 方 案 , 并 形 成 配 套 文件 ;应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。4.3产品采购和使用
17、应确保安全产品采购和使用符合国家的有关规定;应确保密码产品采购和使用符合国家密码主管部门的要求;应指定或授权专门的部门负责产品的采购。应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。一级指标二级指标 等保二级要求 等保三级要求 档案行业要求4.4自行软件开发应确保开发环境与实际运行环境物理分开;应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;应确保提供软件设计的相关文档和使用指南,并由专人负责保管。应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;应制定代码编写安全规范,要求开发人员参照规范编写代码;应确保对程序资源库的修改、更新、发布进行授权和批准。4.5外包软件开发应根据开发要求检测软件质量;应确保提供软件设计的相关文档和使用指南;应在软件安装之前检测软件包中可能存在的恶意代码;应要求开发单位提供软件源代码,并审查软件中可能存在的后门。应要求开发单位提供软件设计的相关文档和使用指南。4.6工程实施应指定或授权专门的部门或人员负责工程实施过程的管理;应制定详细的工程实施方案,控制工程实施过程。应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程;应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
