在档案信息化中实施信息安全等级保护,本文主要内容关键词为:信息安全论文,等级论文,档案论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息安全等级保护的内容实质
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,美国、加拿大等发达国家正在通过法律手段将等级保护上升为国家意志,以法律的形式确定等级保护的法律地位,并形成了完善的以等级保护制度为中心的信息安全保障体系。我国也非常重视等级保护制度的实施,从1994年开始先后出台了多项规定、政策促进信息安全等级保护制度的实施。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,为提高信息安全能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。其保护对象是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。档案工作的各个信息系统,比如档案信息管理系统、电子文件归档系统以及电子文件的网上查询与利用系统等也属于等级保护的范畴。
现代化档案工作中,档案信息网络和档案业务信息系统是档案信息化建设的基础,不同的信息系统中档案信息的重要程度不同,面向的用户以及公开范围也不同,因此,各信息系统对信息安全需求必然有不同。针对不同的档案信息系统实施不同级别的信息安全保护是信息安全等级保护制度的重要原则。鉴于档案信息化建设的重要战略地位及面临的信息安全威胁,对不同的档案信息系统划分不同的安全等级来保护档案信息系统安全是具有实际意义的。
推进等级保护制度在档案信息化中的实施,有利于在档案信息化建设过程中同步建设信息安全保障体系,有效地提高档案信息网络及信息系统安全建设的整体水平,优化信息安全资源配置,加强信息安全管理,有利于为档案信息系统安全建设和管理提供系统性、权威性、可行性的指导和服务,保障档案信息化顺利、安全地进行。
二、实施等级保护的具体措施
在档案信息化中实施信息安全等级保护制度,首先要积极地做好等级保护制度的基础工作。在国家信息安全监督小组和档案上级行政部门的指导下,划分档案信息系统安全等级、制定安全需求、评估安全风险。其次还要积极构建档案信息等级保护保障体系,做好行政管理、资金投入、人才培养、技术支持、组织机构改革等方面的保障工作,保证信息安全等级保护制度在档案信息化中的顺利实施。
(一)加强档案信息等级保护的基础工作
等级保护是针对不同信息系统实施不同级别的保护,要在档案信息化中实施等级保护必须加强等级保护需要的基础工作:划分安全等级和信息安全要求,然后根据划分的信息安全要求确定信息系统是否在风险允许范围内运行。
首先,对档案信息系统进行安全级别分类。
对档案信息系统进行安全分级分类十分关键,是实施信息安全等级保护的基础。档案信息系统安全级别的分类,要通过各业务信息系统的重要性、完整性、保密性及这些属性消失之后可能造成的损失确定其应有的安全等级,体现出信息系统之间的安全需求差异。如电子文件管理信息系统中,电子文件利用信息系统与电子文件管理元数据系统的重要程度、保密性以及用户对象不同,承受安全风险的能力也必然不同,因此,两个系统的信息安全等级也应体现出差异。
其次,基于安全级别划分,为每一级信息系统规定安全要求。
划分了信息系统的安全等级,还要有相应的安全要求。不同信息系统的安全级别不尽相同,对安全要求也是不同的。因此,要根据档案信息系统的安全等级,确定每一级信息系统需要的信息安全要求,便于对照执行。安全级别低的信息系统只需安装普通的防病毒和防火墙软件,安全级别高的要进行端口扫描、定期进行备份等措施,并为安全措施制定安全职责,确保信息系统的安全运行。
再次,评估档案信息系统的安全措施,判断其运行的可行性。
在划分了安全级别和明确了安全要求之后,要对现行档案信息系统进行评估,根据信息系统所属的安全等级检查其安全保护情况,如果达到其应有的安全规定,残余信息安全风险属于可以处理的范围之内,则允许档案信息系统投入运行,否则要限期整改,直到符合标准为止。
上述三项工作是等级保护在档案信息化中实施的基础,这些工作又相互联系,构成了一个不断循环的周期。随着档案信息化的深入,各档案信息系统技术平台必然发生改变,其安全类别也会随之改变,因此,又要进行系统分类、规定安全措施、系统评估工作的循环。所以,档案信息系统的安全认可必须有时间期限,过了时间期限必须重新认可,否则就不允许该档案信息系统投入运行。
(二)积极构建档案信息安全保障体系
为了推行档案信息等级保护制度在档案信息化中的应用,除了要做好档案信息等级保护制度的基础工作之外,还要构建档案信息安全保障体系确保等级保护的实施。
为了保证等级保护在档案信息化中的实施,不仅要有法律行政手段的保证,还需要人才和经费以组织机构设置的保障,从各环节促进等级保护的实施。
1.以法律行政手段确保等级保护制度的实施
档案部门必须尽快建立信息安全等级保护制度并加强立法工作,在公安部信息安全监察局的指导下制定档案信息安全等级保护的管理办法、技术标准和规范,以法律、行政手段保证等级保护制度在档案信息化中推行,并确保等级保护实施的标准化、规范化。
2.以科学的机构设置促进等级保护的实施
科学的组织机构设置是档案事业发展的强大动力。在档案信息化的发展进程中,档案部门的组织机构设置已出现阻碍信息化发展的弊端。档案部门必须适应信息化以及档案信息安全形势的需要,强化管理机构的职能,建立高效能的、职责分工明确的业务组织体系,设立专门的信息安全评估和咨询机构和人员,加强单位之间的信息安全保障协调工作,为档案信息系统安全提供科学组织管理保证。
3.技术手段及基础设施建设保障等级保护的实施
加强信息安全技术研究和基础设施建设,采用先进的技术手段和先进的设备,如密码技术、数据备份和应急数据恢复技术确保网络及信息系统的安全。加强技术储备,应对各种信息技术问题。加强档案信息化基础设施建设,保证档案信息化设备高质量、高效率、安全地运行。做到既能防止外部攻击,又能防止因设备质量造成的安全隐患。
4.定期对信息安全评估检查监督等级保护的实施
随着档案信息化的深入发展,档案信息系统的技术平台、运行环境已经发生变化,因此,必须对档案信息系统进行定期的评估检查,确定信息安全风险在承受范围之内,并颁发信息安全认定证书,否则要限期整改,直到符合标准为止。
推进档案信息安全等级保护制度在档案信息化建设中的实施,是符合档案信息化建设安全需求的,是档案信息化安全保障的发展趋势,档案部门必须尽快着手,为档案信息化正常、有序地进行提供安全保障。
标签:信息安全论文; 信息化管理论文; 信息安全标准论文; 等级保护论文; 信息安全管理制度论文;