安全法律法规体系

信息安全首先需要建立档案信息安全法律法规体系，做到有法可依。该法律法规分布于档案专业的内部和外部。内部有涉及安全问题的档案法律法规，外部有涵盖档案管理的信息安全法律法规。

（一）涉及安全问题的档案法律法规

《中华人民共和国档案法》是我国档案法律法规的基石，在《档案法》及其实施办法的基础上，近年来我国档案界陆续制定出一些关于或涉及档案信息安全的规章、标准和规范性文件。如国家档案局2002年颁发的《全国档案信息化建设实施纲要》和国家标准《电子文件归档与管理规范》中均有针对档案信息安全的具体规定；2013年组织制定了《档案信息系统安全等级保护定级工作指南》（档办发〔2013〕5号）以落实国家信息安全等级保护制度。很多地方和单位也颁发了档案信息安全保管方面的规章制度，如上海市档案局颁发的《上海市档案条例》《上海市档案信息化建设实施意见》中均有关于确保档案安全的条款。江苏省档案局颁发的《江苏省档案信息化建设保密管理办法》、黑龙江省档案局颁发的《黑龙江省档案信息化建设保密管理办法》等都专门针对档案信息化安全体系建设。

（二）涵盖档案管理的信息安全法律法规

我国档案信息化建设尚处发展初期，专门针对档案信息安全制订的法律法规较少，档案信息安全法律法规体系的主要内容仍由涵盖或涉及档案信息安全的信息安全法规构成。这些综合性的信息安全法律法规为档案信息安全提供了基本的法律规范，也应列入档案信息安全法律法规知晓和执行的范畴，同时，对制定和完善档案信息化的专门法律法规具有依据和参考价值。

我国自20世纪90年代初开始重视信息安全的法律法规建设。1997年3月修订的新刑法中开始加入了信息安全方面的内容。《刑法》第二百八十五条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役”。第二百八十六条规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常进行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚”。第二百八十七条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚”。2009年通过的《中华人民共和国刑法修正案（七）》中对于惩治网络“黑客”的违法犯罪行为也增加了相关条款于第二百八十五条之下：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚”。这些条文从惩戒计算机犯罪的角度来保障网络系统的安全。作为国家最重要的法律之一，刑法条款对计算机犯罪具有相当的威慑力。

在行政法规与规章方面，国务院、各级地方政府陆续制订了一系列信息安全规范。其中，由国务院直接颁发的、具有指导性质的行政法规是《中华人民共和国计算机信息系统安全保护条例》（1994年2月）、《中华人民共和国计算机信息网络国际联网管理暂行规定》（1996年2月）、《信息网络传播保护条例》（2006年5月）。工业和信息化部按照国务院要求进一步制定了《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》（1998年2月）、《通信网络安全防护管理办法》（2009年12月）等。

国家公安部从网络系统安全保护和安全监控出发制定了《公安部关于对与国际联网的计算机信息系统进行备案工作的通知》（1996年1月）、《计算机信息系统安全专用产品分类原则》（1997年4月）、《计算机信息系统安全专用产品检测和销售许可证管理办法》（1997年12月）、《计算机信息网络国际联网安全保护管理办法》（1997年12月）、《计算机病毒防治管理办法》（2000年3月）、《互联网安全保护技术措施规定》（2005年12月）等文件。2007年公安部与国家保密局、国家密码管理局、国务院信息化办公室共同制定了《信息安全等级保护管理办法》。国家保密局则从网上信息安全保密责任出发制定了《计算机信息系统保密管理暂行规定》（1998年2月）、《计算机信息系统国际联网保密管理规定》（2000年1月）。

归纳起来，国家和地方各级政府制定的有关信息安全的法规制度，主要是从机房建设的安全保护规范、通信设备进网认证制度、国际接口专线制度、国际联网经营许可证制度和接入登记制度、联网备案制度、安全等级制度、安全产品销售许可证制度、保护信息安全规章、网络利用限制和安全责任制、计算机病毒防治制度、安全报告制度、安全违规犯法惩治制度等方面对信息安全进行规范。

国内许多行业还根据自身的实际情况制定本行业的信息安全保护规章。例如，公安部和中国人民银行联合颁布了《金融机构计算机信息系统安全保护工作暂行规定》（1998年8月），以加强金融系统的信息安全保障；中国人民银行向银行金融业发布《网上银行系统信息安全通用规范》等。军队系统则根据《中华人民共和国计算机信息系统安全保护条例》第二十九条，“军队的计算机安全保护工作，按军队的有关法规执行”的要求，自1989年起先后发布了《军用通信设备及系统安全要求》《军队通用计算机系统使用安全要求》《军用计算机安全评估准则》《指挥自动化计算机网络安全要求》等规章，对军队信息系统的安全管理作出了严格的规范。

在上述安全法规的基础上，档案界加强了对档案信息安全的行政执法，认真查处档案信息安全隐患和档案违法案件。随着信息技术的不断发展，档案工作者应不断进行档案信息化安全管理的研究以及跟踪最新的安全技术，对档案信息化安全管理工作的效果进行及时的分析和评估，不断完善安全防范体系。在保障档案信息安全的过程中，逐渐健全档案信息安全管理制度，提高管理人员的安全意识以及管理水平，充分发挥档案工作人员、技术人员以及用户的积极作用，为推动我国档案信息化安全保障工作贡献力量。