档案信息系统安全等级保护

根据国家有关规定，涉密档案信息系统应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统分级保护技术要求》等有关分级保护管理规定执行。而非涉密档案信息系统应根据信息系统重要程度与信息安全要求实行定级管理，并按照安全保护等级来进行设计、建设与运行。下面主要介绍非涉密档案信息系统的安全等级保护要求。

档案信息系统包括开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统等三类信息管理系统，根据具体功能，又可细分为档案目录管理系统、数字档案接收系统等业务子系统（见表5-4）。

表5-4　档案信息系统基本功能描述

在开展档案信息系统等级保护的定级工作时，应遵循以下基本原则：

（1）自主定级原则。档案信息系统使用单位应按照国家相关法规、标准和《档案信息系统安全等级保护定级工作指南》要求，自主确定档案信息系统的安全保护等级，自行组织实施安全保护。

（2）重点保护原则。根据重要程度和业务特点，将档案信息系统划分为不同等级，实施不同强度的安全保护，集中资源，优先保护涉及重要数字档案资源的信息系统。

（3）动态保护原则。根据档案信息系统管理对象、服务范围等方面的变化，重新确定安全保护等级，及时调整安全保护措施。

（4）同步建设原则。档案信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障档案信息安全与档案信息化建设相适应。

根据国家相关规定和标准，档案信息系统等级保护从低到高可划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。在定级时，应同时考虑业务信息安全和系统服务安全两个方面，分别对照业务信息（或系统服务）安全保护等级矩阵表（见表5-5），分析档案信息系统受到破坏时所侵害的对象及侵害程度，结合所管理档案信息的重要及敏感程度进行定级。

表5-5　业务信息（或系统服务）安全保护等级矩阵表

一般来说，高行政级别单位的重要和敏感信息要多于低行政级别单位的重要和敏感信息，下面是常用档案信息系统安全保护等级建议（表5-6）：

表5-6　档案信息系统安全保护等级定级建议表

档案信息系统的安全保护等级确定后，应编制定级报告，并根据不同安全保护等级，由使用单位或相关部门组织专家进行评审，做好备案和报备工作。第二级及以上档案信息系统，应在安全保护等级确定后30日内，由使用单位按规定到所在地的同级公安机关办理备案手续，并向上一级档案行政管理部门报备定级情况。