一 、概述
数字档案馆建设与运行必须加强安全管理,遵守相关保密规定安全设备配置齐全:严格控制信息资源利用范围,制定严密的信息发布审核制度,严格控制数据访问权限:应制定完善的数据接收、移交、销毁等管理规范,制定备份规范。
管理涉密档案的电子档案管理系统,应按照涉密信息系统分级保护管理的要求进行安全设计和建设,并通过有关部门测评后方可投入使用。
管理非涉密档案的电子档案管理系统应根据系统重要程度及其实际安全要求,参照《计算机信息系统安全保护等级划分准则》(GB/T 17859)确定电子档案管理系统应达到的安全等级,并依照《信息安全技术信息系统安全等级保护基本要求》(GB/T 2239)、《档案信息系统安全保护基本要求) (档案信息系统安全等级保护定级工作指南》等,开展安全建设和登记管理。
二、建设内容
数字档案馆安全保密体系建设应包括物理安全与保密、系统安全与保密、网络安全与保密、应用安全与保密、安全保密管理等内容。
1.物理安全与保密
物理安全包括通信线路的安全、物理设备的安全、机房的安全等。物理安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备的安全性(替换设备、拆卸设备、增加设备),设备的备份、防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障等。
2.系统安全与保密
系统安全问题来自网络内使用操作系统的安全,如Windows NT、Windows2000等。主要表现在三个方面:一是操作系统自身缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等:二是对操作系统的安全配置问题:三是病毒对操作系统的威胁。
3.网络安全与保密
主要体现在网络方面的安全性, 包括网络身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。
4.应用安全与保密
主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还要考虑病毒对系统的威胁。
5.安全与保密管理
安全管理包括安全技术和设备管理、安全管理制度、部门与人员的组织规则等。管理制度化极大地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责、合理的人员角色配置都可以在很大程度上降低其他层次的安全漏洞。
三、安全与保密重点
企业数字档案馆建设是在企业已建成的信息化环境中进行,其物理安全与 保密、网络安全与保密、系统安全与保密应由企业信息技术部门统一规划实施 ,数字档案馆安全保密体系建设重点在应用安全与保密和安全与保密管理上。
1.应用安全与保密
电子档案管理系统本身必须符合安全与保密规定,具有合理的用户赋权和系统日志审核功能。为此,在档案系统的采购中,必须采购符合资质企业的系统,并进行测试,如需管理涉密档案还需进行第三方测试。在赋权方面,规划好系统管理员、安全员、审计员职责,规划各类档案管理人员的权限,规划好各类利用人员权限,规划好各类利用审批流程。
应用的安全与保密还包括档案信息传递必须安全与保密,如数字化加工场所、档案信息存贮,以及提供利用过程的安全与保密等。
2.安全与保密管理
要制定安全保密制度和规范,定期开展安全保密检查,对有关人员进行动态管理等。
