檔案信息安全管理體系建設探討范文

本站小編為你精心準備了檔案信息安全管理體系建設探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：做好檔案安全工作是推動檔案事業科學發展的前提，而檔案信息安全工作是檔案安全工作的重點。實踐中杭州市檔案局積極構建檔案信息安全管理體系，堅持“安全第一、預防為主、威脅防控、規范運行、科技支撐”的原則，跟蹤技術前沿，努力提升解決新問題的能力，同時以業界普遍存在的問題為導向，加強信息安全威脅防控，進一步做好檔案信息安全工作。

關鍵詞：檔案信息安全；檔案信息安全管理；體系；實踐分析

當前，檔案部門積極開展檔案信息化建設，圍繞檔案核心業務建設了各類檔案信息系統，包括電子檔案接收、管理、保管（存）、利用系統以及館藏檔案數字化加工系統、檔案網站等。與此同時，檔案信息化建設過程中也出現了一些問題，其中安全問題較為突出且不容忽視，包括安全責任主體不明確、制度規范不完善、物理環境不合規，以及檔案數據管理失控、信息分級不恰當、監督檢查機制缺失、應急處置能力不足等，檔案信息安全事件時有發生，檔案信息化建設和檔案信息安全防護工作面臨巨大挑戰。做好檔案安全工作是推動檔案事業科學發展的前提，而檔案信息安全工作是檔案安全工作的重點。近年來，杭州市檔案局從維護國家安全的高度來認識檔案信息安全工作，積極構建檔案信息安全管理體系，把檔案信息安全工作放在檔案信息化建設的重中之重，綜合運用多種手段應對嚴峻的信息安全形勢，堅決守住檔案安全底線。

1加強檔案信息安全管理體系

頂層設計市檔案局認真梳理原有的信息系統安全管理制度，對已制定的但不適應新形勢、新要求的制度，抓緊修訂完善，不符合現實要求的，及時予以廢止；同時編制了《杭州市檔案局檔案信息安全管理手冊》，相繼建立了信息安全管理制度體系、責任體系、運維體系和應急體系，按照PDCA原則，保障市檔案局網絡安全暢通與可控，保障所開發和維護的信息系統安全穩定，為社會公眾提供安全可靠的檔案服務。

2構建基礎安全保障體系

完善的安全保障體系能確保網絡安全、系統安全、數據庫安全、信息安全、設備安全、信息介質安全，并能有效應對計算機病毒。市檔案局在承載檔案信息資源存儲、傳輸、管理的計算機網絡上配置了IPS、防火墻、安全審計、漏洞掃描、光閘等基礎安全設備，在檔案信息系統中采用身份認證、訪問控制、數字簽名等信息安全技術，避免檔案信息資源被非法訪問使用或惡意篡改，為保障檔案信息資源安全提供技術支持。2017年，結合國家示范數字檔案館創建和檔案行業計算機信息系統等級保護三級系統要求，市檔案局投入近400萬元人民幣，對部署數字檔案館系統的內網進行全面升級，采用超融合架構，將服務器節點進行聚合，利用虛擬化技術將資源整合，形成統一的資源池和管理平臺，實現了模塊化的無縫橫向擴展，促進了新開發檔案業務系統的快速上線和已有檔案業務系統的平滑遷移，利用虛擬工作負載的快速遷移和數據多副本配置，提高應用系統的高可用性，將軟件定義的網絡、安全、存儲緊密集成到虛擬數據中心，結合基于策略的調配機制，達到平臺級別以及平臺內部的虛擬機級別全方位安全防護。結合原有政務外網（計算機信息系統等級保護二級標準）的安全防護，構建了市檔案局基礎安全保障體系。

3規范電子文件和電子檔案管理

在信息化的時代背景下，加強電子文件、電子檔案管理，確保電子檔案真實完整、安全可用和長期保存，是檔案信息安全管理體系建設的基礎工作。2009年以來，市檔案局開展“杭州市電子文件中心”項目建設，注重電子文件全過程管理和前端控制，對電子文件生命周期的各個環節加強質量控制，確保歸檔電子文件的信息安全和檔案價值。特別是2017年，隨著浙江政務服務網的應用和“最多跑一次”改革的推進，單軌制保存的行政審批電子文件大量產生，其中相當部分具有保存價值，能夠被作為檔案進行保存。市檔案局根據“最多跑一次”改革要求，迅速對業務類電子文件歸檔工作進行探索和研究，以浙江政務服務網行政審批類事項為切入點，建立統一的電子業務數據模型，使之能對各種業務類型的電子檔案進行統一的數據資源管理，實現對黨委和政府重要業務信息系統數據的收集歸檔、規范管理和有效利用。我們將繼續全力拓展“最多跑一次”事項電子化歸檔的廣度，逐步實現歸檔范圍向九大類權力事項拓展，使電子業務數據歸檔成為“最多跑一次”改革的有力支撐。通過“杭州市電子文件中心”項目建設，市檔案局已完成了面向機關檔案室的電子文件管理系統（ERMS系統）和業務類電子文件歸檔系統（EDMS系統）的建設任務，通過ERMS系統和EDMS系統的推廣使用，進而規范全市市直機關的電子文件管理。在電子檔案規范管理方面，2018年市檔案局利用接受副省級以上綜合檔案館業務建設評價和創建全國示范數字檔案館的契機，按照國家檔案局《數字檔案館建設指南》、《電子檔案管理系統基本功能規定》和“數字檔案館系統測試辦法”中對軟件功能的最新要求，正在建設一套高性能、高成熟度、高安全性、易擴展的數字檔案館系統，用以完成館藏檔案的數字化加工和電子檔案的采集、整理、存儲、檢索、傳遞、保管、保護、鑒定、銷毀、統計、編研、利用等工作，并為用戶提供高效跨庫、無縫連接的信息服務。

4落實各項信息安全舉措

4.1 開展信息系統等級保護。市檔案局認真開展計算機信息系統安全等級保護工作，將技術措施和管理措施有機結合，按照國家有關規定和標準規范要求，建立信息系統綜合防護體系，提升信息系統整體安全保護能力，減少安全隱患，有效保障檔案信息化建設工作的開展。

4.2 加強信息安全運行維護。市檔案局通過購買第三方安全服務的方式，開展日常安全運維工作，定期開展安全巡檢、服務器漏洞掃描、系統風險評估、系統加固整改、檔案網站應急響應等工作，消除安全隱患。

4.3 建立檔案信息資源備份機制。市檔案局根據檔案信息資源的類別、數量、容量等情況，制定并實施符合本局（館）實際的安全存儲策略，確保檔案信息真實、完整、安全、可用；制定并實施檔案信息資源的安全備份策略，在做好本地備份的同時做好異地備份工作。一是同城異地容災。市檔案局多個應用系統通過專用光纖鏈路，將檔案信息備份至同城的容災機房，達到數據級容災要求，實現應用系統的同城異地容災。二是同城登記備份。市檔案局建立了規范的登記備份中心，備份市級機關和區、縣（市）檔案館重要檔案數據。三是跨區域異地備份。市檔案局與大連市檔案局簽署了重要檔案數據異地備份協議，互為對方建立檔案備份庫，定期實施重要檔案異地備份。

4.4 實施網絡安全事件應急演練。市檔案局制定了《杭州市檔案局網絡安全事件管理制度》《杭州市檔案局網絡安全事件應急預案》，對網絡安全事件的分類分級、預防、報告、響應、調查處理、整改等作了詳細規定；每年定期開展網絡安全事件應急演練，每次應急演練按照不同的應急預案和演練目標制定具體演練計劃，記錄演練過程、評估演練效果、總結演練經驗，并及時分析應急演練中發現的不足和缺陷，據此修訂應急預案，以適應新形勢、新要求。

4.5 注重檔案數字化加工的信息安全。在檔案數字化外包工作中，市檔案局按照《檔案數字化外包安全管理規范》規定，嚴格審查檔案中介服務機構的資質、業績、人員，加強數字化加工設備、網絡、數據載體、場所管理，做好檔案數字化加工的日常管理和安全保密工作，確保檔案實體和數字化成果的安全。

5加強檔案信息資源利用

市檔案局對檔案信息資源進行分級管理，加強檔案開放鑒定，根據檔案信息資源開放等級，分不同網絡、信息系統進行存儲、傳輸、管理，根據利用對象不同分層次開展利用，防止檔案信息資源被非法訪問或越權訪問。

6推進檔案安全監督檢查工作

檔案安全監督檢查是確保檔案信息安全責任得到落實和制度得到執行的重要手段。各級檔案館要對自身的檔案安全承擔主體責任，還要對管轄區域內各部門各單位的檔案安全承擔監督責任。近年來，市檔案局對轄區內市直單位檔案管理情況、檔案局（館）履職情況、檔案服務外包承攬企業檔案安全工作情況、重大建設項目檔案管理情況開展“雙隨機”檔案安全執法檢查，認真落實行政執法責任制，督促各單位抓好安全工作，加強源頭治理和事前防控，堅持抓早抓小，堅持監督檢查和整改提升并重，發現問題及時整改。對發生重大檔案安全事故和存在重大安全隱患的單位，進行嚴肅處理并通報，樹立檔案法律法規權威。

參考文獻：

[1]宋華.基于安全等級保護制度的檔案信息系統安全保障體系研究[J].浙江檔案,2014(10):44-45.

[2]陶水龍.運用法治思維推進安全體系建設[J].中國檔案,2016(7):34-35.

[3]祝潔.基于云計算的檔案信息安全風險及防范策略[J].浙江檔案,2017(2):14-16.

[4]陶水龍.基于流程管理的電子檔案安全策略的探討[J].北京檔案,2012(1):9-11.

[5]崔屏.數字檔案館安全保障體系頂層框架構建[J].浙江檔案,2012(11):10-13.

[6]劉有平,李鋼.檔案信息化安全的人為因素及其對策[J].湖北檔案,2012(7):24-25.

作者：趙福榮單位：杭州市檔案局