安全保障体系建设范文第1篇

【关键词】档案安全；保证体系；建设研究

现阶段，国家各级档案部门大力推进档案资源管理体系和便民档案利用体系的覆盖率，并对我国档案保证系统的建构进行了全面的总结和深入的研究，促进我国各级档案管理部门的安全保障能力的进一步提高。我国“十二五”期间提出的“三个体系”中的一项重要任务就是档案管理安全保障体系的建设，这对于档案管理安全保障系统的建设有积极的促进作用。

一、档案安全保障体系解读

档案安全保障体系牵涉到档案将遭受的威胁、防范技术、管理模式、员工素质等多方问题，是一项系统工程。档案管理和保存过程中存在着很多不安全因素，经过档案风险评估，可以确定档案安全系统存在的风险，找到相应的安全防范措施，确定可行的安全策略。将档案管理安全、技术安全和环境安全措施综合设计为一个统一完整的安全保障平台，是档案安全保障体系的核心理念。

二、档案安全保障系统建构的必要性

（一）我国核心档案资源被窃取的客观需要

目前我国面临着较为严峻的档案安全问题，其中，信息资源和能源资源等是各国争夺的战略资源，国际上通过非法手段和途径窃取别国档案信息的事例并不少见，面对这种严峻的信息安全问题必须加强档案安全保障系统建设。

（二）目前自然灾害频发严重威胁到我国档案信息安全

地震、海啸、台风、火灾等自然灾害不可预亦不可抗拒，此类灾害对于档案信息实体危害巨大，印度洋海啸和汶川地震都是震惊世界的现实例子。汶川地震对当地及周围地区档案馆造成严重破坏，当地档案信息损毁严重。所以大力推进我国档案安全保障系统是自然灾害频发客观要求。

（三）档案事业快速发展造成档案信息安全隐患

公共档案服务事业的快速推进，尤其是《政府信息公开条例》的实施，导致档案安全矛盾凸显。在档案管理中，一些地方由于强调服务，开放的文件疏于鉴定，将不应公开的信息公之于众，不应宣传的信息在网络上流传，严重损害了相关人员和部门的切身利益。

（四）数字技术应用于档案管理带来了新的安全隐患

随着我国进入信息时代，大量的电子文件的出现是信息时代的一大特征。电子文件易改动、易窃取、易传播、易丢失的特性给档案管理工作造成了新的困难，使档案管理工作人员面临严峻考验。此外，电子文件可以得到长期保存也是档案管理者面临的重大难题之一。这就要求我们必须建立完善的档案安全保障体系来提高档案管理水平。

三、档案管理安全保障系统建设的内容

（一）理论建设和技术研究

根据档案安全保障系统建设的实际需要，研究并制定相应的档案安全科研计划。此外，应当加强对数字档案资源安全保证、档案修复技术、电子文件真伪鉴别和长久保方式等关键理论和技术的研究，提高档案管理安全保障的理论支持和技术支持。

（二）完善相应领域的法律法规

目前的当务之急是健全档案管理领域的法律法规体系，对于档案管理工作中出现的各种矛盾和问题，相关领域的法律法规起着重要的协调作用，对于档案资源的安全有重要保障作用。因此，在法律法规的制定过程中，要注意法律条文的规范性和实操性、系统性和各方面兼容性，有意识的吸收借鉴国内外先进的档案安全立法经验，适时整改和修订现行法律法规中与现实情况脱节的条款。

（三）培养高素质的档案管理人才

人才的培养是档案安全保障系统中的关键要素之一，所以要有计划、分重点、多形式、多途径的培养档案安全保障人才。同时对档案安全保障事业一线工作人员要定期展开培训和学习，提高他们的安全防范意识，普及档案安全保障的知识和技能。并且要及时引进国外档案安全保障的新成果，培养一支有先进知识、专业技术和高度责任心的档案事业干部队伍，为档案安全管理事业提供可靠保障。

另外要确保档案安全法律法规的贯彻实施。各级档案管理部门要大力监督检查档案安全相关法律法规的实施情况，对于违反档案安全的人员进行严肃处理。对查出的破坏档案安全问题一经发现绝不姑息，发现一起处理一起。从而确保档案安全法规不仅停留在纸面上，在实际工作中贯彻执行，真正发挥作用。

（四）建立档案安全管理体系

根据国家或者行业内部要求及档案管理组织内部实际情况，制定出档案安全管理工作的具体策略和方案，用于指导档案安全保障工作的开展。档案部门应该按照档案管理安全保障标准建立明确的工作目标和工作规划，从而达到系统的、全面的、制度化的档案安全管理模式，实现档案管理安全保障。

（五）建立档案安全系统的评估体系

档案管理安全评估建设是指针对档案安全保障事业所建立系统的评价指标，档案管理安全评估系统需要有很强的可操作性、科学务实、完整系统、并且动态性与稳定性兼具。

四、结语

加强档案管理安全保障系统建设，不仅是自然灾害频发的环境下确保国家核心档案资源安全性的需要，也是解决转型期我国档案信息服务健康发展的要求。从档案管理具体工作来说，建设档案管理保障系统任务艰巨，国家政府必须从基础设备、相关制度、技术和人员等多面给予支持，将档案管理保障系统建设作为一个系统工程，全方位推进其进度。

参考文献

[1] 张美芳，王良城.档案安全保障体系建设研究[J].档案学研究，2010，01（16）.

[2] 张迎春.档案安全保障体系研究[D].安徽大学，2011.

[3] 李宝玲，崔海燕.档案安全保障体系建设内容研究[J].湖北档案，2013，05（24）.

安全保障体系建设范文第2篇

1 加强档案安全保障体系建设的必要性

1.1 加强档案系统安全建设是解决目前国内档案安全问题的需要。有很长一段时间，一部分档案工作者对档案安全保障工作了解不够全面，诸如将安全理解为防盗、防火、防水、防湿度、防光、防高温、防虫、防霉等“八防”，尤其关注防火和防盗。档案安全有信息安全的保障和载体安全的保障，有隐性状态也有显性状态。由于档案系统安全性理解的局限性，导致在实际工作中，理解措施和技术方法简单易行，安全工作中心偏重于基础设施投资，忽略了长期安全维护和管理，缺乏足够的安全意识、风险意识和利益意识。

1.2 加强档案安全系统工程建设是应对公共档案信息服务的现实要求。随着加快公共档案服务的推进，有些地方在强调服务的过程中，对文件的开放性做不到足够的细致、严格，造成不该上网的网上公开，不该公布的公布于众，严重损害了相关利益者的权益。

1.3 加强档案系统安全建设是应对新技术广泛应用于数字档案信息资源安全带来的新隐患新挑战的必然选择。形成大量的电子文件是信息时代的一大特色，给档案工作带来了新的问题，使档案工作者面临着新的考验。电子文件易被窃取，易被改变，易传播和易消失，信息不能直接阅读，必须依靠某种设备。对于电子文件的管理，我们必须解决它的读取、保密、保存、保真等问题。如何确保当今的电子文件在几十年、几百年后还可以阅读使用，是一个需要特别注意和需要解决的重要问题。

1.4 加强档案系统安全建设是保障文件的日常工作的需要。档案信息系统作为档案工作正常运行的基本保障，其与档案的收集、整理和利用密切相关，包括档案工作中每一个相关的环节，任何错误和安全问题，都会给档案日常工作带来无法估计的损失。

2 建立档案信息保障体系的策略和方法

2.1 加强档案信息安全意识。档案信息资源是党和国家的宝贵财富，是企业不可再生资源的原始记录，一旦文件发生事故就会造成无法弥补的损失。档案工作人员要以对党和人民高度负责的精神，切实做好保护档案的工作，把档案安全放在一个重要的位置上，学习、宣传、贯彻国家对信息安全及资料管理等情况的规定，加强档案信息安全意识、安全教育，普及档案信息安全知识，消除档案信息安全认识上的误区。树立科学正确的档案信息安全观念，坚持“安全第一，预防为主”的方针，把安全责任意识落实在档案工作的全过程。

2.2 加强档案安全管理机制建设。整个信息安全保障体系的建构过程都离不开信息系统内部的安全管理，加强内部管理，采取有效措施，是确保档案信息安全的一个重要方面。

2.2.1 制定档案信息安全建设规划。要制定出档案信息安全长期的建设规划，区分主要和次要的矛盾，制定不同的阶段目标和任务，逐步加以建设和完善。

2.2.2 完善档案信息安全管理组织和制度。根据新形势下档案工作的新特点，对现有系统加以完善改进。如，建立档案部门和信息部门人员管理制度和操作技术管理制度，病毒防护制度、设备维修管理制度等，要对制度的执行情况加强监督检查，定期考核。特别是在当前电子文件和电子档案数量迅速增长的情况下，要制定电子文件和电子档案的保密与利用制度，加强电子文件的保管、检验、鉴定等。

2.2.3 建立应急机制。尽快完善档案信息预警机制和快速处理突发事件的应对机制，完善网络的建设、加强档案信息安全预警分析，作出计划训练，有效控制档案信息安全危机。

2.2.4 严格的身份认证和授权。按文件信息系统用户需求，区分每个用户和不同层次的用户组，采用不易破解的动态密码和选择安全口令，对用户密码的身份和操作的合法性进行检查。例如，在中原油田的数字档案管理体制下，划分了档案管理员、兼职档案职员、利用人员、审查人员等不同层次的用户组，严格控制不同的用户身份认证和授权。

2.2.5 加强安全服务管理。安全服务是由专业的安全服务信息系统对用户进行安全评价、安全方案设计、事件响应、定期维护、安全培训及其他综合服务的过程。目前，在档案信息安全保障体系建设中还存在许多错误的认识，有一些档案工作者认为系统有了防火墙、防病毒产品就做到了安全。我们要看到，这些安全产品提供的服务是有限的，如果不能做到全面的检测、合理配置和适当的优化，就不能发挥应有的作用，因此，定期请专业安全服务机构对档案信息系统安全进行评估和计划，提出具体的改进措施是非常必要的。档案行政管理部门和专业安全服务机构应当建立长期友好的合作关系，安全服务机构定期派出专业人员对档案管理网络系统进行综合安全检测。不仅如此，该安全服务机构还可根据产品的安全需求对系统进行安全修复工作。例如，对系统定期进行升级、配置、补漏，并且当档案信息遇到突发安全事件时，安全服务机构也应提供应急响应服务。

2.2.6 强化档案工作人员的安全知识宣传、教育和培训。在所有的网络安全环节中，内部的“人”是最重要和最薄弱的一个环节，加强档案人员和有关人员的法律教育，提高档案信息安全意识、综合素质水平和创新能力直接影响档案信息的安全。因此，要求档案人员持之以恒，提高警惕，防止档案的损坏，确保档案的安全，为档案工作提供物质基础。对于特种载体档案和有密级的档案须经指定领导人审批，认真履行登记手续，任何人无权擅自阅读。管理有密级档案的人员比一般员工有更大的保密责任，必须有很强的责任心、事业心和高度机密的安全意识，不仅要有严谨的工作作风，经手的档案还要每件有头有尾，手续齐全、防止秘密的泄露。

安全保障体系建设范文第3篇

[关键词]电子档案；信息安全；保障体系

[中图分类号]G270.7 [文献标识码]A [文章编号]1672-5158（2013）06-0437-02

1 引言

信息时代把“电子档案”这一新生事物推至我们面前。基于不同的认识背景和知识结构，人们对它的理解和认识有所差别。“电子档案”从社会意义上可以归纳为是将传统的以纸张、录音带、录像带为存储介质的各种原始档案资料，通过扫描、压缩、转化等手段转换成图片文件、声音文件和录像文件，对图片文件可以通过文字识别等技术手段，再运用分级存储管理技术将图片和索引字段存储于光盘库等各种大容量的存储介质上，并可通过各种方便的查询手段迅速地检索出所需要的档案资料，到局域网、广域网、企业内部网、国际互联网，最终实现“电子档案”。档案的安全保管和有效利用，是档案工作最基本的两项任务。

2 影响电子档案信息安全的因素

在电子档案的归档、管理和服务利用等过程中，影响电子档案安全的因素主要来自四个层面：

2.1 网络软件因素

网络因素主要指系统外部非法用户和不安全数据包侵犯窃取秘密与篡改破坏档案信息。这是计算机网络所面临的最大威胁，也称黑客行为。它们又可以分为以下两种：一种是主动攻击，即以各种方式有选择地破坏数据的原始性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、删除、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致信息的机密数据的泄漏。

2.2 硬件数据因素

硬件因素主要指网络运行系统的物理设备问题，如：主机硬件系统本身的安全漏洞，路由交换设备的不稳定，或硬件设备的意外损坏造成的系统瘫痪等；

数据因素主要指设计系统存储档案的数据安全问题，如数据版本与格式转换，存储介质的老化失效，自然灾害造成的数据丢失和损坏等。

2.3 应用管理因素

主要指档案管理信息系统在实际应用操作过程中存在的安全问题。管理是保护电子档案信息安全的主要手段，而责任不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。据调查，在已有的网络安全攻击事件中，约70%是来自内部网络的侵犯。如：档案管理信息系统的用户管理层次的不规范性；操作人员安全配置不当，用户安全意识不强，口令选择不慎，用户将自己的帐号随意转借他人或与别人共享造成档案信息泄密、原始信息被篡改等。这些都是因为管理不善而造成电子档案信息不安全的因素。

2.4 突发性因素

非人为因素是指不是由于人的直接行为引起的电子档案信息真实与完整的损失、档案信息的破坏，如设备故障和失效、自然社会灾害和意外灾祸等，也叫突发性灾害，主要指不可抗拒的自然灾害，如：雷击、火灾、地震、水灾、飓风以及其他不可预测的突发事件等。针对影响电子档案信息网络安全的种种危险因素，在电子档案信息资源的系统安全管理中采取相应的预防措施即安全技术防护至为重要。

3 电子档案信息安全保障体系的建设

电子档案信息的安全包括网络、系统安全；信息安全；物理安全等方面，要有可靠的技术措施和完善的管理制度来保证各方面的安全。因此，安全管理机制建设创新要有实招：

3.1 组建信息安全管理机构

机构级可以在本单位现有的顶层如信息安全与保密委员会下设电子档案工作小组，在建立了机构时必须同时制定职责、运作机制等相关制度，使保密机构真正起到决策、监督作用。

3.2 电子档案信息安全体系建设

电子档案的安全与保密除通过软硬件保障外，制度的保障更加重要，因此必须制定相关的规章制度，主要有以下几项：

3.2.1 建立安全管理制度

管理制度是保证电子信息安全的重要措施。维护电子信息的安全除了技术手段外，更重要的是要加强对信息的管理，制定合理而严密的管理措施和规范，才能真正保护电子信息的真实、可靠和完整。因此，为保证电子档案信息的安全，必须制定以下各项规章制度：文档管理制、人员安全管理制度、应用系统运营安全管理制度、系统运行环境制度。

3.2.2 建立网络管理制度

计算机网络系统的安全系数会随着时间的推移而降低。原因很多，主要有设备老化，安全技术方法逐渐泄露，管理日渐松懈，攻击者经验的积累等。与此相反，电子文件和电子档案的价值却随着时间积累而增加，对系统安全的要求越来越高。因此，为长时间保证安全，必须结合本单位的实际，建立配套的、切实可行的网络管理制度。

3.2.3 建立全过程的电子文件管理制度

电子文件从形成到电子档案的开发利用，中间要经过很多环节，哪一个环节出了问题都会影响电子文件的真实可靠性。因此建立全过程的管理制度，明确各环节的职责要求，就显得非常重要。如电子文件形成之后，要及时收集积累，以防分散状态下发生信息丢失；电子文件归档时，要严格检查相关文件是否收集齐全，负责就会给将来利用带来困难和麻烦；迁移时，要认真检查是否发生信息丢失。任何环节的疏忽，都对电子信息的真实性与可靠性造成危害。

3.2.4 建立电子文件管理记录系统

为加强对电子文件的管理，保证电子文件的法律证据性而建立。记录系统内容：

（1）对于收集积累阶段在网络系统上传输的电子文件，可通过网络系统自动记录有关信息；

（2）文件在现行期的重要处理环节，如文件的创立、登记、修改、审核、签署、分发；

（3）文件在半现行期和非现行期的管理、利用等；

（4）对于按存储载体方式进行收集、积累的电子文件，还要辅以必要的人工记录。

（5）文件存储位置的改变、数据转换的记录；

3.3 电子档案信息安全与保密日常监督与检查

电子档案的安全与保密还必须通过日常的监督与检查来得到保证，设备的日常维护，制度的贯彻与落实等等都必须落实到日常的工作中，一是检查人员的安全防护意识；二是检查各项规章制度的执行情况；三是检查机器设备和网络运行情况；四是检查网上数据的流动情况。因此电子档案必须制定安全与保密制度，明确检查周期、检查项目与检查方法，对出现问题要有归零跟踪，对违反纪律的员工有惩罚。

3.4 加强网络安全管理的人文策略

加强对电子文件制作和管理人员的业务学习和技术培训。在电子文件的安全管理过程中，仅靠制度是不够的，一方面必须加强组织对涉及电子文件人员的业务学习和技术培训。通过组织业务学习和技术培训等途径，尽快使他们掌握信息管理自动化的知识和技能，担负起电子文件归档工作的重任。另一方面要加强人才队伍的建设。人才队伍的建设贯彻以管理型人才为基础，以复合型人才为重点的指导思想。根据电子档案业务工作的划分，所需人才的类型有：档案采集、处理与数据加工人才；信息技术及计算机系统和网络设计与开发人才；档案信息分析、研究与咨询人才；电子档案理论与方法研究人才；电子档案系统运营与服务的管理人才。对人才队伍业务素质的要求是具有较全面的知识结构以及敏锐的信息意识、良好的信息道德、较强的信息能力，以适应电子档案的建设和正常运行的需要。

结束语

总之，电子档案信息安全保障体系应是一个包含法制标准、基础设施、组织管理、安全技术、灾难恢复机制的多层次、全方位的系统，该系统以法制标准为重要手段，以安全基础设施为基础，在整体安全策略和安全组织管理之下，采用国内外先进成熟的安全技术，制订统一的备份恢复策略，建立完备的综合防范机制，以保障电子档案信息安全、可靠、有序、高效地运行，确保电子档案信息资源的高安全性、高可靠性和高可用性。同时，积极促进档案整体信息化应用水平的全面提高，为信息化建设保驾护航。

参考文献

[1]赵晖：电子档案信息安全管理面临的问题和挑战，《城建档案》2013（1）

安全保障体系建设范文第4篇

［关键词］ 信息安全保障体系； 中国石油； 企业

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中图分类号］ TP309 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障体系概述

信息安全保障（Information Assurance，IA）来源于1996年美国国防部DoD指令5－3600．1（DoDD5－3600．1）。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery） 4个环节，即PDRR模型。

信息安全保障体系分为人员体系、技术体系和管理体系3个层面，人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护，多处设置保护机制，抵御通过内部或外部从多点向信息系统发起的攻击，将信息系统的安全风险降低到可以接受的程度。

2 国外信息安全保障体系建设

美国的信息化程度全球最高，在信息技术的主导权和网络上的话语权等方面占据先天优势，他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告，将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构，其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等，主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。

其他国家也都非常重视信息安全保障工作。构建可信的网络，建设有效的信息安全保障体系，实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家，如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展，在信息安全领域不断进行着积极有益的探索。

3 国内信息安全保障体系建设

我国信息化安全保障体系建设相对于发达国家起步较晚，2003年9月，中央提出要在5年内建设中国信息安全保障体系。2006年9月，“十一五”发展纲要提出科技“支撑发展”的重要思想，提出要提高我国信息产业核心技术自主开发能力和整体水平，初步建立有中国特色的信息安全保障体系。2007年7月20日，“全国重要信息系统安全等级保护定级工作电视电话会议”召开，标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求，不断完善与提升我国的信息安全体系，强调信息安全的重要性。

我国信息安全保障体系建设主要包括：① 加快信息安全立法、建立信息安全法制体系，做到有法可依，有法必依。② 建立国家信息安全组织管理体系，加强国家职能，建立职能高效、职责分工明确的行政管理和业务组织体系，建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系，使用科学技术，实施安全的防护保障。④ 在技术保障体系下，建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系，加大信息安全投入。⑥ 高度重视人才培养，建立信息安全人才培养机制。

我国通过近几年的努力，信息安体保障体系取得了长足发展，2002年成立了全国信息安全标准化技术委员会，不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展，但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口，受制于人。

4 企业信息安全保障体系建设

中国石油集团公司信息化建设在我国大型企业中处于领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，公司将企业信息安全保障体系建设纳入信息化整体规划中，并逐步实施。其中涉及管理类项目3个，控制类项目3个，技术类项目5个。

管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织，合理配置岗位并明确职责，建立完备的管理流程，为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训，较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队，提高信息安全风险自评估能力和风险管理能力，强化保障体系的有效性。

信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括：① 初步构建了制度和标准体系，了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度，开展了信息安全培训。③ 跟踪国家信息安全等级保护政策，开展信息系统安全测评方法研究等，规范了信息系统安全管理流程，提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范，提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务，支持国家等级保护、中国石油内部控制等制度的实施，使信息化建设与应用满足合规性要求。

信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台，实现关键和重要系统的用户身份认证，提高用户身份管理效率，保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心，员工受控访问互联网资源，并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略，完善域内安全监控手段和技术，规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括：① 对数据中心机房进行了风险评估，提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析，确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心，提高对信息安全事件的预警和响应能力。

5 存在问题及建议

中国石油作为国资委超大型企业和能源工业龙头企业，集团领导和各级领导，一贯重视信息安全工作，在落实等级保护制度，加强信息安全基础设施建设，深入开展信息安全战略、策略研究等方面，都取得的丰硕成果，值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题：

（1） 信息安全组织体系不够健全，不能较好地落实安全管理责任制。目前，部分二级单位没有独立的信息部门，更没有负责安全体系建设、运行和管理的专职机构，安全的组织保障职能分散在各个部门，兼职安全管理员有责无权的现象普遍存在，制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系，明确直属二级单位的信息部门建设，岗位设定、人员配备满足对信息系统管理的需求。

安全保障体系建设范文第5篇

一、基于信息安全风险评估的档案信息安全保障体系构成分析

1. 构成依据。针对日益严峻的档案信息安全管理形式，早在2003年中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，简称“27 号文件”），提出“坚持积极防御、综合防范”的方针。中共中央、国务院首次提出了针对网络信息安全的档案信息安全保障体系的建设要求，即“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”明确了档案信息安全保障体系建设要坚持“预防为主、防治结合”的基本原则，要求档案信息安全保障体系建设要以信息安全风险评估与等级保护制度作为基本制度和依据。其中，“积极防御”是档案信息安全保障体系建设的核心内容，而要想达到积极防御的目的必须对档案信息系统进行科学的风险评估。因为从信息安全的角度来讲，任何档案信息系统都存在安全风险，难的不在于风险的存在，难在风险的被发现、被认识，只有认识风险才能增强预防的针对性。

2. 构成设计。建立档案信息安全保障体系必须遵守“综合防范”的基本要求，基本途径就是技术、管理和法规标准，在此基础上建立起完整的技术体系、管理体系和法规标准体系，这也是档案信息安全保障体系的基本思路。从国外信息安全的保障来看，主要采用的是信息安全等级保护措施，在此基础上实现对信息安全的“综合防范”。我国在这一方面借鉴了西方国家的经验，制定了《GB/T 22239-2008 信息系统安全等级保护基本要求》，提出了基于不同安全等级信息系统的安全保障要求，并将信息安全分为基本安全技术要求和基本安全管理两类。因此，在档案信息安全保障体系建设上要采取等级保护制度的风险评估模式，按照“积极防御、综合防范”的基本要求构建起完整的保障体系。结合现有的研究资料和《GB/T 22239-2008 信息系统安全等级保护基本要求》，档案信息安全保障体系架构应该包含三大部分，也就是档案信息安全技术体系、档案信息安全法规标准、档案信息安全管理体系，在这三大体系之下包含若干个小的内容，由此也构建了一个完整的档案信息安全保障架构（图1）。

二、基于风险评估的档案信息安全保障体系构建流程

1. 分析阶段的风险评估。档案信息系统分析阶段风险评估必须按照 《GB/T22240-2008 信息系统安全等级保护定级指南》进行，对档案信息系统安全保护等级定级。定级的基本依据是以信息系统的重要性而一旦出现信息破坏现象对国家安全、社会稳定、人民群众合法权益所造成的损害程度为依据，一般来说分为两个层次：档案业务信息安全和档案信息系统服务安全。保护等级一般是由档案信息系统安全等级和系统服务安全等级中的较高者决定的。由于档案信息系统一旦遭到破坏，将会对国家、社会造成很大的影响，一般来说涉及到国家安全的系统需要定到三级以上，因此国内档案管理当中一般将档案信息系统安全等级分为三级，根据每一级的档案信息特点及所面临的风险确定信息安全管理所需的技术需求和安全管理需求。因此，必须认真做好档案信息系统分析阶段的风险评估，根据档案信息的特点，确定可能面临的风险。在具体的风险评估当中信息资产、脆弱性一般不需要识别，分析的主要任务是根据信息系统的应用对象、使用环境、业务状况、操作要求等分析其中的安全威胁，评估系统现有的安全技术及管理能否抵御这些风险的发生。如果判断的结果能够抵御，则不需要调整安全需求，如果不能抵御则需要及时调整安全需求。

2. 设计阶段的风险评估。档案信息系统设计阶段是整个信息安全保障体系构建的关键阶段，在这一阶段当中风险评估主要针对系统本身和外部，这一点与系统分析阶段有着明显的不同。设计主要包括技术设计和管理设计两部分，一般来说一个档案信息系统的安全可以分为五个层次，也就是物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等，档案信息系统设计必须在这五个层次上进行安全技术设计。而档案信息系统管理设计则包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。技术上的设计与管理上的设计构成了一个完整的档案信息安全保障系统。这一段的风险评估主要是针对系统设计风险进行评估，评估的主要依据是以《GB/T20984-2007 信息安全风险评估规范》为依据，评估针对技术方案和管理方案的整体安全方案评审的形式进行，对方案当中采用的各种安全功能和措施的技术上的可行性及实际效果进行评价，一旦发现安全方案存在风险，则需要重新进行安全设计和安全评估。

3. 实现阶段的风险评估。档案信息系统实现阶段主要是指将设计阶段内容转化为具体的系统行使，根据系统的实际运行情况对系统运行过程中的安全功能进行测试和验证，评价该系统设计方案安全技术和安全管理的预期目标的实现程度，分析依据安全设计方案而实现的安全措施和安全管理抵御风险的实际效果。如果系统实现阶段风险评估结果存在安全风险，则需要对系统进行重新安全设计、安全实现和风险评估，直到整个系统的安全风险降到合理的范围之内，达到《GB/T20984-2007 信息安全风险评估规范》规定的三级等级保护所提出的所有安全目标。常见的验证方法，主要是选择系统运行过程中常见的风险运用到系统当中，记录观察系统对这些常见的风险的抵御情况，如果能通过所有的风险验证，则说明安全方案设计达到了设计要求，如果出现不能抵御的风险情况则说明系统安全设计存在问题。一般来说，档案信息系统实现阶段的风险评估是在系统项目预验收或者试运行阶段进行，只有通过信息安全风险评估以后才能正式投入到档案信息管理当中。

4. 运行阶段的风险评估。档案信息系统在运行过程中自身和运行环境会发生一些变化，这些变化可能导致系统设计不能反映系统运行过程中的全部风险，也就是说一旦出现自身和运行环境的变化，档案信息系统会面临新的安全威胁，这就需要在系统运行过程中通过风险评估解决新的安全漏洞问题。系统运行过程中的风险评估可以分为定期和不定期的，一般是以自评估和检查评估的形式进行的。所谓的自评估一般是指档案信息系统使用单位根据自身的使用经验，依靠本单位的技术人才情况进行风险评估。当然，也可以委托社会风险评估服务机构实施。如果委托的是具有风险评估相应资质的专业评估机构实施，就是委托评估。专业的风险评估机构具有有效的风险评估人才和评估设计，所得到的评估结果比较客观可靠，是今后自评估的一种重要的发展方向。检查评估由信息安全主管机构或业务主管机构发起，依照现有的档案信息安全管理法规和标准进行，评估单位档案信息管理系统的安全风险情况是否在规定的标准范围内，其目的就是监督使用单位严格按照系统运行条件运行，督促使用单位不断完善档案信息安全保障系统。在系统运行阶段，风险评估最好采取自评估和检查评估相结合的形式。在系统实际使用过程中，本单位要定期组织自评估，保证档案信息安全系统达到设计标准和要求。

5. 淘汰阶段的风险评估。档案信息系统并不是没有时间限制的，随着时间的发展，人们对档案信息系统的要求越来越高，虽然能够利用软件系统对系统进行升级和完善，但是时间长了以后也会被淘汰。在淘汰阶段也需要对系统进行风险评估，评估主要针对档案信息的迁移、原有档案信息资产的处理，在评估过程中需要对原有系统当中的档案信息系统硬件、软件、档案信息等资产进行适当的处置，以防止这些信息载体当中所残留的信息因为处理不当出现信息泄露等风险。因此，在档案信息系统的淘汰阶段要对淘汰的系统可能带来的新的威胁和存在的安全漏洞进行评估，根据评估的结果制定详细的淘汰方案，同时对参与系统淘汰工作的人员进行信息安全教育，并对整个过程进行有效的监督，以达到避免淘汰过程中的档案信息风险，保证档案信息安全性的目的。如果淘汰方案仍然存在安全风险，则需要对淘汰方案进行改进，直到将淘汰方案的风险降低到最低水平。

说明：本文为湛江市哲学社会科学规划项目“档案安全保障技术研究”（项目编号：2013Y16）阶段性成果。

参考文献：

[1]项文新. 档案信息安全保障状况需进行风险评估. 中国档案. 2007（12）.

[2]邢燕 才碧莹. 浅析档案信息安全保障体系建设. 黑龙江档案. 2009（6）.

[3][6]胡明浩. 在档案信息化中实施信息安全等级保护. 档案时空. 2005（10）.

[4]项文新. 构建基于信息安全风险评估的档案信息安全保障体系必要性研究. 档案学通讯2008（1）.

[5]许桂清 李映天. 档案信息安全保障体系的建设与思考. 档案学研究 2010（3）.

免责声明：以上文章内容均来源于本站老师原创或网友上传，不代表本站观点，与本站立场无关，仅供学习和参考。本站不是任何杂志的官方网站，直投稿件和出版请联系出版社。