档案行业网络安全等级保护定级工作指南、档案行业网络安全等级保护基本要求(征.docx

上传人:极速器 文档编号:80026 上传时间:2025-07-10 格式:DOCX 页数:65 大小:113.64KB
下载 相关 举报
档案行业网络安全等级保护定级工作指南、档案行业网络安全等级保护基本要求(征.docx_第1页
第1页 / 共65页
档案行业网络安全等级保护定级工作指南、档案行业网络安全等级保护基本要求(征.docx_第2页
第2页 / 共65页
档案行业网络安全等级保护定级工作指南、档案行业网络安全等级保护基本要求(征.docx_第3页
第3页 / 共65页
档案行业网络安全等级保护定级工作指南、档案行业网络安全等级保护基本要求(征.docx_第4页
第4页 / 共65页
档案行业网络安全等级保护定级工作指南、档案行业网络安全等级保护基本要求(征.docx_第5页
第5页 / 共65页
点击查看更多>>
资源描述

1、附件1档案行业网络安全等级保护定级工作指南(征求意见稿)一、适用范围1二、编制依据1三、基本原贝U1(一)科学规范,协作配合1(二)分级保护,突出重点2(三)同步规划,动态调整2四、定级方法2(一)安全保护等级2(二)定级要素21 .受侵害的客体22 .对客体的侵害程度3(三)定级要素与安全保护等级的关系4五、工作流程4(一)确定定级对象51 .信息系统52 .通信网络设施63 .数据资源6(二)初步确定等级64 .确定受侵害的客体75 .确定对客体的侵害程度76 .综合判定等级77 .编制定级报告9(三)专家评审9(四)主管部门核准10(五)公安机关备案审核100(六)等级变更100附件Il

2、lII档案行业网络安全等级保护定级工作指南为进一步提升档案行业网络安全管理水平,加快推进档案行业网络安全工作合规有序开展,依据中华人民共和国网络安全法和网络安全等级保护相关政策标准,结合档案工作实际制定本指南。本指南明确了档案行业网络安全等级保护的定级原理和定级流程,提出划分定级对象和确定安全保护等级的建议。一、适用范围本指南适用于县级及以上档案主管部门及国家综合档案馆的非涉及国家秘密的等级保护对象的定级工作,其他档案机构可参照执行。二、编制依据本文件的编制主要依据以下文件:中华人民共和国档案法;中华人民共和国网络安全法;中华人民共和国数据安全法;中华人民共和国个人信息保护法;中华人民共和国档

3、案法实施条例(国务院令第772号);网络数据安全管理条例(国务院令第790号);国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号);信息安全等级保护管理办法(公通字2007)43号);关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007)861号);贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(公网安(2020)1960号);全国档案馆设置原则和布局方案(1992年3月27日国家档案局印发);数字档案馆建设指南(档办(2010)116号);国家档案局办公室关于档案部门使用政务云平台过程中加强档案信息安全管理的意见(档办函202055号

4、推进数字档案馆建设实施办法(试行)(档办函2025)3号);信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术(GB/T222392019);(GB/T222402020);(GB/T250582019);311672023);网络安全等级保护基本要求网络安全等级保护定级指南网络安全等级保护实施指南云计算服务安全指南(GB/T云计算服务安全能力要求(GB/T31168-2023)0三、基本原则档案行业网络安全等级保护定级工作中应遵循以下基本原则:(一)科学规范,协作配合档案行业网络安全等级保护的定级工作应按照国家相关法规、标准,根据档案行业的具体特点科学开展。对于初步确定安全保护

5、等级为第二级及以上的等级保护对象,应经专家评审后报主管部门审核批准,并报公安部门备案。网络运营单位履行主体防护责任,主管部门履行网络安全主管、监管责任,公安机关履行网络安全保卫和监督管理职责,各方加强密切协作配合,形成网络安全综合防控体系。(二)分级保护,突出重点根据等级保护对象的重要程度以及其遭到破坏后的危害程度等因素,科学确定安全保护等级,以便实施分等级保护、分等级监管,集中资源优先保护涉及核心业务或重要档案数字资源的等级保护对象。(三)同步规划,动态调整在网络的规划设计阶段应确定安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,应重新确定安全保护等级,以便实施相应

6、的安全保护措施。四、定级原理(一)安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为五级:第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益。第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。第三级:等级保护对象受到破坏后,会对社会秩序和

7、公共利益造成严重危害,或者对国家安全造成危害。第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。(二)定级要素等级保护对象的定级要素包括:受侵害的客体和对客体的侵害程度。8 .受侵害的客体等级保护对象受到破坏时所侵害的客体包括三个方面:国家安全;社会秩序、公共利益;公民、法人和其他组织的合法权益。确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公共利益,最后判断是否侵害公民、法人和其他组织的合法权益。(1)国家安全侵害国家安全的事项包括:影响国家政权稳固和领土

8、主权、海洋权益完整;影响国家统一、民族团结和社会稳定;影响国家社会主义市场经济秩序和文化实力;其他影响国家安全的事项。(2)社会秩序、公共利益侵害社会秩序的事项包括:影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;影响公共场所的活动秩序、公共交通秩序;影响人民群众的生活秩序;其他影响社会秩序的事项。侵害公共利益的事项包括:影响社会成员使用公共设施;影响社会成员获取公开数据资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。(3)公民、法人和其他组织的合法权益侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益

9、等受到损害。9 .对客体的侵害程度等级保护对象的安全主要包括业务信息安全和系统服务安全。业务信息安全是指确保定级对象中信息的保密性、完整性和可用性等;系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。对等级保护对象的侵害方式表现为两种:对业务信息安全的破坏;对系统服务安全的破坏。业务信息安全和系统服务安全受到破坏后,可能产生的侵害后果包括:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。档案行业网络安全等级保护定级对象受到破坏后对客体造成侵害的程度分为以下三种:(1)一般损害档案主管部门的统筹规划、

10、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到局部影响,档案机构的业务能力有所降低但不影响主要功能的执行,档案工作中出现较轻的法律问题,造成较低的财产损失,造成有限的社会不良影响,对其他组织和个人造成较低损害。(2)严重损害档案主管部门的统筹规划、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到严重影响,档案机构的业务能力显著下降且严重影响主要功能执行,档案工作中出现较严重的法律问题,造成较高的财产损失,造成较大范围的社会不良影响,对其他组织和个人造成较高损害。(3)特别严重损害档案主管部门的统筹规划、组

11、织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到特别严重影响或丧失行使能力,档案机构的业务能力严重下降或功能无法执行,档案工作中出现极其严重的法律问题,造成极高的财产损失,造成大范围的社会不良影响,对其他组织和个人造成非常高损害。(三)定级要素与安全保护等级的关系定级要素与安全保护等级的关系如表1所示。表1定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级五、工作流程档案行业网络安全等级保护定级工作流程主要包括

12、确定定级对象、初步确定等级、专家评审、主管部门核准、公安机关备案审核,如图1所示。图1档案行业网络安全等级保护定级工作流程(一)确定定级对象定级对象应具有明确的主要安全责任主体。作为主要安全责任主体的网络运营单位应根据工作实际,从网络功能、服务范围、服务对象和处理的数据等方面综合考虑,确定定级对象。定级对象主要包括信息系统、通信网络设施和数据资源。1 .信息系统作为定级对象的信息系统具有的基本特征主要包括:具有确定的主要安全责任主体;承载相对独立的业务应用;包含相互关联的多个资源。档案行业通常使用的信息系统的分类参考如表2所示。表2信息系统分类参考系统类别系统名称业务信息系统服务管理类数字资

13、源采集系统采集的网页信息、新媒体资源等对网页、新媒体资源等档案资料进行采集档案数字化加工系统传统载体档案数字化成果对传统载体档案的数字化处理、质量控制和数据统计、备份、导出等数字档案接收系统接收的档案目录、档案数字资源业务指导,档案接收,档案数量、质量检查,交接手续办理等档案目录管理系统档案目录目录数据的导入、整理、检索、统计等档案大数据平台档案数字资源等对档案数字资源等进行数据挖掘、知识管理等档案灾难备份系统档案数字资源等档案数字资源及其管理系统的备份与灾难恢复档案库房管理系统档案目录、档案实体存放位置、库房环境监控数据等对档案实体的业务过程进行辅助管理,对库房的使用情况、库房环境监控数据等

14、进行管理服务类档案利用服务系统提供利用的档案数字资源、注册用户身份信息等数据导入、用户注册、权限管理、档案检索服务、数字档案阅览服务及利用档案审核、利用统计等档案网站系统提供利用的档案数字资源、档案资讯等信息发布、展览、咨询等系统类别系统名称业务信息系统服务应用移动互联技术的档案服务平台提供利用的档案数字资源、档案资讯、注册用户身份信息等注册登录、档案查询、档案展厅、档案资讯、互动交流、后台管理等跨区域档案信息资源共享平台/系统提供利用的档案信息资源、注册用户身份信息等档案信息资源馆际、馆室共建互通,档案信息资源跨层级跨部门共享利用办公类办公自动化系统电子文件等公文制发、文件处理、工作督查、事

15、务管理、会务管理、电子邮件收发以及其他辅助办公功能对于跨区域档案数字资源共享平台等跨地区或者全国统一联网运行的信息系统,应首先确认在各地运行、应用的分支系统的安全责任主体,根据安全责任主体的不同将各个分支系统分别作为单独的定级对象。使用云服务商提供的云服务时,档案机构的等级保护对象和云服务商的云计算平台应分别作为单独的定级对象定级。云服务商负责组织开展云计算平台的定级、备案、测评等网络安全等级保护工作,并向档案机构提供相关证明材料。档案机构使用自建的私有云时,云计算平台可独立定级或与相关联的信息系统一起定级。物联网主要包括感知、网络传输和处理应用等特征要素,可作为一个整体独立定级或与相关联业务

16、系统一起定级,各要素不单独定级。采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。2 .通信网络设施对于通信网络设施与相关联业务系统,当安全责任主体相同时,可作为一个整体定级;当安全责任主体不同时,应分别独立定级,例如政务外网等。3 .数据资源对于大数据和大数据平台,当安全责任主体相同时,应作为一个整体定级;当安全责任主体不同时,应分别独立定级。(二)初步确定等级网络运营单位定级对象确定后,针对定级对象初步确定安全保护等级。对于新建网络,应在规划设计阶段确定安全保护等级。跨地区或者全国统一联网运行的信息系统

17、可以由主管部门统一确定安全保护等级。由于业务信息安全和系统服务安全受到破坏时,所侵害的客体和对客体的侵害程度可能会有所不同,因此需要分别针对以上两种侵害方式,根据不同的受侵害客体和对客体的侵害程度,确定定级对象的业务信息安全保护等级和系统服务安全保护等级,再综合判定定级对象的安全保护等级,并编制定级报告。1 .确定受侵害的客体分别确定业务信息安全和系统服务安全受到破坏时所侵害的客体。首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公共利益,最后判断是否侵害公民、法人和其他组织的合法权益。2 .确定对客体的侵害程度分别确定业务信息安全和系统服务安全受到破坏后对客体造成侵害的程度。3 .综合判

18、定等级根据业务信息安全受到破坏时所侵害的客体以及对客体造成侵害的程度,依据表3确定定级对象的业务信息安全保护等级。表3业务信息安全保护等级业务信息受到破坏时所侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据系统服务安全受到破坏时所侵害的客体以及对客体造成侵害的程度,依据表4确定定级对象的系统服务安全保护等级。表4系统服务安全保护等级系统服务受到破坏时所侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级

19、第三级第四级国家安全第三级第四级第五级业务信息安全保护等级和系统服务安全保护等级确定后,将两者中的较高者确定为定级对象的安全保护等级。档案行业网络安全等级保护定级对象的安全保护等级建议如下:(1)信息系统为便于操作执行,表5针对县级及以上档案主管部门及各级档案馆的信息系统的安全保护等级提出建议。其中,“中央级”包括在中央设置的三个综合性档案馆:中央档案馆国家档案局、中国第一历史档案馆、中国第二历史档案馆;“省级、副省级”包括各省、自治区、直辖市档案局、馆,各副省级城市档案局、馆;“市级、县级”包括各市(地、州、盟)档案局、馆,各县(旗、市、区)档案局、馆。各档案机构的信息系统可参照表5进行定级

20、未在表5中列出的信息系统,可根据其承载的业务功能,参照表5定级。表5信息系统安全保护等级定级建议系统类别定级对象机构级别安全保护等级业务信息安全等级系统服务安全等级管理类数字资源采集系统中央级333或2省级、副省级222市级、县级222档案数字化加工系统中央级333或2省级、副省级222市级、县级222数字档案接收系统中央级333省级、副省级3或23或23或2市级、县级222档案目录管理系统中央级333或2省级、副省级3或23或22市级、县级222大数据分析平台中央级4或34或33或2省级、副省级3或23或22市级、县级3或23或22档案灾难备份系统中央级4或34或33省级、副省级3或23或

21、23或2市级、县级3或23或22档案库房管理系统中央级333或2省级、副省级3或23或22市级、县级222服务类档案利用服务系统中央级333省级、副省级3或23或23或2市级、县级222档案网站系统中央级333省级、副省级222市级、县级222档案移动服务平台中央级333省级、副省级3或23或23或2市级、县级222跨区域档案信息资源中央级333系统类别定级对象机构级别安全保护等级业务信息安全等级系统服务安全等级共享平台省级、副省级3或23或23或2市级、县级3或23或23或2办中央级333公办公自动化系统省级、副省级3或222类市级、县级3或222对于云计算平台,需根据其承载的等级保护对象的

22、重要程度确定其安全保护等级,不低于其承载的等级保护对象的安全保护等级。对于应用物联网的系统,参照表5确定其安全保护等级。对于应用移动互联技术的系统,参照表5确定其安全保护等级。在参照表5定级的基础上,可根据信息系统的具体情况进行调整。信息系统的安全保护等级不低于其所在的通信网络设施的安全保护等级。涉及敏感信息或大量公民个人信息的信息系统的安全保护等级建议不低于第三级。跨地区或者全国统一联网运行的信息系统的分支系统的安全保护等级应与信息系统保持一致,跨省或者全国统一联网运行的信息系统的安全保护等级建议为第三级,跨市或跨县联网运行的信息系统的安全保护等级建议为第三级或第二级。(2)通信网络设施通信

23、网络设施需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,不低于其承载的等级保护对象的安全保护等级。(3)数据资源数据资源与相关联业务系统分别独立定级时,应以其中最高安全等级进行定级。涉及大量公民个人信息并为公民提供公共服务的数据资源,其安全保护等级应不低于第三级。4 .编制定级报告初步确定定级对象的安全保护等级后,档案机构应编制定级报告,定级报告的主要编写内容参见附件。安全保护等级初步确定为第二级及以上的,档案机构按照公安机关的要求填写备案表。(三)专家评审安全保护等级初步确定为第二级及以上的,档案机构应组织网络安全等级保护专家和业务专家,对定级结果的合理性进行评审并出具专家

24、评审意见,对定级报告、备案表的准确性、规范性等提出意见和建议。跨地区或者全国统一联网运行的信息系统可以由主管部门统一组织专家进行评审。如果评审未通过,档案机构应组织重新定级。(四)主管部门核准安全保护等级初步确定为第二级及以上的,档案机构应将定级结果和专家评审意见报请主管部门核准。中央级档案馆报请国家档案主管部门核准,县级以上地方各级档案馆报请所在地的地方档案主管部门核准。主管部门对定级结果进行审核,并出具核准意见。如果审核未通过,档案机构应组织重新定级。(五)公安机关备案审核安全保护等级初步确定为第二级及以上的,档案机构应及时到所在地的公安机关办理备案审核手续。信息安全等级保护管理办法(公通

25、字200743号)第十五条规定:“已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续J跨地区或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应由分支系统的安全责任主体向所在地设区的市级以上公安机关备案。审核通过后最终确定定级对象的安全保护等级,并将备案审核结果向主管部门报备。如果审核未通过,档案机构需组织重新定级。(六)等级变更当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信

26、息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需参照GB/T222402020和本指南重新确定定级对象和安全保护等级。等级保护对象停止使用后,及时报备案公安机关办理备案撤销。附件XX网络安全等级保护定级报告一、定级对象描述(一)责任主体【填写说明:描述承担定级对象安全责任的相关单位或部门,部门在业务运行中的作用或职责。说明定级对象的建设负责单位或部门、运行维护单位或部门、安全主管部门和定级责任单位。】【描述参考示例】:定级对象于XX年XX月由XX单位XX部门负责建设,目前由XX单位XX部门负责运行维护,XX单位XX部门是该定级对象的安全主管部门,XX单位XX部门为该定

27、级对象的定级责任单位,承担定级对象的网络安全和数据安全保护责任。(二)定级对象构成【填写说明:描述定级对象的基本要素,物理环境、网络结构、网络边界、安全措施、设备部署情况以及定级对象网络拓扑图等。互联系统之间的数据摆渡设备建议归为对该设备有网络安全管理权限的单位相应的定级对象中。该定级对象是否采用了新技术,如云计算技术、移动互联技术、物联网技术、工业控制技术、大数据等。如采用,详细描述使用新技术的情况。如定级对象部署在云服务平台上,说明云服务平台的服务模式和安全保护等级。】【网络边界描述示例】:网络中部署了XXX防火墙和XXX路由器与外部网络互联,整个定级对象的网络边界设备为XXX与XXXoX

28、XX外联的其它网络都划分为外部网络部分,而XXX以内的部分包括与交互网络互联的部分都可归为内部网络,网络边界部分和内部网络部分为本次定级对象的范围。(三)承载业务【填写说明:该定级对象是否承载着单一或相对独立的业务,业务情况或功能描述,系统规模描述。定级对象与其他系统互联情况及数据调用情况说明。】【描述参考示例】:该定级对象承载着综合办公业务,包括内部报销、人力资源管理等2个业务子系统,该业务相对独立,为全集团2000员工提供服务。该定级为独立业务系统,与其他系统不存在互联和数据调用情况。该定级对象包括以下子系统:序号子系统名称业务功能描述1内部报销员工通过该子系统报销出差、会议、专家费等各种

29、费用。2人力资源管理提供员工基本信息维护、薪资、履历、假期、考核、合同、考勤等管理。(四)安全责任【填写说明:明确定级对象网络安全保护义务的责任落实单位和责任人。】【描述参考示例】:按照网络安全法的相关要求,此次备案的XXX的网络安全保护义务由XXX单位履行,日常网络安全工作由我单位XXX部门负责落实,XX单位负责人XXX(身份证号码:XXXXXXXXXXXXXXXXXX)为直接负责的主管人员。二、安全保护等级确定(一)业务信息安全保护等级的确定1、业务信息描述【填写说明:描述定级对象处理的主要业务信息及其规模等,如涉及核心数据、重要数据、个人信息需加以详细描述。】2、业务信息受到破坏时所侵害

30、客体的确定【填写说明:说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全或地区安全、国计民生;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。】3、业务信息受到破坏时对侵害客体的侵害程度的确定【填写说明:说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。】4、业务信息安全保护等级的确定依据业务信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全保护等级为第X级。表一业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级

31、第二级社会秩序、公共利益第二级第三级第四级国家安全或地区安全、国计民生第四级第五级第五级说明:根据业务信息安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定了等级后,只对第X级以及对应的客体和侵害程度进行涂黑,切勿整行整列涂黑。(二)系统服务安全保护等级的确定1、系统服务描述【填写说明:描述定级对象的服务范围、服务对象等。若为平台类或基础支撑类定级对象,则描述其承载或预期承载的定级对象及其网络安全保护等级(包括业务信息安全保护等级和系统服务安全保护等级)】。2、系统服务受到破坏时所侵害客体的确定【填写说明:说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全或地区安全、国计民生;

32、社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。】3、系统服务受到破坏时对侵害客体的侵害程度的确定【填写说明:说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。】4、系统服务安全保护等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全保护等级为第X级。表二系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全或地区安全、国计民生第四级第五级第五级说明:根据系

33、统服务安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定了等级后,只对第X级以及对应的客体和侵害程度进行涂黑,切勿整行整列涂黑。(三)安全保护等级的确定定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级较高者决定,最终确定XXX的网络安全保护等级为第X级。定级对象名称安全保护等级业务信息安全保护等级系统服务安全保护等级XXX第X级第X级第X级单位(盖章)年月日附件2档案行业网络安全等级保护基本要求(征求意见稿)一、适用范围1二、编制依据1三、关于本文件的说明2四、安全保护能力5五、整体性安全要求5六、安全通用要求6(一)安全物理环境6(二)安全通信网络9(三)安全区域边界1

34、1(四)安全计算环境13(五)安全管理中心18(六)安全管理制度19(七)安全管理机构20(八)安全管理人员22(九)安全建设管理24(十)安全运维管理28七、云计算安全扩展要求34(一)安全物理环境34(二)安全通信网络34(三)安全区域边界35(四)安全计算环境36(五)安全管理中心38(六)安全管理制度39(七)安全管理机构39(八)安全建设管理39(九)安全运维管理40八、移动互联安全扩展要求41(一)安全物理环境41(二)安全区域边界41(三)安全计算环境42(四)安全建设管理43(五)安全运维管理44九、物联网安全扩展要求44(一)安全物理环境44(二)安全区域边界45(三)安全计

35、算环境45(四)安全运维管理47档案行业网络安全等级保护基本要求为进一步提升档案行业网络安全管理水平,加快推进档案行业网络安全工作合规有序开展,依据中华人民共和国网络安全法和网络安全等级保护相关政策标准,结合档案工作实际制定本文件。本文件规定了档案行业网络安全等级保护的安全通用要求和安全扩展要求,明确了等级保护对象的档案行业安全基本要求。一、适用范围本文件适用于县级及以上档案主管部门及国家综合档案馆的非涉及国家秘密的网络安全等级保护工作,其他档案机构可参照执行。二、编制依据本文件的编制主要依据以下文件:中华人民共和国档案法;中华人民共和国网络安全法;中华人民共和国数据安全法;中华人民共和国密码

36、法;中华人民共和国个人信息保护法;中华人民共和国档案法实施条例(国务院令第772号);网络数据安全管理条例(国务院令第790号);关于加强党政部门云计算服务网络安全管理的意见(中网办发文2014)14号);国家档案局办公室关于档案部门使用政务云平台过程中加强档案信息安全管理的意见(档办函2020)55号);数字档案馆建设指南(档办(2010)116号);推进数字档案馆建设实施办法(试行)(档办函2025)3号);信息安全技术网络安全等级保护基本要求(GB/T222392019);信息安全技术网络安全等级保护定级指南(GB/T222402020);信息安全技术网络安全等级保护实施指南(GB/T2

37、50582019);信息安全技术信息安全技术网络安全等级保护安全设计技术要求(GB/T250702019);政府部门信息安全管理基本要求(GB/T292452012);建筑工程抗震设防分类标准(GB502232008);数据中心设计规范(GB501742017);档案信息系统运行维护规范(DA/T562014);档案移动服务平台建设指南(DA/T732019);信息安全技术云计算服务安全指南(GB/T311672023);信息安全技术云计算服务安全能力要求(GB/T311682023);档案馆建筑设计规范(JGJ252010)o三、概述1 .各章的主要内容第四章针对依据档案行业网络安全等级保护

38、定级工作指南确定的等级保护对象提出应具备的安全保护能力。第五章提出了网络安全等级保护应采取的整体性安全措施。第六章第九章针对第二级和第三级安全保护对象应具备的安全保护能力,提出了相应的安全通用要求和安全扩展要求。2 .安全通用要求与安全扩展要求由于业务目标、使用技术、应用场景的不同,等级保护对象以不同的形态出现。形态不同的等级保护对象面临的威胁不同,安全保护需求也会有所差异。为了便于实现对不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。本文件针对云计算、移动互联、物联网提出了安全扩展要求。等级保护对象无论以何种形式出现,应根据安全保护等级实现相应的安全通

39、用要求,并根据安全保护等级和使用的特定技术或特定的应用场景实现相应的安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。3 .安全要求的类型从以下IO个层面提出安全要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。每个层面的安全控制要求涉及若干个安全控制点。安全要求可以分为3类:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的业务信息安全类要求(三);保护系统连续正常运行,免受对系统的未授权修改、破坏而导致系统不可用的系统服务保证类要求(八);其他安全保护类

40、要求(G)。安全要求的类型见表1。表1安全要求的类型通用/扩展分类安全控制点属性标识安全通用要求安全物理环境物理位置选择G物理访问控制G防盗窃和防破坏G通用/扩展分类安全控制点属性标识防雷击G防火G防水和防潮G防静电G温湿度控制G电力供应A电磁防护S安全通信网络网络架构G通信传输G可信验证S安全区域边界边界防护G访问控制G入侵防范G恶意代码防范G安全审计G可信验证S安全计算环境身份鉴别S访问控制S安全审计G入侵防范G通用/扩展分类安全控制点属性标识恶意代码防范G可信验证S数据完整性S数据保密性S数据备份恢复A剩余信息保护S个人信息保护S安全管理中心(全部安全控制点)G安全管理制度(全部安全控制

41、点)G安全管理机构(全部安全控制点)G安全管理人员(全部安全控制点)G安全建设管理(全部安全控制点)G安全运维管理(全部安全控制点)G安全扩展要求(全部安全控制点)G4 .档案行业安全要求本文件依据信息安全技术网络安全等级保护基本要求(GB/T222392019)列出“第二级安全要求”和“第三级安全要求”的安全要求,“第四级安全要求”的安全要求未详细列出。档案行业安全要求是根据档案行业的特点,在GB/T222392019提出的安全通用要求与安全扩展要求的基础上增加或增强的要求。为了对安全要求进行明显区分,档案行业安全要求以粗体显示。5 .安全要求的选择对于确定了安全保护等级的等级保护对象,应按

42、照以下过程进行安全要求的选择:(1)根据等级保护对象的安全保护等级选择相应级别的安全要求。(2)基于表1对安全要求进行调整。等级保护对象进行定级时,首先确定业务信息安全保护等级和系统服务安全保护等级,然后将两者中的较高者确定为等级保护对象的安全保护等级。根据业务信息安全保护等级选择相应级别的业务信息安全类(S类)安全要求,根据系统服务安全保护等级选择相应级别的系统服务保证类(A类)安全要求,根据等级保护对象的安全保护等级选择相应级别的其他安全保护类(G类)安全要求。(3)根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充。采用云计算技术的等级保护对象选用云计算安全扩展

43、要求;采用移动互联技术的等级保护对象选用移动互联安全扩展要求;采用物联网技术的等级保护对象选用物联网安全扩展要求。(4)将“档案行业安全要求”作为补充。第二级应同时满足“第二级安全要求”和“档案行业安全要求”提出的要求;第三级应同时满足“第三级安全要求”和“档案行业安全要求”提出的要求;第四级应同时满足“第四级安全要求”和“档案行业安全要求”提出的要求。针对档案行业或不同对象的特点,分析可能在某些方面的特殊安全保护能力要求,对于本文件中提出的安全要求无法实现或有更加有效的安全措施可以替代的,可以对安全要求进行调整,调整的原则是保证不降低整体安全保护能力。四、安全保护能力网络安全等级保护的核心是

44、保证不同安全保护等级的对象具有相适应的安全保护能力。第二级至第四级等级保护对象应具备的基本安全保护能力如下:笫二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时何内恢复部分功能。第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。第四级安全

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 事务文书

宁ICP备18001539号-1