档案信息安全保障状况需进行风险评估.doc

档案信息安全保障状况需进行风险评估随着档案信息化建设的不断推进，档案信息安全问题日益突出。在XX年国家档案局发布的《全国档案信息化建设实施纲要》中提出“组织建立档案信息安全保障体系框架，逐步完善档案信息安全管理体制” 档案信息安全保障体系的建设取得了一定的成绩，但同时存在许多问题，我们必须及时加以纠正和改进。档案信息安全保障体系的建设不是一蹴而就的，是一个复杂的社会工程。首先要纳入国家信息安全保障体系和电子政务信息安全保障体系的总体格局中，其次学习国内外保障体系建设的经验，结合档案信息资源的自身特点，将档案信息安全保障体系建设落到实处。档案信息安全保障存在的问题 1．对档案信息安全保护和保障概念混淆 信息安全是一个发展的概念，从通信保密、信息保护发展到信息保障，或者说是从保密、保护发展到保障。每个阶段的安全属性也是不断扩展的，保密阶段为保密性：保护阶段为保密性、完整性和可用性；保障阶段为保密性、完整性、可用性、真实性和不可否认性，甚至在国际标准《信息安全管理体系规范》ISO／IEC17799：XX年美国国防部(DoD)在国防部令S-3600，1对信息安全保障作了如下定义：“保护和防御信息及信息系统，确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能，并提供信息系统的恢复功能。”除安全属性不断丰富外，安全保障与安全保护主要区别是主动防御和动态保护。而与之对应的信息保护是静态保护(安全措施基本不变)和被动保护(发生安全事故后再采取防护措施) 然而，目前大部分档案信息安全保障仍只达到安全保护水平。将安全保护和安全保障概念混淆，造成保障阶段的能力也停留在保护水平，不能从主动防御和动态保护来保障档案信息安全。在具体操作上。仍以身份认证、数据备份、安装防火墙、杀毒软件和入侵检测等被动保护措施为主。在日益复杂的档案信息系统和网络环境下，档案信息得不到应有的保障 2．偏重技术，忽视管理 在美国国防部对安全保障的定义中，“保护、检测、反应和恢复”不仅体现动态保护，还体现安全管理，安全保障也是一个管理过程 然而长期以来，人们对档案信息安全偏重于依靠技术。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意，许多复杂、多变的安全威胁和隐患靠产品是无法消除的，尤其是对内网用户的管理。“三分技术，七分管理”这个在其他领域总结出来的实践经验和原则。在档案信息安全领域也同样适用。据有关部门统计。在所有的信息安全事件中，属于管理方面的原因比重高达70％以上，而这些安全问题是可以通过科学的信息安全管理来避免的。因此，安全管理已成为保障档案信息安全的重要措施 目前，国际上实现信息安全管理的有效手段是在信息安全等级保护制度下，进行信息安全风险评估。“早在XX年代初期美国政府就提出了风险评估的要求。XX年颁布的《XX年3月7日，酝酿已久的《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(简称《意见》)正式对外公布。《意见》要求。各信息化和信息安全主管部门要从抓试点开始，逐步探索组织实施和管理的经验，用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作，全面提升网络和信息系统安全保障能力 XX年9月，国务院信息化工作办公室专门组织成立了“电子政务信息安全工作组”，并已编制了《电子政务信息安全等级保护实施指南(试行)》，其中提出将风险评估贯穿等级保护工作的整个流程。所以，作为电子政务系统中保存和管理信息的档案信息系统，与电子政务一脉相承，进行风险评估是迟早的事。对档案信息安全保障进行风险评估主要有如下优势 1．将档案信息安全保障体系纳入国家信息保障体系 国家已制定了风险评估标准GB／T XX年11月1日正式实施。作为我国信息资源重要组成部分的档案信息，必须积极响应国家信息安全政策和纳入国家信息安全保障体系的总体格局。档案信息安全风险评估可在此标准的基础上，结合档案信息自身特点，先开始在综合档案馆和电信、银行、税务、电力等大型档案信息管理系统中试验，在此基础上再逐步推广，达到国家要求“XX年后三年内在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作”基本目标 2．规范档案信息安全保障体系建设 在档案信息化过程中。我们已经制定了GB／T17678.1―1999《CA D电子文件光盘存储、归档与档案管理要求。第一部分：电子文件归档与档案管理》、GB／T18894―2002《电子文件归档与管理规范》、GB/T20163―2006《中国档案机读目录格式》、DA／T 22―2000《归档文件整理规则》和DMT 3l一2005《纸质档案数字化技术规范》等国家标准和行业标准，然而与档案信息安全相关的标准尚未出台，造成目