劉珂
摘要:2013年7月10日,國家檔案局印發(fā)了《檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》的通知(檔辦發(fā)〔2013〕5號(hào))?!稒n案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》,對(duì)我國檔案主管部門及有關(guān)單位有效地開展非涉密信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作,明確工作原則、內(nèi)容、方法和流程,提供了切實(shí)的制度規(guī)范依據(jù)。該文將在介紹和解讀《檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》主要內(nèi)容的基礎(chǔ)上,進(jìn)一步說明其主要特點(diǎn)和實(shí)踐價(jià)值及完善該文件的相關(guān)思考。
關(guān)鍵詞:檔案信息系統(tǒng) 等級(jí)保護(hù)定級(jí) 信息安全網(wǎng)絡(luò)安全等級(jí)保護(hù) 定級(jí)工作
Abstract: On July 10, 2013, the National Ar? chives Administration issued the Notice of“Archi? val InformationSystemsSecurityGradePro? tection Work Guide”. The file provides cogent refer? ences and guidance for archival departments in charge of archival information Systems security grade protection work and makes principles, con? tents, methods and procedures of relevant work clear. Based on the introduction and interpretation of the main content of the Guide, this paper will fur? ther explain the main characteristics and practical value of the Guide and give some suggestions to improve the document.
Keywords: Archival information system; Grade protection; Information security; Network security grade protection; Classification work
為貫徹落實(shí)我國信息安全等級(jí)保護(hù)制度,規(guī)范檔案信息安全等級(jí)保護(hù)的定級(jí)工作,提升檔案信息系統(tǒng)的安全防護(hù)能力和水平,2013年7月10日,國家檔案局印發(fā)了《檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》(以下簡稱《指南》)的通知(檔辦發(fā)〔2013〕5號(hào))?!吨改稀穼?duì)我國檔案主管部門及有關(guān)單位有效地開展非涉密信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作,明確工作原則、內(nèi)容、方法和流程,提供了切實(shí)的制度規(guī)范依據(jù)。本文將在介紹和解讀《指南》主要內(nèi)容的基礎(chǔ)上,進(jìn)一步說明《指南》的實(shí)踐價(jià)值及解決相關(guān)問題的思考與建議。
就總體結(jié)構(gòu)而言,《指南》包括工作背景、適用范圍、編制依據(jù)、檔案信息系統(tǒng)類型的劃分、檔案信息系統(tǒng)的定級(jí)、評(píng)審、備案與報(bào)備、等級(jí)變更和附錄等九個(gè)部分。就主要內(nèi)容而言,《指南》說明了制定背景,劃分了檔案信息系統(tǒng)類型,明確了檔案信息系統(tǒng)的定級(jí)原則與原理,規(guī)范了檔案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)方法與一般流程。
(一)《指南》制定背景
《指南》通過闡述其工作背景、適用范圍和編制依據(jù),向檔案部門詳細(xì)說明了做好檔案信息系統(tǒng)安全等級(jí)保護(hù)工作的必要性和重要性。一方面,檔案行業(yè)作為由公安部建立的等級(jí)保護(hù)聯(lián)絡(luò)員制度的參加者之一,理應(yīng)響應(yīng)國家號(hào)召,貫徹落實(shí)信息安全等級(jí)保護(hù)制度,“掌握國家信息安全等級(jí)保護(hù)工作的有關(guān)政策和技術(shù)標(biāo)準(zhǔn),掌握本行業(yè)、本部門信息安全等級(jí)保護(hù)工作動(dòng)態(tài)和總體情況”[1]。另一方面,“檔案信息化進(jìn)程不斷加快”,“通過檔案信息系統(tǒng)管理的數(shù)字檔案資源越來越多,提高檔案信息系統(tǒng)的安全防護(hù)能力和水平,已經(jīng)成為加強(qiáng)檔案信息安全管理、促進(jìn)檔案事業(yè)健康發(fā)展的一項(xiàng)重要內(nèi)容”。因此,《指南》的出臺(tái)為指導(dǎo)檔案信息安全等級(jí)保護(hù)的定級(jí)工作提供了制度規(guī)范和操作標(biāo)準(zhǔn)。
《指南》明確了其適用范圍是“省級(jí)(含計(jì)劃單列市、副省級(jí)市,下同)及以上檔案行政管理部門及國家綜合檔案館非涉密信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。地級(jí)市檔案局館和其他檔案館可參照?qǐng)?zhí)行”。按新修訂的《中華人民共和國檔案法》的精神,“檔案行政管理部門”就是各級(jí)檔案主管部門。換言之,該《指南》具有較強(qiáng)的針對(duì)性和適用性,省級(jí)及以上檔案主管部門及國家綜合檔案館需要遵循這一統(tǒng)一的行業(yè)規(guī)范,而地級(jí)及以下檔案主管部門和其他檔案館只需要參照?qǐng)?zhí)行即可。另外,本《指南》所討論的檔案信息系統(tǒng)僅針對(duì)適用單位的非涉密信息系統(tǒng),涉密信息系統(tǒng)的等級(jí)由系統(tǒng)使用單位確定,按照誰主管、誰負(fù)責(zé)原則根據(jù)國家保密標(biāo)準(zhǔn)《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》(BMB 17—2006)[2]進(jìn)行分級(jí)保護(hù)。
(二)劃分檔案信息系統(tǒng)類型
《指南》指明了“檔案信息系統(tǒng)”的概念,劃分了檔案信息系統(tǒng)的類型,并詳細(xì)描述了各類別下具體的系統(tǒng)名稱、管理對(duì)象、網(wǎng)絡(luò)環(huán)境和基本功能。這一做法直接確定了檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的基本作用對(duì)象,是后續(xù)定級(jí)保護(hù)工作的前提條件。檔案信息系統(tǒng)劃分為以下三類:
一是檔案信息管理系統(tǒng)類,主要包括“檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng)、數(shù)字檔案管理系統(tǒng)、檔案數(shù)字化加工系統(tǒng)等”。這一類檔案信息系統(tǒng)的管理對(duì)象分別為:(1)案卷級(jí)目錄、文件級(jí)目錄、專題目錄等;(2)數(shù)字檔案接收工作;(3)館藏?cái)?shù)字化成果、接收進(jìn)館的電子檔案、采集接收的數(shù)字信息資源等;(4)傳統(tǒng)載體檔案、檔案數(shù)字化成果。這些系統(tǒng)主要承擔(dān)著有關(guān)檔案及相關(guān)數(shù)據(jù)的收集、整理、統(tǒng)計(jì)或長期保存等業(yè)務(wù)功能。
二是檔案信息服務(wù)系統(tǒng)類,主要包括“檔案利用服務(wù)系統(tǒng)、檔案網(wǎng)站系統(tǒng)等”。這一類檔案信息系統(tǒng)的管理對(duì)象分別為:(1)通過政務(wù)外網(wǎng)提供的目錄及其數(shù)字檔案信息;(2)公開檔案目錄、全文,以及公開政務(wù)信息等。這些系統(tǒng)主要承擔(dān)著有關(guān)檔案利用服務(wù)及相關(guān)用戶管理等業(yè)務(wù)功能。
三是檔案辦公系統(tǒng)類,主要是指“承擔(dān)檔案工作管理的檔案局館辦公業(yè)務(wù)系統(tǒng)等”。這一類檔案信息系統(tǒng)的管理對(duì)象為檔案局館檔案工作管理辦公業(yè)務(wù),主要負(fù)責(zé)業(yè)務(wù)及公文流轉(zhuǎn)等辦公功能。
省級(jí)及以上檔案主管部門及國家綜合檔案館在開展檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作時(shí),首先,要做好本行政區(qū)域范圍內(nèi)、本單位內(nèi)檔案信息系統(tǒng)的定性工作。確定好適用單位內(nèi)部所有檔案信息系統(tǒng)的類別,是后續(xù)安全保護(hù)等級(jí)定級(jí)工作的前提與基礎(chǔ)。其次,部分適用單位可能存在承載多個(gè)業(yè)務(wù)功能的檔案信息系統(tǒng),這種情況下應(yīng)詳細(xì)記錄和描述該系統(tǒng)的各個(gè)功能、網(wǎng)絡(luò)環(huán)境及管理對(duì)象,以為后續(xù)的定級(jí)工作提供參考依據(jù)。最后,定性工作并不是一種簡單的是非判斷,它要求檔案主管部門在這一階段對(duì)適用單位所有的檔案信息系統(tǒng)進(jìn)行徹底摸查,細(xì)致分類,梳理清楚各個(gè)系統(tǒng)所具備的業(yè)務(wù)功能和服務(wù)對(duì)象,這是系統(tǒng)安全等級(jí)保護(hù)定義工作的必然要求,也是維護(hù)和提高檔案信息系統(tǒng)安全防護(hù)能力和水平的必要條件。
(三)明確了檔案信息系統(tǒng)的定級(jí)原則與原理
《指南》對(duì)檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作應(yīng)堅(jiān)持的基本工作原則做出了明確規(guī)定。檔案信息系統(tǒng)使用單位應(yīng)采用“自主定級(jí)原則、重點(diǎn)保護(hù)原則、動(dòng)態(tài)保護(hù)原則和同步建設(shè)原則”等四大原則進(jìn)行定級(jí)實(shí)施工作。首先,該四項(xiàng)原則是根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058—2010)(以下簡稱《實(shí)施指南》)[3]的精神,結(jié)合檔案行業(yè)具體情況進(jìn)行制定的,既滿足了信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施工作的基本要求,又體現(xiàn)了檔案實(shí)際部門的業(yè)務(wù)特點(diǎn);其次,各信息系統(tǒng)運(yùn)營使用單位和主管部門是信息系統(tǒng)定級(jí)的責(zé)任主體。信息系統(tǒng)主管部門負(fù)責(zé)依照國家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),監(jiān)督、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息等級(jí)保護(hù)工作。信息系統(tǒng)運(yùn)營、使用單位負(fù)責(zé)依據(jù)相關(guān)規(guī)范標(biāo)準(zhǔn),確定其信息系統(tǒng)的安全保護(hù)等級(jí)。因此,“自主確定檔案信息系統(tǒng)的安全保護(hù)等級(jí),自行組織實(shí)施安全保護(hù)”是檔案信息系統(tǒng)使用單位應(yīng)有的權(quán)利和義務(wù);再次,與《實(shí)施指南》所規(guī)定的四項(xiàng)基本原則不同,“動(dòng)態(tài)保護(hù)原則”由《指南》創(chuàng)新提出并被提前至第三點(diǎn),這說明在檔案行業(yè)中,對(duì)系統(tǒng)管理對(duì)象、服務(wù)范圍的動(dòng)態(tài)把控是十分重要的。已確定下來的系統(tǒng)安全等級(jí)仍需要根據(jù)實(shí)際情況的變化進(jìn)行動(dòng)態(tài)調(diào)整,且加強(qiáng)安全保護(hù)措施,這是《指南》著重強(qiáng)調(diào)的。最后,在實(shí)際定級(jí)工作的開展過程中,不同類型的信息系統(tǒng)定級(jí)處理有所不同,一般如果是由“單位自建的信息系統(tǒng)(與上級(jí)單位無關(guān)),單位自主定”,或是“跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng),可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)”[4]。
《指南》指出檔案信息系統(tǒng)安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定:等級(jí)保護(hù)受到破壞時(shí)所侵害的客體和對(duì)客體造成的侵害程度。定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系在《指南》編制參考的國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240—2008)[5]中有所規(guī)定。因此,檔案信息系統(tǒng)安全等級(jí)的定級(jí)原理,即通過確定本單位應(yīng)定級(jí)的檔案信息系統(tǒng),就其業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面,確定其受侵害的客體以及對(duì)客體的侵害程度,最終按業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者定級(jí)。一般來說,受侵害客體,主要包括“國家安全;社會(huì)秩序、公共利益;公民、法人和其他社會(huì)組織的合法權(quán)益等三方面”。對(duì)客體侵害程度的劃分,主要有“一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害”三種。最終根據(jù)定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系確立檔案信息系統(tǒng)安全保護(hù)等級(jí),從低到高依次劃分為“自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、專控保護(hù)級(jí)”等五個(gè)安全等級(jí)。此定級(jí)原理具有科學(xué)性和針對(duì)性。
(四)規(guī)范了檔案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)方法與一般流程
《指南》對(duì)確定檔案信息系統(tǒng)安全保護(hù)等級(jí)的步驟進(jìn)行了明確的規(guī)定,包括“確定定級(jí)對(duì)象,確定檔案信息系統(tǒng)受到破壞時(shí)受侵害的客體,確定檔案信息系統(tǒng)受到破壞時(shí)客體的侵害程度,確定檔案信息系統(tǒng)的安全保護(hù)等級(jí),編制定級(jí)報(bào)告”。與此同時(shí),《指南》結(jié)合檔案行業(yè)特點(diǎn),分析了檔案信息系統(tǒng)受到破壞時(shí)所侵害的客體及具體的侵害事項(xiàng),其中涉及業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全等多個(gè)方面。此外,《指南》還強(qiáng)調(diào)檔案信息系統(tǒng)受到破壞后,“對(duì)客體的侵害程度與信息系統(tǒng)所屬單位的行政級(jí)別、所管理信息的重要敏感程度以及信息系統(tǒng)的影響范圍有關(guān)。一般來說,高行政級(jí)別單位的重要和敏感信息要多于低行政級(jí)別單位的重要和敏感信息”,明悉這一規(guī)律對(duì)檔案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)工作有很大幫助。因此,《指南》在“定級(jí)方法”這一部分的規(guī)定,既清晰闡明了定級(jí)工作的主要步驟、基本內(nèi)容和參考依據(jù),又提供了具體的實(shí)際情景和結(jié)論、建議,如《指南》中的表4《檔案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)建議表》,從而使各個(gè)檔案信息系統(tǒng)使用單位更好地理解和落實(shí)《指南》的具體規(guī)范與標(biāo)準(zhǔn)。
《指南》說明了檔案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)工作的一般流程,如圖1所示。不過,有四點(diǎn)值得注意的地方:一是跨區(qū)域的檔案信息系統(tǒng)由系統(tǒng)的主管部門統(tǒng)一確定安全等級(jí)。二是初步擬定的等級(jí)結(jié)果若為第二級(jí)及以上則需要參加專家評(píng)審及后續(xù)流程,若等級(jí)結(jié)果為第一級(jí),則編制定級(jí)報(bào)告之后即完成了定級(jí)工作。三是專家評(píng)審組的構(gòu)成因初擬等級(jí)結(jié)果的不同而不同。系統(tǒng)擬確定為第二級(jí)的,由使用單位自行組織專家組,第三級(jí)的由使用單位上一級(jí)檔案主管部門組織專家組,第四級(jí)及以上的由使用單位或上一級(jí)檔案主管部門請(qǐng)國家信息安全保護(hù)等級(jí)專家進(jìn)行評(píng)審,最終結(jié)果由使用單位自主決定,專家評(píng)審意見僅作為參考。四是第二級(jí)及以上檔案信息系統(tǒng)要在安全保護(hù)等級(jí)確定后30日內(nèi),由使用單位按規(guī)定到所在地的同級(jí)公安機(jī)關(guān)辦理備案手續(xù)。備案完成后,使用單位還需向上一級(jí)檔案主管部門報(bào)備定級(jí)情況,并提供相應(yīng)材料。
(一)編制依據(jù)的系統(tǒng)性與完整性
《指南》雖然是用來指導(dǎo)檔案信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)工作,但在編制依據(jù)上,不僅參考了信息系統(tǒng)的安全等級(jí)分級(jí)、安全等級(jí)定級(jí)和安全等級(jí)保護(hù)實(shí)施等所有相關(guān)環(huán)節(jié)的法律法規(guī)、規(guī)范性文件、國家標(biāo)準(zhǔn)及有關(guān)規(guī)定,同時(shí)還結(jié)合了檔案行業(yè)實(shí)際的工作情況和具體的數(shù)字檔案館指南要求,從而確保了《指南》內(nèi)容的科學(xué)性與完整性。我國等級(jí)保護(hù)制度的發(fā)展是領(lǐng)先于世界進(jìn)程的。1994年的國務(wù)院第147號(hào)令《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和1999年的強(qiáng)制性國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859—1999)為我國信息系統(tǒng)實(shí)施等級(jí)劃分和保護(hù)提供了法律依據(jù)和技術(shù)基礎(chǔ);行政公文《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字〔2004〕66號(hào))、《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))等,規(guī)定了等級(jí)保護(hù)需要完成的“規(guī)定動(dòng)作”;系列標(biāo)準(zhǔn)《信息安全技術(shù)信息安全事件分類分級(jí)指南》(GB/Z 20986—2007)、《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240—2008)、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239—2008)、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058—2010)為信息系統(tǒng)等級(jí)保護(hù)工作的落地實(shí)施提供了參考模板。因此,依據(jù)和參考這些規(guī)范標(biāo)準(zhǔn)是十分必要且重要的。與此同時(shí),《指南》的編制還兼顧了檔案行業(yè)本身的實(shí)際工作內(nèi)容,如《數(shù)字檔案館建設(shè)指南》與《各級(jí)國家檔案館館藏檔案解密和劃分控制適用范圍的暫行規(guī)定》,既滿足了信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的一般性規(guī)定,又適應(yīng)了檔案行業(yè)具體的特殊性要求,從而保障了《指南》的順利實(shí)施。
(二)定級(jí)方法的科學(xué)性與可操作性
一方面,《指南》在定級(jí)原則、定級(jí)要素、等級(jí)劃分和定級(jí)步驟等方面基本參照了國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240—2008)進(jìn)行制定,即遵循“自主定級(jí)、重點(diǎn)保護(hù)、動(dòng)態(tài)保護(hù)和同步建設(shè)”等原則,通過確定本單位應(yīng)定級(jí)的檔案信息系統(tǒng),就其業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面,確定其受侵害的客體以及對(duì)客體的侵害程度,根據(jù)二者的等級(jí)矩陣關(guān)系得出定級(jí)結(jié)果,最終按業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者定級(jí)。《指南》沿用了國家標(biāo)準(zhǔn)在定級(jí)標(biāo)準(zhǔn)和定級(jí)方法方面的科學(xué)性和合理性,清晰闡明了定級(jí)工作的主要步驟、基本任務(wù)和流程方法,極具說服力和可理解性。
另一方面,《指南》在每一項(xiàng)規(guī)范要求之后,都會(huì)提供相應(yīng)的實(shí)際情景和參考建議,方便系統(tǒng)使用單位理解和執(zhí)行。例如,其根據(jù)檔案行業(yè)的特點(diǎn),對(duì)受侵害的客體和對(duì)客體的侵害程度進(jìn)行了具體說明。同時(shí),又因?yàn)楦咝姓?jí)別單位的重要和敏感信息往往多于低行政級(jí)別單位的重要和敏感信息,所以為了方便操作執(zhí)行,《指南》對(duì)檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng)、數(shù)字檔案管理系統(tǒng)、檔案數(shù)字化加工系統(tǒng)、檔案利用服務(wù)系統(tǒng)、檔案網(wǎng)站系統(tǒng)、辦公業(yè)務(wù)系統(tǒng)等七種常見檔案信息系統(tǒng)安全保護(hù)等級(jí)進(jìn)行了建議,參考《指南》中的表4《檔案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)建議表》,從而使得各個(gè)檔案信息系統(tǒng)使用單位更好地明確和落實(shí)《指南》的具體規(guī)范與標(biāo)準(zhǔn)。
(三)制度規(guī)范的適時(shí)性與適宜性
《指南》是適應(yīng)時(shí)代發(fā)展和迎合行業(yè)要求的產(chǎn)物,它所發(fā)布的時(shí)間和所規(guī)范的內(nèi)容都極具適時(shí)性。信息安全等級(jí)保護(hù)是國家信息安全保障的基本制度、基本策略和基本方法,開展信息安全等級(jí)保護(hù)工作是促進(jìn)信息化發(fā)展,維護(hù)國家信息安全的根本保障。與此同時(shí),檔案信息化進(jìn)程也在不斷加快,檔案部門通過檔案信息系統(tǒng)管理的數(shù)字檔案資源越來越多,提高檔案信息系統(tǒng)的安全防護(hù)能力和水平,已經(jīng)成為加強(qiáng)檔案信息安全管理、促進(jìn)檔案事業(yè)健康發(fā)展的一項(xiàng)重要內(nèi)容。因此,《指南》的出臺(tái)是對(duì)這一現(xiàn)象的直接回應(yīng)與規(guī)范?!吨改稀吩凇按_定等級(jí)對(duì)象”和“定級(jí)建議”部分,均根據(jù)目前各單位檔案信息系統(tǒng)的管理現(xiàn)狀進(jìn)行規(guī)定,具有時(shí)代性和適時(shí)有效性。例如,其將現(xiàn)有的檔案信息系統(tǒng)劃分為檔案管理系統(tǒng)、檔案信息服務(wù)系統(tǒng)和檔案辦公系統(tǒng)等三種類別,提出目前常見的檔案信息系統(tǒng)主要有檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng)、數(shù)字檔案管理系統(tǒng)、檔案數(shù)字化加工系統(tǒng)、檔案利用服務(wù)系統(tǒng)、檔案網(wǎng)站系統(tǒng)、辦公業(yè)務(wù)系統(tǒng)等七種類型。定級(jí)建議也是根據(jù)當(dāng)前系統(tǒng)使用單位的信息化水平和業(yè)務(wù)功能進(jìn)行定級(jí)。
《指南》對(duì)于所規(guī)范的檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作并不是一刀切,而是根據(jù)單位行政級(jí)別的不同、包含敏感信息的程度和系統(tǒng)承擔(dān)的不同業(yè)務(wù)功能進(jìn)行適宜性規(guī)范。定級(jí)對(duì)象確定安全保護(hù)等級(jí)之后,后續(xù)的定級(jí)流程和要求也會(huì)因安全級(jí)別的不同而不同,如在“評(píng)審”部分,檔案信息系統(tǒng)擬定為第二級(jí)的,“由使用單位自行組織信息安全保護(hù)等級(jí)專家組進(jìn)行評(píng)審”,而檔案信息系統(tǒng)擬定為第三級(jí)的,則“由使用單位請(qǐng)上一級(jí)檔案行政管理部門組織信息安全等級(jí)專家組進(jìn)行評(píng)審”。
隨著我國安全等級(jí)保護(hù)制度的進(jìn)一步發(fā)展與檔案事業(yè)發(fā)展的現(xiàn)實(shí)需求,我們對(duì)進(jìn)一步完善《指南》的內(nèi)容規(guī)定和相關(guān)問題的解決,提出以下幾點(diǎn)建議和思考。
(一)加強(qiáng)相關(guān)術(shù)語的界定和規(guī)范
《指南》缺乏“術(shù)語和定義”部分。一方面,在《指南》的“4.檔案信息系統(tǒng)類型的劃分”中提到“檔案信息系統(tǒng)是指開展檔案業(yè)務(wù)所使用的檔案信息管理系統(tǒng)、檔案信息服務(wù)系統(tǒng)和檔案辦公系統(tǒng)等三類信息管理系統(tǒng)”。嚴(yán)格意義上講,這并不屬于一個(gè)概念的定義,同時(shí)“信息管理系統(tǒng)”作為“檔案信息系統(tǒng)”的屬概念,這樣表述是否合適,它們二者的區(qū)別又是什么,有待商榷。另一方面,《指南》對(duì)所涉及的核心名詞,例如“檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作”并沒有進(jìn)行說明。同時(shí),《指南》對(duì)經(jīng)常交叉出現(xiàn)的“檔案信息系統(tǒng)安全等級(jí)保護(hù)”和“檔案信息系統(tǒng)安全保護(hù)等級(jí)”名詞,也沒有做相關(guān)解釋。作為規(guī)范行業(yè)具體工作的指南標(biāo)準(zhǔn),《指南》有義務(wù)對(duì)涉及的核心概念和相關(guān)名詞進(jìn)行界定,以保證內(nèi)容的可理解性和防止誤讀。
(二)完善個(gè)別內(nèi)容,突出領(lǐng)域特色
《指南》在5.1部分提到了“檔案信息系統(tǒng)的定級(jí)原則”,里面涉及了“自主定級(jí)原則、重點(diǎn)保護(hù)原則、動(dòng)態(tài)保護(hù)原則和同步建設(shè)原則”。這四大原則其實(shí)主要參考了國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058—2010)中“4.1基本原則”部分所談到的“自主保護(hù)原則、重點(diǎn)保護(hù)原則、同步建設(shè)原則和動(dòng)態(tài)調(diào)整原則”。雖然二者在名詞表達(dá)上有所差別,但具體表述的內(nèi)容是一致的,因此這四大“定級(jí)原則”并未突出檔案行業(yè)特色和現(xiàn)實(shí)情況。另外,國際標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058—2010)所提到的四大原則其實(shí)是等級(jí)保護(hù)實(shí)施過程中應(yīng)堅(jiān)持的原則,而在《指南》這里強(qiáng)調(diào)的是定級(jí)原則。
此外,《指南》在“5.3.4確定檔案信息系統(tǒng)的安全保護(hù)等級(jí)”部分,所采用的定級(jí)方法和標(biāo)準(zhǔn),雖然在理論上極具科學(xué)性和有效性,但是在應(yīng)用上略為簡單和粗略?!吨改稀穬H根據(jù)檔案信息系統(tǒng)的業(yè)務(wù)功能、行政級(jí)別就直接進(jìn)行劃分判斷,而并未有詳盡、具體的統(tǒng)籌情況和特殊情況說明。另外,在“定級(jí)對(duì)象”方面,《指南》是2013年發(fā)布的規(guī)范,距現(xiàn)在將近10年了。隨著信息化水平的提高和計(jì)算機(jī)技術(shù)的發(fā)展,目前檔案行業(yè)信息系統(tǒng)是否仍然以這七種檔案信息系統(tǒng)類型為主,或者說,檔案信息系統(tǒng)又有哪些改變,仍需商榷。因此,摸查目前檔案行業(yè)主要的信息系統(tǒng)管理現(xiàn)狀,明確如今的等級(jí)保護(hù)對(duì)象情況,進(jìn)一步完善《指南》對(duì)應(yīng)內(nèi)容,才能更好地指導(dǎo)和規(guī)范檔案領(lǐng)域安全等級(jí)保護(hù)的定級(jí)工作。
(三)更新《指南》以適應(yīng)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代的發(fā)展需求
《指南》是由國家檔案局在2013年7月10日發(fā)布的針對(duì)檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的規(guī)范標(biāo)準(zhǔn),這一標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全等級(jí)保護(hù)1.0時(shí)代的產(chǎn)物。目前,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代,等級(jí)保護(hù)對(duì)象已發(fā)生了改變,定級(jí)流程和定級(jí)方法也都進(jìn)一步更新。但《指南》仍在沿用,仍在指導(dǎo)著檔案行業(yè)的等級(jí)保護(hù)定級(jí)工作,甚至于它所參考的法律標(biāo)準(zhǔn)規(guī)范,大多都已被替代。因此,為了滿足新形勢下等級(jí)保護(hù)定級(jí)工作對(duì)標(biāo)準(zhǔn)的需求,《指南》亟待更新和完善。
網(wǎng)絡(luò)安全等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代。近年來,隨著信息技術(shù)的高速發(fā)展和網(wǎng)絡(luò)安全監(jiān)管的需求不斷提升,以傳統(tǒng)信息系統(tǒng)為定級(jí)對(duì)象的相關(guān)指南在實(shí)際工作中遇到一些問題,反映出一定的局限性。一是安全內(nèi)涵方面,早期安全內(nèi)涵特指信息系統(tǒng),如今已演進(jìn)為面向網(wǎng)絡(luò)空間的網(wǎng)絡(luò)安全;二是信息技術(shù)方面,如今的互聯(lián)網(wǎng)和信息技術(shù)相較于2013年及以前,已經(jīng)徹底融入社會(huì)生活的方方面面,所以其重要性也在不斷提高;三是網(wǎng)絡(luò)安全責(zé)任方面,在過去傳統(tǒng)環(huán)境中,包括《指南》的制定時(shí)期,信息系統(tǒng)運(yùn)營和使用單位是單一的安全責(zé)任者,而如今隨著云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)等技術(shù)的發(fā)展,云租戶和云服務(wù)商雙方開始“各自分擔(dān)”安全責(zé)任,這讓定級(jí)工作變得更加困難和復(fù)雜。
2017年《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)的正式實(shí)施,標(biāo)志著等級(jí)保護(hù)2.0階段的正式啟動(dòng)。等級(jí)保護(hù)對(duì)象從狹義的信息系統(tǒng),擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。同時(shí),《網(wǎng)絡(luò)安全法》明確了國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,并強(qiáng)調(diào)“國家對(duì)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)”[6]。檔案部門作為守護(hù)過去和現(xiàn)在國家與社會(huì)歷史真實(shí)面貌的文化機(jī)構(gòu)應(yīng)當(dāng)重新調(diào)整和修訂《指南》,配合網(wǎng)絡(luò)安全法的實(shí)施和落地,指導(dǎo)各單位按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的新要求,履行網(wǎng)絡(luò)安全保護(hù)義務(wù)。
注釋及參考文獻(xiàn):
[1]網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng).公安部召開中央國家機(jī)關(guān)信息安全等級(jí)聯(lián)絡(luò)員機(jī)制成立大會(huì)[EB/OL].(2011-04-18)[2021-12-28].http://www.djbh.net/webdev/web/HomeWebAction. do?p=getTpxw&id=2c9090942ec2a8ba012f661a3856002a.
[2]楊蕓.涉密信息系統(tǒng)分級(jí)保護(hù)制度的基本問題(上)[J].保密工作,2013(12):44-46.
[3]該標(biāo)準(zhǔn)已廢止,被《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058—2019)全部代替。
[4]中國石油大學(xué)信息化建設(shè)處.信息系統(tǒng)定級(jí)與備案工作介紹[EB/OL].(2017-09-05)[2021-12-28].http:// nic.upc.edu.cn/2018/0117/c7454a131086/page.htm.
[5]該標(biāo)準(zhǔn)已廢止,被《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240—2020)全部代替。
[6]中華人民共和國國家互聯(lián)網(wǎng)信息辦公室.中華人民共和國網(wǎng)絡(luò)安全法[EB/OL].(2016-11-07)[2021-12-28]. http://www.cac.gov.cn/2016-11/07/c_1119867116.htm.
作者單位:中國人民大學(xué)信息資源管理學(xué)院