《档案信息系统安全等级保护定级工作指南》的主要内容及思考

刘珂

摘要：2013年7月10日，国家档案局印发了《档案信息系统安全等级保护定级工作指南》的通知（档办发〔2013〕5号）。《档案信息系统安全等级保护定级工作指南》，对我国档案主管部门及有关单位有效地开展非涉密信息系统安全等级保护定级工作，明确工作原则、内容、方法和流程，提供了切实的制度规范依据。该文将在介绍和解读《档案信息系统安全等级保护定级工作指南》主要内容的基础上，进一步说明其主要特点和实践价值及完善该文件的相关思考。

关键词：档案信息系统 等级保护定级 信息安全网络安全等级保护 定级工作

Abstract： On July 10， 2013， the National Ar？ chives Administration issued the Notice of“Archi？ val InformationSystemsSecurityGradePro？ tection Work Guide”. The file provides cogent refer？ ences and guidance for archival departments in charge of archival information Systems security grade protection work and makes principles， con？ tents， methods and procedures of relevant work clear. Based on the introduction and interpretation of the main content of the Guide， this paper will fur？ ther explain the main characteristics and practical value of the Guide and give some suggestions to improve the document.

Keywords： Archival information system； Grade protection； Information security； Network security grade protection； Classification work

为贯彻落实我国信息安全等级保护制度，规范档案信息安全等级保护的定级工作，提升档案信息系统的安全防护能力和水平，2013年7月10日，国家档案局印发了《档案信息系统安全等级保护定级工作指南》（以下简称《指南》）的通知（档办发〔2013〕5号）。《指南》对我国档案主管部门及有关单位有效地开展非涉密信息系统安全等级保护定级工作，明确工作原则、内容、方法和流程，提供了切实的制度规范依据。本文将在介绍和解读《指南》主要内容的基础上，进一步说明《指南》的实践价值及解决相关问题的思考与建议。

一、《指南》的主要内容介绍及解读

就总体结构而言，《指南》包括工作背景、适用范围、编制依据、档案信息系统类型的划分、档案信息系统的定级、评审、备案与报备、等级变更和附录等九个部分。就主要内容而言，《指南》说明了制定背景，划分了档案信息系统类型，明确了档案信息系统的定级原则与原理，规范了档案信息系统安全保护等级定级方法与一般流程。

（一）《指南》制定背景

《指南》通过阐述其工作背景、适用范围和编制依据，向档案部门详细说明了做好档案信息系统安全等级保护工作的必要性和重要性。一方面，档案行业作为由公安部建立的等级保护联络员制度的参加者之一，理应响应国家号召，贯彻落实信息安全等级保护制度，“掌握国家信息安全等级保护工作的有关政策和技术标准，掌握本行业、本部门信息安全等级保护工作动态和总体情况”[1]。另一方面，“档案信息化进程不断加快”，“通过档案信息系统管理的数字档案资源越来越多，提高档案信息系统的安全防护能力和水平，已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容”。因此，《指南》的出台为指导档案信息安全等级保护的定级工作提供了制度规范和操作标准。

《指南》明确了其适用范围是“省级（含计划单列市、副省级市，下同）及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。地级市档案局馆和其他档案馆可参照执行”。按新修订的《中华人民共和国档案法》的精神，“档案行政管理部门”就是各级档案主管部门。换言之，该《指南》具有较强的针对性和适用性，省级及以上档案主管部门及国家综合档案馆需要遵循这一統一的行业规范，而地级及以下档案主管部门和其他档案馆只需要参照执行即可。另外，本《指南》所讨论的档案信息系统仅针对适用单位的非涉密信息系统，涉密信息系统的等级由系统使用单位确定，按照谁主管、谁负责原则根据国家保密标准《涉及国家秘密的信息系统分级保护技术要求》（BMB 17—2006）[2]进行分级保护。

（二）划分档案信息系统类型

《指南》指明了“档案信息系统”的概念，划分了档案信息系统的类型，并详细描述了各类别下具体的系统名称、管理对象、网络环境和基本功能。这一做法直接确定了档案信息系统安全等级保护定级工作的基本作用对象，是后续定级保护工作的前提条件。档案信息系统划分为以下三类：

一是档案信息管理系统类，主要包括“档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统等”。这一类档案信息系统的管理对象分别为：（1）案卷级目录、文件级目录、专题目录等；（2）数字档案接收工作；（3）馆藏数字化成果、接收进馆的电子档案、采集接收的数字信息资源等；（4）传统载体档案、档案数字化成果。这些系统主要承担着有关档案及相关数据的收集、整理、统计或长期保存等业务功能。

二是档案信息服务系统类，主要包括“档案利用服务系统、档案网站系统等”。这一类档案信息系统的管理对象分别为：（1）通过政务外网提供的目录及其数字档案信息；（2）公开档案目录、全文，以及公开政务信息等。这些系统主要承担着有关档案利用服务及相关用户管理等业务功能。

三是档案办公系统类，主要是指“承担档案工作管理的档案局馆办公业务系统等”。这一类档案信息系统的管理对象为档案局馆档案工作管理办公业务，主要负责业务及公文流转等办公功能。

省级及以上档案主管部门及国家综合档案馆在开展档案信息系统安全等级保护定级工作时，首先，要做好本行政区域范围内、本单位内档案信息系统的定性工作。确定好适用单位内部所有档案信息系统的类别，是后续安全保护等级定级工作的前提与基础。其次，部分适用单位可能存在承载多个业务功能的档案信息系统，这种情况下应详细记录和描述该系统的各个功能、网络环境及管理对象，以为后续的定级工作提供参考依据。最后，定性工作并不是一种简单的是非判断，它要求档案主管部门在这一阶段对适用单位所有的档案信息系统进行彻底摸查，细致分类，梳理清楚各个系统所具备的业务功能和服务对象，这是系统安全等级保护定义工作的必然要求，也是维护和提高档案信息系统安全防护能力和水平的必要条件。

（三）明确了档案信息系统的定级原则与原理

《指南》对档案信息系统安全等级保护定级工作应坚持的基本工作原则做出了明确规定。档案信息系统使用单位应采用“自主定级原则、重点保护原则、动态保护原则和同步建设原则”等四大原则进行定级实施工作。首先，该四项原则是根据国家标准《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）（以下简称《实施指南》）[3]的精神，结合档案行业具体情况进行制定的，既满足了信息系统安全等级保护实施工作的基本要求，又体现了档案实际部门的业务特点；其次，各信息系统运营使用单位和主管部门是信息系统定级的责任主体。信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准，监督、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息等级保护工作。信息系统运营、使用单位负责依据相关规范标准，确定其信息系统的安全保护等级。因此，“自主确定档案信息系统的安全保护等级，自行组织实施安全保护”是档案信息系统使用单位应有的权利和义务；再次，与《实施指南》所规定的四项基本原则不同，“动态保护原则”由《指南》创新提出并被提前至第三点，这说明在档案行业中，对系统管理对象、服务范围的动态把控是十分重要的。已确定下来的系统安全等级仍需要根据实际情况的变化进行动态调整，且加强安全保護措施，这是《指南》着重强调的。最后，在实际定级工作的开展过程中，不同类型的信息系统定级处理有所不同，一般如果是由“单位自建的信息系统（与上级单位无关），单位自主定”，或是“跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级”[4]。

《指南》指出档案信息系统安全保护等级由两个定级要素决定：等级保护受到破坏时所侵害的客体和对客体造成的侵害程度。定级要素与安全保护等级的关系在《指南》编制参考的国家标准《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008）[5]中有所规定。因此，档案信息系统安全等级的定级原理，即通过确定本单位应定级的档案信息系统，就其业务信息安全和系统服务安全两个方面，确定其受侵害的客体以及对客体的侵害程度，最终按业务信息安全保护等级和系统服务安全保护等级的较高者定级。一般来说，受侵害客体，主要包括“国家安全；社会秩序、公共利益；公民、法人和其他社会组织的合法权益等三方面”。对客体侵害程度的划分，主要有“一般损害、严重损害、特别严重损害”三种。最终根据定级要素与安全保护等级的关系确立档案信息系统安全保护等级，从低到高依次划分为“自主保护级、指导保护级、监督保护级、强制保护级、专控保护级”等五个安全等级。此定级原理具有科学性和针对性。

（四）规范了档案信息系统安全保护等级定级方法与一般流程

《指南》对确定档案信息系统安全保护等级的步骤进行了明确的规定，包括“确定定级对象，确定档案信息系统受到破坏时受侵害的客体，确定档案信息系统受到破坏时客体的侵害程度，确定档案信息系统的安全保护等级，编制定级报告”。与此同时，《指南》结合档案行业特点，分析了档案信息系统受到破坏时所侵害的客体及具体的侵害事项，其中涉及业务信息安全和系统服务安全等多个方面。此外，《指南》还强调档案信息系统受到破坏后，“对客体的侵害程度与信息系统所属单位的行政级别、所管理信息的重要敏感程度以及信息系统的影响范围有关。一般来说，高行政级别单位的重要和敏感信息要多于低行政级别单位的重要和敏感信息”，明悉这一规律对档案信息系统安全保护等级定级工作有很大帮助。因此，《指南》在“定级方法”这一部分的规定，既清晰阐明了定级工作的主要步骤、基本内容和参考依据，又提供了具体的实际情景和结论、建议，如《指南》中的表4《档案信息系统安全保护等级定级建议表》，从而使各个档案信息系统使用单位更好地理解和落实《指南》的具体规范与标准。

《指南》说明了档案信息系统安全保护等级定级工作的一般流程，如图1所示。不过，有四点值得注意的地方：一是跨区域的档案信息系统由系统的主管部门统一确定安全等级。二是初步拟定的等级结果若为第二级及以上则需要参加专家评审及后续流程，若等级结果为第一级，则编制定级报告之后即完成了定级工作。三是专家评审组的构成因初拟等级结果的不同而不同。系统拟确定为第二级的，由使用单位自行组织专家组，第三级的由使用单位上一级档案主管部门组织专家组，第四级及以上的由使用单位或上一级档案主管部门请国家信息安全保护等级专家进行评审，最终结果由使用单位自主决定，专家评审意见仅作为参考。四是第二级及以上档案信息系统要在安全保护等级确定后30日内，由使用单位按规定到所在地的同级公安机关办理备案手续。备案完成后，使用单位还需向上一级档案主管部门报备定级情况，并提供相应材料。

二、《指南》的主要特点

（一）编制依据的系统性与完整性

《指南》虽然是用来指导档案信息系统安全等级保护的定级工作，但在编制依据上，不仅参考了信息系统的安全等级分级、安全等级定级和安全等级保护实施等所有相关环节的法律法规、规范性文件、国家标准及有关规定，同时还结合了档案行业实际的工作情况和具体的数字档案馆指南要求，从而确保了《指南》内容的科学性与完整性。我国等级保护制度的发展是领先于世界进程的。1994年的国务院第147号令《中华人民共和国计算机信息系统安全保护条例》和1999年的强制性国家标准《计算机信息系统安全保护等级划分准则》（GB 17859—1999）为我国信息系统实施等级划分和保护提供了法律依据和技术基础；行政公文《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）等，规定了等级保护需要完成的“规定动作”；系列标准《信息安全技术信息安全事件分类分级指南》（GB/Z 20986—2007）、《信息技术信息系统安全等级保护定级指南》（GB/T 22240—2008）、《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239—2008）、《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）为信息系统等级保护工作的落地实施提供了参考模板。因此，依据和参考这些规范标准是十分必要且重要的。与此同时，《指南》的编制还兼顾了档案行业本身的实际工作内容，如《数字档案馆建设指南》与《各级国家档案馆馆藏档案解密和划分控制适用范围的暂行规定》，既满足了信息系统安全等级保护定级工作的一般性规定，又适应了档案行业具体的特殊性要求，从而保障了《指南》的顺利实施。

（二）定级方法的科学性与可操作性

一方面，《指南》在定级原则、定级要素、等级划分和定级步骤等方面基本参照了国家标准《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008）进行制定，即遵循“自主定级、重点保护、动态保护和同步建设”等原则，通过确定本单位应定级的档案信息系统，就其业务信息安全和系统服务安全两个方面，确定其受侵害的客体以及对客体的侵害程度，根据二者的等级矩阵关系得出定级结果，最终按业务信息安全保护等级和系统服务安全保护等级的較高者定级。《指南》沿用了国家标准在定级标准和定级方法方面的科学性和合理性，清晰阐明了定级工作的主要步骤、基本任务和流程方法，极具说服力和可理解性。

另一方面，《指南》在每一项规范要求之后，都会提供相应的实际情景和参考建议，方便系统使用单位理解和执行。例如，其根据档案行业的特点，对受侵害的客体和对客体的侵害程度进行了具体说明。同时，又因为高行政级别单位的重要和敏感信息往往多于低行政级别单位的重要和敏感信息，所以为了方便操作执行，《指南》对档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统、档案利用服务系统、档案网站系统、办公业务系统等七种常见档案信息系统安全保护等级进行了建议，参考《指南》中的表4《档案信息系统安全保护等级定级建议表》，从而使得各个档案信息系统使用单位更好地明确和落实《指南》的具体规范与标准。

（三）制度规范的适时性与适宜性

《指南》是适应时代发展和迎合行业要求的产物，它所发布的时间和所规范的内容都极具适时性。信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法，开展信息安全等级保护工作是促进信息化发展，维护国家信息安全的根本保障。与此同时，档案信息化进程也在不断加快，档案部门通过档案信息系统管理的数字档案资源越来越多，提高档案信息系统的安全防护能力和水平，已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。因此，《指南》的出台是对这一现象的直接回应与规范。《指南》在“确定等级对象”和“定级建议”部分，均根据目前各单位档案信息系统的管理现状进行规定，具有时代性和适时有效性。例如，其将现有的档案信息系统划分为档案管理系统、档案信息服务系统和档案办公系统等三种类别，提出目前常见的档案信息系统主要有档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统、档案利用服务系统、档案网站系统、办公业务系统等七种类型。定级建议也是根据当前系统使用单位的信息化水平和业务功能进行定级。

《指南》对于所规范的档案信息系统安全等级保护定级工作并不是一刀切，而是根据单位行政级别的不同、包含敏感信息的程度和系统承担的不同业务功能进行适宜性规范。定级对象确定安全保护等级之后，后续的定级流程和要求也会因安全级别的不同而不同，如在“评审”部分，档案信息系统拟定为第二级的，“由使用单位自行组织信息安全保护等级专家组进行评审”，而档案信息系统拟定为第三级的，则“由使用单位请上一级档案行政管理部门组织信息安全等级专家组进行评审”。

三、对进一步完善《指南》的内容及相关问题的思考

随着我国安全等级保护制度的进一步发展与档案事业发展的现实需求，我们对进一步完善《指南》的内容规定和相关问题的解决，提出以下几点建议和思考。

（一）加强相关术语的界定和规范

《指南》缺乏“术语和定义”部分。一方面，在《指南》的“4.档案信息系统类型的划分”中提到“档案信息系统是指开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统等三类信息管理系统”。严格意义上讲，这并不属于一个概念的定义，同时“信息管理系统”作为“档案信息系统”的属概念，这样表述是否合适，它们二者的区别又是什么，有待商榷。另一方面，《指南》对所涉及的核心名词，例如“档案信息系统安全等级保护定级工作”并没有进行说明。同时，《指南》对经常交叉出现的“档案信息系统安全等级保护”和“档案信息系统安全保护等级”名词，也没有做相关解释。作为规范行业具体工作的指南标准，《指南》有义务对涉及的核心概念和相关名词进行界定，以保证内容的可理解性和防止误读。

（二）完善个别内容，突出领域特色

《指南》在5.1部分提到了“档案信息系统的定级原则”，里面涉及了“自主定级原则、重点保护原则、动态保护原则和同步建设原则”。这四大原则其实主要参考了国家标准《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）中“4.1基本原则”部分所谈到的“自主保护原则、重点保护原则、同步建设原则和动态调整原则”。虽然二者在名词表达上有所差别，但具体表述的内容是一致的，因此这四大“定级原则”并未突出档案行业特色和现实情况。另外，国际标准《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）所提到的四大原则其实是等级保护实施过程中应坚持的原则，而在《指南》这里强调的是定级原则。

此外，《指南》在“5.3.4确定档案信息系统的安全保护等级”部分，所采用的定级方法和标准，虽然在理论上极具科学性和有效性，但是在应用上略为简单和粗略。《指南》仅根据档案信息系统的业务功能、行政级别就直接进行划分判断，而并未有详尽、具体的统筹情况和特殊情况说明。另外，在“定级对象”方面，《指南》是2013年发布的规范，距现在将近10年了。随着信息化水平的提高和计算机技术的发展，目前档案行业信息系统是否仍然以这七种档案信息系统类型为主，或者说，档案信息系统又有哪些改变，仍需商榷。因此，摸查目前档案行业主要的信息系统管理现状，明确如今的等级保护对象情况，进一步完善《指南》对应内容，才能更好地指导和规范档案领域安全等级保护的定级工作。

（三）更新《指南》以适应网络安全等级保护2.0时代的发展需求

《指南》是由国家档案局在2013年7月10日发布的针对档案信息系统安全等级保护定级工作的规范标准，这一标准是网络安全等级保护1.0时代的产物。目前，网络安全等级保护制度已进入2.0时代，等级保护对象已发生了改变，定级流程和定级方法也都进一步更新。但《指南》仍在沿用，仍在指导着档案行业的等级保护定级工作，甚至于它所参考的法律标准规范，大多都已被替代。因此，为了满足新形势下等级保护定级工作对标准的需求，《指南》亟待更新和完善。

网络安全等级保护制度已进入2.0时代。近年来，随着信息技术的高速发展和网络安全监管的需求不断提升，以传统信息系统为定级对象的相关指南在实际工作中遇到一些问题，反映出一定的局限性。一是安全内涵方面，早期安全内涵特指信息系统，如今已演进为面向网络空间的网络安全；二是信息技术方面，如今的互联网和信息技术相较于2013年及以前，已经彻底融入社会生活的方方面面，所以其重要性也在不断提高；三是网络安全责任方面，在过去传统环境中，包括《指南》的制定时期，信息系统运营和使用单位是单一的安全责任者，而如今随着云计算、物联网、大数据和移动互联网等技术的发展，云租户和云服务商双方开始“各自分担”安全责任，这让定级工作变得更加困難和复杂。

2017年《中华人民共和国网络安全法》（以下简称《网络安全法》）的正式实施，标志着等级保护2.0阶段的正式启动。等级保护对象从狭义的信息系统，扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等。同时，《网络安全法》明确了国家实行网络安全等级保护制度，并强调“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”[6]。档案部门作为守护过去和现在国家与社会历史真实面貌的文化机构应当重新调整和修订《指南》，配合网络安全法的实施和落地，指导各单位按照网络安全等级保护制度的新要求，履行网络安全保护义务。

注释及参考文献：

[1]网络安全等级保护网.公安部召开中央国家机关信息安全等级联络员机制成立大会[EB/OL].（2011-04-18）[2021-12-28].http：//www.djbh.net/webdev/web/HomeWebAction. do？p=getTpxw&id=2c9090942ec2a8ba012f661a3856002a.

[2]杨芸.涉密信息系统分级保护制度的基本问题（上）[J].保密工作，2013（12）：44-46.

[3]该标准已废止，被《信息安全技术网络安全等级保护实施指南》（GB/T 25058—2019）全部代替。

[4]中国石油大学信息化建设处.信息系统定级与备案工作介绍[EB/OL].（2017-09-05）[2021-12-28].http：// nic.upc.edu.cn/2018/0117/c7454a131086/page.htm.

[5]该标准已废止，被《信息安全技术网络安全等级保护定级指南》（GB/T 22240—2020）全部代替。

[6]中华人民共和国国家互联网信息办公室.中华人民共和国网络安全法[EB/OL].（2016-11-07）[2021-12-28]. http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

作者单位：中国人民大学信息资源管理学院