檔案信息系統(tǒng)安全等級保護(hù)基本要求

1、表1檔案信息系統(tǒng)安全保護(hù)的管理要求一級指標(biāo)二級指標(biāo)等保二級要求等保三級要求檔案行業(yè)要求1.1管理制度●應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；●應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度；●應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程?！駪?yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系?！癜踩芾碇贫?、操作規(guī)程應(yīng)涵蓋檔案信息系統(tǒng)建設(shè)、運(yùn)維的所有工

2、作環(huán)節(jié)。1.2制定和發(fā)布●應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；●應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；●應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中?！癜踩芾碇贫葢?yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；●安全管理制度應(yīng)通過正式、有效的方式發(fā)布；●安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。1安全管理制度1.3評審和修訂●應(yīng)定期對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。●信息安全領(lǐng)導(dǎo)小

3、組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定；●應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。一級指標(biāo)二級指標(biāo)等保二級要求等保三級要求檔案行業(yè)要求2.4溝通和合作●應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；●應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。●應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作

4、與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題；●應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；●應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；●應(yīng)聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等。2.5審核和檢查●安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況?！駪?yīng)由內(nèi)部人員或上級單位定期進(jìn)行全面安全檢查，檢