劉珂

摘要：2013年7月10日，國家檔案局印發(fā)了《檔案信息系統(tǒng)安全等級保護定級工作指南》的通知（檔辦發(fā)〔2013〕5號）?！稒n案信息系統(tǒng)安全等級保護定級工作指南》，對我國檔案主管部門及有關(guān)單位有效地開展非涉密信息系統(tǒng)安全等級保護定級工作，明確工作原則、內(nèi)容、方法和流程，提供了切實的制度規(guī)范依據(jù)。該文將在介紹和解讀《檔案信息系統(tǒng)安全等級保護定級工作指南》主要內(nèi)容的基礎(chǔ)上，進一步說明其主要特點和實踐價值及完善該文件的相關(guān)思考。

關(guān)鍵詞：檔案信息系統(tǒng) 等級保護定級 信息安全網(wǎng)絡(luò)安全等級保護 定級工作

Abstract： On July 10， 2013， the National Ar？ chives Administration issued the Notice of“Archi？ val InformationSystemsSecurityGradePro？ tection Work Guide”. The file provides cogent refer？ ences and guidance for archival departments in charge of archival information Systems security grade protection work and makes principles， con？ tents， methods and procedures of relevant work clear. Based on the introduction and interpretation of the main content of the Guide， this paper will fur？ ther explain the main characteristics and practical value of the Guide and give some suggestions to improve the document.

Keywords： Archival information system； Grade protection； Information security； Network security grade protection； Classification work

為貫徹落實我國信息安全等級保護制度，規(guī)范檔案信息安全等級保護的定級工作，提升檔案信息系統(tǒng)的安全防護能力和水平，2013年7月10日，國家檔案局印發(fā)了《檔案信息系統(tǒng)安全等級保護定級工作指南》（以下簡稱《指南》）的通知（檔辦發(fā)〔2013〕5號）。《指南》對我國檔案主管部門及有關(guān)單位有效地開展非涉密信息系統(tǒng)安全等級保護定級工作，明確工作原則、內(nèi)容、方法和流程，提供了切實的制度規(guī)范依據(jù)。本文將在介紹和解讀《指南》主要內(nèi)容的基礎(chǔ)上，進一步說明《指南》的實踐價值及解決相關(guān)問題的思考與建議。

一、《指南》的主要內(nèi)容介紹及解讀

就總體結(jié)構(gòu)而言，《指南》包括工作背景、適用范圍、編制依據(jù)、檔案信息系統(tǒng)類型的劃分、檔案信息系統(tǒng)的定級、評審、備案與報備、等級變更和附錄等九個部分。就主要內(nèi)容而言，《指南》說明了制定背景，劃分了檔案信息系統(tǒng)類型，明確了檔案信息系統(tǒng)的定級原則與原理，規(guī)范了檔案信息系統(tǒng)安全保護等級定級方法與一般流程。

（一）《指南》制定背景

《指南》通過闡述其工作背景、適用范圍和編制依據(jù)，向檔案部門詳細說明了做好檔案信息系統(tǒng)安全等級保護工作的必要性和重要性。一方面，檔案行業(yè)作為由公安部建立的等級保護聯(lián)絡(luò)員制度的參加者之一，理應(yīng)響應(yīng)國家號召，貫徹落實信息安全等級保護制度，“掌握國家信息安全等級保護工作的有關(guān)政策和技術(shù)標準，掌握本行業(yè)、本部門信息安全等級保護工作動態(tài)和總體情況”[1]。另一方面，“檔案信息化進程不斷加快”，“通過檔案信息系統(tǒng)管理的數(shù)字檔案資源越來越多，提高檔案信息系統(tǒng)的安全防護能力和水平，已經(jīng)成為加強檔案信息安全管理、促進檔案事業(yè)健康發(fā)展的一項重要內(nèi)容”。因此，《指南》的出臺為指導(dǎo)檔案信息安全等級保護的定級工作提供了制度規(guī)范和操作標準。

《指南》明確了其適用范圍是“省級（含計劃單列市、副省級市，下同）及以上檔案行政管理部門及國家綜合檔案館非涉密信息系統(tǒng)安全等級保護定級工作。地級市檔案局館和其他檔案館可參照執(zhí)行”。按新修訂的《中華人民共和國檔案法》的精神，“檔案行政管理部門”就是各級檔案主管部門。換言之，該《指南》具有較強的針對性和適用性，省級及以上檔案主管部門及國家綜合檔案館需要遵循這一統(tǒng)一的行業(yè)規(guī)范，而地級及以下檔案主管部門和其他檔案館只需要參照執(zhí)行即可。另外，本《指南》所討論的檔案信息系統(tǒng)僅針對適用單位的非涉密信息系統(tǒng)，涉密信息系統(tǒng)的等級由系統(tǒng)使用單位確定，按照誰主管、誰負責(zé)原則根據(jù)國家保密標準《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》（BMB 17—2006）[2]進行分級保護。

（二）劃分檔案信息系統(tǒng)類型

《指南》指明了“檔案信息系統(tǒng)”的概念，劃分了檔案信息系統(tǒng)的類型，并詳細描述了各類別下具體的系統(tǒng)名稱、管理對象、網(wǎng)絡(luò)環(huán)境和基本功能。這一做法直接確定了檔案信息系統(tǒng)安全等級保護定級工作的基本作用對象，是后續(xù)定級保護工作的前提條件。檔案信息系統(tǒng)劃分為以下三類：

一是檔案信息管理系統(tǒng)類，主要包括“檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng)、數(shù)字檔案管理系統(tǒng)、檔案數(shù)字化加工系統(tǒng)等”。這一類檔案信息系統(tǒng)的管理對象分別為：（1）案卷級目錄、文件級目錄、專題目錄等；（2）數(shù)字檔案接收工作；（3）館藏數(shù)字化成果、接收進館的電子檔案、采集接收的數(shù)字信息資源等；（4）傳統(tǒng)載體檔案、檔案數(shù)字化成果。這些系統(tǒng)主要承擔(dān)著有關(guān)檔案及相關(guān)數(shù)據(jù)的收集、整理、統(tǒng)計或長期保存等業(yè)務(wù)功能。

二是檔案信息服務(wù)系統(tǒng)類，主要包括“檔案利用服務(wù)系統(tǒng)、檔案網(wǎng)站系統(tǒng)等”。這一類檔案信息系統(tǒng)的管理對象分別為：（1）通過政務(wù)外網(wǎng)提供的目錄及其數(shù)字檔案信息；（2）公開檔案目錄、全文，以及公開政務(wù)信息等。這些系統(tǒng)主要承擔(dān)著有關(guān)檔案利用服務(wù)及相關(guān)用戶管理等業(yè)務(wù)功能。

三是檔案辦公系統(tǒng)類，主要是指“承擔(dān)檔案工作管理的檔案局館辦公業(yè)務(wù)系統(tǒng)等”。這一類檔案信息系統(tǒng)的管理對象為檔案局館檔案工作管理辦公業(yè)務(wù)，主要負責(zé)業(yè)務(wù)及公文流轉(zhuǎn)等辦公功能。

省級及以上檔案主管部門及國家綜合檔案館在開展檔案信息系統(tǒng)安全等級保護定級工作時，首先，要做好本行政區(qū)域范圍內(nèi)、本單位內(nèi)檔案信息系統(tǒng)的定性工作。確定好適用單位內(nèi)部所有檔案信息系統(tǒng)的類別，是后續(xù)安全保護等級定級工作的前提與基礎(chǔ)。其次，部分適用單位可能存在承載多個業(yè)務(wù)功能的檔案信息系統(tǒng)，這種情況下應(yīng)詳細記錄和描述該系統(tǒng)的各個功能、網(wǎng)絡(luò)環(huán)境及管理對象，以為后續(xù)的定級工作提供參考依據(jù)。最后，定性工作并不是一種簡單的是非判斷，它要求檔案主管部門在這一階段對適用單位所有的檔案信息系統(tǒng)進行徹底摸查，細致分類，梳理清楚各個系統(tǒng)所具備的業(yè)務(wù)功能和服務(wù)對象，這是系統(tǒng)安全等級保護定義工作的必然要求，也是維護和提高檔案信息系統(tǒng)安全防護能力和水平的必要條件。

（三）明確了檔案信息系統(tǒng)的定級原則與原理

《指南》對檔案信息系統(tǒng)安全等級保護定級工作應(yīng)堅持的基本工作原則做出了明確規(guī)定。檔案信息系統(tǒng)使用單位應(yīng)采用“自主定級原則、重點保護原則、動態(tài)保護原則和同步建設(shè)原則”等四大原則進行定級實施工作。首先，該四項原則是根據(jù)國家標準《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》（GB/T 25058—2010）（以下簡稱《實施指南》）[3]的精神，結(jié)合檔案行業(yè)具體情況進行制定的，既滿足了信息系統(tǒng)安全等級保護實施工作的基本要求，又體現(xiàn)了檔案實際部門的業(yè)務(wù)特點；其次，各信息系統(tǒng)運營使用單位和主管部門是信息系統(tǒng)定級的責(zé)任主體。信息系統(tǒng)主管部門負責(zé)依照國家信息安全等級保護的管理規(guī)范和技術(shù)標準，監(jiān)督、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息等級保護工作。信息系統(tǒng)運營、使用單位負責(zé)依據(jù)相關(guān)規(guī)范標準，確定其信息系統(tǒng)的安全保護等級。因此，“自主確定檔案信息系統(tǒng)的安全保護等級，自行組織實施安全保護”是檔案信息系統(tǒng)使用單位應(yīng)有的權(quán)利和義務(wù)；再次，與《實施指南》所規(guī)定的四項基本原則不同，“動態(tài)保護原則”由《指南》創(chuàng)新提出并被提前至第三點，這說明在檔案行業(yè)中，對系統(tǒng)管理對象、服務(wù)范圍的動態(tài)把控是十分重要的。已確定下來的系統(tǒng)安全等級仍需要根據(jù)實際情況的變化進行動態(tài)調(diào)整，且加強安全保護措施，這是《指南》著重強調(diào)的。最后，在實際定級工作的開展過程中，不同類型的信息系統(tǒng)定級處理有所不同，一般如果是由“單位自建的信息系統(tǒng)（與上級單位無關(guān)），單位自主定”，或是“跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級”[4]。

《指南》指出檔案信息系統(tǒng)安全保護等級由兩個定級要素決定：等級保護受到破壞時所侵害的客體和對客體造成的侵害程度。定級要素與安全保護等級的關(guān)系在《指南》編制參考的國家標準《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》（GB/T 22240—2008）[5]中有所規(guī)定。因此，檔案信息系統(tǒng)安全等級的定級原理，即通過確定本單位應(yīng)定級的檔案信息系統(tǒng)，就其業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個方面，確定其受侵害的客體以及對客體的侵害程度，最終按業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者定級。一般來說，受侵害客體，主要包括“國家安全；社會秩序、公共利益；公民、法人和其他社會組織的合法權(quán)益等三方面”。對客體侵害程度的劃分，主要有“一般損害、嚴重損害、特別嚴重損害”三種。最終根據(jù)定級要素與安全保護等級的關(guān)系確立檔案信息系統(tǒng)安全保護等級，從低到高依次劃分為“自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、專控保護級”等五個安全等級。此定級原理具有科學(xué)性和針對性。

（四）規(guī)范了檔案信息系統(tǒng)安全保護等級定級方法與一般流程

《指南》對確定檔案信息系統(tǒng)安全保護等級的步驟進行了明確的規(guī)定，包括“確定定級對象，確定檔案信息系統(tǒng)受到破壞時受侵害的客體，確定檔案信息系統(tǒng)受到破壞時客體的侵害程度，確定檔案信息系統(tǒng)的安全保護等級，編制定級報告”。與此同時，《指南》結(jié)合檔案行業(yè)特點，分析了檔案信息系統(tǒng)受到破壞時所侵害的客體及具體的侵害事項，其中涉及業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全等多個方面。此外，《指南》還強調(diào)檔案信息系統(tǒng)受到破壞后，“對客體的侵害程度與信息系統(tǒng)所屬單位的行政級別、所管理信息的重要敏感程度以及信息系統(tǒng)的影響范圍有關(guān)。一般來說，高行政級別單位的重要和敏感信息要多于低行政級別單位的重要和敏感信息”，明悉這一規(guī)律對檔案信息系統(tǒng)安全保護等級定級工作有很大幫助。因此，《指南》在“定級方法”這一部分的規(guī)定，既清晰闡明了定級工作的主要步驟、基本內(nèi)容和參考依據(jù)，又提供了具體的實際情景和結(jié)論、建議，如《指南》中的表4《檔案信息系統(tǒng)安全保護等級定級建議表》，從而使各個檔案信息系統(tǒng)使用單位更好地理解和落實《指南》的具體規(guī)范與標準。

《指南》說明了檔案信息系統(tǒng)安全保護等級定級工作的一般流程，如圖1所示。不過，有四點值得注意的地方：一是跨區(qū)域的檔案信息系統(tǒng)由系統(tǒng)的主管部門統(tǒng)一確定安全等級。二是初步擬定的等級結(jié)果若為第二級及以上則需要參加專家評審及后續(xù)流程，若等級結(jié)果為第一級，則編制定級報告之后即完成了定級工作。三是專家評審組的構(gòu)成因初擬等級結(jié)果的不同而不同。系統(tǒng)擬確定為第二級的，由使用單位自行組織專家組，第三級的由使用單位上一級檔案主管部門組織專家組，第四級及以上的由使用單位或上一級檔案主管部門請國家信息安全保護等級專家進行評審，最終結(jié)果由使用單位自主決定，專家評審意見僅作為參考。四是第二級及以上檔案信息系統(tǒng)要在安全保護等級確定后30日內(nèi)，由使用單位按規(guī)定到所在地的同級公安機關(guān)辦理備案手續(xù)。備案完成后，使用單位還需向上一級檔案主管部門報備定級情況，并提供相應(yīng)材料。

二、《指南》的主要特點

（一）編制依據(jù)的系統(tǒng)性與完整性

《指南》雖然是用來指導(dǎo)檔案信息系統(tǒng)安全等級保護的定級工作，但在編制依據(jù)上，不僅參考了信息系統(tǒng)的安全等級分級、安全等級定級和安全等級保護實施等所有相關(guān)環(huán)節(jié)的法律法規(guī)、規(guī)范性文件、國家標準及有關(guān)規(guī)定，同時還結(jié)合了檔案行業(yè)實際的工作情況和具體的數(shù)字檔案館指南要求，從而確保了《指南》內(nèi)容的科學(xué)性與完整性。我國等級保護制度的發(fā)展是領(lǐng)先于世界進程的。1994年的國務(wù)院第147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》和1999年的強制性國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859—1999）為我國信息系統(tǒng)實施等級劃分和保護提供了法律依據(jù)和技術(shù)基礎(chǔ)；行政公文《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）、《信息安全等級保護管理辦法》（公通字〔2007〕43號）等，規(guī)定了等級保護需要完成的“規(guī)定動作”；系列標準《信息安全技術(shù)信息安全事件分類分級指南》（GB/Z 20986—2007）、《信息技術(shù)信息系統(tǒng)安全等級保護定級指南》（GB/T 22240—2008）、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》（GB/T 22239—2008）、《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》（GB/T 25058—2010）為信息系統(tǒng)等級保護工作的落地實施提供了參考模板。因此，依據(jù)和參考這些規(guī)范標準是十分必要且重要的。與此同時，《指南》的編制還兼顧了檔案行業(yè)本身的實際工作內(nèi)容，如《數(shù)字檔案館建設(shè)指南》與《各級國家檔案館館藏檔案解密和劃分控制適用范圍的暫行規(guī)定》，既滿足了信息系統(tǒng)安全等級保護定級工作的一般性規(guī)定，又適應(yīng)了檔案行業(yè)具體的特殊性要求，從而保障了《指南》的順利實施。

（二）定級方法的科學(xué)性與可操作性

一方面，《指南》在定級原則、定級要素、等級劃分和定級步驟等方面基本參照了國家標準《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》（GB/T 22240—2008）進行制定，即遵循“自主定級、重點保護、動態(tài)保護和同步建設(shè)”等原則，通過確定本單位應(yīng)定級的檔案信息系統(tǒng)，就其業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個方面，確定其受侵害的客體以及對客體的侵害程度，根據(jù)二者的等級矩陣關(guān)系得出定級結(jié)果，最終按業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者定級?！吨改稀费赜昧藝覙藴试诙墭藴屎投壏椒ǚ矫娴目茖W(xué)性和合理性，清晰闡明了定級工作的主要步驟、基本任務(wù)和流程方法，極具說服力和可理解性。

另一方面，《指南》在每一項規(guī)范要求之后，都會提供相應(yīng)的實際情景和參考建議，方便系統(tǒng)使用單位理解和執(zhí)行。例如，其根據(jù)檔案行業(yè)的特點，對受侵害的客體和對客體的侵害程度進行了具體說明。同時，又因為高行政級別單位的重要和敏感信息往往多于低行政級別單位的重要和敏感信息，所以為了方便操作執(zhí)行，《指南》對檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng)、數(shù)字檔案管理系統(tǒng)、檔案數(shù)字化加工系統(tǒng)、檔案利用服務(wù)系統(tǒng)、檔案網(wǎng)站系統(tǒng)、辦公業(yè)務(wù)系統(tǒng)等七種常見檔案信息系統(tǒng)安全保護等級進行了建議，參考《指南》中的表4《檔案信息系統(tǒng)安全保護等級定級建議表》，從而使得各個檔案信息系統(tǒng)使用單位更好地明確和落實《指南》的具體規(guī)范與標準。

（三）制度規(guī)范的適時性與適宜性

《指南》是適應(yīng)時代發(fā)展和迎合行業(yè)要求的產(chǎn)物，它所發(fā)布的時間和所規(guī)范的內(nèi)容都極具適時性。信息安全等級保護是國家信息安全保障的基本制度、基本策略和基本方法，開展信息安全等級保護工作是促進信息化發(fā)展，維護國家信息安全的根本保障。與此同時，檔案信息化進程也在不斷加快，檔案部門通過檔案信息系統(tǒng)管理的數(shù)字檔案資源越來越多，提高檔案信息系統(tǒng)的安全防護能力和水平，已經(jīng)成為加強檔案信息安全管理、促進檔案事業(yè)健康發(fā)展的一項重要內(nèi)容。因此，《指南》的出臺是對這一現(xiàn)象的直接回應(yīng)與規(guī)范。《指南》在“確定等級對象”和“定級建議”部分，均根據(jù)目前各單位檔案信息系統(tǒng)的管理現(xiàn)狀進行規(guī)定，具有時代性和適時有效性。例如，其將現(xiàn)有的檔案信息系統(tǒng)劃分為檔案管理系統(tǒng)、檔案信息服務(wù)系統(tǒng)和檔案辦公系統(tǒng)等三種類別，提出目前常見的檔案信息系統(tǒng)主要有檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng)、數(shù)字檔案管理系統(tǒng)、檔案數(shù)字化加工系統(tǒng)、檔案利用服務(wù)系統(tǒng)、檔案網(wǎng)站系統(tǒng)、辦公業(yè)務(wù)系統(tǒng)等七種類型。定級建議也是根據(jù)當(dāng)前系統(tǒng)使用單位的信息化水平和業(yè)務(wù)功能進行定級。

《指南》對于所規(guī)范的檔案信息系統(tǒng)安全等級保護定級工作并不是一刀切，而是根據(jù)單位行政級別的不同、包含敏感信息的程度和系統(tǒng)承擔(dān)的不同業(yè)務(wù)功能進行適宜性規(guī)范。定級對象確定安全保護等級之后，后續(xù)的定級流程和要求也會因安全級別的不同而不同，如在“評審”部分，檔案信息系統(tǒng)擬定為第二級的，“由使用單位自行組織信息安全保護等級專家組進行評審”，而檔案信息系統(tǒng)擬定為第三級的，則“由使用單位請上一級檔案行政管理部門組織信息安全等級專家組進行評審”。

三、對進一步完善《指南》的內(nèi)容及相關(guān)問題的思考

隨著我國安全等級保護制度的進一步發(fā)展與檔案事業(yè)發(fā)展的現(xiàn)實需求，我們對進一步完善《指南》的內(nèi)容規(guī)定和相關(guān)問題的解決，提出以下幾點建議和思考。

（一）加強相關(guān)術(shù)語的界定和規(guī)范

《指南》缺乏“術(shù)語和定義”部分。一方面，在《指南》的“4.檔案信息系統(tǒng)類型的劃分”中提到“檔案信息系統(tǒng)是指開展檔案業(yè)務(wù)所使用的檔案信息管理系統(tǒng)、檔案信息服務(wù)系統(tǒng)和檔案辦公系統(tǒng)等三類信息管理系統(tǒng)”。嚴格意義上講，這并不屬于一個概念的定義，同時“信息管理系統(tǒng)”作為“檔案信息系統(tǒng)”的屬概念，這樣表述是否合適，它們二者的區(qū)別又是什么，有待商榷。另一方面，《指南》對所涉及的核心名詞，例如“檔案信息系統(tǒng)安全等級保護定級工作”并沒有進行說明。同時，《指南》對經(jīng)常交叉出現(xiàn)的“檔案信息系統(tǒng)安全等級保護”和“檔案信息系統(tǒng)安全保護等級”名詞，也沒有做相關(guān)解釋。作為規(guī)范行業(yè)具體工作的指南標準，《指南》有義務(wù)對涉及的核心概念和相關(guān)名詞進行界定，以保證內(nèi)容的可理解性和防止誤讀。

（二）完善個別內(nèi)容，突出領(lǐng)域特色

《指南》在5.1部分提到了“檔案信息系統(tǒng)的定級原則”，里面涉及了“自主定級原則、重點保護原則、動態(tài)保護原則和同步建設(shè)原則”。這四大原則其實主要參考了國家標準《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》（GB/T 25058—2010）中“4.1基本原則”部分所談到的“自主保護原則、重點保護原則、同步建設(shè)原則和動態(tài)調(diào)整原則”。雖然二者在名詞表達上有所差別，但具體表述的內(nèi)容是一致的，因此這四大“定級原則”并未突出檔案行業(yè)特色和現(xiàn)實情況。另外，國際標準《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》（GB/T 25058—2010）所提到的四大原則其實是等級保護實施過程中應(yīng)堅持的原則，而在《指南》這里強調(diào)的是定級原則。

此外，《指南》在“5.3.4確定檔案信息系統(tǒng)的安全保護等級”部分，所采用的定級方法和標準，雖然在理論上極具科學(xué)性和有效性，但是在應(yīng)用上略為簡單和粗略。《指南》僅根據(jù)檔案信息系統(tǒng)的業(yè)務(wù)功能、行政級別就直接進行劃分判斷，而并未有詳盡、具體的統(tǒng)籌情況和特殊情況說明。另外，在“定級對象”方面，《指南》是2013年發(fā)布的規(guī)范，距現(xiàn)在將近10年了。隨著信息化水平的提高和計算機技術(shù)的發(fā)展，目前檔案行業(yè)信息系統(tǒng)是否仍然以這七種檔案信息系統(tǒng)類型為主，或者說，檔案信息系統(tǒng)又有哪些改變，仍需商榷。因此，摸查目前檔案行業(yè)主要的信息系統(tǒng)管理現(xiàn)狀，明確如今的等級保護對象情況，進一步完善《指南》對應(yīng)內(nèi)容，才能更好地指導(dǎo)和規(guī)范檔案領(lǐng)域安全等級保護的定級工作。

（三）更新《指南》以適應(yīng)網(wǎng)絡(luò)安全等級保護2.0時代的發(fā)展需求

《指南》是由國家檔案局在2013年7月10日發(fā)布的針對檔案信息系統(tǒng)安全等級保護定級工作的規(guī)范標準，這一標準是網(wǎng)絡(luò)安全等級保護1.0時代的產(chǎn)物。目前，網(wǎng)絡(luò)安全等級保護制度已進入2.0時代，等級保護對象已發(fā)生了改變，定級流程和定級方法也都進一步更新。但《指南》仍在沿用，仍在指導(dǎo)著檔案行業(yè)的等級保護定級工作，甚至于它所參考的法律標準規(guī)范，大多都已被替代。因此，為了滿足新形勢下等級保護定級工作對標準的需求，《指南》亟待更新和完善。

網(wǎng)絡(luò)安全等級保護制度已進入2.0時代。近年來，隨著信息技術(shù)的高速發(fā)展和網(wǎng)絡(luò)安全監(jiān)管的需求不斷提升，以傳統(tǒng)信息系統(tǒng)為定級對象的相關(guān)指南在實際工作中遇到一些問題，反映出一定的局限性。一是安全內(nèi)涵方面，早期安全內(nèi)涵特指信息系統(tǒng)，如今已演進為面向網(wǎng)絡(luò)空間的網(wǎng)絡(luò)安全；二是信息技術(shù)方面，如今的互聯(lián)網(wǎng)和信息技術(shù)相較于2013年及以前，已經(jīng)徹底融入社會生活的方方面面，所以其重要性也在不斷提高；三是網(wǎng)絡(luò)安全責(zé)任方面，在過去傳統(tǒng)環(huán)境中，包括《指南》的制定時期，信息系統(tǒng)運營和使用單位是單一的安全責(zé)任者，而如今隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動互聯(lián)網(wǎng)等技術(shù)的發(fā)展，云租戶和云服務(wù)商雙方開始“各自分擔(dān)”安全責(zé)任，這讓定級工作變得更加困難和復(fù)雜。

2017年《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）的正式實施，標志著等級保護2.0階段的正式啟動。等級保護對象從狹義的信息系統(tǒng)，擴展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等。同時，《網(wǎng)絡(luò)安全法》明確了國家實行網(wǎng)絡(luò)安全等級保護制度，并強調(diào)“國家對一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護”[6]。檔案部門作為守護過去和現(xiàn)在國家與社會歷史真實面貌的文化機構(gòu)應(yīng)當(dāng)重新調(diào)整和修訂《指南》，配合網(wǎng)絡(luò)安全法的實施和落地，指導(dǎo)各單位按照網(wǎng)絡(luò)安全等級保護制度的新要求，履行網(wǎng)絡(luò)安全保護義務(wù)。

注釋及參考文獻：

[1]網(wǎng)絡(luò)安全等級保護網(wǎng).公安部召開中央國家機關(guān)信息安全等級聯(lián)絡(luò)員機制成立大會[EB/OL].（2011-04-18）[2021-12-28].http：//www.djbh.net/webdev/web/HomeWebAction. do？p=getTpxw&id=2c9090942ec2a8ba012f661a3856002a.

[2]楊蕓.涉密信息系統(tǒng)分級保護制度的基本問題（上）[J].保密工作，2013（12）：44-46.

[3]該標準已廢止，被《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南》（GB/T 25058—2019）全部代替。

[4]中國石油大學(xué)信息化建設(shè)處.信息系統(tǒng)定級與備案工作介紹[EB/OL].（2017-09-05）[2021-12-28].http：// nic.upc.edu.cn/2018/0117/c7454a131086/page.htm.

[5]該標準已廢止，被《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》（GB/T 22240—2020）全部代替。

[6]中華人民共和國國家互聯(lián)網(wǎng)信息辦公室.中華人民共和國網(wǎng)絡(luò)安全法[EB/OL].（2016-11-07）[2021-12-28]. http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

作者單位：中國人民大學(xué)信息資源管理學(xué)院