姚翠艳

摘 要：信息安全保障体系建设是新时代等级保护制度下的要求，也是开展风险评估的重要目标。档案信息安全保障体系构建中必须严格遵守国家和行业标准，本文结合档案信息安全保障体系的基本结构，重点探究了安全风险评估指导下保障体系的构建流程。

关键词：信息安全 风险评估 保障体系

档案信息的安全保障体系十分重要，主要目的是在信息安全技术和信息安全管理方面发挥防御作用，保障信息安全和档案管理系统的稳定运行。档案信息安全保障体系与多种信息安全保障体系相同，具有保密性、安全性、可控性等特点，安全保障体系构建过程中必须结合实际工作的特征，明确不同环节的流程。目前国内的档案信息安全保障体系建设以信息技术为基础，在管理和监督方面表现出一定的缺陷，档案信息系统存在潜在的危险，因此必须应用科学有效的管理方法，构建完善的安全保障体系。

一、以风险评估为基础的安全保障体系概述

目前，档案信息安全管理方法日渐多元化，国家相关部门也对档案信息的安全管理提出了“积极防御、综合防范”的指导方针，管理单位必须在重视信息安全风险评估的同时，进一步分析网络和信息系统中存在的缺陷和威胁，充分考虑信息系统的重要性，明确信息系统的涉密程度和管理风险，及时完善安全等级建设。档案信息安全保障体系建设中将安全风险评估作为基本依据，以可靠的防御手段实现信息保护，所以说档案信息系统的风险评估是所有信息管理的基础。结合信息安全管理，所有的信息系统都可能存在风险，很多风险也难以被发现，为了提高风险预知能力，必须正确认识风险。档案信息安全保障体系需要遵守综合方案的要求，完善技术和管理标准，以此为基础构建完整的技术体系和管理体系。档案信息安全保障体系包含三项主要内容，即信息安全技术体系、安全法规体系和安全管理体系。

二、风险评估基础上的档案信息安全保障体系构建

1.分析过程中的风险评估。档案信息系统分析过程中，以实际档案的安全等级进行风险评估，明确档案信息系统安全保护的等级，并制定详细的书面文件。明确等级的过程中以信息系统的重要性为基础，判断信息系统出现故障后对国家安全和社会稳定造成的影响，通常情况下，档案信息管理系统的安全主要包括档案信息系统服务的安全和档案业务信息的安全，确定保护等级需要结合两者等级中的较高者。档案信息系统一般受到攻击或者出现自身故障后，对国家和社会稳定带来较大的影响。针对那些设计到国家安全的档案信息系统而言，一般定三级以上，所以目前国内档案管理过程中将档案信息系统分为三个安全等级，根据不同等级内档案信息的特征和可能出现的风险对管理中的技术需求和管理需求进行确定。必须做好档案信息系统分析阶段的风险评估，以档案信息特点为重要依据，明确在管理过程中可能出现的风险，在风险评估过程中可以不必对档案信息资产和信息的脆弱性进行判断，分析过程的重要，目的是要充分结合信息系统的应用环境、应用对象和业务发展状况等，对安全威胁做出正确的分析，判断出已有的管理方法和技术水平能否抵御风险的产生。如果不能抵御风险的产生，必须及时对安全需求进行适当调整。

2.设计过程的风险评估。在信息安全保障体系构建过程中，档案信息系统的设计阶段十分重要，在这个环节中风险评估的重点工作集中在系统本身和外部，与档案信息系统的分析阶段有着较大的差异。从具体工作上看，技术设计和管理设计是设计过程的重点，通常情况下，档案信息系统的安全被分为五个不同的层面，即物理安全、网络安全、信息安全、应用安全和备份恢复，开展档案信息系统设计，必须围绕这五个不同的层面进行。另外，扎起档案信息系统管理和设计过程中，需要将重点工作放在安全管理制度制度、管理机构完善、人员管理、系统运维管理等方面。只有进一步完善技术和管理方面的设计，才能保证构件成完整的档案信息安全保障系统。设计过程中的风险评估以《信息安全风险评估规范》为标准，先对整体技术方案和管理方案进行评估，之后对整体安全方案进行综合评审，评价方案中应用的所有的技术措施和管理措施，分析收到的实际效果，如果发现安全方案中存在一定的风险，必须及时再次进行安全系統设计和风险评估工作。

3.实现过程中的风险评估。在档案信息系统的实现阶段，需要将设计过程中的内容转化为具体的管理系统，以档案信息系统的实际运行情况及时测试和验证出系统工作过程中发挥的功能，同时对设计方案的安全技术和管理的实现程度进行分析评价，判断技术措施和管理措施能够抵御风险的能力。如果评价结果中发现存在一定的安全风险，必须及时重新对档案信息系统进行设计，同时做好后期的风险评估工作，保证整体系统的安全风险在要求的范围之内，以《信息安全风险评估规范》为重要依据，以三级等级保护确定出完善的安全目标。在验证安全风险的过程中，一般结合系统的实际运行状况，将常见的风险分析应用到系统中，及时记录出安全方案抵御风险的能力，在通过风险验证的情况下说明安全方案设计满足设计需求，如果方案设计不能满足风险抵御的要求，说明系统安全设计过程中存在问题，通常情况下，必须在系统项目验收或者试运行过程中完成系统的风险评估，必须保证系统通过信息安全风险评估之后才能将其应用到档案信息管理中。

4.运行过程的风险评估。档案信息系统在运行过程时，内部的运行环境会出现不可预见的变化，这些变化将导致系统设计无法去正确反映出系统运行过程中出现的安全威胁，系统自身和运行环境出现变化的同时，也会为档案信息系统带来较大的安全威胁，因此必须在系统运行过程中应用科学的风险评估方法对多种安全问题进行解决。针对系统运行过程中的风险评估而言，一般被分为定期评估和不定期评估，工作过程中需要将自我评估和检查评估相结合。自我评估将对档案信息系统的评估作为重点，主要借助自身经验进行，单位技术人才在其中发挥着重要的作用，同时可以委托风险评估机构进行。专业的风险评估机构具有较强的技术评估能力，也能实现多方面的评估设计，最后得出客观的评估结果，这一方法成为系统实现自我评估的主要方向。检查评估过程中的主体是安全主管机构，以档案信息安全管理法规和标准为依据，判断档案信息管理系统的风险情况是否在相应的标准规定内，将对系统运行条件的监督作为主要目的，同时进一步完善信息安全保障系统。系统运行过程中，将自我评估和检查评估结合起来作为风险评估的重点。系统实际应用的同时，一般需要定期开展自我评估，保证档案信息系统的安全性满足设计标准。

5.淘汰过程中的风险评估。档案信息系统的应用有一定的时间限制，随着时间的推移，人们将会对档案信息系统提出更高的要求，在应用软件技术对实现系统升级的过程中，也无法避免系统被淘汰。系统淘汰阶段也必须做好风险评估工作，将档案信息的前移、原有数据信息的处理作为重点，在开展评估工作的过程中，科学处理原有系统中的软硬件设备，加强对档案资产的管理，避免信息载体中残留一部分信息，引发严重的泄露风险。档案信息系统的淘汰阶段需要对新的风险威胁和已有的安全漏洞进行科学的评价，以评价结果为基础制定详细的淘汰方案，参与系统淘汰的工作人员及时参与技术培训和安全管理培训，加强系统淘汰过程的监督，避免出现档案信息风险，提高档案信息的安全性。如果制定的淘汰方案存在缺陷和风险，必须及时改进，指导方案满足最低风险标准。

三、结语

档案信息安全保障体系在信息管理过程中发挥着重要的作用，是档案管理系统稳定运行的重要条件。必须在明确档案信息安全保障体系结构的基础上，从分析过程、设计过程、实现过程、运行过程和淘汰过程做出正确的风险评价，将评价结果作为安全保障体系构建的依据，发挥档案信息安全保障体系的重要作用。

参考文献：

[1]项文新.档案信息安全保障体系框架研究[J].档案学研究，2010，16（2）：68.

[2]曲娜.浅析数字档案信息的安全保障策略[J].兰台世界，2013，26（8）：73.