浙档发〔2009〕64号

第一章  总则

第一条  为加强全省档案信息化建设系统安全管理，确保国家档案信息资源安全和国家利益不受侵害，根据《中华人民共和国档案法》、《中华人民共和国计算机信息系统安全保护条例》、《浙江省信息安全等级保护管理办法》、《信息安全技术信息系统灾难恢复规范》（GB/T20988-2007）等有关法律法规和标准的规定，结合本省档案部门实际，制定本暂行办法。

第二条  本办法所称的档案信息化系统，是指档案信息化建设与运行中的网络计算机系统、档案信息管理各种应用系统、档案局办公自动化系统、档案馆库智能化管理系统，以及各种载体档案的数字化加工处理系统等。

第三条  档案信息化系统的安全管理工作应当遵循明确责任、同步建设、管理与技术并重、安全可控的原则，重点保障网络和重要档案信息系统的各类信息的安全性和信息处理的连续性。

第四条  档案信息化系统的建设单位要加强系统安全管理工作的领导，把系统安全管理纳入档案信息化建设整体规划，建立必要的资金、技术与管理保障机制。

第五条  直接在电子政务内、外网上运行的档案信息化系统，必须按照电子政务内外网的网络安全规定与制度进行管理；运行处理涉密档案文件的信息化系统，其安全保密管理必须按照有关保密法律、法规规章与管理规定执行。

第六条  省档案行政管理部门负责全省档案信息化系统安全规划与业务指导工作，市、县（市、区）档案行政管理部门负责本行政区域内档案信息化系统安全方案审定与业务指导工作。省公安、保密、信息化等主管部门负责省直单位档案信息化系统安全管理的监督和检查，市、县（市、区）公安、保密、信息化等主管部门负责本行政区域内各单位档案信息化系统安全管理的监督和检查。档案信息化系统建设单位在其职责范围内负责本单位档案信息化系统的安全管理工作。

第七条  本办法适用于全省各级档案局、馆档案信息化系统安全管理工作，全省各级党政机关、社会团体、企事业单位档案信息化系统的安全管理工作可参照执行。

第二章  网络与应用系统安全

第八条  档案信息化系统建设中，网络与应用系统的设计应当同步规划并落实相应的安全措施。各类网络系统搭建于应用系统的工程建设中，其方案研制开发、安装与运行使用，都必须符合安全要求。

第九条  开展档案信息化系统建设的单位必须对承担建设的网络系统集成、软件研发、工程监理与数字化扫描加工等施工单位进行安全审查，签订安全责任协议。档案信息化系统各工程项目不得交由境外机构或自然人个人承建。

涉及国家秘密信息的档案计算机信息系统的承建单位，必须具有《涉及国家秘密的计算机信息系统集成资质证书》。

第十条  档案信息化系统建设应按照《浙江省信息安全等级保护管理办法》等法律法规要求，在系统规划设计时按照国家有关技术规范、标准办法来制定安全保护等级。档案信息化系统中的核心系统，其中存储与管理电子文件与数字档案的应用系统，应按安全保护二级（或二级以上）等级进行设计、建设与运行，有条件的单位可按三级进行设计、建设与运行。系统建设完成后，应通过有关部门安全测评，报备当地县级以上公安部门后方可投入使用。

涉及国家秘密的档案信息化系统工程，须按照有关保密法律法规的规定执行，所采取的安全保密措施与所处理信息的密级管理要求必须一致，并按其处理信息最高密级的防护要求进行防护。系统建成后，报经省辖市以上保密工作部门审批通过后，才能运行国家秘密信息。

第十一条  存储与管理档案信息的应用系统，应采用身份鉴别、访问控制、日志审计跟踪等技术安全措施，对系统各功能模块的访问应当采用权限管理机制，不得越权操作。存储与管理档案信息的网络系统，应采取网络间安全防护措施，不得直接连接到政务外网的公众服务专网、国际互联网等信息网络上运行。

第十二条  网络与应用系统建设中产生的规划、实施方案、网络结构拓扑图、设备配置清单、软件需求设计书、流程图、源程序、数据库配置与权限设置、用户登录名册与权限设置等文档必须按内部文件资料进行归档，不得散落，不得个人私存。承建单位按安全协议规定，系统验收后移交清理，不得对第三方泄露。

信息化系统验收后，各单位应立即督促检查承建单位清除为调试系统向他们提供的各种档案数据，以防数据泄露。

第十三条  网络构架与服务器的调整，数据库软件、应用系统等的更新、升级后，应对单位整个信息化系统运行状况进行安全检测，及时消除安全隐患，确保信息安全和系统正常运行。

第十四条  省档案行政管理部门负责全省档案局、馆及省直各单位档案信息化系统重大建设项目的登记备案工作。各市、县（市、区）档案行政管理部门对本行政区域内档案信息化系统重要工程建设项目进行登记备案。

第三章  档案信息安全

第十五条  加强传统载体档案数字化前鉴定把关工作。档案信息化系统未达到涉密网标准及安全保密管理未达到有关保密法规与规范要求的建设单位，不得进行涉密档案的全文数字化以及涉密档案内容的网上运行管理。

第十六条  加强档案数字化加工的安全管理。加工单位和人员应该严格遵守《保密守则》和档案的法律法规，在档案的数字化加工中，应保护档案原件，不得遗失、损坏档案原件，如有违法者，将追究法律责任。数字化加工应在档案馆指定的安全场所内进行，工作场所中应安装监管系统与保密设施，不得在工作场所中使用与工作无关的任何电器设备。未经档案馆同意，加工单位不得擅自将加工数据带离指定场所。凡因加工需要，档案或数据必须离开指定场所的，档案部门必须采取措施，确保档案和数据的安全。数据验收、移交后，加工工作站、移动硬盘等暂存及传输介质上的数据必须在档案人员的现场监督下销毁，同时移交该批次数字化加工的监管系统监控记录。严禁加工人员对档案及档案信息的私自复制。

第十七条  加强对各进馆单位开展室藏档案数字化后的数字化成果移交的安全管理。为提高档案信息系统总数据库的安全，档案数字化成果必须先通过技术检验，确定无病毒与数据的真实有效性后，才能进入档案信息系统接收模块的数据处理，合格数据才能并入档案信息系统总库。在交接过程中各种介质、临时处理数据库必须及时安全妥善处置，避免数据信息扩散。对档案数字化加工、处理与传输中使用的移动介质应工作专用。

第十八条  由专人负责档案信息数据库的管理工作，建立数据库日常维护管理与安全检查备份制度，采取数据库加密、存取控制、备份恢复与数据库审计日志等相应的安全保护措施，严禁非数据库管理员绕过应用系统直接进入数据库操作。未采取必要的安全保密技术防范措施的档案信息基础数据库不得联入局域网、政务网及互联网等网络。

第十九条  对于上网发布档案信息，坚持“谁上网谁负责”的原则。各档案信息化建设单位必须建立档案信息网络发布制度，必须按照有关信息上网保密规定，对上网公开发布的现行文件和档案的目录或全文信息，进行上网前鉴定审查。应针对不同的网络开放利用对象进行档案信息鉴定，由单位分管领导或鉴定机构按规定鉴定审阅通过。未经鉴定的档案信息，不得擅自上网发布。

第二十条  以提供网上信息服务为目的而采集的档案信息，除在其它新闻媒体上已公开发布的，在上网发布前应当征得档案信息提供单位或个人的同意；对网上信息进行扩充或更新后再上载发布，应当执行上网信息保密审查制度。

第二十一条  凡在档案网站上开设电子公告系统、聊天室和网络新闻组等，应由单位保密机构审批，明确相关安全保密要求和责任，确定专人，加强监管。任何单位和个人不得在电子公告系统、聊天室和网络新闻组等发布、谈论、传播涉密的档案内容及其他各种有害信息。

第二十二条  不得在公共信息网络上利用电子邮件传递、转发或抄送涉密及未开放档案的内容及信息。

第二十三条  涉密和未开放的数字档案信息资源的复制，即用扫描、复印、翻拍、手工抄录或印刷等方法进行复制档案信息，必须执行有关保密规定，严格履行相关审批手续。

第四章  系统数据备份安全

第二十四条  各单位在档案信息化系统设计、建设与运行过程中，应建立健全一整套档案信息系统数据存储备份方案。存储备份方案要遵循数据适度安全准则，综合考虑数据安全与长期保存读取、存储备份自动化程度、操作快捷有序、存储备份经济性等各种因素，采取网络在线存储备份，近离线存储备份，异地、异质备份等相结合的技术手段，指定专人负责操作，最大限度地维护数据安全。

第二十五条  备份对象与内容包括：服务器运行系统备份；硬件设备驱动、工具软件与各种应用软件系统备份，尤其是自行开发的非产品软件系统及相应文档备份；档案文件信息数据资源备份。档案信息数据资源备份应包括数据库、数据表等结构化档案文件信息数据，图像、音频、视频等以文件存储的非结构化档案文件信息数据以及档案文件信息数据在生成、运行与处理中形成的元数据集。

第二十六条  网上运行系统的动态备份作业，应综合选用全备份、增量备份和差分备份等备份方式。在正常运行系统数据存储备份方案前，必须通过备份与恢复各项功能、性能双向检测，确保在软硬件环境或数据损失的关键时刻能按照既定工作流程进行数据恢复。

第二十七条  对需长久保存的离线脱机备份载体，如光盘、磁带、磁盘、缩微胶卷等，必须按有关技术标准与规定将备份载体放到离主机中心有一定安全距离的场外存放保管，定期检测，确保载体所存信息完整、可用。

第二十八条  有条件的档案信息化建设单位应对重要数字档案与电子文件进行异质备份与异地备份。在信息技术还不完全成熟的条件下，将电子文件打印成纸质保存，将数字档案转换成缩微胶片进行异质备份，是长久保存数字档案的有效方法。对安全系数较低的重要的电子文件应实行异地备份，不在同一地区的市、县（市、区）档案馆可在本馆为他馆建立数字备份基地，互为备份。

第二十九条  光盘、磁带、磁盘、缩微胶卷等用作备份保存的载体一般不提供利用。数字档案的备份载体应按照《磁性载体档案管理与保护规范》等有关标准进行管理，严格保管存放，不得随意复制、阅览编辑与上网传播。

第五章  安全管理制度

第三十条  档案信息化系统安全管理实行单位领导负责制。各单位应将档案信息化系统安全管理工作列为单位安全保密工作的重要内容，明确档案信息化系统安全管理工作的主管领导。指定系统安全管理人员负责本单位档案信息化系统各项安全措施的落实及日常管理，依照有关安全保密和档案工作的要求和标准，对档案信息化系统安全管理工作情况进行定期检查，确保档案信息安全。

第三十一条  档案信息化系统建设单位应根据系统所处理的信息安全等级及其安全重要程度建立健全相应的管理制度，包括信息化机房安全管理制度、计算机网络系统运行与通信安全管理制度、系统软件与应用系统管理制度、档案信息数据管理制度、数据安全备份制度、灾难恢复策略与预案、岗位人员操作管理制度、黑客攻击防范与病毒检测防治制度、用户口令与密码管理制度等，建立工作日志与检测记录，落实系统日常运行的动态管理机制。

第三十二条  档案信息化系统的安全管理人员应经过严格审查，并保持相对稳定。档案行政管理部门应定期组织信息化系统安全管理人员参加有关培训和考核。

第三十三条  任何单位和个人发现档案信息泄密情况，应及时采取补救措施，并按有关规定及时向当地档案行政管理部门和保密工作部门报告。

第三十四条  档案行政管理部门对各档案信息化系统建设单位的影响档案信息化系统安全的行为，应会同公安、保密与信息化主管等有关部门责令其限期改正，按照《浙江省信息安全等级保护管理办法》处理；拒不改正、造成档案信息失密泄密等严重后果的，责令停止使用，按照《档案法》、《保密法》等有关法律法规处理。

第六章  附则

第三十五条 本暂行办法由浙江省档案局负责解释。

第三十六条 本暂行办法自2010年1月1日起执行。