各省、自治區、直轄市檔案局、館，各計劃單列市檔案局、館：

   《檔案信息系統安全保護基本要求》已經國家檔案局局務會議討論通過。現印發你們，請參照執行。

檔案信息系統安全保護基本要求

    為指導和規范檔案部門進一步加強檔案信息系統建設和管理，提高檔案信息系統安全保護水平，根據《信息系統安全等級保護基本要求》和《檔案信息系統安全等級保護定級工作指南》，結合檔案工作實際，國家檔案局組織編制了《檔案信息系統安全保護基本要求》（以下簡稱《基本要求》）。

    一、適用范圍

    《基本要求》適用于省級（含計劃單列市、副省級市，下同）及以上檔案局館的非涉密檔案信息系統安全保護工作。涉密檔案信息系統的安全保護，按照國家保密法規和標準進行；涉及密碼工作的，按照國家密碼管理有關規定進行。地市及以下各級檔案局館可參照《基本要求》的規定進行非涉密檔案信息系統的安全保護。

    二、編制依據

    （一）《信息安全技術信息系統安全等級保護基本要求》（GB/T 22239-2008）

    （二）《信息安全技術信息系統安全等級保護定級指南》（GB/T 22240-2008）

    （三）《信息安全技術信息系統等級保護安全設計技術要求》（GB/T 25070-2010）

    （四）《信息安全技術信息系統安全等級保護實施指南》（GB/T 25058-2010） 

    （五）《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）

    （六）《信息技術信息安全管理實用規則》（GB/T 19716-2005）

    （七）《信息安全技術信息系統通用安全技術要求》（GB/T 20271-2006）

    （八）《電子信息系統機房設計規范》（GB 50174-2008）

    （九）《信息安全技術政府部門信息安全管理基本要求》（GB/T 29245-2012）

    （十）《檔案信息系統安全等級保護定級工作指南》（檔辦發〔2013〕5號）

    （十一）《數字檔案館建設指南》（檔辦〔2010〕116號）

    三、工作原則

    （一）安全引領。建立檔案信息系統，要樹立“安全第一”的思想，不安全、寧不建，凡已建、必安全。對于準備建設的檔案信息系統，要按照同步規劃、同步建設、同步運行的原則，建立健全檔案信息安全防護體系。對于已建設的檔案信息系統，要按照國家有關信息系統安全的要求，查找安全隱患，堵塞風險漏洞，提升安全防護水平，開展定級、測評、整改、檢查等信息安全工作。

    （二）管理科學。按照計算機信息系統安全等級保護工作誰運行誰管理、誰負責的要求，遵循國家有關信息系統安全保護相關標準規范，結合檔案信息系統特點，完善檔案信息系統安全保護的規章制度和操作規程，建立本單位檔案信息系統安全管理機制，明確檔案信息系統的領導責任和崗位職責。以檔案數據為核心，對不同安全級別的檔案數據實行區別管理。以預防為主，制定應急預案，定期開展應急演練，妥善應對突發事件。

    （三）保障有力。貫徹國家有關文件精神，建立檔案信息系統安全管理經費投入機制。配備檔案信息系統安全管理人員，定期開展安全培訓，為檔案信息系統安全保護工作提供有力保障。

    四、關于《基本要求》的說明

    1.《基本要求》主要以《檔案信息系統安全等級保護定級工作指南》中擬定為二級或三級的系統為對象，從“技術”和“管理”兩個方面對檔案信息系統的安全保護提出了具體要求。

    2.《基本要求》中的“等保二級要求”“等保三級要求”中的有關規定均來源于《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239-2008）中的規定，“檔案行業要求”中的有關規定是根據檔案信息系統的特點作出的補充規定。

    3.安全保護水平與等保二級保護水平相同的系統，除滿足“等保二級要求”中的具體要求之外，還需同時滿足“檔案行業要求”。安全保護水平與等保三級保護水平相同的系統，除滿足“等保三級要求”的具體要求之外，還需同時滿足“等保二級要求”，和“檔案行業要求”。