信息系统管理中信息安全论文

2022-04-27

摘要：2013年7月10日，国家档案局印发了《档案信息系统安全等级保护定级工作指南》的通知（档办发〔2013〕5号）。《档案信息系统安全等级保护定级工作指南》，对我国档案主管部门及有关单位有效地开展非涉密信息系统安全等级保护定级工作，明确工作原则、内容、方法和流程，提供了切实的制度规范依据。下面是小编为大家整理的《信息系统管理中信息安全论文(精选3篇)》，欢迎阅读，希望大家能够喜欢。

信息系统管理中信息安全论文篇1：

信息化环境下企业内部控制的问题与对策

摘要：随着信息技术的进步与发展，现代企业受到信息化环境的影响越来越明显，在企业的运行管理中，信息技术的应用具有重要价值，包括企业的业务管理、内部控制、工作流程执行等等，都需要通过信息化的手段与技术进行完成。市场的日益复杂带给企业的控制管理许多问题，企业在内控环节中，需要对存在的问題进行集中的研究，应用信息化的手段，强化内控工作。基于此，本文对信息化环境下企业内部控制问题展开探讨，并结合问题提出相应的优化手段。

关键词：信息化环境;企业内部控制;问题与对策

一、信息化环境下企业内部控制工作所具有的重要性

在当前的企业运行中，信息技术的应用具有重要价值，信息化的环境使得企业在运营中面临着许多新的境况，传统的控制管理工作难以提供相关的经验。在信息化环境的影响下，企业内部的管理控制理念需要不断的变更，与此同时，企业的内部管理方式与随着理念的变化而有所变更。从整体的角度上审视信息化环境下的企业内部控制工作，能够发现明显的工作进步。在许多控制管理的细节上，由于研究的不足与经验的缺乏，仍旧存在问题。针对目前的环境变化状况，对企业内部的控制进行探讨，具有优化内部控制工作的作用。

二、信息化环境中企业内控工作存在的主要问题

1、对信息化与内部控制工作结合的重视不足

在信息化的环境下，企业的内部控制工作本身就作为信息环境中的重要组成部分，为整体的运行提供了构架支撑。然而，由于企业管理人员对内部控制工作的认识有所不足，导致企业内部控制工作的实施程度存在问题。在以往的企业的发展环境中，企业内部的管理工作通过传统的方式就能够实现。目前阶段许多企业仍旧处于信息化环境的发展阶段，管理中采取的方式，是传统管理方式与信息化管理方式的同步应用。这就导致企业内部控制工作中，对信息化环境的关注有所不足，此后的信息化环境与内部控制的结合也会受到影响。企业内部的高级管理人员，对信息化环境的规划缺乏应有的重视，会导致企业在信息的获取中处于相应的滞后性位置，出现信息不对等的局面，从而整体的控制管理工作会影响到企业中不同部门。

2、企业的内部控制行为变革程度有所不足

在一些企业中，对信息化的环境重视程度较高，因此企业的内部工作人员会在根据信息化的流程展开相应的管理工作，然而，在初期的信息收集中，对各个部门中的细节化需求重视有所不足，导致企业信息与实际的状况存在差异。应用这种类型的信息实施的内部控制，难以满足企业的实际需求。此外，在信息化环境的影响下，企业不同部门工作流程以及事务的执行程度会发生变化，信息收集的不准确会直接致使控制工作行为的失常[1]。一些信息数据的应用不仅在一个工作环节中发挥影响，也会影响其后的工作环节，当信息不准确，不良的影响将会扩张。

3、企业内部信息数据的安全性存在问题

在信息化的环境下，企业内部的许多重要资料等，都需要转化为数字信息的形式进行应用。当企业内部的信息存储安全存在问题时，将会导致企业的内部信息存储环境防护薄弱，容易出现信息的泄露。不同类型企业的内部重要信息是有所区别的，一些企业的重要信息内容集中在客户资料中，客户资料也是重要的客户资源以及维护客户的链条。当这种类型的信息泄露，该公司的声誉以及经营都会受到严重的不良影响。在一些企业中，重要的信息内容，来自于企业内部的技术数字资料，这些资料的安全性不能得到保障，一旦出现泄漏的问题，则企业的核心技术、经营资源等将会受到影响。

4、内部监督管理系统建立的完善程度不足

企业的控制与管理工作，同样需要公开的监督与控制，这种监督的方式能够确保权力不会过于集中。尤其是在信息化的环境下，企业内部的监督管理工作，要对大量的信息内容进行集中，管理人员不仅能够对运营的总体状况有所了解，通过这些信息内容达成整体上的控制，同时也能够对不同部门中的工作状况有所了解以及控制。在这这种情况下，一旦控制工作出现问题，会导致严重的后果。监督体系的构建，能够对企业的内部控制决策产生审核性作用，避免决策产生问题[2]。

三、信息化环境下企业内部控制工作的优化策略

1、根据信息化的环境变化展开内部的控制工作

在企业的内部控制中，企业的整体运行模式环境管理，以及对其中运行环境中不同细节的重视，影响着内部控制工作的完善性。首先，要引导企业的管理人员，对信息化环境中市场出现的新变化以及企业的环境内部出现的新的变化，进行系统性的研究，根据这些变化的因素引导企业的内部管理工作系统的建立。其次，在企业的管理人员中，要增强引导管理人员应用信息技术进行管理，在培训中企业管理人员的实际应用信息技术的能力会得到增强，同时对信息化环境的敏感程度和重视也会增加。在这一方面，我国的企业需要向国外企业进行学习，这是由于信息化技术的应用以及信息化的管理思维，在国外的企业中发展较为迅速，直接的经验学习，能够避免企业在信息化技术的应用以及信息环境下的管理工作中出现困难。企业的决策行为往往是由企业的董事会决定，一般的管理人员对企业决策的影响较为有限。在与信息化技术的接触中，企业中的管理人员对信息化环境的认识程度较深，需要尽量的增加企业中管理人员决策管理工作中的影响，直接管理人员要重视与董事会的沟通交流手段，应用适当的方式提出策略，提升企业决策的准确性[3]。

2、强化企业的内部控制变革程度

在企业的内部控制工作中，要对内部控制的变革程度进行提升。内部控制的工作，在以往的企业运行中就有系列性的策略与手段，信息化的环境中，这些策略与手段的应用与环境不相协调。例如，企业的内部环境控制中，需要对人力资源管理工作与企业文化进行结合。企业在员工选择与培训的初期阶段，就需要筛选与企业中文化相一致的员工，与此同时，在不同的部门中，文化的具体表现方式也是有所差别的。在内部控制中，应用人力资源的政策具有良好的控制效果，在人力资源政策的制定上，强化整个企业文化的同时，对各个部门内部文化的特色与区别要需要给予重视，应用不同部门中的文化特色建立部门中良好的内部环境，整合部门文化特色，优化企业中整体的文化发展环境。这样的内部环境优化，对企业整体上的管理工作以及细节性的管理工作都有着积极的影响，不同部门中对信息数据的收集以及应用，也能够更为细致与专业，避免问题的出现。

3、企业内部信息数据的安全性

在企业内部数据的安全性问题强化上，需要结合企业技术手段与管理的手段，对安全的管理优化。首先，在技術手段的强化。企业在初步建立信息系统时，就需要应用专业的安全人员，对企业信息存储与传输的安全性进行控制。随着信息资源的丰富与信息库的扩大，企业中也需要专职的信息安全管理人员。在人力资源的人才选拔中，需要根据企业的发展需求，选择适合于信息管理的专职技术人员[4]。为了使得这些人员的技术能够得到不断的提升，企业也需要为这些人员提供培训与交流的机会。在企业的内部，需要严格的规定对内部资料的应用，聘请相关的法律专家，结合实际的工作经验，对不同重要程度的信息内容进行甄别。针对企业中的核心商业资料以及技术资料，管理者需要承担主要的管理职责，并且应用管理的细则，保证这些资料在有限的范围内得到应用与流传。由于信息技术的升级速度较快，多数的企业技术人员只能够提供一般的技术管理以及辅助的工作，在技术的升级与开发中，企业要积极的与相关的专业机构建立长期合作关系。

4、内部监督管理系统的完善

信息化环境下，委员会成员包括内控总监和 CIO。应该通过企业风险管理观念和文化的灌输，使企业各个层面的管理人员理解内部审计的重要性。企业可以完善内部审计机构，分派专门人员从事信息系统的审计工作。在设计内部审计机构时，要给予其充分的权利，以保证其在行使权力时不受其他方的影响。内部审计制度是强化内部控制制度的重要措施，其职责包括审计会计账目、检查评价、内部控制制度是否完善，企业的各项组织制度是否能更完整地实现组织目标，并向公司的管理层提出报告。而信息化环境下的监督和审计，与信息化环境和内部控制都有很大的关系，需要借助于信息技术，所以审计人员尤其是信息系统审计人员应具备专业技术知识，才可以圆满地完成审计工作[5]。

结束语：

在企业的内部控制工作中，信息化环境中所具有的独特优势是不容忽视的，企业要积极的发挥信息技术应用的优势，对企业内部的环境以及企业的外部环境进行同步关注。发展计划的制定与决策，就需要根据这些观察结果来实施。信息化环境下，企业内部的管理工作要根据目前出现的问题优化，更为重视信息技术与内部控制工作的结合，企业内部控制的整体性工作中以及现实性的工作中，都采取积极的应对策略。

参考文献：

[1]程菲，周常兰. 信息化环境下企业内部控制的问题与对策[J]. 北方经贸，2016（04）：112-113+115.

[2]宋颖佳. 信息化环境下企业内部控制探讨[J]. 新会计，2019（09）：59-60.

[3]张建民. 企业信息化环境下内部控制问题分析[J]. 财会学习，2017（08）：248+250.

[4]弋卫国. 信息化环境中内部控制系统的构建研究[J]. 中国国际财经（中英文），2017（21）：110-111.

[5]吕如龙. 信息化环境下企业内部控制现状与对策[J]. 财会通讯，2015（22）：117-118.

作者：贾峰

信息系统管理中信息安全论文篇2：

《档案信息系统安全等级保护定级工作指南》的主要内容及思考

摘要：2013年7月10日，国家档案局印发了《档案信息系统安全等级保护定级工作指南》的通知（档办发〔2013〕5号）。《档案信息系统安全等级保护定级工作指南》，对我国档案主管部门及有关单位有效地开展非涉密信息系统安全等级保护定级工作，明确工作原则、内容、方法和流程，提供了切实的制度规范依据。该文将在介绍和解读《档案信息系统安全等级保护定级工作指南》主要内容的基础上，进一步说明其主要特点和实践价值及完善该文件的相关思考。

关键词：档案信息系统等级保护定级信息安全网络安全等级保护定级工作

为贯彻落实我国信息安全等级保护制度，规范档案信息安全等级保护的定级工作，提升档案信息系统的安全防护能力和水平，2013年7月10日，国家档案局印发了《档案信息系统安全等级保护定级工作指南》（以下简称《指南》）的通知（档办发〔2013〕5号）。《指南》对我国档案主管部门及有关单位有效地开展非涉密信息系统安全等级保护定级工作，明确工作原则、内容、方法和流程，提供了切实的制度规范依据。本文将在介绍和解读《指南》主要内容的基础上，进一步说明《指南》的实践价值及解决相关问题的思考与建议。
一、《指南》的主要内容介绍及解读

就总体结构而言，《指南》包括工作背景、适用范围、编制依据、档案信息系统类型的划分、档案信息系统的定级、评审、备案与报备、等级变更和附录等九个部分。就主要内容而言，《指南》说明了制定背景，划分了档案信息系统类型，明确了档案信息系统的定级原则与原理，规范了档案信息系统安全保护等级定级方法与一般流程。

（一）《指南》制定背景

《指南》通过阐述其工作背景、适用范围和编制依据，向档案部门详细说明了做好档案信息系统安全等级保护工作的必要性和重要性。一方面，档案行业作为由公安部建立的等级保护联络员制度的参加者之一，理应响应国家号召，贯彻落实信息安全等级保护制度，“掌握国家信息安全等级保护工作的有关政策和技术标准，掌握本行业、本部门信息安全等级保护工作动态和总体情况”[1]。另一方面，“档案信息化进程不断加快”，“通过档案信息系统管理的数字档案资源越来越多，提高档案信息系统的安全防护能力和水平，已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容”。因此，《指南》的出台为指导档案信息安全等级保护的定级工作提供了制度规范和操作标准。

《指南》明确了其适用范围是“省级（含计划单列市、副省级市，下同）及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。地级市档案局馆和其他档案馆可参照执行”。按新修订的《中华人民共和国档案法》的精神，“档案行政管理部门”就是各级档案主管部门。换言之，该《指南》具有较强的针对性和适用性，省级及以上档案主管部门及国家综合档案馆需要遵循这一統一的行业规范，而地级及以下档案主管部门和其他档案馆只需要参照执行即可。另外，本《指南》所讨论的档案信息系统仅针对适用单位的非涉密信息系统，涉密信息系统的等级由系统使用单位确定，按照谁主管、谁负责原则根据国家保密标准《涉及国家秘密的信息系统分级保护技术要求》（BMB 17—2006）[2]进行分级保护。

（二）划分档案信息系统类型

《指南》指明了“档案信息系统”的概念，划分了档案信息系统的类型，并详细描述了各类别下具体的系统名称、管理对象、网络环境和基本功能。这一做法直接确定了档案信息系统安全等级保护定级工作的基本作用对象，是后续定级保护工作的前提条件。档案信息系统划分为以下三类：

一是档案信息管理系统类，主要包括“档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统等”。这一类档案信息系统的管理对象分别为：（1）案卷级目录、文件级目录、专题目录等；（2）数字档案接收工作；（3）馆藏数字化成果、接收进馆的电子档案、采集接收的数字信息资源等；（4）传统载体档案、档案数字化成果。这些系统主要承担着有关档案及相关数据的收集、整理、统计或长期保存等业务功能。

二是档案信息服务系统类，主要包括“档案利用服务系统、档案网站系统等”。这一类档案信息系统的管理对象分别为：（1）通过政务外网提供的目录及其数字档案信息；（2）公开档案目录、全文，以及公开政务信息等。这些系统主要承担着有关档案利用服务及相关用户管理等业务功能。

三是档案办公系统类，主要是指“承担档案工作管理的档案局馆办公业务系统等”。这一类档案信息系统的管理对象为档案局馆档案工作管理办公业务，主要负责业务及公文流转等办公功能。

省级及以上档案主管部门及国家综合档案馆在开展档案信息系统安全等级保护定级工作时，首先，要做好本行政区域范围内、本单位内档案信息系统的定性工作。确定好适用单位内部所有档案信息系统的类别，是后续安全保护等级定级工作的前提与基础。其次，部分适用单位可能存在承载多个业务功能的档案信息系统，这种情况下应详细记录和描述该系统的各个功能、网络环境及管理对象，以为后续的定级工作提供参考依据。最后，定性工作并不是一种简单的是非判断，它要求档案主管部门在这一阶段对适用单位所有的档案信息系统进行彻底摸查，细致分类，梳理清楚各个系统所具备的业务功能和服务对象，这是系统安全等级保护定义工作的必然要求，也是维护和提高档案信息系统安全防护能力和水平的必要条件。

（三）明确了档案信息系统的定级原则与原理

《指南》对档案信息系统安全等级保护定级工作应坚持的基本工作原则做出了明确规定。档案信息系统使用单位应采用“自主定级原则、重点保护原则、动态保护原则和同步建设原则”等四大原则进行定级实施工作。首先，该四项原则是根据国家标准《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）（以下简称《实施指南》）[3]的精神，结合档案行业具体情况进行制定的，既满足了信息系统安全等级保护实施工作的基本要求，又体现了档案实际部门的业务特点；其次，各信息系统运营使用单位和主管部门是信息系统定级的责任主体。信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准，监督、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息等级保护工作。信息系统运营、使用单位负责依据相关规范标准，确定其信息系统的安全保护等级。因此，“自主确定档案信息系统的安全保护等级，自行组织实施安全保护”是档案信息系统使用单位应有的权利和义务；再次，与《实施指南》所规定的四项基本原则不同，“动态保护原则”由《指南》创新提出并被提前至第三点，这说明在档案行业中，对系统管理对象、服务范围的动态把控是十分重要的。已确定下来的系统安全等级仍需要根据实际情况的变化进行动态调整，且加强安全保護措施，这是《指南》着重强调的。最后，在实际定级工作的开展过程中，不同类型的信息系统定级处理有所不同，一般如果是由“单位自建的信息系统（与上级单位无关），单位自主定”，或是“跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级”[4]。

《指南》指出档案信息系统安全保护等级由两个定级要素决定：等级保护受到破坏时所侵害的客体和对客体造成的侵害程度。定级要素与安全保护等级的关系在《指南》编制参考的国家标准《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008）[5]中有所规定。因此，档案信息系统安全等级的定级原理，即通过确定本单位应定级的档案信息系统，就其业务信息安全和系统服务安全两个方面，确定其受侵害的客体以及对客体的侵害程度，最终按业务信息安全保护等级和系统服务安全保护等级的较高者定级。一般来说，受侵害客体，主要包括“国家安全；社会秩序、公共利益；公民、法人和其他社会组织的合法权益等三方面”。对客体侵害程度的划分，主要有“一般损害、严重损害、特别严重损害”三种。最终根据定级要素与安全保护等级的关系确立档案信息系统安全保护等级，从低到高依次划分为“自主保护级、指导保护级、监督保护级、强制保护级、专控保护级”等五个安全等级。此定级原理具有科学性和针对性。

（四）规范了档案信息系统安全保护等级定级方法与一般流程

《指南》对确定档案信息系统安全保护等级的步骤进行了明确的规定，包括“确定定级对象，确定档案信息系统受到破坏时受侵害的客体，确定档案信息系统受到破坏时客体的侵害程度，确定档案信息系统的安全保护等级，编制定级报告”。与此同时，《指南》结合档案行业特点，分析了档案信息系统受到破坏时所侵害的客体及具体的侵害事项，其中涉及业务信息安全和系统服务安全等多个方面。此外，《指南》还强调档案信息系统受到破坏后，“对客体的侵害程度与信息系统所属单位的行政级别、所管理信息的重要敏感程度以及信息系统的影响范围有关。一般来说，高行政级别单位的重要和敏感信息要多于低行政级别单位的重要和敏感信息”，明悉这一规律对档案信息系统安全保护等级定级工作有很大帮助。因此，《指南》在“定级方法”这一部分的规定，既清晰阐明了定级工作的主要步骤、基本内容和参考依据，又提供了具体的实际情景和结论、建议，如《指南》中的表4《档案信息系统安全保护等级定级建议表》，从而使各个档案信息系统使用单位更好地理解和落实《指南》的具体规范与标准。

《指南》说明了档案信息系统安全保护等级定级工作的一般流程，如图1所示。不过，有四点值得注意的地方：一是跨区域的档案信息系统由系统的主管部门统一确定安全等级。二是初步拟定的等级结果若为第二级及以上则需要参加专家评审及后续流程，若等级结果为第一级，则编制定级报告之后即完成了定级工作。三是专家评审组的构成因初拟等级结果的不同而不同。系统拟确定为第二级的，由使用单位自行组织专家组，第三级的由使用单位上一级档案主管部门组织专家组，第四级及以上的由使用单位或上一级档案主管部门请国家信息安全保护等级专家进行评审，最终结果由使用单位自主决定，专家评审意见仅作为参考。四是第二级及以上档案信息系统要在安全保护等级确定后30日内，由使用单位按规定到所在地的同级公安机关办理备案手续。备案完成后，使用单位还需向上一级档案主管部门报备定级情况，并提供相应材料。

二、《指南》的主要特点

（一）编制依据的系统性与完整性

《指南》虽然是用来指导档案信息系统安全等级保护的定级工作，但在编制依据上，不仅参考了信息系统的安全等级分级、安全等级定级和安全等级保护实施等所有相关环节的法律法规、规范性文件、国家标准及有关规定，同时还结合了档案行业实际的工作情况和具体的数字档案馆指南要求，从而确保了《指南》内容的科学性与完整性。我国等级保护制度的发展是领先于世界进程的。1994年的国务院第147号令《中华人民共和国计算机信息系统安全保护条例》和1999年的强制性国家标准《计算机信息系统安全保护等级划分准则》（GB 17859—1999）为我国信息系统实施等级划分和保护提供了法律依据和技术基础；行政公文《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）等，规定了等级保护需要完成的“规定动作”；系列标准《信息安全技术信息安全事件分类分级指南》（GB/Z 20986—2007）、《信息技术信息系统安全等级保护定级指南》（GB/T 22240—2008）、《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239—2008）、《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）为信息系统等级保护工作的落地实施提供了参考模板。因此，依据和参考这些规范标准是十分必要且重要的。与此同时，《指南》的编制还兼顾了档案行业本身的实际工作内容，如《数字档案馆建设指南》与《各级国家档案馆馆藏档案解密和划分控制适用范围的暂行规定》，既满足了信息系统安全等级保护定级工作的一般性规定，又适应了档案行业具体的特殊性要求，从而保障了《指南》的顺利实施。

（二）定级方法的科学性与可操作性

一方面，《指南》在定级原则、定级要素、等级划分和定级步骤等方面基本参照了国家标准《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008）进行制定，即遵循“自主定级、重点保护、动态保护和同步建设”等原则，通过确定本单位应定级的档案信息系统，就其业务信息安全和系统服务安全两个方面，确定其受侵害的客体以及对客体的侵害程度，根据二者的等级矩阵关系得出定级结果，最终按业务信息安全保护等级和系统服务安全保护等级的較高者定级。《指南》沿用了国家标准在定级标准和定级方法方面的科学性和合理性，清晰阐明了定级工作的主要步骤、基本任务和流程方法，极具说服力和可理解性。

另一方面，《指南》在每一项规范要求之后，都会提供相应的实际情景和参考建议，方便系统使用单位理解和执行。例如，其根据档案行业的特点，对受侵害的客体和对客体的侵害程度进行了具体说明。同时，又因为高行政级别单位的重要和敏感信息往往多于低行政级别单位的重要和敏感信息，所以为了方便操作执行，《指南》对档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统、档案利用服务系统、档案网站系统、办公业务系统等七种常见档案信息系统安全保护等级进行了建议，参考《指南》中的表4《档案信息系统安全保护等级定级建议表》，从而使得各个档案信息系统使用单位更好地明确和落实《指南》的具体规范与标准。

（三）制度规范的适时性与适宜性

《指南》是适应时代发展和迎合行业要求的产物，它所发布的时间和所规范的内容都极具适时性。信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法，开展信息安全等级保护工作是促进信息化发展，维护国家信息安全的根本保障。与此同时，档案信息化进程也在不断加快，档案部门通过档案信息系统管理的数字档案资源越来越多，提高档案信息系统的安全防护能力和水平，已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。因此，《指南》的出台是对这一现象的直接回应与规范。《指南》在“确定等级对象”和“定级建议”部分，均根据目前各单位档案信息系统的管理现状进行规定，具有时代性和适时有效性。例如，其将现有的档案信息系统划分为档案管理系统、档案信息服务系统和档案办公系统等三种类别，提出目前常见的档案信息系统主要有档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统、档案利用服务系统、档案网站系统、办公业务系统等七种类型。定级建议也是根据当前系统使用单位的信息化水平和业务功能进行定级。

《指南》对于所规范的档案信息系统安全等级保护定级工作并不是一刀切，而是根据单位行政级别的不同、包含敏感信息的程度和系统承担的不同业务功能进行适宜性规范。定级对象确定安全保护等级之后，后续的定级流程和要求也会因安全级别的不同而不同，如在“评审”部分，档案信息系统拟定为第二级的，“由使用单位自行组织信息安全保护等级专家组进行评审”，而档案信息系统拟定为第三级的，则“由使用单位请上一级档案行政管理部门组织信息安全等级专家组进行评审”。
三、对进一步完善《指南》的内容及相关问题的思考

随着我国安全等级保护制度的进一步发展与档案事业发展的现实需求，我们对进一步完善《指南》的内容规定和相关问题的解决，提出以下几点建议和思考。

（一）加强相关术语的界定和规范

《指南》缺乏“术语和定义”部分。一方面，在《指南》的“4.档案信息系统类型的划分”中提到“档案信息系统是指开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统等三类信息管理系统”。严格意义上讲，这并不属于一个概念的定义，同时“信息管理系统”作为“档案信息系统”的属概念，这样表述是否合适，它们二者的区别又是什么，有待商榷。另一方面，《指南》对所涉及的核心名词，例如“档案信息系统安全等级保护定级工作”并没有进行说明。同时，《指南》对经常交叉出现的“档案信息系统安全等级保护”和“档案信息系统安全保护等级”名词，也没有做相关解释。作为规范行业具体工作的指南标准，《指南》有义务对涉及的核心概念和相关名词进行界定，以保证内容的可理解性和防止误读。

（二）完善个别内容，突出领域特色

《指南》在5.1部分提到了“档案信息系统的定级原则”，里面涉及了“自主定级原则、重点保护原则、动态保护原则和同步建设原则”。这四大原则其实主要参考了国家标准《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）中“4.1基本原则”部分所谈到的“自主保护原则、重点保护原则、同步建设原则和动态调整原则”。虽然二者在名词表达上有所差别，但具体表述的内容是一致的，因此这四大“定级原则”并未突出档案行业特色和现实情况。另外，国际标准《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058—2010）所提到的四大原则其实是等级保护实施过程中应坚持的原则，而在《指南》这里强调的是定级原则。

此外，《指南》在“5.3.4确定档案信息系统的安全保护等级”部分，所采用的定级方法和标准，虽然在理论上极具科学性和有效性，但是在应用上略为简单和粗略。《指南》仅根据档案信息系统的业务功能、行政级别就直接进行划分判断，而并未有详尽、具体的统筹情况和特殊情况说明。另外，在“定级对象”方面，《指南》是2013年发布的规范，距现在将近10年了。随着信息化水平的提高和计算机技术的发展，目前档案行业信息系统是否仍然以这七种档案信息系统类型为主，或者说，档案信息系统又有哪些改变，仍需商榷。因此，摸查目前档案行业主要的信息系统管理现状，明确如今的等级保护对象情况，进一步完善《指南》对应内容，才能更好地指导和规范档案领域安全等级保护的定级工作。

（三）更新《指南》以适应网络安全等级保护2.0时代的发展需求

《指南》是由国家档案局在2013年7月10日发布的针对档案信息系统安全等级保护定级工作的规范标准，这一标准是网络安全等级保护1.0时代的产物。目前，网络安全等级保护制度已进入2.0时代，等级保护对象已发生了改变，定级流程和定级方法也都进一步更新。但《指南》仍在沿用，仍在指导着档案行业的等级保护定级工作，甚至于它所参考的法律标准规范，大多都已被替代。因此，为了满足新形势下等级保护定级工作对标准的需求，《指南》亟待更新和完善。

网络安全等级保护制度已进入2.0时代。近年来，随着信息技术的高速发展和网络安全监管的需求不断提升，以传统信息系统为定级对象的相关指南在实际工作中遇到一些问题，反映出一定的局限性。一是安全内涵方面，早期安全内涵特指信息系统，如今已演进为面向网络空间的网络安全；二是信息技术方面，如今的互联网和信息技术相较于2013年及以前，已经彻底融入社会生活的方方面面，所以其重要性也在不断提高；三是网络安全责任方面，在过去传统环境中，包括《指南》的制定时期，信息系统运营和使用单位是单一的安全责任者，而如今随着云计算、物联网、大数据和移动互联网等技术的发展，云租户和云服务商双方开始“各自分担”安全责任，这让定级工作变得更加困難和复杂。

2017年《中华人民共和国网络安全法》（以下简称《网络安全法》）的正式实施，标志着等级保护2.0阶段的正式启动。等级保护对象从狭义的信息系统，扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等。同时，《网络安全法》明确了国家实行网络安全等级保护制度，并强调“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”[6]。档案部门作为守护过去和现在国家与社会历史真实面貌的文化机构应当重新调整和修订《指南》，配合网络安全法的实施和落地，指导各单位按照网络安全等级保护制度的新要求，履行网络安全保护义务。

注释及参考文献：

[1]网络安全等级保护网.公安部召开中央国家机关信息安全等级联络员机制成立大会[EB/OL].（2011-04-18）[2021-12-28].http：//www.djbh.net/webdev/web/HomeWebAction. do？p=getTpxw&id=2c9090942ec2a8ba012f661a3856002a.

[2]杨芸.涉密信息系统分级保护制度的基本问题（上）[J].保密工作，2013（12）：44-46.

[3]该标准已废止，被《信息安全技术网络安全等级保护实施指南》（GB/T 25058—2019）全部代替。

[4]中国石油大学信息化建设处.信息系统定级与备案工作介绍[EB/OL].（2017-09-05）[2021-12-28].http：// nic.upc.edu.cn/2018/0117/c7454a131086/page.htm.

[5]该标准已废止，被《信息安全技术网络安全等级保护定级指南》（GB/T 22240—2020）全部代替。

[6]中华人民共和国国家互联网信息办公室.中华人民共和国网络安全法[EB/OL].（2016-11-07）[2021-12-28]. http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

作者单位：中国人民大学信息资源管理学院

作者：刘珂

信息系统管理中信息安全论文篇3：

信息系统运维过程中的信息安全工作研究

摘要：本文针对信息系统在运维阶段的信息安全工作进行详细描述，首先分析了信息系统运维阶段的工作要求，接着针对性地对每项工作的开展实施进行阐述，并对相关的信息安全工作进行补充介绍，以期为做好信息系统运维过程中的信息安全工作提供借鉴。

关键词：信息系统；信息安全；系统运维；信息安全等级保护；信息安全风险评估

Research on Information Security in Operation and

Maintenance of Information System

ZHANG Hui

（Patent Examination Cooperation Center of the Patent Office，SIPO Henan，Zhengzhou Henan 450018）

在互聯网高速发展的情形下，越来越多的信息系统开始被大家广泛使用，信息系统的安全问题也得到前所未有的重视。信息系统在建设完成之后，很长一段时间内都处在运维阶段，因此，做好信息系统运维阶段的安全工作变得十分必要[1]。信息系统运维阶段对信息安全工作的开展究竟有哪些要求，信息系统运维阶段的信息安全要做哪些工作，本文将进行详细说明。

1 信息安全的相关概念

1.1 信息系统

2004年下发的《关于信息安全等级保护工作的实施意见》（公通字〔2004〕第66号）指出：信息系统是指由计算机及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息[2]。

1.2 信息系统安全

《中华人民共和国计算机信息系统安全保护条例》第三条指出：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设施、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。

1.3 信息安全的概念

国际标准化组织（ISO）给出的信息安全的定义是：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭受破坏、更改、泄露[3]。

1.4 信息安全等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

1.5 信息安全风险评估

信息安全风险评估是信息安全等级保护管理的基础工作，依据国家标准规范，对信息系统的完整性、保密性、可用性等安全保障性能进行科学、公正的综合评估的活动。

2 信息系统运维阶段安全工作要求

2.1 运行管理和控制

运行管理和控制的目的是确保信息系统的安全运行，操作人员应对信息系统实行正确和安全的操作，并且保证系统不断变化和种类繁多的运行管理活动得到控制。

2.2 变更管理和控制

变更管理和控制的目的是确保在发生安全配置、安全设施、系统结构和业务应用等变化时，使用标准的方法和步骤，尽快地实施变更，并确保变更所导致的信息资产安全性降低、业务中断或业务影响降到最低。

2.3 安全状态监控

不同安全等级的信息系统在安全监控方面要求采用的手段和监控内容不同。

2.4 安全事件处置和应急预案

安全事件采取分级响应与处置机制，可根据相关标准建立合适的应急响应机制，保障业务系统的持续运行。

2.5 安全检查和持续改进

在信息系统安全运行维护过程中，会发生信息系统变更、安全状态改变等情况。因此，必须定期对信息系统状况进行安全检查，并依据检查结果对信息系统进行持续改进。

2.6 等级保护安全测评

按照等级保护的相关法规和标准，定期对信息系统进行安全测评。

3 信息系统运维阶段安全工作开展

3.1 运行管理和控制

针对不同的信息系统，制定《信息安全责任管理制度》，划分运行管理人员的角色、赋予各种角色不同的管理权限、明确各个角色的职责。同时，加强对管理人员信息系统各项操作的培训；信息系统对不同角色人员的操作进行记录，同时记录系统的正常或异常等信息。

3.2 变更管理和控制

对于信息系统发生变更的情况，系统变更负责人会明确用户需求，形成需求变更文档。之后，会和系统运维方、安全运维方对需求变更文档进行评审分析，确定变更内容，形成变更方案文档。

对于变更实施工作，需要制订详细的变更实施方案，并由系统变更负责人会同安全运维方对实施方案进行评审，系统运维方根据评审后的方案完成变更工作，并在此过程中根据实施方案做好相关记录工作。

3.3 安全状态监控

对于信息系统安全状态的监控，首先，要确定监控哪些内容，如信息系统的可访问性，系统的资源使用情况，内存、硬盘、CPU、TCP连接数、网络流量等；其次，确定监控工具，如阿里云的态势感知、安全预警、政府网站综合防护系统（网防G01）和监控宝等工具；最后，定期对监控数据进行分析，及时发现信息安全事件，并做出响应。

4 信息系统运维阶段其他防护工作

4.1 网络安全防护

网络是信息系统构建的基础，其使计算机及相关配套设备能够互联、共享，但同时也带来了相应的安全问题。网络安全防护内容包括网络结构安全、网络边界防护和信息系统内部深度防护。

通常通过安全域的划分、子系统划分保障网络结构安全；在网络边界设置安全设备，如防火墙、边界隔离防护（IPS、网闸）和VPN，对外部的访问进行过滤和控制，对内部向外部传输的数据信息进行安全检查。

4.2 信息系统环境安全防护

信息系统环境安全防护关注的是采用信息保障技术确保用户信息在进入、离开或驻留客户机与服务器时具有可用性、完整性和保密性。主要涉及主机上的操作系统、数据库等系统软件；应用层的一些通用应用程序，如浏览器；专门开发的独立应用程序；录入或生成的各类数据的安全。

4.3 备份与数据恢复

數据备份是指为保障数据存储的安全性，将数据复制成若干份分开保存的处理方法。数据恢复的方式目前有全盘恢复、个别文件恢复和重定向恢复等。完整的数据备份及恢复方案应包括备份硬件、备份软件、备份制度和数据恢复计划4部分。

5 结语

本文根据当前的文献资料，结合笔者自身的工作经验，对信息系统运维过程中信息安全工作要求进行了详细的分类说明，同时针对性地对每项工作的开展实施进行了阐述，并对相关的信息安全工作进行了补充介绍。本文中提到的信息安全工作开展的内容，可作为企事业单位在信息系统运维阶段信息安全工作的参照。

参考文献：

[1]石志国，贺也平，赵悦.信息安全概论[M].北京：清华大学出版社，2008.