档案行业网络安全等级保护定级工作指南、档案行业网络安全等级保护基本要求（征.docx

附件1档案行业网络安全等级保护定级工作指南（征求意见稿）一、适用范围1二、编制依据1三、基本原贝U1（一）科学规范，协作配合1（二）分级保护，突出重点2（三）同步规划,动态调整2四、定级方法2（一）安全保护等级2（二）定级要素21 .受侵害的客体22 .对客体的侵害程度3（三）定级要素与安全保护等级的关系4五、工作流程4（一）确定定级对象51 .信息系统52 .通信网络设施63 .数据资源6（二）初步确定等级64 .确定受侵害的客体75 .确定对客体的侵害程度76 .综合判定等级77 .编制定级报告9（三）专家评审9（四）主管部门核准10（五）公安机关备案审核100（六）等级变更100附件IllII档案行业网络安全等级保护定级工作指南为进一步提升档案行业网络安全管理水平,加快推进档案行业网络安全工作合规有序开展，依据中华人民共和国网络安全法和网络安全等级保护相关政策标准，结合档案工作实际制定本指南。本指南明确了档案行业网络安全等级保护的定级原理和定级流程，提出划分定级对象和确定安全保护等级的建议。一、适用范围本指南适用于县级及以上档案主管部门及国家综合档案馆的非涉及国家秘密的等级保护对象的定级工作，其他档案机构可参照执行。二、编制依据本文件的编制主要依据以下文件：中华人民共和国档案法；中华人民共和国网络安全法；中华人民共和国数据安全法；中华人民共和国个人信息保护法；中华人民共和国档案法实施条例（国务院令第772号）；网络数据安全管理条例（国务院令第790号）；国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）；信息安全等级保护管理办法（公通字2007）43号）；关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007）861号）；贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见（公网安（2020）1960号）；全国档案馆设置原则和布局方案（1992年3月27日国家档案局印发）；数字档案馆建设指南（档办（2010）116号）；国家档案局办公室关于档案部门使用政务云平台过程中加强档案信息安全管理的意见（档办函202055号）；推进数字档案馆建设实施办法（试行）（档办函2025）3号）；信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术(GB/T222392019)；(GB/T222402020)；(GB/T250582019)；311672023)；网络安全等级保护基本要求网络安全等级保护定级指南网络安全等级保护实施指南云计算服务安全指南（GB/T云计算服务安全能力要求（GB/T31168-2023）0三、基本原则档案行业网络安全等级保护定级工作中应遵循以下基本原则：（一）科学规范，协作配合档案行业网络安全等级保护的定级工作应按照国家相关法规、标准，根据档案行业的具体特点科学开展。对于初步确定安全保护等级为第二级及以上的等级保护对象，应经专家评审后报主管部门审核批准，并报公安部门备案。网络运营单位履行主体防护责任，主管部门履行网络安全主管、监管责任，公安机关履行网络安全保卫和监督管理职责，各方加强密切协作配合，形成网络安全综合防控体系。（二）分级保护，突出重点根据等级保护对象的重要程度以及其遭到破坏后的危害程度等因素,科学确定安全保护等级，以便实施分等级保护、分等级监管，集中资源优先保护涉及核心业务或重要档案数字资源的等级保护对象。（三）同步规划，动态调整在网络的规划设计阶段应确定安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时，应重新确定安全保护等级，以便实施相应的安全保护措施。四、定级原理（一）安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为五级：第一级：等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。第二级：等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。第三级：等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害。第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害。第五级：等级保护对象受到破坏后，会对国家安全造成特别严重危害。（二）定级要素等级保护对象的定级要素包括：受侵害的客体和对客体的侵害程度。8 .受侵害的客体等级保护对象受到破坏时所侵害的客体包括三个方面：国家安全；社会秩序、公共利益;公民、法人和其他组织的合法权益。确定受侵害的客体时，首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公共利益，最后判断是否侵害公民、法人和其他组织的合法权益。（1）国家安全侵害国家安全的事项包括：影响国家政权稳固和领土主权、海洋权益完整；影响国家统一、民族团结和社会稳定；影响国家社会主义市场经济秩序和文化实力；其他影响国家安全的事项。（2）社会秩序、公共利益侵害社会秩序的事项包括：影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序；影响公共场所的活动秩序、公共交通秩序；影响人民群众的生活秩序；其他影响社会秩序的事项。侵害公共利益的事项包括：影响社会成员使用公共设施；影响社会成员获取公开数据资源；影响社会成员接受公共服务等方面；其他影响公共利益的事项。（3）公民、法人和其他组织的合法权益侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。9 .对客体的侵害程度等级保护对象的安全主要包括业务信息安全和系统服务安全。业务信息安全是指确保定级对象中信息的保密性、完整性和可用性等；系统服务安全是指确保定级对象可以及时、有效地提供服务，以完成预定的业务目标。对等级保护对象的侵害方式表现为两种：对业务信息安全的破坏；对系统服务安全的破坏。业务信息安全和系统服务安全受到破坏后，可能产生的侵害后果包括：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。档案行业网络安全等级保护定级对象受到破坏后对客体造成侵害的程度分为以下三种：（1）一般损害档案主管部门的统筹规划、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到局部影响，档案机构的业务能力有所降低但不影响主要功能的执行，档案工作中出现较轻的法律问题，造成较低的财产损失，造成有限的社会不良影响，对其他组织和个人造成较低损害。（2）严重损害档案主管部门的统筹规划、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到严重影响，档案机构的业务能力显著下降且严重影响主要功能执行，档案工作中出现较严重的法律问题，造成较高的财产损失，造成较大范围的社会不良影响，对其他组织和个人造成较高损害。（3）特别严重损害档案主管部门的统筹规划、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到特别严重影响或丧失行使能力，档案机构的业务能力严重下降或功能无法执行，档案工作中出现极其严重的法律问题，造成极高的财产损失，造成大范围的社会不良影响，对其他组织和个人造成非常高损害。（三）定级要素与安全保护等级的关系定级要素与安全保护等级的关系如表1所示。表1定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级五、工作流程档案行业网络安全等级保护定级工作流程主要包括：确定定级对象、初步确定等级、专家评审、主管部门核准、公安机关备案审核，如图1所示。图1档案行业网络安全等级保护定级工作流程（一）确定定级对象定级对象应具有明确的主要安全责任主体。作为主要安全责任主体的网络运营单位应根据工作实际，从网络功能、服务范围、服务对象和处理的数据等方面综合考虑，确定定级对象。定级对象主要包括信息系统、通信网络设施和数据资源。1 .信息系统作为定级对象的信息系统具有的基本特征主要包括：具有确定的主要安全责任主体；承载相对独立的业务应用；包含相互关联的多个资源。档案行业通常使用的信息系统的分类参考如表2所示。表2信息系统分类参考系统类别系统名称业务信息系统服务管理类数字资源采集系统采集的网页信息、新媒体资源等对网页、新媒体资源等档案资料进行采集档案数字化加工系统传统载体档案数字化成果对传统载体档案的数字化处理、质量控制和数据统计、备份、导出等数字档案接收系统接收的档案目录、档案数字资源业务指导，档案接收，档案数量、质量检查，交接手续办理等档案目录管理系统档案目录目录数据的导入、整理、检索、统计等档案大数据平台档案数字资源等对档案数字资源等进行数据挖掘、知识管理等档案灾难备份系统档案数字资源等档案数字资源及其管理系统的备份与灾难恢复档案库房管理系统档案目录、档案实体存放位置、库房环境监控数据等对档案实体的业务过程进行辅助管理，对库房的使用情况、库房环境监控数据等进行管理服务类档案利用服务系统提供利用的档案数字资源、注册用户身份信息等数据导入、用户注册、权限管理、档案检索服务、数字档案阅览服务及利用档案审核、利用统计等档案网站系统提供利用的档案数字资源、档案资讯等信息发布、展览、咨询等系统类别系统名称业务信息系统服务应用移动互联技术的档案服务平台提供利用的档案数字资源、档案资讯、注册用户身份信息等注册登录、档案查询、档案展厅、档案资讯、互动交流、后台管理等跨区域档案信息资源共享平台/系统提供利用的档案信息资源、注册用户身份信息等档案信息资源馆际、馆室共建互通，档案信息资源跨层级跨部门共享利用办公类办公自动化系统电子文件等公文制发、文件处理、工作督查、事务管理、会务管理、电子邮件收发以及其他辅助办公功能对于跨区域档案数字资源共享平台等跨地区或者全国统一联网运行的信息系统,应首先确认在各地运行、应用的分支系统的安全责任主体，根据安全责任主体的不同将各个分支系统分别作为单独的定级对象。使用云服务商提供的云服务时,档案机构的等级保护对象和云服务商的云计算平台应分别作为单独的定级对象定级。云服务商负责组织开展云计算平台的定级、备案、测评等网络安全等级保护工作，并向档案机构提供相关证明材料。档案机构使用自建的私有云时，云计算平台可独立定级或与相关联的信息系统一起定级。物联网主要包括感知、网络传输和处理应用等特征要素，可作为一个整体独立定级或与相关联业务系统一起定级，各要素不单独定级。采用移动互联