随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国-家-信-息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。小编为同学们精心整理了信息安全整改方案范文【最新6篇】,希望同学们阅读之后能够文思泉涌。
信息安全整改方案 篇一
关键词:金保工程 信息网络 安全保障 体系设计与实现
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
伴随着网络信息技术的不断发展和计算机办公系统的日益完善,金保工程作为一项基础性的安全规划建设工程越来越受到人们的广泛关注,逐渐成为各地区信息化建设的重点工程。依托于网络平台建立一个高起点的计算机管理信息系统,可以有效实现民生服务业务管理的现代化和规范化,真正做到“以人为本、记录一生、管理一生。服务一生”。为此,下面本文将首先来分析金保工程的内涵及工程目标。
1 金保工程的内涵及金保工程的工程目标
1.1 金保工程的内涵
所谓金保工程,是指关系民生、影响社会稳定的一项系统信息工程,它是各地区电子政务整体规划中的一个重要子系统,也是政府信息化建设的重点工程之一,是对现有的社会保障信息系统的一个优化和完善。从本质上说,金保工程是一个依托于网络平台的计算机管理信息系统,它是利用先进的信息技术来提供劳动和社会保障业务服务,并为公共服务的宏观决策提供基础信息的计算机管理系统建设工程。它的目标是建立覆盖中央、省、市三级网络的全国统一的网络系统。是将劳动和社会保障工作,融于电子政务工程的一项重要举措。2008年提出了金保工程建设工作要点,规定了金保工程建设所涉及的主要内容。要求金保工程要着力建设统一的数据库来实现全国社会保障数据的集中管理。
1.2 金保工程的项目目标
近几年来,针对金保工程的具体开展,国家已经出台了许多相关的规范标准文件,这些文件结合社保业务信息系统的实际情况来编制总体的设计目标,为社保机关的安全建设和整改工作提供了可行性的参照。它的目的是通过建立一个高起点的计算机管理信息系统来完善当前的社会保障系统,制定一个统一的标准和规范,优化当前的管理模式,构建开放性的体系结构。而且能够使所建立的计算机管理系统为政府部门的决策提供宏观的信息服务。金保工程的总体目标是要设计出符合社保实际业务情况、与当前网络信息系统运行模式相符合的社会保障建设的整改方案。
2 金保工程信息网络安全保障体系的设计
2.1 安全管理体系设计
安全管理体系的设计是指在宏观上构建安全组织、安全策略。安全管理体系的设计包括安全组织体系的建设和安全策略体系的建设。安全组织是指负责整个网络信息安全的管理和实施者,负责安全岗位的设置和管理、安全策略、制度、规划的制定和实施,是开展网络安全工作的直接责任人。安全策略体系是指为了达到网络安全目标而出台的一系列的安全管理指导策略、具体的安全指导方针。它的目的是为了有效保护网络信息资源,向上可以上升为指导方针,向下可以具体划分为安全实施细则。
2.2 安全技术体系设计
安全技术体系设计了包括监控体系设计和支撑性的基础设施设备设计两个方面的内容。首先安全监控体系是指安全监控平台,它包括网络管理平台和安全管理平台。网络管理平台的主要职责是通过对网络交换机、路由器和服务器的管理,实现安全技术体系的功能。安全管理平台主要是指对指具体的安全系统的管理。例如对防火墙、终端安全、病毒防护系统、漏洞扫描系统的管理等等。安全监控平台所包含的这两个管理系统的关系是安全管理平台可以收集网络管理平台的信息实现统一化管理。支撑性的基础设施涉及的安全技术主要包括身份鉴别、访问控制、授权管理、内容过滤、数据加密、入侵分析等内容。发展比较成熟的、在金保工程中运用较多的信息系统是防病毒系统、可信终端系统、数据库审计系统、主页防篡改系统、网络行为监控系统、防火墙系统、入侵防御系统等。防控系统是通过统一化的安全管理中心来进行调配和控制的,可以提升整个系统的总体安全性。
2.3 服务支持体系规划
服务支持体系是有效提升金保工程的信息安全保障水平、实现信息安全组织安全发展的重要途径。构建金保工程信息网络安全保障体系的目的是保障为了市级、县级、部级安全组织的网络安全,能够通过改善信息服务业务系统的安全性能来保障自己的网络信息安全,提升安全技术能力。因此,很多不同类别的服务中心需要引进第三方的专业安全厂商服务支持体系,用所引进的服务支持体系来与公司、企业或单位事业单位内的相关技术人员的专业技术实践相对接,可以保障在正常开展业务服务的同时提升现有的安全技术水平,保障网络系统的安全,实现信息系统的持续可靠运行。
3 结语
在计算机办公系统的日益完善的背景之下,借助于金保工程来完善我国当前的安全规划建设系统可以有效实现民生服务业务管理的现代化和规范化,真正实现以人为本的社会服务理念。通过上述本文的分析,笔者主要论述了金保工程的内涵和工程目标、金保工程信息网络安全保障体系的设计两大方面的内容,以期能够提升现有的安全技术水平,实现信息系统的持续可靠运行。
参考文献
[1] 杨智慧。中华人民共和国计算机信息系统安全法规汇编[M],群众出版社,1998.
[2] 赵泽茂,朱芳。信息安全技术[M].西安电子科技大学出版社,2009.
信息安全整改方案 篇二
【 关键词 】 等级保护;烟草企业;信息安全体系
1 等级保护思想
等级保护思想自20世纪80年代在美国产生以来,对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台,被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确规定计算机信息系统实行安全等级保护。至此,等级保护思想开始在我国逐渐盛行。
我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导,分阶段实施建设、管理和监督,以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级,通过分级分类,以相应的技术和管理为支撑,实现不同等级的信息安全防护。
2 烟草行业引入等级保护思想的意义
烟草行业高度重视等级保护工作,实施信息安全等级保护,能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。
2.1 开展安全等级结构化安全设计
安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。
2.2 注重全生命周期安全管理
等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。
3 等级保护在烟草行业的实施路径
信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作,其实施路径主要有几条。
3.1 信息系统安全定级
主要包括信息系统识别、信息系统划分、安全等级确定。其中,原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定,合理定级。
3.2 等级保护安全测评
在等级保护环境下对信息系统重要资产进行风险评估,通过等保测评,发现与等级保护技术、管理要求的不符合项。
3.3 制订等级保护实施方案
依据安全建设总体方案、等级保护不符合项,全面梳理存在问题,分类形成各层级问题清单;并合理评估安全建设整改的难易度,全面有效制订等级保护方案,明确安全整改目标。
3.4 开展安全整改与评估
根据等级保护实施方案开展建设,具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。
4 基于等级保护的烟草企业信息安全体系建设
根据等级保护工作的实施路径分析得出,等级保护与信息安全体系存在许多共性,有较好的融合度。因此,探索基于等级保护的行业信息安全体系具有深刻意义。
信息安全体系的核心是策略,由管理、技术、运维三部分组成。在等级保护思想的融合下,信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想,烟草行业信息安全体系概述有几点。
4.1 分级保护
烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。
4.2 分类设计
信息安全体系分类设计,主要涉及不同类型、不同区域、不同边界三方面的结构化设计。
4.2.1 类型设计
根据安全等级保护要求以及安全体系特点,分为技术、管理和运维三大类型,并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。
(1)技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理,其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现;而不同的策略同样也要根据两大层面按需设计。
(2)管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成,岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。
(3)运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标,诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。
4.2.2 区域设计
区域设计主要指安全域。安全域从不同角度可以进行划分,主要分为横向划分和纵向划分,横向划分按照业务分类将系统划分为各个不同的安全域,如硬件系统部分、软件系统部分等;纵向在各业务系统安全域内部,综合考虑其所处位置或连接以及面临威胁,将它们划分为计算域、用户域和网络域。
烟草行业根据体系建设需要,将采用多种安全域划分方法相结合的方式进行区域划分。
(1)以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施,防止重要信息系统数据被其它业务系统频繁访问。
(2)以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区,DMZ区的安全级别要低于其它所有安全域。
4.2.3 边界设计
要清晰系统、网络、应用等边界,通过区域之间划分,明晰边界安全防护措施。边界设计的理念基于区域设计,在区域划分成不同单元的基础上,实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。
4.3 分阶段实施
烟草信息安全体系建设要充分体现全生命周期管理思想,从应用系统需求开始,分阶段推进体系建设。
4.3.1 明确安全需求
为保证信息安全体系建设能顺利开展,行业新建系统必须在规划和设计阶段,确定系统安全等级,明确安全需求,并将应用系统的安全需求纳入到项目规划、设计、实施和验证,以避免信息系统后期反复的整改。
4.3.2 加强安全建设
要在系统建设过程中,根据安全等级保护要求,以类型、区域和边界的设计为着力点,全面加强安全环节的监督,及时跟踪安全功能的“盲点”,使在系统建设中充分体现安全总体设计的要求,稳步推进安全体系稳步开展。
4.3.3 健全安全运维机制
自系统进入运维期后,要建立健全安全运维机制。梳理运维工作事项,理顺运维业务流程,并通过制订运维规范、运维质量评价标准、运维考核标准等,规范安全运维管理,提高安全运维执行力,以确保系统符合安全等级要求。
4.3.4 开展全面安全测评
在安全建设阶段,对行业现状要全面诊断评估,尤其是对已定级的信息系统,加强安全测评,形成安全整改方案,并结合安全体系设计框架,按阶段、分步骤落实,注重整改质量与效率,降低安全风险。
4.3.5 落实检查与评估
检查评估必须以安全等保要求为检查内容,充分借助第三方力量,准确评估行业安全管理水平,并及时调整安全保护等级,不断促进行业信息安全工作上台阶。
5 结束语
信息安全体系建设作为一项长期的系统工程,等级保护思想的引入,以其保护理念的先进性和实施路径的可行性,为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全,保障行业系统的安全、稳定、优质运行,更好地服务国家和社会。
参考文献
[1] 公安部等。信息安全等级保护管理办法[Z]. 2007-06-22.
[2] 国家烟草专卖局。烟草行业信息安全保障体系建设指南[Z].2008-04-25.
作者简介:
信息安全整改方案 篇三
关键词:医联体;档案共享;信息安全
信息资源共享作为档案信息化发展和建设的重要一环,其涵盖的资源多、信息量大、信息来源多样,在信息资源共享中如果不做好安全工作,很容易导致信息资源的泄露,降低档案信息安全管理的效率。尤其是医联体档案内容牵涉多个公立医院的档案信息,关系到患者的个人隐私,因此在信息安全防护上不可掉以轻心。目前信息技术的融合还处于发展阶段,一些技术还在逐步完善,如何构建档案信息安全体系,确保信息安全,是当下医联体档案管理中要加强改进的一项重要工作。本文围绕这一问题,展开对应分析,旨在提出适合医联体档案信息安全建设的有效策略。
1医联体档案信息资源共享的必要性和可能性
1.1共享医联体档案信息资源的必要性
共享医联体档案信息资源所包含的信息量十分庞大,一般涉及文书档案、科技档案、病历档案、人事档案等多个方面的内容,且档案信息中针对不同主题所涵盖的信息量也十分多样,与医院的建设以及患者的康复诊疗和群众的身体健康都有着十分重要的联系。以病历档案信息内容来说,病历档案信息主要涉及每位患者的个人情况介绍以及身体情况分析,对患者每一阶段的不同患病情况都有详细的说明,同时也有对应的临床反应记录,可以直接显示出患者的身体恢复情况和患者自身的体质问题。做好这些档案信息资源收集,十分有利于对患者的长时间病理考察,了解患者整体的治疗效果,也方便医院医生和护士知晓患者的最新情况以及病史,让患者得到最为恰当、最为有效的治疗护理,对患者的健康恢复有着重要的积极意义。从医联体层面来说,每一位患者的就诊记录都是临床医学的一次次研究案例,有利于医生做与其相关的治疗和学术研究参考,患者恢复情况的数据记录反馈哪种治疗方式更为有效,让医生能够在类似情况下决策时有一个比较可信赖的参考。还有在共享医联体档案环境中,医务人员可以将不同类型、不同原因的患者信息进行科研总结归纳,进而改善现有的医疗环境,提升医疗服务质量,强化医疗卫生安全,研制出更加利民的治疗方案。从患者层面来说,患者也可以通过档案信息资源共享,及时了解自身的身体情况,在日常的生活习惯中做出相应的改善和调整,利于自身的疾病恢复。总的来说,信息化档案能够使医联体档案业务效率更高,工作更加方便便捷。
1.2共享医联体档案信息资源的可能性
网络信息系统以信息数据为载体,打破了传统纸质档案管理的局限性,为共享医联体档案信息资源共享提供了现实的可能性,给医院的管理、科研都提供了充分的数据空间,方便了用户的查阅与管理。同时也能最大限度地体现数字价值,让数据存储变得更有效、更安全。在以光盘、磁盘作为档案管理载体的数据处理环境下,充分发挥档案价值,这也是新时代未来档案管理工作的改革方向。要想确保数字化档案管理的质量和效果,可通过做好数字化存储软件系统的升级及加强管理来实现。
2医联体档案信息资源共享安全存在的问题
2.1数字档案本身的真实性对信息资源共享安全存在威胁
结合医联体这一特殊的主体,在各成员单位本身的档案资源建设中,强调真实性与实际性。因为要直接反映病人情况,所以相关数据和咨询内容往往不得有误。但是,在传统档案数据向信息化数据的过渡中,要对纸质文件重新录入,以多重转化形式保存电子档案信息,在这一复杂的过程中如何保证没有数据缺失和遗漏,这是亟待解决的一大问题,稍有不慎,会埋下信息安全隐患。同时,电子档案信息复制十分简单,如何区分原件和复制件,如何避免信息内容的随意更改,防止出现对照错误,这也是需要解决的一个信息安全问题。另外,电子信息的保存使用虽然便捷,但并不代表万无一失,如果磁盘破损或者丢失,如何还原原始的数据这也是需要考虑的重要问题。
2.2档案信息共享系统的不完善对档案信息共享安全造成威胁
档案信息共享系统作为档案信息记录上传的载体,会直接影响后续的档案信息使用安全性。目前医联体档案信息共享系统多是由计算机软件公司所提供的特殊系统软件,由于信息化技术的研发时间长,很多软件公司发展也未完全成熟,因此有部分系统软件存在漏洞。这些漏洞会直接导致档案信息的不安全,影响到档案信息的安全共享。据统计,目前市面上多数网络系统都存在一些漏洞,这些漏洞能够破除档案信息的使用权限,能够让用户自由地进行数据使用和编辑,这极大地影响了档案数据信息的真实性和安全性。
2.3计算机病毒、黑客等对档案信息资源共享产生威胁
计算机病毒作为网络环境中最大的危害,对信息资源来说是较大的隐患和威胁。很多不法分子会利用计算机病毒、黑客等来窃取高度保密的档案信息,将信息内容进行随意篡改和编辑,严重影响了共享医联体的档案资源使用,会导致医院丢失很多有用的资料内容。还有计算机病毒会直接破坏档案网络体系,使得资源共享平台瘫痪,严重影响正常的使用和维护。开放性的网络环境有利有弊,针对医院档案这样特殊的主体,应杜绝信息安全隐患,确保相关资料的准确性,防止泄露病患隐私。
3共享视域下医联体档案信息安全的对策
3.1增强档案信息共享人员的安全意识
当下,在共享医联体档案信息管理中,一些人员对信息安全的重要性认识不够,认为互联网下的信息使用比较便捷且方便,不存在安全隐患,因此在使用和管理上都没有体现对信息资源的保护。应提高档案信息共享人员的安全意识,让相关人员能够严格遵守档案信息保密和安全管理制度,能够严格按照相关管理流程执行,同时还要约束自己,严禁对档案进行使用或者流通分享。应加强对患者病历档案的共享资源保护,在使用者权限中设定仅患者和医联体医务人员可见,做好对使用人的针对性保护。同时,对每个申请进行档案资料使用的用户做好登记,实名到人,明确对方的使用用途以及相应的责任人。此外,在医联体医技人员利用相关数据进行科学研究时,应提醒做好脱敏处理。
3.2建立健全安全管理制度
为了尽量避免在档案共享过程中遇到一些档案信息安全隐患问题,应建立健全共享视域下医联体档案信息安全管理制度,设定一整套的档案使用和共享平台的管理、使用权限体系,保证档案信息本身的真实性、可靠性和安全性。比如将一些数字档案设置成“只读”,避免有人随意编辑和使用;还应对于重要的档案内容设置“管理编辑权限”,通过权限来限制使用者;可以根据档案信息的重要程度将其划分为不同等级,越重要、级别越高的,所需要的权限允许就越多,通过层层划分、分级管理,最大限度地加强档案信息保护,确保档案安全。还有对档案载体的维护和更换工作,尤其是一些新型载体或者使用时间不长的,应及时进行安全隐患的排查,确保载体的安全性。站在兼容性的角度来看,在载体和硬件设施的使用上,应注意对载体的检查和及时更换,确保各类档案信息载体安全。
3.3推进档案资源数字化建设
推进档案资源数字化建设,有利于强化档案安全保护技术措施,保证档案安全。医联体档案信息资源中心应充分认识档案数字化的重要意义。应建立档案管理专门的数据库,在医联体各个成员单位之间通过一定权限加强对数据库的信息使用管理。应利用档案数据库,实现档案信息资源共享。应将各单位的档案信息数据内容加以整合,形成可以共享的数字系统。同样,在档案资源数字化中应强调数字化处理的作用和方式,引导档案管理人员采用正确的方法提供数据共享服务。
3.4构建安全保障系统
当前档案信息化已逐渐普及,档案信息安全也成为了我们需要考虑的重点内容。为了确保医联体的档案信息共享的安全性,在共享体系组建初期需要有组织、有条理地展开系统保障工作,设立相应防火墙,以信息的利用与安全保密为核心,采取对应的一定手段,确保档案信息安全。在互联网的使用规则上应进行进一步规范,让所有从业人员都切实履行档案管理的安全法规规章规定的要求,避免违规操作,加强整体的安全保护。
3.5控制计算机病毒及系统漏洞
共享医联体的档案管理者可以通过对网络信息技术的培训学习,提升自己对网络信息技术的认知。通过设立全方位防火墙等,进一步做好对档案信息的防护工作。同时,还可以结合一些先进的科学技术手段,利用数字证书、安全密码等,对使用者进行初步识别和筛查,严格控制和监督好档案信息的使用范围,避免有不法分子利用计算机网络漏洞。针对医联体这一特殊的档案管理主体,在进行档案信息资源共享时,要对其载体和共享平台进行严格的筛选和考察,确保载体与平台的安全性。针对系统漏洞,定期组织专业的网络信息技术人员进行检查和修复,最大限度地防止档案信息系统出现问题,保证档案信息及系统的安全。
3.6加强档案管理队伍建设
解决共享医联体档案安全方面的突出问题,关键是加强档案管理队伍建设。在医联体档案管理信息化建设进程中应加强人才队伍建设,引进更多档案管理专业和计算机专业的技术性人才,让信息化转型的知识和技能更好地被参与工作的人员所了解,也为工作人员提供更多学习和培训的机会,从而提升其专业知识和技能,构建一支有专业素养的人才队伍,为后续医联体档案信息化建设、共享和安全管理提供技术保障。综上所述,在有关共享医联体视域下的档案信息安全研究中,结合目前比较常见的档案信息真实性对资源共享存在的威胁、档案信息共享系统不完善对信息共享存在的威胁以及计算机病毒所造成的不良网络环境,应当有针对性地完善档案管理制度,加强对计算机病毒、漏洞的修补和控制,提高信息共享人员的安全保密意识和综合能力,确保档案信息共享的安全,让共享医联体的档案信息能够为各成员单位医疗护理工作的发展、患者健康带来更大的益处。
参考文献:
[1]刘鹏。医联体档案数字化管理的探索[Z].中国档案研究,2019(3):167—173.
[2]徜灌林。医联体档案数字化管理的探索[J].2011年海峡两岸暨缩微学术交流会论文集,2018(5):07—22.
[3]杨阳。浅谈医联体档案数字化管理的应用[Z].科学中国人,2019(4):04—25.
[4]钟秉林。全面构建新时代档案管理信息化体系[N].中国青年报,2020(20):19—20.
[5]钟秉林。普及化阶段档案管理保障体系的构建[J].河北师范大学学报(教育科学版),2020(2):20—22.
信息安全整改方案 篇四
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流,协调落实本地区信息安全等级保护工作。
卫生部和各省级卫生行政部门应当分别建立信息安全技术专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等部级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家委员会论证、评审。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
(二)保障经费,加强监管。卫生行业各单位要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。
信息安全整改方案 篇五
【关键词】 安全管理 管理信息系统 危险源辨识
a modern method for safety management——the safety management information system
abstract
a new information system network for safety management is established taking safety department as the information processing centre and individual risk post and special section as terminals to from a closed loop of the safety management. in this way, the safety inspection, and rectification and reform could be carried out uninterruptedly.
key words: safety management management information system recognition of risk sources
1 前言
进入90年代,安全管理在企业中,越来越受到重视。在发达国家,各种现代化的安全管理方法应用得很普遍。由于他们的生产设备自动化程度很高,其安全管理多包含在整个企业管理系统之内。而在国内的一些企业,安全管理的方法多停留在宣传、教育、定期安全检查的水平上,并且多是在发生事故后才着手进行分析。这些管理手段落后、被动、反应慢,很难适应现代安全生产的要求。因此,迫切需要建立自己的、适合我国现有生产条件的安全管理方法。据此,笔者研制了安全管理信息系统,力求把安全管理从传统的事后追踪变为事前预防控制。
2 管理信息系统
管理信息系统(mis)主要包括对信息的收集、录入,信息的存贮,信息的传输,信息的加工和信息的输出(含信息的反馈)五种功能。它把现代化信息工具——电子计算机、数据通信设备及技术引进管理部门,通过通信网络把不同地域的信息处理中心联结起来,共享网络中的硬件、软件、数据和通信设备等资源,加速信息的周转,为管理者的决策及时提供准确、可靠的依据。在一个国家里,mis能否得到广泛应用,标志着这个国家近代科学技术的先进水平,美、日等国家mis已在企业中得到普及。在我国一些大、中型企业、事业单位及政府管理部门也建立了管理信息系统,并取得了较显著的成效。至于把mis单独应用到安全管理上,还尚未见报道。近年来,有些企业正在推行事故控制技术,其中的事故隐患检查方法是一种积极的、也比较适合我国企业生产条件的安全管理手段,它是根据危险源辨识和系统安全分析的结果,把主要的潜在事故隐患作为检查和控制的对象,编制成各类标准安全检查表。然而,在实际生产中,每天获取的事故信息量非常大,这些信息都是需要及时处理和综合分析、判断的,靠人很难在短时间内完成这些工作,这就需要应用计算机来建立管理系统。因此,笔者认为,管理信息系统在企业管理中的应用具有现实意义,其应用前景广阔。
3 安全管理信息系统分析及设计
按照管理信息系统的研制过程,笔者首先对多家生产企业进行了调研,总结出现有安全管理系统之症结所在,(主要是安全管理中作为决策依据的信息流通不畅,如果不改变信息的收集方式、渠道及处理周期,这个问题就无法解决)从而得出关于项目目标的比较明确的认识。根据事故控制的基本模式,在系统设计时,要考虑几个信息反馈回路,而以下两个基本回路尤为重要。
其一:制表(安全检查表)检查(工作岗位)隐患评价打印(整改通知)有关部门整改(工作岗位)
其二:隐患总库制表(安全检查表)检查发现新隐患(新隐患)存档总库
因此,系统应按如下方式运行:
首先,通过危险源辨识发现来自各分厂工段的事故隐患,经过汇总、分析后,输入安技部门的中心计算机,并分别建立了两个事故隐患档案:一个是按不同的岗位来分的事故隐患档案,安全检查表的制订就是以它作为依据;另一个是按其所属的不同的专业部门来分的事故隐患档案,它是用来区分事故隐患的类型,以便制订出各种专业报表,发送至各专业部门。各个不同岗位的安全检查表通过计算机打印出来后,发送至各生产岗位。工作人员依表进行安全检查,发现事故隐患后,及时通过网络系统反馈回安技部门的信息管理中心,进行汇总,建立当前事故隐患档案。再根据按专业分隐患档案对其进行分类汇总,制订出各种不同专业报表,再通过网络系统发至各专业部门,指导其进行事故隐患整改。
如果,在当前事故隐患检查中发现未列出的新事故隐患,则把它存入事故隐患档案(包括按岗位分和按专业分事故隐患档案)不断增加内容,因此,安全检查表的内容也随之丰富。当前事故隐患档案的建立,是为了实现对各专业部门进行的隐患整改情况的跟踪监督。通过与当前事故隐患档案中情况的对照,可发现以前的事故隐患是否已得到整改,从而采取相应措施。
在系统中,建立以上三种事故隐患档案之后,还可建立伤亡事故档案,以及危险作业岗位工作人员的素质、岗位安全教育培训档案等。
根据上述分析,笔者建立了企业安全管理信息系统,其信息反馈数据流程图如图1所示。
图1 安全信息系统数据流程图
4 系统说明
4.1 危险源辨识
危险源辨识是建立安全信息管理系统的基础,也是建立此系统的第一步。进行危险源辨识工作时,不仅要分析以往发生的伤亡事故资料,还要参照来自系统外部的其它有关信息资料。危险源辨识,应掌握下列几项内容:
1) 生产设备本质安全化水平,设计缺陷及作业环境缺陷;
2) 人机匹配问题;
3) 事故严重度和发生概率;
4) 事故可能发生的模式及波及范围预测。
按此要求进行危险源辨识,再辅以系统安全分析方法,即可找出各种潜在的事故隐患,从而为安全检查表的制订和隐患的整改工作打下基础。
4.2 信息管理系统
主要是指设在安技部门的中心计算机信息管理系统。
4.2.1 模块设计
该系统的模块设计包括两个方面:数据存贮设计和处理过程设计。
数据存贮设计主要是确定存贮的内容和文件的组织方式。它包括各种档案文件的建立及分类。
处理过程设计主要是把模块分为四类:输入汇总、查询、打印报表和复制。
系统主控模块由下述多个功能模块组成,在菜单提示下调用子程序执行其功能,见图2。
在此,信息收集模块包括两部分内容。第一部分是通过危险源辨识和系统安全分析,把各危险点的事故隐患收集、录入;第二部分是通过安全检查,发现各危险点的事故隐患,并将其反馈至主模块。由于这两部分工作主要靠人工参与完成,故在此统一用信息收集模块表示。
4.2.2 程序编制
在本系统中,编程使用的语言主要是中西文foxbase2.1+,从数据库语言本身的优点看,foxbase2.1+是开发本软件非常合适的语言,而且在我国普及很广,对汉字系统的要求也不很严格,具有很强的适应性和可移植性。系统升级也很容易,用foxbase语言编写的程序可不做任何修改而直接在foxpro系统下运行。且可编译成。exe文件,直接在dos下运行,加强了系统的保密性和装载速度。
该系统所要求的存贮和检索功能均属于操作级的管理工作,数据格式固定,数量也能为一般微型机所处理。软件依靠cc-dos操作系统支持。
4.3 安全检查
安全检查是安全管理信息系统成败之关键。安全检查表依据从危险源辨识和系统安全分析(主要是事故树分析)得到的事故隐患档案确定。因而其内容全面、客观、具有严格的科学性。要求设计岗位检查内容各异,表格形式通用的安全检查表,同时融安全检查和设备点检的要求于一表,以减轻工人负担。检查表的主要内容包括:检查项目,检查内容(包括其它新的内容)及标准,检查结果(包括备注)以及检查人和检查日期。各危险岗位的工作人员和安全员应严格按照检查表进行检查,及时将事故隐患反馈给安技部门。如果发现的事故隐患已由工作人员或车间内部自己解决,也需记入检查表内,并注明已得到整改。
4.4 隐患整改
隐患整改是安全管理信息系统的最后实施体现,前面所做的一切都是为实施隐患整改创造条件,而隐患整改才是系统起作用的极为重要的手段。
应该建立以安技、设备动力、生产、运输、保卫五个专业部门为主体的隐患整改机制,凡属于设备、电气方面的信息,直接由设备动力部门解决,交通车辆事故隐患由运输部门解决,这种按系统管理,分级负责的方法有利于充分发挥各专业部门的安全生产责任及其积极性。
安技部门的信息管理系统,分系统、按职责将事故隐患制成各种专业报表,通过安全管理信息系统网络,及时反馈到有关部门的终端上。
事故隐患整改过程就是一个系统调节反馈过程,每起事故隐患,不可能一次反馈、调节,它是控制危险因素,及时消除事故隐患,实现安全生产的重要环节。
5 总结
综上所述,建立的安全信息系统总的思想方法是:通过详细调查及系统安全分析,找出各种事故隐患,确立各个危险点面,特别是在各危险点建立安全管理信息系统网络终端,严格执行安全检查表制度,准确、及时地将各种隐患信息反馈到安技部门,以数据的形式存入安全管理信息系统数据库,进行信息处理(包括分析、辨别、分类、汇总),最后再以各种专业报表的形式输出至各部门的终端上,及时进行隐患整改。
概括而准确的表述这种现代的安全管理方法,就是通过建立以安技部门为信息处理中心(中央处理机),各危险岗位和各专业部门为终端的安全管理信息系统网络,从而由安全信息反馈来推进对隐患的不断检查、整改和监控,形成闭环管理。
此系统看似比较简单,仅是安全信息的收集和表格(报表,安检表)的输出,但它却解决了目前企业安全管理中普遍存在的关键问题——安全信息缺乏,信息传递渠道不畅通,反馈不及时,危险信息不能及时得到处理。因而,对企业安全管理向本质安全化管理方面发展,具有十分重要的现实意义。
当然,企业安全管理是一项非常复杂的系统工程,单凭向本质安全化管理一方面发展是不够的。还需要采取各种措施,提高作业人员的安全素质(安全技能和安全意识),增强职工执行安全规章的自觉性和自我保护能力。只有这两方面都做到,才有可能真正使企业安全管理水平上升一个新台阶
参考文献
1 丁贵宝.企业安全生产科学管理18法.南京:江苏科技出版社,1994.
2 冯师道.管理信息系统.北京:科学出版社,1992.
3 张景林.安全系统工程.太原机械学院讲义,1991.
4 刘 平.怎样使用中西文foxbase2.1+.北京:电子工业出版社,1994.
信息安全整改方案 篇六
【题目】事业单位档案安全管理问题探究
【引言】事业机构档案信息管控研究引言
【第一章】事业单位档案信息管理概述
【第二章】我国事业单位档案信息安全现状
【第三章】 【第四章】提高事业单位档案信息安全管理水平的对策
【结论/参考文献】事业单位档案安全管理机制构建结论与参考文献
第三章 国内外档案信息安全管理的主要模式与法律法规。
第一节 国外档案信息安全管理在不同模式下的应用。
国外的档案信息化管理模式主要分为档案馆集中管理和机构自行管理两种类型。
一、档案馆集中管理模式的应用。
美国国家档案与文件署的蒂博多十分赞成档案馆集中管理的观点,他认为把电子档案局限在生成机构的狭小空间内是一种目光短浅的做法,电子档案应该由档案馆来保管。如果把它们交给生成机构自行管理,机构很难对失去现行使用价值的电子档案给予足够的重视,这样就会危及到档案的生存。因此,最好的办法就是将档案置于档案馆的保护伞之下,尽可能地减少对档案的改变和损毁。[6]
美国和澳大利亚是采用档案馆集中管理模式较有代表性的国家。其中美国开展了电子档案档案馆项目,该项目由美国国家档案与文件管理署负责,耗资数亿美元,旨在建立一个未来的档案馆,在该模式下国家档案馆作为集中永久保管文件的专门机构,在电子档案管理链上具有极为重要的地位,在协调全国电子档案管理系统的互联互通方面发挥着核心和枢纽作用。澳大利亚国家档案馆先后颁布了《联邦政府文件保管政策》、《数字文件保存的方法》、《数字化保存照亮过去,指引未来》等法令,形成了澳大利亚国家档案馆电子档案保管的基本框架,澳大利亚国家档案馆原则上将承担起所有具有档案价值的电子档案的保管责任。澳大利亚国家档案馆还为电子档案的保存制定了一个较为完善的工作流程,开发了配套的应用软件Xena。[7]
二、机构自行管理模式的应用。
在信息技术较为发达的日本,电子档案机构自行分散管理模式比较流行。很多机构将电子档案存放在形成部门,不须移交。部分机构专门设置档案室,负责接收、管理各部门档案,有的只负责管理机构历史档案,也有的负责整个机构的档案管理。
无论是采用案馆集中管理模式还是机构自行分散管理模式,档案信息化管理较为发达的国家普遍使用文档一体化管理方式,该模式将文件工作和档案工作纳入同一系统,进行统一管控,即统一规范标准、统一工作制度、统一工作程序和统一控制中心,将档案进行统一存储、加工和传输,从而实现对文件和档案管理的整体优化,减少重复工作,在提升档案管理的效能的同时,因安全法规较为完善,管理标准统一,信息安全技术较为先进,人员管理较为严格,其档案信息安全管理水平也大大提升。文档一体化管理模式的最佳实现途径是建立涵盖电子档案全生命周期的电子文档一体化管理系统,该系统有统一的工作制度、工作程序和统一的控制中心。该模式不是简单的将文件管理与档案管理功能相叠加,而是对整个流程进行重构,以实现将文件处理与档案管理整合为一个有机整体,提高部门之间的协同办公效率,同时提升安全管理水平,保护档案信息未经授权不得访问、使用、泄露、中断、修改和破坏,确保信息存储和传递的保密性、真实性、完整性、可用性、不可否认性,以及系统自身的安全稳定性。
第二节 国内外档案信息安全管理模式的比较。
通过前文分析可以看出,档案馆集中管理模式和机构自行分散管理模式具有各自的特点和优势,以下对上述两种管理模式在安全管理方面利弊进行比较分析。
一、档案馆集中管理的利与弊。
在档案馆集中管理模式下,档案馆是档案信息化管理的核心机构,相对各部门内部的档案管理机构,档案馆在硬件配置、软件技术水平、高素质的专业人员方面均有明显优势,可以保证电子档案实体得到妥善保管,尤其是对具有永久保存价值的电子档案实现长期有效的管理;另一方面,可以防止档案被删改和随意销毁,以保证电子档案的真实性和可靠性。但是档案馆集中管理模式也存在一定弊端,集中体现为统一模式转换成本高。以美国为例,档案馆每年都要花费大笔资金将各部门报送的电子档案按统一格式拷贝至统一载体,并改变一些重要电子档案的原有结构以使其脱离生成环境来进行保存。我国档案管理信息化的配套软件和转换技术还相对落后,在很长一段时期内技术问题将是困扰我国档案信息化实行档案馆集中管理模式的主要因素,在一定程度上影响电子档案的完整性、可用性。[8]
二、机构自行管理模式的利与弊。
根据前文分析,机构自行分散管理模式在保证电子档案的可识读性和完整性方面均有独特优势。信息化档案具有系统依赖性和非人工识读性等特点,如果脱离相关的软硬件环境,其完整性和长期可利用性将很难得到有效保障。而在机构自行分散管理模式下,电子档案不需要脱离原来的系统环境,有利于维护电子档案的可识读性和完整性。此外,相对于档案馆集中管理模式,机构自行分散管理模式可以缓解档案馆在资金和技术方面的困难,无需花费巨资购置兼容所需的软硬件设备。但是机构自行分散管理模式的最大问题就是文件实体过于分散,易使某些具有永久保存价值的、年限较为久远的电子档案得不到妥善管理而造成遗失或耗损,影响正常读取,同时由于分散,安全管理无法达到同一标准,不利于保证系统防护软、硬件的及时更新、维护。
第三节 国内外档案信息安全管理法律法规。
一、我国档案信息安全管理的相关法律法规。
随着信息化程度的提升和法制化建设的不断深入,我国档案信息安全管理相关法律法规也日趋完善,逐步形成以档案法律为主、档案行政法规和行政规章为辅的档案法律法规体系。主要法律法规如下:
首先是《中华人民共和国档案法》,该法律于 1988 年正式实施,是我国第一部全面规定档案管理问题的上位法,标志着我国的档案事业开始走上法治化轨道。
该法共六章 27 条,分别就档案机构及职责、档案管理、档案利用的职权和公布、法律责任等方面进行了明确的法律规定。该部法律没有对档案信息化做出明确表述,但是提到了有关数字档案的复制权、复制件的处理及数字档案的易删除性和可复制性等问题,同时对档案的保密问题做出了规定。其次是《中华人民共和国档案法
实施办法》,于 1990 年正式实施,该法针对《档案法》中有关档案管理和利用、公布及处罚等相关规定进行了更为细致的说明,还对电子文件的法律凭证作用给予了肯定。其三是《中华人民共和国保守国家秘密法》,于 1989 年 5 月 1 日正式实施,2010 年 4 月 29 日修订,该法为档案实体的物理安全和信息内容安全提供了有力保障。其四是《中华人民共和国政府信息公开条例》,于 2008 年 5 月实施,其内容涉及信息公开的范围、方法和公开程序、监督机制和保障举措等。[9]
随着档案信息在社会发展中的重要性日益加强及利用率的持续提高,涉及相关安全管理的法律法规及规章制度也不断制定出台,但未形成完备的法律体系,具体体现在以下几方面:一是法律法规与信息公开要求不配套,部分因信息公开可能产生的问题,找寻不到相关法律依据;二是法律法规及规章制度制定层级高,符合工作实际,行业分类明晰的专门性指导方案少,实效性及可执行性不足,且更新步伐慢;三是对信息使用者义务要求的多,权力体现的少,监督及保护举措缺乏,降低影响力。
综上所述,我国档案管理相关法律法规仍处于不断健全、完善的初级阶段,与欧美等法律体系较完备的国家相比,法律制定、修订进程相对缓慢,因此不断健全、完善的法制环境是档案信息化管理及其安全性的重要依据和保障;正确运用档案法律法规,可以有效的调节档案信息化管理所在机构内部各系统、各部门的协调发展,进一步明确职责,保证部门间沟通畅通;法律法规体系的完善,能够有效协调机构间的档案信息化管理的关系,有利于整合分布在网络上的虚拟资源。[10]
二、国外档案信息安全管理相关法律法规。
(一)美国档案信息化管理相关法律法规。
美国相关法律法规的适用对象主要有政府、组织和个人的电子档案信息。美国对政府信息进行立法的原则是要促进政府对社会公众的信息公开。美联邦政府信息安全保护法律中主要代表性法律主要有:
1.《信息自由法》等法规《信息自由法》。该法利用例外形式将需要保护的信息加以列举,分为国家安全问题(保密材料)、内务材料、法律规定豁免的材料、商业秘密工作文件、符合法定条件的执法档案、金融机构材料地质数据等。《信息自由法》是美国信息法律体系的基础,同类的法规还有《阳光政府法》、《加密问题备忘录》、《美国加密产品出口管理条例》、《网络空间电子安全法》以及《出口管理法》、《数字签字示范法》、《数字签字指南》、《数字签字法》、《华盛顿电子认证法》、《全球与国家商务中的电子签字法》、《侵权法》、《保护商业秘密统一示范法》、《商业私密法案》、《数字千年版权法》、《联邦贸易委员会法》、《隐私保护法》、《电子通讯隐私法》、《电脑匹配和隐私保护法》等。
(二)欧盟档案信息化管理相关法律法规。
1.《信息安全框架决议》。该决议于 1992 年 3 月颁布,其目标是为了给一般用户、行政管理部门和工商业界存储电子信息提供切实有效的安全保护,使之不危及公众的利益。
2.《关于计算机犯罪的协定》。该协定于 2001 年 11 月在各成员国征集签署,旨在打击计算机犯罪,协定规定各成员国必需承担协议所定义的犯罪范围内建立适当的权限支持建立预防犯罪的合作的义务(包括相互援助支持采纳关于高科技犯罪数据存储的规定为了调查严重的刑事犯罪,支持跨国界的计算机搜索,并遵从欧盟关于接触和使用业务资料的有关规定)。
3.《打击信息系统犯罪的框架决议》。该框架决议于 2005 年 2 月通过,并于2005 年 3 月开始实施,框架决议规定应受到惩罚的犯罪包括类非法接触信息系统非法进行系统干扰即通过输入、传输、损害、删除、恶化、改变、抑制或者翻译描写不可接触的计算机数据等手段,故意严重阻扰或打断一个信息系统的功能非法进行数据干扰。此外,从事鼓动、帮助、教唆和试图实施上述任何犯罪行为的,也要负法律责任。
4.《建立欧洲网络和信息安全机构的规则》。规则于 2004 年 3 月颁布,旨在加强欧共体各成员国和工商企业应对网络和信息安全问题的能力,该机构也要为欧洲理事会在网络和信息安全领域更新和发展欧共体法律提供技术准备方面的帮助。
三、国、内外档案信息安全管理法律法规比较。
