等保一体机案例 | 黑龙江某事业单位档案管理系统借助捷云过二级等保

黑龙江某事业单位，聚焦产业发展的应用技术研究，兼顾重大技术应用的基础研究，满足广东省经济社会发展需要。

由于信创要求，也为了满足《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发 改高技〔2008〕2071 号）等文件对政府行业等级保护实施的要求，该事业单位急需一家专业的一站式等保公司，协助完成其档案管理系统的二级等保工作。

一、背景

在互联网快速发展趋势下，我国档案信息化的不断推进，大多数事业单位档案日常业务已经极大地依赖信息技术和信息基础设施。然而，信息技术给我们带来方便的同时也带来了安全问题，近年来频繁发生的泄密事件为我们敲响警钟。

政府行业如何在满足等级保护合规性安全要求的同时，结合档案管理系统的自身特点和实际安全需求，将等级保护落实到整体的安全建设中去，切实提高信息系统的防攻击、防篡改、防病毒、防瘫痪、防窃密能力，一直是一个亟待解决的问题。

黑龙江某事业单位，该部门内部有一个档案管理系统，按照以下内容规定，需要过二级等保：

《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发 改高技〔2008〕2071 号）

《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》（发改高技〔2008〕2544 号）

《关于进一步加强国家电子政务网络建设和应用工作的通知》（发改高技〔2012〕1986 号）

《国务院办公厅关于促进电子政务协调发展的指导意见》（国办发〔2014〕66 号）

加快推进落实《政务信息系统整合共享实施方案》工作方案

在全云在线安全团队协助下，以满足需要、安全可靠等为基本原则，最终省时省力过二级等保，并不断完善相关档案安全的保障体系。

二、客户痛点

痛点一： 线下物理机房过等保，需要更完善的安全防护，希望安全产品更便捷且高性价比。

痛点二： 缺乏专业人员，人手不足，而整改难度大、周期长，同时对制度整改的要求也很高，需要一站式的等保服务协助完成等保工作。

三、解决方案

1.量身定制线下机房过等保方案，为政府系统提供完善的安全防护

基于该企业事业单位的需求，相关的档案管理系统部署在线下机房中，全云在线专业团队为其定制了专属的机房环境过等保方案，对相关档案管理系统定级进行指导，协助用户单位进行系统定级备案。

由于事业单位系统对安全防护的要求更高，全云在线从安全方面出发，在对线下机房进行实地观察后，推荐用户配备上华为乾坤®安全云服务。

对比传统过等保的线下安全设备，客户需要部署大量设备“盒子”，如防火墙设备、入侵检测设备、日志审计设备等。选择华为乾坤®安全云服务，无需多购置传统安全设备，省下大量成本，一台机器就能过等保，长效保障事业单位内部网络的安全，自动阻断网络攻击，定期对内网进行网络安全评估。

基于捷云的安全产品，整体测评周期缩短60%，成本降低30%，完成等保建设，保障长效网络安全。

2.专业一站式等保服务，协助事业单位省心省力过二级等保

全云在线专业团队围绕等级保护要求为客户提供等保咨询，同时打包了定级备案、差距测评、整改、测评报告、安全检查在内一站式服务。

在测评+整改过程中，全云在线还为客户设置专职项目经理协调相关各方资源，落实各方责任，推进项目进度，为客户提供管家式的项目管理服务，帮客户在全国范围内对接协调相关机构: 监管部门、测评机构、专家库、安全产品厂家、基础架构厂家。

在等保整改上，由于整改工作量大、横跨多个安全技术领域，对整改技术人员要求高，其中管理制度占测评总分的一半（50分），一站等保交付制度文档多达100多份，全云在线团队为用户单位快速梳理上百个建设项、测评项，大大缩短了整改周期，帮助节省时间，快速拿到备案证明。

四、补充了解

   档案管理信息系统实施分级保护的必要性和基本内容：

(一)档案管理信息系统实施分级保护的必要性

档案分级管理的概念很早就已经明确，在《中华人民共和国档案法实施办法》第十五条特别强调的四个问题中就明确指出“根据档案的不同等级，采取有效措施，加以保护和管理”。这对全面提升现有档案管理水平、增强对重点档案的保护力度、合理使用资金等，都具有非常现实和长远的意义。随着档案信息化的不断深入，传统档案的数字化、电子文件的处理、档案信息网的建设等一系列档案信息化的过程都依赖于档案管理信息系统、从档案工作实践来看，档案信息安全滞后于档案信息化建设，档案管理信息系统有多方面的安全隐患。所以对档案管理信息系统实施等级保护不仅是国家信息安全战略的一部分，也是对档案分级保护工作的不断深化与发展。档案管理信息系统是涉及社会各个行业信息、政府信息以及国家秘密信息的重要信息系统，如果它遭到破坏对个人、社会甚至国家都会有危害，根据《关于开展全国重要信息系统安全等级保护定级工作的通知》对定级对象的规定，对档案管理信息系统实施等级是十分有必要的。

(二)档案管理信息系统实施等级保护的基本内容

档案管理信息系统等级保护是指档案管理信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分等级实施安全保护。

根据《计算机信息系统安全保护等级划分准则》，档案管理信息系统应当划分为五个等级进行保护，即自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。不同等级的档案管理信息系统对应的基本安全保护能力都要求不同，根据实现方式的不同.基本安全要求分为基本技术要求和基本管理要求两大类，技术要求主要包括档案管理信息系统的物理安全、网络安全、主机安全、应用安全和数据安全方面，而管理要求主要包括档案管理信息系统的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理方面。

对档案管理信息系统实施等级保护应当遵循的原则:

1.自主保护原则，“谁主管谁负责，谁运营谁负责”，由各主管部门和运营使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护。

2.同步建设原则，信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应，

3.重点保护原则，要根据各地区、各行业信息系统的重要程度、业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全保护.要重点保护涉及国家安全、经济命脉、社会稳定等方面的重要信息系统。并集中资源优先确保重要信息系统安全。

4.动态调整原则，要跟踪信息系统的变化情况，及时调整安全保护措施因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。