电子安全管理指南.doc

电子文件安全管理指南（征求意见稿）1范围本指南规范了电子文件安全管理应遵循的基本要求。本指南主要适用于对电子文件信息系统的规划、设计、建设、验收、测评、运行与维护过程，并对电子文件安全管理的指导。2规范性文件引用下列文件中的条款通过本指南的引用而成为本指南的条款。凡是注日期的引用文件，其随后所有的修改单（不包含勘误的内容）或修订版均不适用于本指南。凡是不注日期的引用文件，其最新版本适用于本指南。GB/T18894-2002电子文件归档与管理规范GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20988-2007信息安全技术信息系统灾难恢复规范GB/T22081-2008信息技术安全技术信息安全管理实用规则DA/T15-1995磁性载体档案管理与保护规范DA/T38-2008电子文件归档光盘技术要求和应用规范ISO15489-1:2001信息与文献文件管理第1部分通用原则3术语和定义以下术语和定义适用于本指南的各个部分。3.1电子文件electronicrecords指在数字设备及环境中生成，以数码形式存储于磁带、磁盘、光盘等载体，依赖计算机等数字设备阅读、处理，并可在通信网络上传送的文件。3.2元数据metadata指描述电子文件(3.1)的背景、内容、结构及其整个管理过程的数据。3.3背景信息context指描述生成电子文件(3.1)的职能活动、电子文件的作用、办理过程、结果、上下文关系以及对其产生影响的历史环境等信息。3.4真实性authenticity指对电子文件(3.1)的内容、结构和背景信息(3.3)进行鉴定后，确认其与形成时的原始状况一致。3.5完整性integrity指电子文件(3.1)的内容、结构、背景信息(3.3)和元数据(3.2)等无缺损。3.6有效性utility指电子文件(3.1)应具备的可理解性和可被利用性，包括信息的可识别性、存储系统的可靠性、载体的完好性和兼容性等。3.7捕获capture指对电子文件(3.1)进行实时收集和存储的方法与过程。3.8迁移migration指将源系统中的电子文件(3.1)向目的系统进行转移存储的方法与过程。3.9风险risk某种威胁会利用资产或若干资产的脆弱性使这些资产损失或破坏的可能性。3.10风险分析riskanalysis标识安全风险、确定其大小和标识需要防护措施的区域的过程。3.11风险管理riskmanagement指导和控制一个组织相关风险的协调活动。3.12威胁threat可能导致对系统或组织危害的不希望事故的潜在起因。3.13灾难备份backupfordisasterrecovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。3.14电子文件管理系统electronicrecordsmanagementsystem基于局域网络和信息数据库而运行的计算机管理系统，它能够对电子文件的录入、校对、审核以及数字化加工等流程进行管理，可以实现从档案纸质化管理向数字化管理的转变。3.15销毁destroy经过鉴定，对失去保存价值的文件，通过删除、格式化或破坏载体等方式，使文件不可能再以电子方式重建，内容无法恢复与还原的毁灭性。4电子文件安全管理基本原则4.1全程原则根据电子文件的特点，应建立一个完整的管理体系，对电子文件进行全过程的管理，以确保电子文件的真实性、完整性和有效性。电子文件全程管理原则具体体现在电子文件管理体制与模式的确定、管理系统的设计与运行、管理制度的建立和执行等方面。4.2动态原则电子文件从产生、保管到利用是一个动态的过程，应用发展的眼光来看待其安全管理，没有任何一个安全防范体系是一劳永逸的，应根据技术的变化对安全防范体系进行相应的改变，动态地、实时地对电子文件进行保护。4.3便利原则电子文件的“机密性”和“(长期)可用性”这两个目标是互相矛盾的，因为“机密性”的强保护措施必然会严重地限制“(长期)可用性”。应在两者之间寻找一个平衡点，那就是便利原则，即在“机密性”得以保障的情况下，能够方便，快捷地使用电子文件。4.4适度原则适度原则是指电子文件在失去价值之前应被保护。被保护的程度与其价值是一致的。适度保护原则也可以理解成是多级保护原则，即对不同价值的电子文件采取不同强度的保护措施。5电子文件安全管理风险因素5.1风险因素的确定电子文件在形成、运行、保存等诸多方面都面临着各种各样的风险，这些风险直接或者间接地影响着电子文件的安全管理，所有这些不安定因素都被确定为风险因素，确定风险过程分成以下步骤：a)确定标准的制定；b)确定策略的制定；c)制定策略的实施；d)策略的审核与维护。5.2风险因素的评估每个机构应根据本身的特点，对电子文件安全管理过程中可能遇到各种的风险情况进行评估，评估标准应客观充分，方法应全面细致，应对各种可能发生的情况作好充分的防范。5.3风险因素确定的组织机构与职责5.3.1组织机构的设立各个机构应根据实际情况建立规范的风险评估机构或小组，明确管理人员的责任义务，以更好地对风险因素进行评估和预防。条件允许的情况下，可以聘请外部机构专业人员对工作进行介入或指导，目的是更好地执行既定政策，实施预想方针。5.3.2组织机构的职责风险管理组织机构应做好如下工作：a)做好各项前期工作，预防为主；b)制定合理策略和预案，对每项风险有充分的认识；c)对未知风险做好预测；d)采取适当措施，消除可预见风险。5.4风险分类5.4.1常规风险5.4.1.1自然灾害自然灾害包括地震、台风、泥石流等。5.4.1.2日常灾害日常灾害包括火灾、水灾、用电安全等。5.4.2环境风险设备终端运行所处的客观环境不满足工作要求，例如，温度、湿度超出规定范围等。5.4.3人为风险5.4.3.1误操作风险操作人员在无意的情况下，对电子文件管理系统及电子文件所做的不希望发生的、可能造成危害的操作，威胁电子文件安全。5.4.3.2计算机病毒风险计算机病毒能够破坏计算机功能或者数据，威胁系统及数据安全。5.4.4管理风险5.4.4.1管理方法的局限性管理方法不能适应新问题新挑战，进而产生无法避免的管理漏洞。5.4.4.2安全意识淡薄缺乏安全意识、长时间工作、思想不集中等原因威胁到电子文件安全。5.4.5技术风险5.4.5.1软件技术风险电子文件所依托的软件管理系统及电子文件格式的更新换代对电子文件安全的威胁。5.4.5.2硬件技术风险硬件设备的更换及升级对电子文件安全的威胁。5.4.5.3存储本身的风险存储设备由于机械器件本身的特性，自然磨损和接口氧化等情况所产生的潜在风险。6电子文件安全管理基本要求6.1规章制度6.1.1管理制度建立常规管理制度包括以下几个方面：a)电子文件的产生。明确责任，注意划清参与人员的责任范围；b)电子文件的归档。归档时应对电子文件进行全面、认真的检查，以防在分散状态下发生信息丢失和篡改；c)电子文件的保管。要建立严格的保管制度，制度中应明确电子文件的存储介质、介质状态、保管场地、环境要求以及介质检查、修复、销毁或迁移措施；d)电子文件的利用，要加强对利用活动的管理，实行权限控制，防止越权访问对电子文件造成危害；e)涉密文件的保护。对于涉密电子文件，保密措施应贯穿其生命周期全程，确保每个环节的保密安全；f)建立管理记录。电子文件形成后因载体转换和格式转换而不断改变自身的存在形式，必要时可为每一份电子文件建立记录，记载文件的形成、管理和使用情况。6.1.2备份恢复制度需要制定备份计划、策略，定期检查备份任务的执行情况以及备份恢复的可用情况。一旦发生事故，导致系统故障、运行中断或信息被篡改，可以遵循备份恢复制度，将系统和数据恢复到正常状态。6.1.3应急处理制度提高预警反应和灾难应急处理恢复能力，建立完善的应急处理制度，加强人员管理与培训，确保网络及管理系统、相应电子文件遇到紧急情况时，能够有条不紊进行故障处理及数据恢复。6.2人员管理6.2.1人员选择人员应具备基本的计算机操作技能与信息安全相关知识，熟悉电子文件的相关理论，懂得与其他相关机构和部门协调工作。要求在进行人员选择或聘用时，要制定专门计划方案，保证招聘到符合要求的人员。6.2.2安全教育应在组织的不同层次上，从最高管理层到具体负责人，针对不同角色和责任的人员编制不同的安全教育培训材料，并定期进行安全教育培训，材料的内容应包括：a)安全目标和安全策略；b)有关安全角色的职责和要求；c)相关安全知识和技能。对于涉密部门或敏感机构，还应提高信息的安全保密意识，加强对有关规章制度、法律法规的学习教育，防止电子文件泄密事件发生。6.2.3技术培训定期开展对相关人员的技术培训工作，包括具体操作人员及上层管理者。培训内容包括电子文件安全相关的计算机基础知识、数字化技术知识、网络技术知识、现代管理技术知识、保密知识等；加强对档案业务人员应用新技术、新设备、新方法的培训，普及信息技术知识，提高档案业务人员掌握和运用现代化技术的技能，必要时可建立考试考核制度。6.3技术方法6.3.1实体管理安全6.3.1.1存储介质的选择电子文件常见的存储介质有磁盘、磁带、光盘等，数据存储形式分为如下三种：a)存储，如磁盘阵列，要求存取速度快，成本也较高，适合高速数据存取的应用场合；b)近线存储，如光盘库，存取速度中等，成本合理，适合档案管理、数字档案馆等应用场合；c)离线存储，如磁带库、光盘，平均存取速度较低，成本也较低，适合大规模数据脱机存储。6.3.1.2存储介质的保管电子文件的常见存储介质主要分为磁性介质和光学介质两种。磁性介质包括磁带、硬磁盘、软磁盘等。光学介质包括：只读光盘、可记录光盘、可重写光盘等。磁性介质与光学介质的保管可参考磁性载体档案管理与保护规范与电子文件归档光盘技术要求和应用规范。6.3.1.3存储介质使用与养护存储介质使用与养护，可参考磁性载体档案管理与保护规范与电子文件归档光盘技术要求和应用规范。6.3.1.4存储介质的灾备不可抗拒的自然灾害将给存储介质造成毁灭性的破性，应制定实施存储介质的异地灾备方案，宜从如下几方面考虑：a)存储介质备份场所选择相距300公里以上，不属同一江河流域、同一电网、同一地震带的地方为宜；b)异地备份地点的保管环境应符合存储介质的长期保管要求；c)将电子文件相关的元数据及背景信息及操作需要的相应软件一起备份保存于异地；d)建立异地存储介质保管制度。包括人员岗位责任、监督制度，以保证存储介质及其内容的安全；e)定期对存储介质进行抽样检测，存在问题的存储介质要及时进行迁移；f)达到使用时间的存储介质，要进行统一更换，被替换的存储介质在继续保存一定时间后，履行相关手续，由专门人员监督下进行物理销毁；g)有选择性地对长期保存的电子文件进行异质、多套备份。6.3.2管理系统安全6.3.2.1开发设计基本要求6.3.2.1.1可行性研究阶段可行性研究是设计管理系统的前提，目的是对一个项目在有限成本内的综合评估，在可行性研究阶段应：a)综合分析技术、成本等多个方面的可行性，避免造成经济和时间的浪费；b)对发现的问题及时提出整改意见，避免对不具备执行条件的项目投入过多的资源。6.3.2.1.2需求分析阶段需求分析目的是明确系统的必要功能，将可行性研究阶段的粗略问题细化，避免模棱两可，在需求分析阶段应：a)建立数据模型，明确软件将要完成的功能，将描述信息、软件行为、功能设想等具体化；b)采取有效方法与终端用户沟通，明确管理系统的安全需求；c)汇总针对性的问题，并给出行之有效的解决方案；d)加大交流配合，关键流程的说明应双方在场，对意见方案及时提出与解决，避免因第三方翻译而导致理解偏差；e)及时建立软件原型，减小误解，选择合适的需求分析工具。6.3.2.1.3总体设计阶段总体设计要遵循高内聚，低耦合原则，使各个功能模块具有较高的独立性，在总体设计阶段应：a)清晰描述系统具体的软件架构及组成元素，包括程序的组成、数据库的组成、结构的组成等；b)根据成本控制，明确系统流图、物理元素清单、进度计划等，与用户和相关专家充分交换意见，选择最佳方案；c)对数据流图的每个环节，要高度总结，化整为零，将复杂问题简单化，得到功能设计的直接表述；e)系统调用功能模块要层次分明，将相似功能有机协调整理，可使用层次图或结构图等工具来描绘；f)数据库结构要设计合理，层次清晰，控制存储空间，提高系统的运行效率和安全指数，消除数据安全隐患；g)测试计划要详尽完善，避免软件漏洞造成安全隐患；h)重视相关文档的起草和校订，做到有备无患，有据可查。6.3.2.1.4详细设计阶段在详细设计阶段应：a)为程序完成提供必要的方法思路，保证代码编写质量；b)选择合适的设计工具，提供准确的信息表述、流程控制、处理方法等；c)信息传递流程明确，提升数据传输效率。6.3.2.1.5实现阶段在实现阶段应：a)选择技术成熟稳定的程序设计语言，优化编码，提升程序执行效率；b)统一编码风格，简化结构，提升可读性，方便程序的扩展、修改、维护；c)建立科学严谨的测试方案，修正编码错误，及时发现潜在安全问题。6.3.2.1.6维护阶段明确系统维护的重要性，提高安全意识，在维护阶段应：a)制定长效机制，重视系统的后期维护；b)充分考虑维护工作中系统的可测试性、可理解性、可修改性、可重用性和可修改性等；c)合理保存好系统的用户文档和系统文档，以备查考。6.3.2.2管理系统运行安全6.3.2.2.1电子文件利用环节电子文件利用方式多样，保证利用环节的安全性应做到以下几点：a)严格履行查档登记制度，杜绝无序调档利用；b)电子文件利用过程中，避免危及载体安全；c)电子文件利用过程中，避免信息泄漏；d)对于涉密电子文件，应严格履行相关保密规定。6.3.2.2.2电子文件存储环节应包括如下内容：a)合理配置数据库，提高存储环境的安全性；b)选择合适介质，避免存储数据破坏或丢失。6.3.2.2.3管理系统管理a)制定管理制度，严格执行，制度的建立宜遵循以下原则：1)保证电子文件的安全原则；2)保证流程的客观安全原则；3)数据的安全备份原则。b)合理有效维护系统日志；c)制定数据信息备份策略，保证系统和数据的安全；d)根据工作需要和具体情况，明确职责，对系统操作权限进行合理划分。6.3.3信息内容安全6.3.3.1信息内容真实性为确保电子文件的真实性，应对其生命周期的每个环节都建立有效缜密的监督策略，杜绝威胁信息安全的事故发生。要重点关注以下几点：a)保证电子文件元数据未篡改；b)保证电子文件内容未篡改；c)采用数字签名、访问控制等技术保证电子文件的真实性。6.3.3.2信息内容有效性电子文件不能被读取的原因很多，如软硬件更新换代、信息载体遭到破坏等。应采取适当的方法保证电子文件的安全可读，此类的方法有很多，其中最基本的要求就是保证数据有备份且备份数据可读取。建议对电子文件进行多套异质备份，在备份时可能需要进行格式转换，格式转换时要注意以下几点：a)做好转换前后原文件的安全备份；b)选择适合长期存储的安全格式；c)避免转换过程中的信息衰减；d)宜转换成多种格式同时保存。6.3.3.3信息内容完整性电子文件的完整性，主要包括与电子文件及其相关文件以及元数据的完整性。应重点注意如下事项：a)电子文件及相关附件要及时捕获，防止丢失；b)注意收集背景信息，确保电子文件的元数据完整；c)保证电子文件及时归档，归档时相关附件及信息齐全；d)产生电子文件的管理系统要能够提供完整性保护。6.3.4网络管理安全6.3.4.1网络环境安全6.3.4.1.1通信线路的安全防护具体包括：a)宜采取有效措施，预防线路截获，使线路截获设备无法工作；b)宜安装探测线路截获装置，及时发现线路截获的事件并报警；c)线路采取屏蔽措施，防止通信线路上数据泄漏，如采用屏蔽传输介质，加装屏蔽设备等；d)应定期检查、监测通信线路传输数据物理状况，如出现线路老化、线路中断等现象及时进行处理；e)如通信线路中传输保密的数据需采用安全措施，例如，对数据进行加密，采用VPN通道等，切不可在毫无安全措施的情况下直接传输。6.3.4.1.2入侵防御网络中可选择性部署入侵检测与防御设备或系统，入侵检测可时刻检查网络的工作状态，包括来自内部、外部的网络攻击、病毒爆发、程序或文件异常等情况，及时报警或相应的自动化处理。入侵防御系统与检测系统相似，可以实现对重点目标实施保护，主动抵御对保护目标的攻击与非法操作等。设备或系统的部署需注意如下事项：a)依据网络的实际情况及业务重点，选择合理的部署方式；b)根据实际应用需要，设定符合需求的保护策略。6.3.4.1.3访问控制访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。宜采取如下措施：a)对访问网络资源的计算机进行合法性认证，可选择安装硬件防火墙；b)对访问者进行身份鉴别与授权，主要是用户名和口令的识别与验证；c)建立网络权限控制措施，授权用户和用户组可以访问的资源，执行的操作,防止用户越权操作；d)网络中可部署安全审计系统，用于用户访问的权限控制及操作情况的记录。6.3.4.1.4病毒防治计算机信息系统应采取以下病毒防治措施：a)加强存储介质管理，严格控制各种存储介质的使用，必须确认介质安全后方可使用；b)做好整体防御，应建立网络病毒管理中心。通过对系统中的服务器、客户端，进行病毒的统一防治管理，实时监测网络及各客户端工作状态，发现异常及时进行相应处理；c)制定防治策略。应对杀毒软件及相关病毒防治设备进行定期升级，对各服务器、客户端的系统及数据定时进行全面扫描检查。6.3.4.2计算机终端安全6.3.4.2.1操作系统安全操作系统安全包括：a)操作系统的选择。操作系统的选择要根据需求而定，目前，计算机客户端宜选择Windows操作系统。对于服务器，宜选择Unix，Linux等相对安全、可靠、高效的网络操作系统；b)选择正版软件。正版软件安全可靠，并可享受版本升级、漏洞补丁更新和其它技术支持等售后服务；c)关闭操作系统不使用的服务与功能，定期对操作系统进行清理、优化与维护；d)不宜安装非必要的软件，减少安装软件存在的漏洞对操作系统安全造成的影响；e)为操作系统设置安全级别较高的用户名和密码并定期更换，降低非法入侵的可能性；f)安装必要的杀毒和防火墙等操作系统安全防护软件，定期进行升级和安全检查；g)养成良好的使用习惯，避免误操作给系统或数据造成不可预知的损失；h)操作系统安全检测。应从操作系统的角度，以管理员身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、入侵迹象等，从而检测和分析操作系统的安全性，发现存在的安全隐患。6.3.4.3网络服务可靠性安全网络是电子文件管理系统的运行基础与平台，保证网络服务的可靠性就是要保证电子文件管理系统在软件或硬件出现问题的时候能够及时保证业务系统可持续运行，可从以下几方面进行：a)定期更新完善电子文件管理系统，提高管理系统的容错性与健壮性；b)核心业务系统及重要服务器、安全设备可采用冗余热备，在出现硬件或系统故障时，保证管理系统不间断运行；c)从技术上及制度上，对管理系统及网络资源与设备的访问和操作进行权限控制，减少人为有意或误操作对网络服务安全造成的影响。d）网络及系统安全检测性分析，具体包括：1)数据库管理系统安全性检测分析。应对支持计算机信息系统运行的数据库管理系统进行安全性检测分析，要求通过扫描数据库系统中与鉴别、授权、访问控制和系统完整性设置相关的数据库管理系统特定的安全脆弱性，分析其存在的缺点和漏洞，提出补救措施；2)网络安全性检测分析。应采用侵袭模拟器，通过在网络设备的关键部位，用模拟侵袭的方法，自动扫描、检查并报告网络系统中存在的缺点和漏洞，提出补救措施，达到增强网络安全性的目的；3)防火墙安全性检测分析。应通过反复高速地逐个对防火墙和宿主系统上的数百个与安全性相关的因素进行测试，对其安全性进行检测分析，寻找其安全漏洞；4)电磁泄漏检测分析，应对运行中的计算机信息系统环境进行电磁泄漏检测，要求采用专门的检测设备，检查系统运行过程中由于电磁干扰和电磁辐射对计算机信息系统的安全性所造成的威胁，并提出补救措施。6.3.4.4网络管理的应急计划和反应在应急情况做出反应的应急计划：a)具有各种安全措施，包括在出现各种线路、设备、网络、服务、系统等安全事件时应采取的措施，这些措施是管理手段与技术手段的结合；b)设置正常备份机制，在网络正常运行时通过各种备份措施为灾害和故障做准备；c)健全安全管理机构，建立健全的安全事件管理机构，明确人员的分工和责任；d)建立处理流程图，制定安全事件响应与处理计划及事件处理过程示意图，以便迅速恢复被安全事件破坏的网络与系统。6.3.5环境与设备安全6.3.5.1环境安全对环境安全管理，不同安全等级应有选择地满足以下要求:a)环境安全的基本要求:应配置物理环境安全的责任部门和管理人员；建立有关物理环境安全方面的规章制度；b)较完整的制度化管理:在a)的基础上，应对物理环境划分不同保护等级的安全区域进行管理；应制定对物理安全设施进行检验、配置、安装、运行的有关制度和保障措施；c)安全区域标记管理:在b)的基础上，应对物理环境中所有安全区域进行标记管理，包括不同安全保护等级的办公区域、机房、介质库房等；d)安全区域隔离和监视:在c)的基础上，应实施不同保护等级安全区域的隔离管理；出入人员应经过相应级别的授权并有监控措施；对重要安全区域的活动应实时监视和记录。6.3.5.2机房安全对机房安全管理，不同安全等级应有选择地满足以下要求:a)机房安全管理的基本要求:应明确机房安全管理的责任人，机房出入应有指定人员负责，未经允许的人员不准进入机房；机房钥匙由专人管理，未经允许任何记录介质、文件材料及各种被保护品均不准带出机房，与工作无关的物品均不准带入机房；机房内严禁吸烟及带入火种和水源；b)加强对来访人员的控制:在a)的基础上，要求所有来访人员应经过正式批准，登记记录应妥善保存以备查；获准进入机房的来访人员，一般应禁止携带个人计算机等电子设备进入机房，其活动范围和操作行为应受到限制，并有机房接待人员负责和陪同；c)增强门禁控制手段:在b)的基础上，任何进出机房的人员应经过门禁设施的监控和记录，应有防止绕过门禁设施的手段；门禁系统的电子记录应妥善保存以备查；d)采取防止电磁泄漏保护:对需要防止电磁泄漏的计算机设备配备电磁干扰设备，在被保护的计算机设备工作时电磁干扰设备不准关机，必要时可以使用屏蔽机房。6.3.5.4设备安全6.3.5.4.1设备的安置与保护具体包括：a)设备要进行适当安置，以尽量减少不必要的对工作区域的访问，还要保护存储设施以防止未授权访问；b)要把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还要保护储存设施以防止未授权访问；c)要求专门保护的部位要予以隔离，以降低所要求的总体保护等级；d)要采取控制措施以最小化潜在的物理威胁的风险。例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；e)要建立在信息处理设施附近进食、喝饮料和吸烟的指南；f)对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视；g)所有建筑物都要采用避雷保护，所有进入的电源和通信线路都要装配雷电保护过滤器。6.3.5.4.2支持性设施具体包括：a)宜有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统；b)对支持关键业务操作的设备,推荐使用不间断电源(UPS)。电源应急应包括UPS故障时应采取的措施。如电源故障延长可以使用发电机，并提供足够的燃料供给；c)在设备房间应急出口处应设置应急灯，在主电源出现故障时，提供应急照明；d)应有稳定和足够的供水以支持空调及加湿设备和灭火系统(当使用时)。6.3.5.4.3设备维护具体包括：a)要按照供应商推荐的服务时间间隔和规范对设备进行维护；b)只有已授权的维护人员才可对设备进行修理和服务；c)要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录；d)当对设备安排维护时，要实施适当的控制，并考虑到维护是由内部人员执行还是由外部人员执行，必要时涉密信息要进行备份，再删除设备中信息；6.3.6电子文件销毁安全6.3.6.1电子文件销毁鉴定具体包括：a)鉴定工作的执行必须慎重仔细，以电子文件保管期限表为基本依据，并须符合严格的审批程序；b)电子文件保存系统中，应通过保留相关元数据的方式记录文件的销毁情况，生成销毁报告。6.3.6.2电子文件销毁注意事项具体包括：a)电子文件销毁应彻底。除电子文件主体外，其它电子文件管理系统中的链接及相关文件夹、临时文件等也应一并销毁；b)电子文件的副本也应销毁；c)电子文件的销毁不能简单处理，需要按照严密的销毁办法执行，销毁后的电子文件应做到无法恢复；d)电子文件的销毁过程应指派专人监督，并进行记录，记录材料应予保存。6.3.6.3电子文件销毁方式具体包括：a)信息销毁。这种方式不损坏物理存储介质，是通过软件系统改变载体的状态，将电子文件数据从记录载体上彻底消除的一种方法；b)载体销毁。这种方式是指将电子文件的载体连同信息一起销毁，主要适应于一次写入不可更改的记录载体及受损伤不可修复的载体（如光盘）。6.3.6.4销毁实践具体方法为：a)信息销毁。在确认销毁的文件后，在本机的操作系统中通过专业的销毁工具对文件进行销毁，销毁后在原空间处可复制其它的文件信息以保证彻底覆盖销毁的电子文件。与电子文件相关的所有信息及历史记录也要进行彻底销毁；b)载体销毁。通过把存储电子文件的介质彻底破坏（如研磨成粉，焚化或撕碎）使其再也无法使用的方法。7电子文件安全管理预案除了基于常规情况下的管理制度，各个电子文件管理机构或有关部门还应根据实际的安全需求，对信息系统存在的潜在威胁和风险进行科学评估，有针对性地制定应急预案，增强抵御突发事件的能力。该评估应由专门机构或专业人员来执行。预案的制订、落实和管理可由单位独立完成，也可以聘请外部专家指导完成或委托外部机构代为完成。7.1制定目的电子文件安全管理应急预案（以下称预案）是针对可能发生的突发事件,为迅速、有效、有序地开展应急行动而预先制定的方案。用以明确事前、事中、事后时候的各个进程中相应的职责分配和资源策略，采用技术和管理手段控制危险、降低事故发生的可能性。一旦发生事故，能快速反应处理故障或将事故清除在萌芽状态的初期阶段，防止事故扩大和蔓延。7.2制订原则制订原则包括：a)完整性：预案应包含系统恢复的整个过程，以及所需的尽可能全面的数据和资料；b)易用性：预案应运用易于理解语言和图表，并适合在紧急情况下使用；c)明确性：预案应采用清晰的结构，对资源进行清楚的描述，工作内容和步骤应具体，每项工作应有明确的责任人；d)有效性：预案应尽可能满足灾难发生时进行恢复的实际需要，并保持与实际系统和人员组织的同步更新；e)兼容性：恢复预案应与应急预案体系有机结合。7.3制定流程可参考以下流程：a)初稿的制订：参照预案制定原则，按照风险分析和业务影响分析所确定的需求，结合相关的其他预案，撰写出初稿；b)初稿的评审：各机构应对预案初稿的全面性、易用性、明确性、有效性和兼容性进行严格的评审。评审应有相应的流程保证；c)初稿的修订：根据评审结果，对预案进行修订，纠正在初稿评审过程中发现的问题和缺陷，形成预案的修订稿；d)预案的测试：应预先制订测试计划，在计划中说明测试的案例。测试应包含基本单元测试、关联测试和整体测试。测试的整个过程应有详细的记录，并形成测试报告；e)预案的审核和批准：根据测试的记录和报告，对预案的修订稿进一步完善，形成预案的报批稿，并由恢复领导小组审核和批准，确定为预案的执行稿。7.4预案修订经过审核和批准的预案，应：a)由专人负责保存与分发；b)具有多份拷贝在不同的地点保存；c)分发给参与应急与恢复工作的所有人员；d)在每次修订后所有拷贝统一更新，并保留一套以备查阅，原分发的旧版本应予销毁；e)业务流程的变化、信息系统的变更、人员的变更都应在预案中及时反映；f)预案在测试、演练和灾难发生后实际执行时，其过程均应有详细的记录，并应对测试、演练和执行的效果进行评估，同时对预案进行相应的修订；g)预案还应定期评审和修订。7.5关键因素7.5.1IT应急措施对关键业务的应急保护，首先应该通过IT应急措施加以实现。这些IT措施主要包括数据备份、网络备份以及系统应急调用等。IT应急措施的设计必须具备可操作性。7.5.1.1数据备份系统各机构应根据灾难恢复的具体目标，按照成本风险平衡原则，确定：a)数据备份的范围；b)数据备份的时间间隔；c)数据备份的技术及介质；d)数据备份线路的速率及相关通信设备的规格和要求。7.5.1.2备用基础设施各机构应根据灾难恢复目标，按照成本风险平衡原则，确定对备用基础设施的要求，包括：a)与电子文件管理中心的距离要求；b)场地和环境（如面积、温度、湿度、防火、电力和工作时间等）要求；c)运行和管理要求。7.5.1.3备用数据处理系统各机构应根据关键业务功能的灾难恢复对备用数据处理系统的要求和未来发展的需要，确定备用数据处理系统的：a)数据处理能力；b)与电子文件管理系统的兼容性要求；c)平时处于就绪还是运行状态。7.5.1.4备用网络系统各机构应根据关键业务功能的灾难恢复对网络容量及切换时间的要求和未来发展的需要，选择备用数据通信的技术和线路带宽，确定网络通信设备的功能和容量，保证灾难恢复时，最终用户能以一定速率连接到备用数据处理系统。7.5.1.5技术支持能力单位应根据灾难恢复目标，确定灾难备份中心在软件、硬件和网络等方面的技术支持要求，包括技术支持的组织架构、各类技术支持人员的数量和素质等要求。7.5.2非IT应急措施对关键业务的应急保护，无论其与信息系统关联程度如何，应当在IT技术应急措施之外考虑采用非IT应急措施。非IT应急措施是指在信息系统短期内无法恢复的情况下保证关键业务连续性而采取的一些传统的、手工的业务操作手段。比如，采用纯手工的方式进行业务的操作；通过介质传输的方式代替网络自动业务操作等。7.5.3相关部门的协调组织的应急预案设计是从组织保护整体利益，降低组织整体风险为基本出发点，因此，对关键业务的应急保护涉及组织的各个部门和各个方面的配合和支持。了解并理顺关键业务部门的关联方式是组织应急预案设计的一个关键。下面的应急响应组织机构图可供参考：a)数据恢复人员包括数据库管理员和系统备份管理员；b)系统恢复人员包括系统管理员、设备供应商、软件供应商；c)基础设施保障人员包括硬件管理人员、网络管理员、网络服务提供商；d)安全