【正文】 行全面調(diào)研，總結(jié) 并發(fā)現(xiàn)安全策略文檔的弱點(diǎn)，分別從文檔內(nèi)容、策略文檔體系、文檔適用范圍、文檔發(fā)布和執(zhí)行情況、文檔格式與控制等幾個(gè)方面進(jìn)行評(píng)估。 評(píng)估范圍和內(nèi)容本次安全管理體系評(píng)估側(cè)重于管理架構(gòu)的合理和安全策略的完善，評(píng)估范圍包括以下 8 個(gè)方面：1　 物理安全2　 政策和制度3　 機(jī)構(gòu)和人員4　 安全風(fēng)險(xiǎn)管理5　 工程建設(shè)與管理6　 運(yùn)行維護(hù)與管理7　 業(yè)務(wù)連續(xù)性管理8　 其他管理要求安全策略文檔的分析對(duì)象包括所有正在使用或即將使用的安全策略文檔，XX 市地稅局信息系 統(tǒng) 信息安全管理 評(píng) 估 報(bào) 告第 5 頁(yè) 共 27 頁(yè)包括安全方針（綱要）、技術(shù)標(biāo)準(zhǔn)（規(guī)范）、管理制度、操作流程、用戶(hù)協(xié)議、安全培訓(xùn)資料等涉及安全的策略文檔。 評(píng)估方法管理評(píng)估分為文檔檢查和訪談兩種方式。安全策略文檔的選擇原則以全面為主，主要可以分為以下三個(gè)方面：1　 以 XX 地稅局現(xiàn)有的執(zhí)行的策略為主2　 內(nèi)容涉及安全管理3　 現(xiàn)行和即將發(fā)行的所有策略文檔安全策略文檔的分析方法是采用收集所有策略文檔，并根據(jù)相關(guān)標(biāo)準(zhǔn)（ISO17799）對(duì)現(xiàn)有安全策略文檔進(jìn)行鑒別處理，然后通過(guò)訪談的形式確認(rèn)現(xiàn)有安全策略的完整性和可用性，依據(jù)分析標(biāo)準(zhǔn)對(duì)安全策略文檔進(jìn)行分析，得到現(xiàn)有安全策略現(xiàn)狀和存在的問(wèn)題。 技術(shù)先進(jìn)性1　 有專(zhuān)業(yè)的評(píng)估工具，標(biāo)準(zhǔn)的調(diào)查表格2　 有規(guī)范的評(píng)估方法和流程3　 有經(jīng)驗(yàn)豐富，對(duì)安全管理有深入了解的專(zhuān)家隊(duì)伍對(duì)各方面安全管理策略進(jìn)行分析4　 有十分深厚的風(fēng)險(xiǎn)評(píng)估實(shí)施經(jīng)驗(yàn)，科學(xué)的報(bào)告編制方法。3 評(píng)估過(guò)程 分析過(guò)程 文檔分析準(zhǔn)備在開(kāi)始文檔分析之前，需要做出一些相應(yīng)的準(zhǔn)備工作：XX 市地稅局信息系 統(tǒng) 信息安全管理 評(píng) 估 報(bào) 告第 6 頁(yè) 共 27 頁(yè)? 通過(guò)與地稅局的溝通，獲得相關(guān)策略文檔數(shù)量的估計(jì)；? 要求地稅局開(kāi)始搜集相關(guān)的策略文檔；? 根據(jù)文檔的估計(jì)量，確定參加分析的文檔數(shù)量。 文檔搜集、接收、鑒別、整理本部分工作將描繪整個(gè)策略文檔的粗略框架。? 搜集——地稅局將負(fù)責(zé)策略文檔的搜集。搜集的范圍包括信息安全管理相關(guān)的規(guī)定、流程、指南、通知、條例、處理辦法等任何正式成文的內(nèi)容。這些文檔可以是已經(jīng)正式發(fā)布的，也可以是正在編制和修改的，包括XX 地稅局下 發(fā)的和編寫(xiě)的。? 接收——對(duì)于收集到的所有策略文檔，地稅局提交給分析小組。作為資料接收的原始記錄，需要對(duì)每個(gè)接收文檔進(jìn)行登記，并形成文檔原始接收記錄。? 鑒別——負(fù)責(zé)分析的顧問(wèn)對(duì)于搜集到的每一個(gè)策略文檔進(jìn)行快速的瀏覽，迅速判斷該文檔的主要內(nèi)容和文檔類(lèi)型，并決定該文檔是否應(yīng)當(dāng)進(jìn)行詳細(xì)閱讀和分析。? 整理——對(duì)經(jīng)過(guò)鑒別的文檔進(jìn)行編號(hào)和整理成策略文檔分析清單。通過(guò)對(duì)所有接收的文檔進(jìn)行整理，會(huì)發(fā)現(xiàn)有某些方面的文檔有缺失，此時(shí)可以與地稅局進(jìn)行溝通，提醒并幫助地稅局挖掘和搜集其他可能存在的策略文檔。 策略文檔分析與答疑負(fù)責(zé)分析的顧問(wèn)對(duì)策略文檔進(jìn)行泛讀，粗略瀏覽文檔的內(nèi)容和體系結(jié)構(gòu)，把發(fā)現(xiàn)的問(wèn)題記錄下來(lái)。所有的需要分析的文檔粗略閱讀完成后，安排與 XX 市地稅局信息中心策略負(fù)責(zé)人的訪談答疑，進(jìn)一步理解安全策略的體系和內(nèi)容。XX 市地稅局信息系 統(tǒng) 信息安全管理 評(píng) 估 報(bào) 告第 7 頁(yè) 共 27 頁(yè) 文檔體系的分析在經(jīng)過(guò)了對(duì)每個(gè)現(xiàn)有文檔的分析，總結(jié)得出整個(gè)策略文檔體系的概貌和意見(jiàn)。文檔體系的分析包括從整體的角度來(lái)分析文檔內(nèi)容和文檔體系的完整性，對(duì)于現(xiàn)有策略文檔體系的結(jié)構(gòu)完整性、詳盡程度等方面提出建議、意見(jiàn)，最 終形成一個(gè)結(jié)論，并給出文檔體系的改進(jìn)建議， 輸出報(bào)告。 主要參與者下表列出了在這一過(guò)程要素中的主要參與者和他們?cè)诠芾碓u(píng)估中的角色。角 色 人員列表評(píng)估人員 梁立新、梁志、趙白、朱寧寧地稅配合人員 XXX、XXX 工作持續(xù)時(shí)間工作項(xiàng) 內(nèi)容 工作量 持續(xù)時(shí)間文檔調(diào)研（準(zhǔn)備、搜集、接收、鑒別與整理）文檔調(diào)查表 224 個(gè)文檔 1 天物理安全 18項(xiàng)政策和制度 4項(xiàng)機(jī)構(gòu)與人員 9項(xiàng)安全風(fēng)險(xiǎn)管理 10項(xiàng)工程建設(shè)與管理 6項(xiàng)運(yùn)行與維護(hù)管理 21項(xiàng)安全管理文檔分析與訪談業(yè)務(wù)連續(xù)性管理 17項(xiàng) 天XX 市地稅局信息系 統(tǒng) 信息安全管理 評(píng) 估 報(bào) 告第 8 頁(yè) 共 27 頁(yè)其他管理要求 4項(xiàng)高管訪談 安全管理綜合訪談 21項(xiàng) 天 工作結(jié)束準(zhǔn)則完成文檔搜集、接收、鑒別、整理；分析文檔完成管理 調(diào)研調(diào)查表的填寫(xiě)，和高管的訪談，得出翔實(shí)的安全管理評(píng)估報(bào)告，并通 過(guò) XX 地稅局的驗(yàn)收。4 管理弱點(diǎn)評(píng)估 物理安全管理物理安全管理是信息安全保障的基礎(chǔ)，是信息系統(tǒng)的支撐，XX 市地稅局物理安全相關(guān)的主要管理制度和安全策略為：《XX 地稅市局機(jī)房維護(hù)制度（2020）》。物理安全管理的評(píng)估方法是用戶(hù)訪談和機(jī)房檢查。在本項(xiàng)目中對(duì)物理安全管理的評(píng)估包括以下 4 個(gè)層面共 18 個(gè)問(wèn)題：安全方面安全項(xiàng) 問(wèn)題 是 否 說(shuō)明評(píng) 估者應(yīng)查驗(yàn)機(jī)房是否設(shè)有值班室，人員出入主機(jī)房和工作間時(shí)是否更衣?lián)Q鞋，至少應(yīng)該換鞋；√機(jī)房出入 評(píng) 估者應(yīng)查驗(yàn)出入機(jī)房的所有人員是否在值班室詳細(xì)登記，攜帶設(shè)備是否同時(shí)標(biāo)記清楚?！虣C(jī)房防火評(píng) 估者應(yīng)訪談和查驗(yàn)機(jī)房是否設(shè)有滅火設(shè)備，工作人員是否熟悉滅火流程√機(jī)房安全機(jī)房供配電評(píng) 估者應(yīng)查驗(yàn)機(jī)房?jī)?nèi)其它電力負(fù)荷是否與計(jì)算機(jī)主機(jī)電源和不間斷電源系統(tǒng)分開(kāi)供電，并設(shè)置專(zhuān)用動(dòng)力配電箱√XX 市地稅局信息系 統(tǒng) 信息安全管理 評(píng) 估 報(bào) 告第 9 頁(yè) 共 27 頁(yè)評(píng) 估者應(yīng)訪談和查驗(yàn)在機(jī)房電源接入處是否設(shè)置總開(kāi)關(guān)或緊急斷路器，以備出現(xiàn)緊急故障時(shí)能夠及時(shí)切斷電源，總開(kāi)關(guān)是否做標(biāo)記并用防護(hù)罩保護(hù)以防意外斷電?！虣C(jī)房空調(diào)降溫評(píng) 估者應(yīng)查驗(yàn)溫度監(jiān)測(cè)控制點(diǎn)在機(jī)房?jī)?nèi)是否分布均勻有效，機(jī)房溫度是否滿(mǎn)足設(shè)備正常運(yùn)行√評(píng) 估者應(yīng)查驗(yàn)機(jī)房?jī)?nèi)或周?chē)挠盟O(shè)備，是否采取有效的防止給排水漫溢和滲漏的措施；√評(píng) 估者應(yīng)查驗(yàn)濕度監(jiān)測(cè)控制點(diǎn)在機(jī)房?jī)?nèi)是否分布均勻有效，機(jī)房的濕度是否滿(mǎn)足設(shè)備正常運(yùn)行；√機(jī)房防水防潮評(píng) 估者應(yīng)查驗(yàn)是否采取措施防止雨水通過(guò)屋頂和墻壁滲透以及室內(nèi)水蒸氣結(jié)露等現(xiàn)象的發(fā)生?！淘u(píng)估者應(yīng)查驗(yàn)機(jī)房?jī)?nèi)是否采用了防靜電的活動(dòng)地板； √機(jī)房防靜電 1評(píng)估者應(yīng)查驗(yàn)設(shè)備是否有良好的接地措施。 √機(jī)房接地與防雷擊1評(píng)估者應(yīng)訪談和查驗(yàn)機(jī)房接地是否按現(xiàn)行國(guó)家有關(guān)標(biāo)準(zhǔn)執(zhí)行；√機(jī)房電磁防護(hù)1評(píng)估者應(yīng)訪談和查驗(yàn)機(jī)房選址是否避開(kāi)強(qiáng)電磁場(chǎng)干擾 √1評(píng)估者應(yīng)訪談和查驗(yàn)電源線是否遠(yuǎn)離計(jì)算機(jī)信號(hào)線,并避免了并排敷設(shè)，當(dāng)不能避免時(shí)，是否采取相應(yīng)的屏蔽措施√通線路安全　1評(píng)估者應(yīng)訪談和查驗(yàn)布線是否都具有清晰明顯的標(biāo)識(shí) √設(shè)備安全 　1評(píng)估者應(yīng)查驗(yàn)是否安裝了必要的防盜保護(hù)設(shè)施，以防止對(duì)機(jī)房?jī)?nèi)重要設(shè)備的盜竊和破壞行為√XX 市地稅局信息系 統(tǒng) 信息安全管理 評(píng) 估 報(bào) 告第 10 頁(yè) 共 27 頁(yè)1評(píng)估者應(yīng)查驗(yàn)存放重要數(shù)據(jù)和軟件的各類(lèi)記錄介質(zhì)（如紙介質(zhì)、磁介質(zhì)、半導(dǎo)體介質(zhì)和光介質(zhì)等）是否存放在加鎖的柜中，防止介質(zhì)被盜、被毀以及信息的非法泄漏√介質(zhì)安全 　1評(píng)估者應(yīng)查驗(yàn)介質(zhì)的歸檔和查詢(xún)是否有記錄，并對(duì)存檔介質(zhì)的目錄清單至少一年盤(pán)點(diǎn)一次√由上表可見(jiàn)：物理安全，尤其是機(jī)房的安全保障 XX 市地稅局信息中心做的相對(duì)完善，機(jī)房是根據(jù)國(guó)家有關(guān)機(jī)房的建設(shè)標(biāo)準(zhǔn)建立的，各種保護(hù)措施都比較規(guī)范。物理安全管理方面主要存在以下問(wèn)題：1　 機(jī)房出入方面，對(duì)機(jī)房出入的登記做得不夠好，沒(méi)有嚴(yán)格的登記出入攜帶設(shè)備、對(duì)出入人員的身份，出入原因登記也不夠詳細(xì) 。建 議嚴(yán)格執(zhí)行機(jī)房的安全管理制度，制定更規(guī)范的機(jī)房出入登記表格，規(guī)范出入登記；2　 介質(zhì)安全方面，沒(méi)有對(duì)介質(zhì)進(jìn)行合理分類(lèi)歸檔，也沒(méi)有對(duì)介質(zhì)的查詢(xún)做記錄。缺乏必要的制度規(guī)范介質(zhì)管理和使用，過(guò)于依 賴(lài)人員， 這和整體的資產(chǎn)管理制度不健全相關(guān)。目前介質(zhì)的管理方式容易引起數(shù)據(jù)完整性的損壞或者版權(quán)方面的問(wèn)題。應(yīng)完善介質(zhì)管理制度，做到有章可循。 政策和制度安全政策和制度是為信息安全活動(dòng)提供管理方向以及所需的支持手段和管理層的承諾，同時(shí)安全策略 還應(yīng)明確定義組織中安全策略的維護(hù)責(zé)任。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運(yùn)轉(zhuǎn)機(jī)制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡(jiǎn) 要說(shuō)明以及對(duì)于機(jī)構(gòu)有其重要的規(guī)范實(shí)施條件的解XX 市地稅局信息系 統(tǒng) 信息安全管理 評(píng) 估 報(bào) 告第 11 頁(yè) 共 27 頁(yè)釋?zhuān)魂U述信息安全的職責(zé)等等。信息安全政策和制度的評(píng)估主要通過(guò)與 XX 市地稅局相關(guān)崗位人員訪談和制度收集分析的方法。訪談主要對(duì)象包括 XX 市地稅局信息安全主管領(lǐng)導(dǎo)，信息中心領(lǐng)導(dǎo)和主管人員等人。XX 市地稅局的信息安全政策和制度以文件為主， 輔助于各處自身的制度、手冊(cè)、指南等。在本次評(píng)估過(guò)程中主要收集和分析了以下文件： 1　 XX 地稅 計(jì)算機(jī)系統(tǒng)管理制度2　 XX 市地方稅 務(wù)局網(wǎng)絡(luò)安全管理制度3　 XX 市地方稅 務(wù)局網(wǎng)絡(luò)運(yùn)行維護(hù)管理制度4　 系統(tǒng)數(shù)據(jù)庫(kù)口令管理5　 2020 年信息化工作要點(diǎn)