【正文】 威脅；11　 加強文檔控制，針對不同重要級別的文檔對人員有不同的授權(quán)，沒有得到授權(quán)的人員不能訪問文檔；12　 制定安全事件的報告和響應(yīng)流程程序，并對事件進(jìn)行分級，針對不同級別的事件指定不同的事件處理程序；13　 制定詳細(xì)的應(yīng)急預(yù)案，并對應(yīng)急預(yù)案進(jìn)行培訓(xùn)和測試演練，驗證應(yīng)急計劃的可執(zhí)行性和執(zhí)行效果。評估工作應(yīng)符合安全狀態(tài)動態(tài)變化的特點，定期和不定期的評估相結(jié)合，外部評估和內(nèi)部審計相結(jié)合，形成比較完善的保障系統(tǒng)；6　 建議加強對員工進(jìn)行深入的安全培訓(xùn)，全面提升 XX 地稅局信息安全風(fēng)險管理意識和技能水平；7　 加強工程建設(shè)的管理，在安全需求、詳細(xì)設(shè)計階段，加入安全風(fēng)險的分析，將安全控制作為系統(tǒng)功能的一部分予以考慮。信息安全的政策制度應(yīng)含蓋如下幾方面：? 信息安全的目標(biāo)和原則；? 信息安全管理者的職責(zé)；? 違背信息安全策略的后果。5 管理評估綜述 主要問題描述根據(jù)以上安全管理八個方面的分析，對 XX 市地稅局目前在安全管理方面存在的主要問題列舉如下：1　 物理安全方面，機房管理維護(hù)制度落實不好， 對機房出入登記少，在機房內(nèi)的活動限制不好；對設(shè)備以及介質(zhì)資產(chǎn)的管理情況不好，沒有 資產(chǎn)管理辦法作為指導(dǎo)，主機、網(wǎng)絡(luò)設(shè)備等都沒有貼上清晰的 資產(chǎn)標(biāo)識；介質(zhì)也沒有很好的分類管理；2　 政策和制度方面，主要的信息安全方針， 規(guī)章制度都依賴于省局下發(fā)，沒有建立適應(yīng)于地稅局具體情況的安全方針和全面的安全策略；XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 25 頁 共 27 頁3　 機構(gòu)和人員方面，沒有專職的安全員崗位設(shè)置，安全管理人員的責(zé)任和權(quán)利不夠明確?！?　 　XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 24 頁 共 27 頁評 估者查驗文檔資料，驗證是否制定了涉及知識產(chǎn)權(quán)和軟件版權(quán)等方面的規(guī)定； √ 　 　 軟件版權(quán)評 估者查驗系統(tǒng)中使用的軟 件， 選擇使用的幾個軟件作為案例，要求出示使用 許可協(xié)議，是否均有使用許可協(xié)議。 法律符合性符合性包括符合法律要求，對安全策略和技術(shù)符合性的評估，系統(tǒng)審核等，符合法律要求的內(nèi)容覆蓋了明確使用的法律、知識產(chǎn)權(quán)保護(hù)、組織記錄保護(hù)、個人隱私和數(shù)據(jù)保護(hù)，防止信息 設(shè)施濫用、 證據(jù)收集等。　 √ 　評估者查驗文檔資料，驗證是否制定了應(yīng)急計劃； 　 √ 　1評估者查驗應(yīng)急計劃的內(nèi)容，驗證應(yīng)急計劃是否劃分了人員的角色、規(guī)定了人 員的職責(zé)； 　 √ 　 應(yīng)急計劃的制定、 測試和維護(hù)應(yīng)急計劃制定 1評估者選擇一個應(yīng)急計劃案例，要求模擬實施應(yīng)急計劃，驗證應(yīng)急計劃的可 執(zhí)行程度，以及人員和資源方面的保證是否做到　 √ 　1評估者要求出示應(yīng)急計劃的培 訓(xùn)計劃、培訓(xùn)教材、培訓(xùn)合格記錄等文件 　 √ 　1評估者查驗培訓(xùn)教材等材料，驗證是否包括控制手段和恢復(fù)策略的培訓(xùn)內(nèi)容 　 √ 　1評估者查驗培訓(xùn)計劃和培訓(xùn)記錄 等材料，驗證應(yīng)急計劃的培訓(xùn)周期是否符合要求； 　 √ 　1評估者查驗培訓(xùn)計劃和培訓(xùn)記錄 等材料，驗證是否針對新雇員進(jìn)行應(yīng)急計劃的培訓(xùn) 　 √ 　 應(yīng)急計劃的實施保證應(yīng)急計劃的培訓(xùn)1評估者詢問應(yīng)急計劃涉及的相關(guān)人 員， 讓其描述應(yīng)急計劃的執(zhí)行過程，是否與 應(yīng)急計劃的內(nèi)容一致　 √ 　可以看出 XX 市地稅局在業(yè)務(wù)連續(xù)性保障方面還存在很多薄弱環(huán)節(jié)，只在數(shù)據(jù)的備份和恢復(fù)方面做得較好，具體不足之處在于：1　 安全事件處理方面，沒有對故障、事故或災(zāi) 難劃分等級2　 沒有安全事件的規(guī)范報告程序和響應(yīng)程序3　 沒有制定應(yīng)急計劃、方案等制度策略，因而也沒有應(yīng)急計劃的培訓(xùn)和演練4　 沒有對系統(tǒng)中斷事件的可能性及后果進(jìn)行的風(fēng)險評估；針對以上問題，我們建議如下：1　 制定安全事件的報告和響應(yīng)流程程序，并對事件進(jìn)行分級，分級內(nèi)容應(yīng)包括但不限于以下方面：包含不可抗力、設(shè)備故障、病毒爆 發(fā)事件、外部XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 23 頁 共 27 頁網(wǎng)絡(luò)入侵事件、內(nèi)部信息安全事件和內(nèi)部誤操作等。連續(xù)性管理是個非常大的課題，涉及的內(nèi)容非常多，本項目中結(jié)合政府機關(guān)管理的特點，針對以下內(nèi)容 進(jìn)行分析和評估，包括 5 個方面的 17 個問題：安全方面安全要求項問題 是 否 說明評 估者查驗策略、規(guī)范、制度等文檔， 驗證是否制定了備份和恢復(fù)相關(guān)的策略； √ 　 　評 估者查驗內(nèi)容是否包含定期 備份重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件等要求； √ 　 　評 估者查驗是否規(guī)定了重要 業(yè)務(wù)信息的保存期以及永久保存的歸檔拷貝的保存期。 √ 　 　XX 市地稅局存在一些 書面化的操作流程，詳細(xì)規(guī)定了業(yè)務(wù)操作方面的安全內(nèi)容。 √ 　 　 評估者應(yīng)查驗是否有拓?fù)?圖和網(wǎng)段劃分、VLAN 劃分、IP 地址分配說明； √ 　 　訪問控制策略管理　 1評估者應(yīng)詢問網(wǎng)絡(luò)管理員是否保留了主要網(wǎng)絡(luò)節(jié)點（網(wǎng)段劃分、VLAN 劃分、IP 地址分配的說明）的訪問控制列表的備份；√ 　 　1 評估者應(yīng)查驗被評估系統(tǒng) 的防病毒管理規(guī)定，是否包括關(guān)于檢查、記錄、升級和報告的規(guī)定；√ 　 　病毒防護(hù)管理　 1 評估者應(yīng)詢問安全管理人 員，如何 匯報病毒安全狀況，并通過詢問主管領(lǐng)導(dǎo) ，得到 驗證。XX 市地稅局 項目中選擇了對于政府機關(guān)比較重要的 6 大類 21 個方面進(jìn)行了評估：安全方面安全要求項問題 是 否 說明評 估者應(yīng)詢問安全管理人員 是否有人員負(fù)責(zé)機房的出入，外部人員訪問范 圍是否受到限制、活動是否有人監(jiān)督；√ 　 　 評估者應(yīng)觀察被評估系統(tǒng) 機房或重要服務(wù)器是否加鎖，并詢問鑰匙是否由 專人保管； 　 √ 　物理環(huán)境管理機房管理評估者應(yīng)觀察被評估機房及控制室是否沒有茶杯、食品、煙蒂等物品。基于以上現(xiàn)狀，建議 XX 地稅局重點完善以下幾個方面的管理：1　 加強工程設(shè)計、建設(shè)階段的安全比重，在 項目可行性分析、需求研究的 階段加入安全風(fēng)險分析，將安全控制作 為系統(tǒng)功能的一部分予以考慮2　 加強小項目的安全質(zhì)量的控制管理XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 18 頁 共 27 頁3　 在項目實施時可以考慮以項目管理的方式提高項目實施的效率和質(zhì)量?！?√ 　安全系統(tǒng)的設(shè)計和采購系統(tǒng)、產(chǎn)品和服務(wù)采購 評估者查驗是否有系統(tǒng)、產(chǎn)品和服務(wù)采購方面的規(guī)程； √ 　 　工程項目的控制和驗收安全系統(tǒng)的測試驗收評 估者要求出示安全系統(tǒng)驗 收的相關(guān)記錄或證據(jù)，表明進(jìn)行了測試和驗 收； 　 √ 　1　 通過評估可以看出，在以前 XX 市地稅局的工程建設(shè)中，基本沒有正 規(guī)的安全需求分析報告，也沒有主管 領(lǐng)導(dǎo)蓋章批準(zhǔn)的需求分析文件。 工程建設(shè)與管理工程建設(shè)管理應(yīng)對風(fēng)險管理應(yīng)該是信息系統(tǒng)的整個生命周期而非僅運維階段，因此在工程建設(shè)階段就充分考慮到信息系統(tǒng)所面臨的威脅和風(fēng)險，將一些風(fēng)險從內(nèi)部解決而不是通過補丁來修正，無論從提高系統(tǒng)安全性還是節(jié)約成本而言都具有積極的意義。2　 通過風(fēng)險評估項目，進(jìn)行翔實的威脅、脆弱性、 風(fēng)險分析，得出詳細(xì)的報告和過程文檔。但是在本次 項目中這些工作卻是重點工作內(nèi)容；在評估中，發(fā)現(xiàn)安全主管領(lǐng)導(dǎo)和安全管理組織的安全風(fēng)險意識都非常強烈，對風(fēng)險管理也有比較深刻的認(rèn)識，因此需要將這種意識拓展，只要全員的安全風(fēng)險意識都有提高，將全面提升 XX 地稅局信息系統(tǒng) 的保障水平。 　 √ 　評 估者要求出示對信息系統(tǒng) 漏洞掃描的具體報告或相關(guān)報告； √ 　 　評 估者查驗漏洞掃描的具體日期，判斷漏洞掃描數(shù)據(jù)的可信程度； √ 　 　脆弱性分析和評估脆弱性的工具掃描 評 估者判斷漏洞掃描范圍是否包括網(wǎng)關(guān) 設(shè)備、網(wǎng)絡(luò)設(shè)備、主機設(shè)備和安全設(shè)備 等。XX 地稅局項 目中安全風(fēng)險管理評估主要是通過訪談等方式了解地稅局當(dāng)前如何利用風(fēng)險評估的方法進(jìn)行信息系統(tǒng)安全的管理。2　 由于政府機關(guān)人員錄用和使用上的特點，在當(dāng)前的環(huán)境下，一些對于關(guān)鍵信息崗位的選、 錄、用 過程中尚不能加入對安全方面的要求，但隨著信息系統(tǒng)重要性的增加，應(yīng)考慮與人事部門協(xié)調(diào)，在今后的關(guān)鍵職位任用時，對人員的安全性予以考慮?！?　 　評 估者查驗文檔資料，驗證是否有人員離崗方面的處理規(guī)定； √ 　 　 人員安全管理人員離崗 評 估者要求出具離崗人員的離 崗手續(xù)資料，查驗是否包括回收證件、設(shè)備等的簽字信息。安全管理組織要求定義組織內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實安全責(zé)任，與安全有關(guān)的授權(quán)過程，同 時，要求管理者能夠識別第三方合作和外包過程中的風(fēng)險，并通過相關(guān)的合同控制安全風(fēng)險。信息安全策略的內(nèi)容應(yīng)涵蓋以下方面：1　 信息安全的目標(biāo)和原則；2　 信息安全管理者的職責(zé)；3　 違背信息安全策略的后果。 √ 　 　在評估過程中，查驗 XX 市地稅局有 總體方針政策，總體方針以上級發(fā)放的方針政策為主。訪談主要對象包括 XX 市地稅局信息安全主管領(lǐng)導(dǎo)，信息中心領(lǐng)導(dǎo)和主管人員等人。應(yīng)完善介質(zhì)管理制度，做到有章可循。物理安全管理方面主要存在以下問題：1　 機房出入方面，對機房出入的登記做得不夠好，沒有嚴(yán)格的登記出入攜帶設(shè)備、對出入人員的身份，出入原因登記