【正文】 審計(jì)員............................................................5 病毒防護(hù)員............................................................5 密鑰管理員（包括證書(shū)管理員、證書(shū)操作員）..............................5 資產(chǎn)管理員............................................................5 安全保衛(wèi)員（機(jī)房安全員）..............................................5 安全協(xié)調(diào)人員..........................................................5 人事管理人員..........................................................5 安全法律顧問(wèn)..........................................................6二、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及設(shè)置原則.................................6 信息安全管理崗位.....................................................6 安全管理員崗位........................................................6 網(wǎng)絡(luò)系統(tǒng)管理員崗位....................................................6 應(yīng)用管理員崗位........................................................6 安全崗位設(shè)置原則.....................................................7 多人負(fù)責(zé)原則..........................................................7 任期有限原則..........................................................7 職責(zé)分離原則..........................................................7 工作分開(kāi)原則..........................................................7 權(quán)限隨崗原則..........................................................7稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)一、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理角色與職責(zé)為有效實(shí)施信息安全管理，保障和實(shí)施稅務(wù)系統(tǒng)的信息安全，在稅務(wù)系統(tǒng)內(nèi)部應(yīng)該建立自己的信息安全管理組織架構(gòu)。因此，總局、省局、地市局每一級(jí)應(yīng)設(shè)置相應(yīng)職能部門(mén)和人員負(fù)責(zé)各級(jí)信息系統(tǒng)安全管理工作?？偩中畔踩I(lǐng)導(dǎo)小組負(fù)責(zé)全國(guó)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全總體規(guī)劃與決策，并領(lǐng)導(dǎo)總局信息系統(tǒng)安全建設(shè)、運(yùn)行、維護(hù)和管理等工作；省局信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)組織落實(shí)上層決策，制定本省決策，并領(lǐng)導(dǎo)本省信息安全工作；地市局信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)落實(shí)上層決策，制定本地市決策，并領(lǐng)導(dǎo)本地市信息安全工作。3． 地市局信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)落實(shí)本省信息系統(tǒng)安全建設(shè)規(guī)劃，制定地市局級(jí)安全規(guī)劃；在全國(guó)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全總體方針以及省級(jí)相關(guān)策略文件的指導(dǎo)下，負(fù)責(zé)組織制定審批本地市信息系統(tǒng)安全策略；負(fù)責(zé)組織細(xì)化上級(jí)規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實(shí)規(guī)章制度；負(fù)責(zé)本地市信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；負(fù)責(zé)審閱地市局信息安全工作報(bào)告；負(fù)責(zé)本地市重大安全事故查處與匯報(bào)工作。安全保衛(wèi)部門(mén)對(duì)信息系統(tǒng)的場(chǎng)地以及系統(tǒng)資產(chǎn)的防災(zāi)、防盜、防破壞等承擔(dān)管理責(zé)任。第2頁(yè)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé) 具體執(zhí)行管理角色對(duì)于信息系統(tǒng)建設(shè)和運(yùn)行維護(hù)的具體執(zhí)行，應(yīng)該有相應(yīng)的安全管理崗位，但由于全國(guó)稅務(wù)系統(tǒng)包括國(guó)家稅務(wù)總局在內(nèi)、各省局、各地市局的具體情況有所差別，不宜在本文檔中直接定義具體的安全崗位，而只是定義了相應(yīng)的安全角色和職責(zé)，各具體機(jī)構(gòu)根據(jù)實(shí)際情況設(shè)置相應(yīng)安全崗位，具體的安全角色和職責(zé)的描述如下。 負(fù)責(zé)組織信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作，并定期進(jìn)行系統(tǒng)漏洞掃描，形成安全評(píng)估報(bào)告；216。 負(fù)責(zé)參與安全事故調(diào)查。 負(fù)責(zé)主機(jī)設(shè)備的日常管理與維護(hù)，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)； 216。 負(fù)責(zé)網(wǎng)絡(luò)的部署以及網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)安全產(chǎn)品的配置、管理與監(jiān)控，并對(duì)關(guān)鍵網(wǎng)絡(luò)配置文件進(jìn)行備份，及時(shí)修補(bǔ)網(wǎng)絡(luò)設(shè)備的漏洞； 216。 編制網(wǎng)絡(luò)設(shè)備的維修、報(bào)損、報(bào)廢等計(jì)劃，報(bào)主管領(lǐng)導(dǎo)審核； 數(shù)據(jù)庫(kù)管理員216。 為安全審計(jì)員提供完整、準(zhǔn)確的數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行活動(dòng)的日志記錄，詳細(xì)記載發(fā)生異常時(shí)的現(xiàn)象、時(shí)間和處理方式，并及時(shí)上報(bào)； 216。 對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行安全配置；督促軟件開(kāi)發(fā)商提供補(bǔ)丁來(lái)修補(bǔ)已發(fā)現(xiàn)的漏洞；216。第4頁(yè)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)安全審計(jì)員216。 協(xié)助安全管理員制定病毒防范操作規(guī)程； 216。 及時(shí)報(bào)告上級(jí)部門(mén)病毒入侵和感染情況，提供感染頻率高和嚴(yán)重性強(qiáng)的病毒的有效解決方案。 負(fù)責(zé)信息技術(shù)部門(mén)全部資產(chǎn)的采購(gòu)、登記、分發(fā)、回收、廢棄等管理。安全協(xié)調(diào)人員216。 還可能負(fù)責(zé)為員工離開(kāi)本單位時(shí)提供與安全相關(guān)的離職規(guī)程。安全管理員崗位安全管理員崗位可以是安全管理員角色和安全審計(jì)員角色的組合，同時(shí)，根據(jù)具體需要，可以兼任病毒管理員和密鑰管理員的角色。應(yīng)用管理員崗位應(yīng)用管理員崗位可以是數(shù)據(jù)庫(kù)管理員角色和應(yīng)用管理員角色的組合。多人負(fù)責(zé)原則對(duì)一些有較高密級(jí)的與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。對(duì)一些重要安全崗位的工作人員應(yīng)該不定期循環(huán)任職，強(qiáng)制實(shí)行輪換、休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)該由不同的人員來(lái)負(fù)責(zé)：對(duì)計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收和傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；訪問(wèn)證件的管理與其它工作；計(jì)算機(jī)操作與信息系統(tǒng)使用媒介的保管等。嚴(yán)格落實(shí)有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項(xiàng)規(guī)定，采取了多種措施防范安全保密有關(guān)事件的發(fā)生，總體上看，我公司網(wǎng)絡(luò)信息安全保密工作做得比較扎實(shí)，效果也比較好，近年來(lái)未發(fā)現(xiàn)失泄密和其他重大安全問(wèn)題。二、計(jì)算機(jī)和網(wǎng)絡(luò)安全情況一是網(wǎng)絡(luò)安全方面。三是日常管理方面切實(shí)抓好外網(wǎng)、網(wǎng)站和應(yīng)用軟件“五層管理”，確?！吧婷苡?jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不涉密”，嚴(yán)格按照保密要求處理光盤(pán)、硬盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等管理、維修和銷(xiāo)毀工作。系統(tǒng)安全有效，暫未出現(xiàn)任何安全隱患。二是強(qiáng)化信息安全教育、提高員工計(jì)算機(jī)技能。對(duì)外來(lái)維護(hù)人員，要求有相關(guān)人員陪同，并對(duì)其身份和處理情況進(jìn)行登記，規(guī)范設(shè)備的維護(hù)和管理。八、安全教育為保證我公司網(wǎng)絡(luò)安全有效地運(yùn)行，減少病毒侵入，我公司就網(wǎng)絡(luò)安全及系統(tǒng)安全的有關(guān)知識(shí)進(jìn)行了培訓(xùn)。（二）加強(qiáng)設(shè)備維護(hù)檢查和記錄，及時(shí)發(fā)現(xiàn)問(wèn)題解決問(wèn)題。（四）檢查中發(fā)現(xiàn)，我們對(duì)于計(jì)算機(jī)整體網(wǎng)絡(luò)和機(jī)房的防范措施跟很多成熟的管理單位有差距，今后首先加強(qiáng)意識(shí)，然后按照規(guī)范進(jìn)行各種管理。在以后的工作中，我們將繼續(xù)加強(qiáng)計(jì)算機(jī)安全意識(shí)教育和防范