【正文】 ............................................................................................14 工程建設(shè)與管理 ......................................................................................................16XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 2 頁 共 27 頁 運(yùn)行與維護(hù)管理 ......................................................................................................18 業(yè)務(wù)連續(xù)性管理 ......................................................................................................21 法律符合性 ..............................................................................................................235 管理評估綜述 ...........................................................................................24 主要問題描述 ..........................................................................................................24 改進(jìn)建議 .................................................................................................................25XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 3 頁 共 27 頁1 概述根據(jù)《XX 省人民政府信息化工作辦公室關(guān)于印發(fā)信息安全風(fēng)險評估試點工作實施方案 的通知》文件精神，XX 省信息安全測評 中心承擔(dān)了 XX 市地稅局“征管信息系 統(tǒng)” 的風(fēng)險評 估工作。安全管理評估是對現(xiàn)有安全策略以及即將使用的安全策略文檔進(jìn)行全面調(diào)研，總結(jié) 并發(fā)現(xiàn)安全策略文檔的弱點，分別從文檔內(nèi)容、策略文檔體系、文檔適用范圍、文檔發(fā)布和執(zhí)行情況、文檔格式與控制等幾個方面進(jìn)行評估。搜集的范圍包括信息安全管理相關(guān)的規(guī)定、流程、指南、通知、條例、處理辦法等任何正式成文的內(nèi)容。所有的需要分析的文檔粗略閱讀完成后，安排與 XX 市地稅局信息中心策略負(fù)責(zé)人的訪談答疑，進(jìn)一步理解安全策略的體系和內(nèi)容?！虣C(jī)房防火評 估者應(yīng)訪談和查驗機(jī)房是否設(shè)有滅火設(shè)備，工作人員是否熟悉滅火流程√機(jī)房安全機(jī)房供配電評 估者應(yīng)查驗機(jī)房內(nèi)其它電力負(fù)荷是否與計算機(jī)主機(jī)電源和不間斷電源系統(tǒng)分開供電，并設(shè)置專用動力配電箱√XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 9 頁 共 27 頁評 估者應(yīng)訪談和查驗在機(jī)房電源接入處是否設(shè)置總開關(guān)或緊急斷路器，以備出現(xiàn)緊急故障時能夠及時切斷電源，總開關(guān)是否做標(biāo)記并用防護(hù)罩保護(hù)以防意外斷電。應(yīng)完善介質(zhì)管理制度，做到有章可循。 √ 　 　在評估過程中，查驗 XX 市地稅局有 總體方針政策，總體方針以上級發(fā)放的方針政策為主。安全管理組織要求定義組織內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實安全責(zé)任，與安全有關(guān)的授權(quán)過程，同 時，要求管理者能夠識別第三方合作和外包過程中的風(fēng)險，并通過相關(guān)的合同控制安全風(fēng)險。2　 由于政府機(jī)關(guān)人員錄用和使用上的特點，在當(dāng)前的環(huán)境下，一些對于關(guān)鍵信息崗位的選、 錄、用 過程中尚不能加入對安全方面的要求，但隨著信息系統(tǒng)重要性的增加，應(yīng)考慮與人事部門協(xié)調(diào)，在今后的關(guān)鍵職位任用時，對人員的安全性予以考慮。 　 √ 　評 估者要求出示對信息系統(tǒng) 漏洞掃描的具體報告或相關(guān)報告； √ 　 　評 估者查驗漏洞掃描的具體日期，判斷漏洞掃描數(shù)據(jù)的可信程度； √ 　 　脆弱性分析和評估脆弱性的工具掃描 評 估者判斷漏洞掃描范圍是否包括網(wǎng)關(guān) 設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備和安全設(shè)備 等。2　 通過風(fēng)險評估項目，進(jìn)行翔實的威脅、脆弱性、 風(fēng)險分析，得出詳細(xì)的報告和過程文檔。　 √ 　安全系統(tǒng)的設(shè)計和采購系統(tǒng)、產(chǎn)品和服務(wù)采購 評估者查驗是否有系統(tǒng)、產(chǎn)品和服務(wù)采購方面的規(guī)程； √ 　 　工程項目的控制和驗收安全系統(tǒng)的測試驗收評 估者要求出示安全系統(tǒng)驗 收的相關(guān)記錄或證據(jù)，表明進(jìn)行了測試和驗 收； 　 √ 　1　 通過評估可以看出，在以前 XX 市地稅局的工程建設(shè)中，基本沒有正 規(guī)的安全需求分析報告，也沒有主管 領(lǐng)導(dǎo)蓋章批準(zhǔn)的需求分析文件。XX 市地稅局 項目中選擇了對于政府機(jī)關(guān)比較重要的 6 大類 21 個方面進(jìn)行了評估：安全方面安全要求項問題 是 否 說明評 估者應(yīng)詢問安全管理人員 是否有人員負(fù)責(zé)機(jī)房的出入，外部人員訪問范 圍是否受到限制、活動是否有人監(jiān)督；√ 　 　 評估者應(yīng)觀察被評估系統(tǒng) 機(jī)房或重要服務(wù)器是否加鎖，并詢問鑰匙是否由 專人保管； 　 √ 　物理環(huán)境管理機(jī)房管理評估者應(yīng)觀察被評估機(jī)房及控制室是否沒有茶杯、食品、煙蒂等物品。 √ 　 　XX 市地稅局存在一些 書面化的操作流程，詳細(xì)規(guī)定了業(yè)務(wù)操作方面的安全內(nèi)容?！?√ 　評估者查驗文檔資料，驗證是否制定了應(yīng)急計劃； 　 √ 　1評估者查驗應(yīng)急計劃的內(nèi)容，驗證應(yīng)急計劃是否劃分了人員的角色、規(guī)定了人 員的職責(zé)； 　 √ 　 應(yīng)急計劃的制定、 測試和維護(hù)應(yīng)急計劃制定 1評估者選擇一個應(yīng)急計劃案例，要求模擬實施應(yīng)急計劃，驗證應(yīng)急計劃的可 執(zhí)行程度，以及人員和資源方面的保證是否做到　 √ 　1評估者要求出示應(yīng)急計劃的培 訓(xùn)計劃、培訓(xùn)教材、培訓(xùn)合格記錄等文件 　 √ 　1評估者查驗培訓(xùn)教材等材料，驗證是否包括控制手段和恢復(fù)策略的培訓(xùn)內(nèi)容 　 √ 　1評估者查驗培訓(xùn)計劃和培訓(xùn)記錄 等材料，驗證應(yīng)急計劃的培訓(xùn)周期是否符合要求； 　 √ 　1評估者查驗培訓(xùn)計劃和培訓(xùn)記錄 等材料，驗證是否針對新雇員進(jìn)行應(yīng)急計劃的培訓(xùn) 　 √ 　 應(yīng)急計劃的實施保證應(yīng)急計劃的培訓(xùn)1評估者詢問應(yīng)急計劃涉及的相關(guān)人 員， 讓其描述應(yīng)急計劃的執(zhí)行過程，是否與 應(yīng)急計劃的內(nèi)容一致　 √ 　可以看出 XX 市地稅局在業(yè)務(wù)連續(xù)性保障方面還存在很多薄弱環(huán)節(jié)，只在數(shù)據(jù)的備份和恢復(fù)方面做得較好，具體不足之處在于：1　 安全事件處理方面，沒有對故障、事故或災(zāi) 難劃分等級2　 沒有安全事件的規(guī)范報告程序和響應(yīng)程序3　 沒有制定應(yīng)急計劃、方案等制度策略，因而也沒有應(yīng)急計劃的培訓(xùn)和演練4　 沒有對系統(tǒng)中斷事件的可能性及后果進(jìn)行的風(fēng)險評估；針對以上問題，我們建議如下：1　 制定安全事件的報告和響應(yīng)流程程序，并對事件進(jìn)行分級，分級內(nèi)容應(yīng)包括但不限于以下方面：包含不可抗力、設(shè)備故障、病毒爆 發(fā)事件、外部XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 23 頁 共 27 頁網(wǎng)絡(luò)入侵事件、內(nèi)部信息安全事件和內(nèi)部誤操作等?！?　 　XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 24 頁 共 27 頁評 估者查驗文檔資料，驗證是否制定了涉及知識產(chǎn)權(quán)和軟件版權(quán)等方面的規(guī)定； √ 　 　 軟件版權(quán)評 估者查驗系統(tǒng)中使用的軟 件， 選擇使用的幾個軟件作為案例，要求出示使用 許可協(xié)議，是否均有使用許可協(xié)議。信息安全的政策制度應(yīng)含蓋如下幾方面：? 信息安全的目標(biāo)和原則；? 信息安全管理者的職責(zé)；? 違背信息安全策略的后果。減輕來自地方放人員的安全威脅；11　 加強(qiáng)文檔控制，針對不同重要級別的文檔對人員有不同的授權(quán)，沒有得到授權(quán)的人員不能訪問文檔；12　 制定安全事件的報告和響應(yīng)流程程序，并對事件進(jìn)行分級，針對不同級別的事件指定不同的事件處理程序；13　 制定詳細(xì)的應(yīng)急預(yù)案，并對應(yīng)急預(yù)案進(jìn)行培訓(xùn)和測試演練，驗證應(yīng)急計劃的可執(zhí)行性和執(zhí)行效果。規(guī)范對計算機(jī)終端以及便攜設(shè)XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 27 頁 共 27 頁備的接入以及設(shè)置，減少因終端問題對信息系統(tǒng)造成影響。 改進(jìn)建議針對當(dāng)前 XX 地稅局在安全管理方面存在的疏漏和問題，我們給出以下的改進(jìn)建議：1　 加強(qiáng)機(jī)房管理制度的落實，做到制度一經(jīng)發(fā)布，嚴(yán)格執(zhí)行，對違反規(guī)定情況給予適當(dāng)處罰，以加強(qiáng)執(zhí) 行效果；2　 制定規(guī)范的資產(chǎn)管理辦法和介質(zhì)管理辦法，并部署資產(chǎn)管理系統(tǒng)軟件。系統(tǒng)審核的目 標(biāo)是將系統(tǒng)審計程序的效力提升到最高，將其對系統(tǒng)的影響降到最低。 √ 　 　評 估者查驗文檔資料，驗證是否對故障、事故或災(zāi)難的情況劃分了級別； 　 √ 　故障事故及災(zāi)難的劃分評 估者查驗級別劃分的內(nèi)容是否包含不