【正文】 方面，主要的信息安全方針， 規(guī)章制度都依賴于省局下發(fā)，沒有建立適應(yīng)于地稅局具體情況的安全方針和全面的安全策略；XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 25 頁 共 27 頁3　 機(jī)構(gòu)和人員方面，沒有專職的安全員崗位設(shè)置，安全管理人員的責(zé)任和權(quán)利不夠明確。 法律符合性符合性包括符合法律要求，對安全策略和技術(shù)符合性的評估，系統(tǒng)審核等，符合法律要求的內(nèi)容覆蓋了明確使用的法律、知識產(chǎn)權(quán)保護(hù)、組織記錄保護(hù)、個人隱私和數(shù)據(jù)保護(hù)，防止信息 設(shè)施濫用、 證據(jù)收集等。連續(xù)性管理是個非常大的課題，涉及的內(nèi)容非常多，本項目中結(jié)合政府機(jī)關(guān)管理的特點，針對以下內(nèi)容 進(jìn)行分析和評估，包括 5 個方面的 17 個問題：安全方面安全要求項問題 是 否 說明評 估者查驗策略、規(guī)范、制度等文檔， 驗證是否制定了備份和恢復(fù)相關(guān)的策略； √ 　 　評 估者查驗內(nèi)容是否包含定期 備份重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件等要求； √ 　 　評 估者查驗是否規(guī)定了重要 業(yè)務(wù)信息的保存期以及永久保存的歸檔拷貝的保存期。 √ 　 　 評估者應(yīng)查驗是否有拓?fù)?圖和網(wǎng)段劃分、VLAN 劃分、IP 地址分配說明； √ 　 　訪問控制策略管理　 1評估者應(yīng)詢問網(wǎng)絡(luò)管理員是否保留了主要網(wǎng)絡(luò)節(jié)點（網(wǎng)段劃分、VLAN 劃分、IP 地址分配的說明）的訪問控制列表的備份；√ 　 　1 評估者應(yīng)查驗被評估系統(tǒng) 的防病毒管理規(guī)定，是否包括關(guān)于檢查、記錄、升級和報告的規(guī)定；√ 　 　病毒防護(hù)管理　 1 評估者應(yīng)詢問安全管理人 員，如何 匯報病毒安全狀況，并通過詢問主管領(lǐng)導(dǎo) ，得到 驗證?；谝陨犀F(xiàn)狀，建議 XX 地稅局重點完善以下幾個方面的管理：1　 加強(qiáng)工程設(shè)計、建設(shè)階段的安全比重，在 項目可行性分析、需求研究的 階段加入安全風(fēng)險分析，將安全控制作 為系統(tǒng)功能的一部分予以考慮2　 加強(qiáng)小項目的安全質(zhì)量的控制管理XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 18 頁 共 27 頁3　 在項目實施時可以考慮以項目管理的方式提高項目實施的效率和質(zhì)量。 工程建設(shè)與管理工程建設(shè)管理應(yīng)對風(fēng)險管理應(yīng)該是信息系統(tǒng)的整個生命周期而非僅運維階段，因此在工程建設(shè)階段就充分考慮到信息系統(tǒng)所面臨的威脅和風(fēng)險，將一些風(fēng)險從內(nèi)部解決而不是通過補(bǔ)丁來修正，無論從提高系統(tǒng)安全性還是節(jié)約成本而言都具有積極的意義。但是在本次 項目中這些工作卻是重點工作內(nèi)容；在評估中，發(fā)現(xiàn)安全主管領(lǐng)導(dǎo)和安全管理組織的安全風(fēng)險意識都非常強(qiáng)烈，對風(fēng)險管理也有比較深刻的認(rèn)識，因此需要將這種意識拓展，只要全員的安全風(fēng)險意識都有提高，將全面提升 XX 地稅局信息系統(tǒng) 的保障水平。XX 地稅局項 目中安全風(fēng)險管理評估主要是通過訪談等方式了解地稅局當(dāng)前如何利用風(fēng)險評估的方法進(jìn)行信息系統(tǒng)安全的管理。√ 　 　評 估者查驗文檔資料，驗證是否有人員離崗方面的處理規(guī)定； √ 　 　 人員安全管理人員離崗 評 估者要求出具離崗人員的離 崗手續(xù)資料，查驗是否包括回收證件、設(shè)備等的簽字信息。信息安全策略的內(nèi)容應(yīng)涵蓋以下方面：1　 信息安全的目標(biāo)和原則；2　 信息安全管理者的職責(zé)；3　 違背信息安全策略的后果。訪談主要對象包括 XX 市地稅局信息安全主管領(lǐng)導(dǎo)，信息中心領(lǐng)導(dǎo)和主管人員等人。物理安全管理方面主要存在以下問題：1　 機(jī)房出入方面，對機(jī)房出入的登記做得不夠好，沒有嚴(yán)格的登記出入攜帶設(shè)備、對出入人員的身份，出入原因登記也不夠詳細(xì) 。角 色 人員列表評估人員 梁立新、梁志、趙白、朱寧寧地稅配合人員 XXX、XXX 工作持續(xù)時間工作項 內(nèi)容 工作量 持續(xù)時間文檔調(diào)研（準(zhǔn)備、搜集、接收、鑒別與整理）文檔調(diào)查表 224 個文檔 1 天物理安全 18項政策和制度 4項機(jī)構(gòu)與人員 9項安全風(fēng)險管理 10項工程建設(shè)與管理 6項運行與維護(hù)管理 21項安全管理文檔分析與訪談業(yè)務(wù)連續(xù)性管理 17項 天XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 8 頁 共 27 頁其他管理要求 4項高管訪談 安全管理綜合訪談 21項 天 工作結(jié)束準(zhǔn)則完成文檔搜集、接收、鑒別、整理；分析文檔完成管理 調(diào)研調(diào)查表的填寫，和高管的訪談，得出翔實的安全管理評估報告，并通 過 XX 地稅局的驗收。? 鑒別——負(fù)責(zé)分析的顧問對于搜集到的每一個策略文檔進(jìn)行快速的瀏覽，迅速判斷該文檔的主要內(nèi)容和文檔類型，并決定該文檔是否應(yīng)當(dāng)進(jìn)行詳細(xì)閱讀和分析。 技術(shù)先進(jìn)性1　 有專業(yè)的評估工具，標(biāo)準(zhǔn)的調(diào)查表格2　 有規(guī)范的評估方法和流程3　 有經(jīng)驗豐富，對安全管理有深入了解的專家隊伍對各方面安全管理策略進(jìn)行分析4　 有十分深厚的風(fēng)險評估實施經(jīng)驗，科學(xué)的報告編制方法。分析特別注重對策略的全面性（包括內(nèi)容和體系）、技術(shù)和理論的先進(jìn)性，從而找出 XX 市地稅局在信息安全管理制度和策略方面的薄弱點。在本報告中，對 XX 市地稅局提供的所有與 計算機(jī)管理和計算機(jī)網(wǎng)絡(luò)安全相關(guān)的策略、規(guī)章制度、工作流程、培 訓(xùn)教材等資料進(jìn) 行分析。安全策略文檔的選擇原則以全面為主，主要可以分為以下三個方面：1　 以 XX 地稅局現(xiàn)有的執(zhí)行的策略為主2　 內(nèi)容涉及安全管理3　 現(xiàn)行和即將發(fā)行的所有策略文檔安全策略文檔的分析方法是采用收集所有策略文檔，并根據(jù)相關(guān)標(biāo)準(zhǔn)（ISO17799）對現(xiàn)有安全策略文檔進(jìn)行鑒別處理，然后通過訪談的形式確認(rèn)現(xiàn)有安全策略的完整性和可用性，依據(jù)分析標(biāo)準(zhǔn)對安全策略文檔進(jìn)行分析，得到現(xiàn)有安全策略現(xiàn)狀和存在的問題。作為資料接收的原始記錄，需要對每個接收文檔進(jìn)行登記，并形成文檔原始接收記錄。 主要參與者下表列出了在這一過程要素中的主要參與者和他們在管理評估中的角色。 √機(jī)房接地與防雷擊1評估者應(yīng)訪談和查驗機(jī)房接地是否按現(xiàn)行國家有關(guān)標(biāo)準(zhǔn)執(zhí)行；√機(jī)房電磁防護(hù)1評估者應(yīng)訪談和查驗機(jī)房選址是否避開強(qiáng)電磁場干擾 √1評估者應(yīng)訪談和查驗電源線是否遠(yuǎn)離計算機(jī)信號線,并避免了并排敷設(shè)，當(dāng)不能避免時，是否采取相應(yīng)的屏蔽措施√通線路安全　1評估者應(yīng)訪談和查驗布線是否都具有清晰明顯的標(biāo)識 √設(shè)備安全 　1評估者應(yīng)查驗是否安裝了必要的防盜保護(hù)設(shè)施，以防止對機(jī)房內(nèi)重要設(shè)備的盜竊和破壞行為√XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 10 頁 共 27 頁1評估者應(yīng)查驗存放重要數(shù)據(jù)和軟件的各類記錄介質(zhì)（如紙介質(zhì)、磁介質(zhì)、半導(dǎo)體介質(zhì)和光介質(zhì)等）是否存放在加鎖的柜中，防止介質(zhì)被盜、被毀以及信息的非法泄漏√介質(zhì)安全 　1評估者應(yīng)查驗介質(zhì)的歸檔和查詢是否有記錄，并對存檔介質(zhì)的目錄清單至少一年盤點一次√由上表可見：物理安全，尤其是機(jī)房的安全保障 XX 市地稅局信息中心做的相對完善，機(jī)房是根據(jù)國家有關(guān)機(jī)房的建設(shè)標(biāo)準(zhǔn)建立的，各種保護(hù)措施都比較規(guī)范。信息安全政策和制度的評估主要通過與 XX 市地稅局相關(guān)崗位人員訪談和制度收集分析的方法。具體來 說，包括以下幾點：()1　 依據(jù) XX 市地稅局的基本要求，建立適 應(yīng)于地稅局具體情況的安全方針和全面的安全策略；2　 依據(jù)地稅局信息中心以及涉及信息系統(tǒng)安全的其他部門的情況，建立適應(yīng)各部門情況的安全管理辦法并完善操作流程中的安全規(guī)范。√ 　 　安全管理人員總體是否符合 　 　 　評 估者查驗文檔資料，驗證是否有人員錄用方面的規(guī)定； √ 　 　人員錄用評 估者要求出具錄用人員的相關(guān)登 記資料，查驗是否包括身份的真實 性、工作的經(jīng)歷、技術(shù)專業(yè)資格或能力等信息 驗證的過程。 安全風(fēng)險管理風(fēng)險管理是信息安全管理的重要方法，風(fēng)險管理的方法應(yīng)該持續(xù)在整個信息系統(tǒng)生命周期。 　 √ 　XX 地稅局在安全 風(fēng)險管理方面表現(xiàn)一般，以前沒有做過威脅分析、脆弱性分析以及風(fēng)險分析，因而也就沒有相關(guān)的報告，文件可查。4　 加大人員安全培訓(xùn)工作的深度和廣度，全面提升 XX 市地稅局信息安全風(fēng)險管理意識和技能水平。2　 對與規(guī)模較小的項目，基本沒有正式的需求報告；3　 對于建設(shè)方案，基本沒有對應(yīng)的安全詳細(xì)設(shè)計方案；4　 在驗收過程中，也基本沒有安全性的檢驗方法和要求，主要以實現(xiàn)功能為目的，安全性考慮較少。 √ 　 　　工作站管理評 估者應(yīng)詢問安全管理人員 被評估系統(tǒng)規(guī)定的工作站口令策略； 　 √ 　 評估者應(yīng)詢問安全管理人 員被評估系統(tǒng)是否規(guī)定了便攜機(jī)口令策略； 　 √ 　設(shè)備使用管理便攜機(jī)管理 評估者應(yīng)詢問便攜機(jī)使用人 員，如何 進(jìn)行便攜機(jī)的資產(chǎn)轉(zhuǎn)移或清退。 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理只有一個控制目標(biāo)：業(yè)務(wù)連續(xù)性管理的各個方面，要求制定相應(yīng)策略和管理制度，消除政 務(wù)活動受到干擾，保 護(hù) 關(guān)鍵政務(wù)活動不受重大故障或者災(zāi)難的影響。5　 進(jìn)一步完善流程類、操作類的策略，提高 應(yīng)急預(yù)案的總體流程框架下的可操作性。針對 XX 市地稅局目前的狀況，我們建議進(jìn)行如下措施的改進(jìn)：1　 完善檢查制度，加大處罰措施，增 設(shè)必要的審計控制軟件，防止工作 設(shè)備和資源的濫用；2　 完善各種安全流程和技術(shù)標(biāo)準(zhǔn)，增加執(zhí)行檢查力度，將周期性的檢查結(jié)果作為績效考核的重要依據(jù)，保 證各種制度的落實。為以后的安全建 設(shè)以及管理做好依據(jù)和基準(zhǔn)