【文章內(nèi)容簡介】 . 3 安全管理員 ............................................................ 3 主機系統(tǒng)管理員 ........................................................ 3 網(wǎng)絡管理員 ............................................................ 4 數(shù)據(jù)庫管理員 .......................................................... 4 應用管理員 ............................................................ 4 安全審計員 ............................................................ 5 病毒防護員 ............................................................ 5 密鑰管理員（包括證書管理員、證書操作員） .............................. 5 資產(chǎn)管理員 ............................................................ 5 安全保衛(wèi)員（機房安全員） .............................................. 5 安全協(xié)調(diào)人員 .......................................................... 5 人事管理人員 .......................................................... 5 安全法 律顧問 .......................................................... 6 二、稅務系統(tǒng)網(wǎng)絡與信息安全管理崗位及設置原則 ................................. 6 信息安全管理崗位 ..................................................... 6 安全管理員崗位 ........................................................ 6 網(wǎng)絡系統(tǒng)管理員崗位 .................................................... 6 應用管理員崗位 ........................................................ 6 安全崗位設置原則 ..................................................... 7 多人負責原則 .......................................................... 7 任期有限原則 .......................................................... 7 職責分離原則 .......................................................... 7 工作分開原則 .......................................................... 7 權(quán)限隨崗原則 .......................................................... 7 稅務系統(tǒng)網(wǎng)絡與信息安全管理崗位及其職責 一、稅務系統(tǒng)網(wǎng)絡與信息安全管理角色與職責 為有效實施信息安全管理，保障和實施稅務系統(tǒng)的信息安全，在稅務系統(tǒng)內(nèi)部應該建立自己的信息安全管理組織架構(gòu)。 信息安全管理組織架構(gòu)是實施系統(tǒng)安全，進行安全管理的必要保證。根據(jù)稅務系統(tǒng)編制體系現(xiàn)狀以及人員結(jié)構(gòu)，信息安全管理組織架構(gòu)縱向涵蓋總局、省局、地市局三級，總局對省局、省局對地市局在信息化建設與安全管理運行方面，應起到指導與監(jiān)管的作用。在一個機構(gòu)中，安全角色與責任 的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責任是實施信息安全管理的第一步。因此，總局、省局、地市局每一級應設置相應職能部門和人員負責各級信息系統(tǒng)安全管理工作。具體的信息安全組織和管理角色及其職責描述如下。 信息安全領導小組 信息安全是全國稅務系統(tǒng)工作人員必須共用承擔的責任，一般來說，各級稅務系統(tǒng)首先應建立信息安全領導小組。信息安全領導小組是各 級稅務系統(tǒng)網(wǎng)絡與信息安全工作的最高領導決策機構(gòu)，它不隸屬于任何部門，直接對本單位最高領導負責，信息安全領導小組是一個常設機構(gòu)，負責本單位信息安全工作的宏觀管理。 總局信息安全領導小組負責全國稅務系統(tǒng)網(wǎng)絡與信息安全總體規(guī)劃與決策，并領導總局信息系統(tǒng)安全建設、運行、維護和管理等工作；省局信息安全領導小組負責組織落實上層決策，制定本省決策，并領導本省信息安全工作；地市局信息安全領導小組負責落實上層決策，制定本地市決策，并領導本地市信息安全工作。各級信息安全領導小組的組長一般由各級稅務系統(tǒng)的高層領導掛帥，并結(jié)合與信 息安全相關(guān)各職能部門的主要負責人參加。各級信息安全領導小組的職責是： 1． 總局信息安全領導小組負責領導制定全國稅務系統(tǒng)網(wǎng)絡與信息安全建設 的總體規(guī)劃并審議監(jiān)督各省級安全工作規(guī)劃的制定與實施；負責制定總 局信息安全總體策略并審批總局信息系統(tǒng)安全策略以及各省級上報的安 全策略；負責領導制定總局與信息系統(tǒng)安全相關(guān)的規(guī)章制度；負責總局 信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；負責審閱總局信息安全 工作報告；負責全國稅務系統(tǒng)重大安全事故查處與匯報工作。 2． 省局信息安全領導小組負責領導落實全國稅務系統(tǒng)安全建設的 總體規(guī) 劃，制定本省建設規(guī)劃并監(jiān)督各地市級安全工作規(guī)劃的制定與實施；在全國稅務系統(tǒng)網(wǎng)絡與信息安全總體方針的指導下，負責組織制定本省信息系統(tǒng)安全策略并審批地方局上報的信息系統(tǒng)安全策略；負責組織細化上級規(guī)章制度，制定相應程序指南，并監(jiān)督落實規(guī)章制度；負責本省信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；負責審閱省局信息安全工作報告；負責本省重大安全事故查處與匯報工作。 3． 地市局信息安全領導小組負責領導落實本省信息系統(tǒng)安全建設規(guī)劃，制 定地市局級安全規(guī)劃；在全國稅務系統(tǒng)網(wǎng)絡與信息安全總體方針以及省級相關(guān)策略文件的 指導下，負責組織制定審批本地市信息系統(tǒng)安全策略；負責組織細化上級規(guī)章制度，制定相應程序指南，并監(jiān)督落實規(guī)章制度；負責本地市信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；負責審閱地市局信息安全工作報告；負責本地市重大安全事故查處與匯報工作。 信息安全管理部門 在信息安全領導小組的基礎上，各級稅務系統(tǒng)網(wǎng)絡與信息安全管理應該由本機構(gòu)信息安全相關(guān)的若干管理部門共同完成，例如有信息技術(shù)部門、業(yè)務應用部門、安全保衛(wèi)部門、人事行政部門等等。 信息技術(shù)部門對信息系統(tǒng)及信息系統(tǒng)安全保障提供技術(shù)決策和技術(shù)支持，在技術(shù)上對信 息系統(tǒng)和信息系統(tǒng)安全保障承擔管理責任。業(yè)務應用部門對信息系統(tǒng)的業(yè)務處理以及業(yè)務流程的安全承擔管理責任。安全保衛(wèi)部門對信息系統(tǒng)的場地以及系統(tǒng)資產(chǎn)的防災、防盜、防破壞等承擔管理責任。行政部門從行政上對信息安全保障執(zhí)行管理工作。各個部門應與信息技術(shù)部門協(xié)作，共同對信息系統(tǒng)的建設和運行維護承擔管理責任。 為明確安全職責，應在相關(guān)管理部門中指定對信息安全負責的主管，這些主管共同貫徹執(zhí)行稅務系統(tǒng)安全工作的方針政策、規(guī)章制度及有關(guān)的技術(shù)標準、規(guī)范和方案，并監(jiān)督安全策略的落實。 具體執(zhí)行管理角色 對于信息系統(tǒng)建設和 運行維護的具體執(zhí)行，應該有相應的安全管理崗位，但由于全國稅務系統(tǒng)包括國家稅務總局在內(nèi)、各省局、各地市局的具體情況有所差別，不宜在本文檔中直接定義具體的安全崗位，而只是定義了相應的安全角色和職責，各具體機構(gòu)根據(jù)實際情況設置相應安全崗位，具體的安全角色和職責的描述如下。 安全管理員 負責對安全產(chǎn)品購置提供建議，負責組織制定各種安全產(chǎn)品策略與配置 ? 規(guī)則，負責跟蹤安全產(chǎn)品投產(chǎn)后的使用情況； 負責指導并監(jiān)督系統(tǒng)管理員（包括主機系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù) ? 庫管理員和應用管理員等）及普通用戶與安全相關(guān)的工作； 負責組織信息系統(tǒng)的安全風險評估工作，并定期進行系統(tǒng)漏洞掃描，形 ? 成安全評估報告； 根據(jù)本機構(gòu)的信息安全需求，定期提出本機構(gòu)的信息安全改進意見，并 ? 上報信息安全管理部門主管； 定期查看信息安全站點的安全公告，跟蹤和研究各種信息安全漏洞和攻 ? 擊手段，在發(fā)現(xiàn)可能影響信息安全的安全漏洞和攻擊手段時，及時做出 相應的對策，通知并指導系統(tǒng)管理員進行安全防范； 負責組織審議各種安全方案、安全審計報告、應急計劃以及整體安全管 ? 理制度； 負責參與安全事故調(diào)查。 ? 主機系統(tǒng)管理員 負責主機操作系統(tǒng)的安全配置 （包括及時修補系統(tǒng)漏洞）和日常審計， ? 系統(tǒng)應用軟件的安裝，從系統(tǒng)層面實現(xiàn)對用戶與資源的訪問控制； 協(xié)助安全管理員制定主機操作系統(tǒng)的安全配置規(guī)則，并落實執(zhí)行； ? 負責主機設備的日常管理與維護，保持系統(tǒng)處于良好的運行狀態(tài)； ? 為安全審計員提供完整、準確的主機系統(tǒng)運行活動的日志記錄； ? 在主機系統(tǒng)異?；蚬收习l(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處 ? 理方式，并及時上報； 第 6/10 頁 編制主機設備的維修、報損、報廢計劃，報主管領導審核； ? 網(wǎng)絡管理員 負責網(wǎng)絡的部署以及網(wǎng)絡產(chǎn)品、網(wǎng)絡安全產(chǎn)品的配 置、管理與監(jiān)控，并 ? 對關(guān)鍵網(wǎng)絡配置文件進行備份，及時修補網(wǎng)絡設備的漏洞； 協(xié)助安全管理員制定網(wǎng)絡設備安全配置規(guī)則，并落實執(zhí)行； ? 為安全審計員提供完整、準確地記錄重要網(wǎng)絡設備和網(wǎng)站運行活動的運 ? 行日志； 在網(wǎng)絡及設備異?；蚬收习l(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和 ? 處理方式，并及時上報； 編制網(wǎng)絡設備的維修、報損、報廢等計劃，報主管領導審核； ? 數(shù)據(jù)庫管理員 對數(shù)據(jù)庫系統(tǒng)進行安全配置，修補已發(fā)現(xiàn)的漏洞； ? 負責數(shù)據(jù)庫系統(tǒng)的用戶賬號管理，對系統(tǒng)中所有的用戶進行登記備案； ? 對數(shù)據(jù)庫系統(tǒng)的用 戶、口令的安全性進行管理；對數(shù)據(jù)庫系統(tǒng)登錄用戶 進行監(jiān)測和分析； 負責業(yè)務數(shù)據(jù)及系統(tǒng)其它重要數(shù)據(jù)的備份與備份數(shù)據(jù)管理工作； ? 為安全審計員提供完整、準確的數(shù)據(jù)庫系統(tǒng)運行活動的日志記錄，詳細 ? 記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報； 在發(fā)生安全問題導致數(shù)據(jù)損壞或丟失時，進行數(shù)據(jù)的恢復； ? 根據(jù)業(yè)務發(fā)展的需求，提交數(shù)據(jù)存儲介質(zhì)購買或存儲系統(tǒng)擴容計劃。 應用管理員