【文章內容簡介】 （定稿)6　 XX 市基 層單位兼職信息化管理人員職責(新）7　 信息化星級管理辦法 20208　 XX 地稅市局征管數據庫備份系統(tǒng)維護管理辦法9　 XX 地稅市局征管數據庫備份系統(tǒng)維護手冊10　 XX 地稅數據復制系 統(tǒng)使用維護手冊11　 XX 地稅數據復制系 統(tǒng)維護管理辦法（試行）12　 XX 地稅市局機房維護 制度13　 XX 市地方稅務局計 算機使用維護管理制度主要的訪談內容包括 2 個 層面 4 個問題：安全方面安全項 問題 是 否 說明信息 方針 評估者查驗文檔資料，驗證是否制定了 總體 √ 　 　XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 12 頁 共 27 頁方針和政策；安全方針與政策與政策的制定評估者查驗是否有單位主管領導的簽字或蓋章等方式的批準。 √ 　 　評估者查驗文檔資料，驗證是否制定了安全管理需要的規(guī)程和制度； √ 　 　安全管理策略與制度常用的信息安全策略和制度的制定評估者查驗內容是否覆蓋機房、網 絡、系 統(tǒng)、數據、防病毒管理等方面。 √ 　 　在評估過程中，查驗 XX 市地稅局有 總體方針政策，總體方針以上級發(fā)放的方針政策為主。根據自身工作 職責和特點制定了部分與安全有關的制度及流程，但制度之間缺乏相關性，制度本身也缺乏審核的更新的機制。針對 XX 市地稅局的情況，我們建議地稅局管理層提高對信息安全的重視程度，開發(fā) 適應本局情況的安全策略。具體來 說，包括以下幾點：()1　 依據 XX 市地稅局的基本要求，建立適 應于地稅局具體情況的安全方針和全面的安全策略；2　 依據地稅局信息中心以及涉及信息系統(tǒng)安全的其他部門的情況，建立適應各部門情況的安全管理辦法并完善操作流程中的安全規(guī)范。信息安全策略的內容應涵蓋以下方面：1　 信息安全的目標和原則；2　 信息安全管理者的職責；3　 違背信息安全策略的后果。應指定一定的機構及人員對信息安全策略的制訂、修改、貫徹落實、 檢查等方面負責。所有的安全策略必 須經高層管理進行批準推行。 機構與人員安全管理組織包含三個控制目標：組織的信息基礎架構、第三方訪問安全以XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 13 頁 共 27 頁及外包。安全管理組織要求定義組織內部與信息安全有關的組織和協(xié)作，如何落實安全責任，與安全有關的授權過程，同 時，要求管理者能夠識別第三方合作和外包過程中的風險，并通過相關的合同控制安全風險。在 XX 市地稅局 風險評估項目中，主要 對組織內部的安全組織和人員安全進行評估，沒有過多調查第三方 訪問安全和外包風險。評估的內容包括 3 個層面 9個問題：安全方面 安全項 問題 是 否備注 / 說明評 估者詢問單位主管，讓其指出委任的安全管理人員，確認安全管理人 員具有的安全管理的權力；　 √ 　評 估者詢問安全管理人員，讓其表述自己的安全管理權力，比較安全管理人 員描述的權力和單位主管賦予權力的區(qū)別；　 √ 　安全管理人員配備 評 估者要求出具安全管理人員的受教育或培訓情況的資料，查驗相關 資料的內容，檢查專業(yè)技術水平是否符合安全管理人員的要求?！?　 　安全管理人員總體是否符合 　 　 　評 估者查驗文檔資料，驗證是否有人員錄用方面的規(guī)定； √ 　 　人員錄用評 估者要求出具錄用人員的相關登 記資料，查驗是否包括身份的真實 性、工作的經歷、技術專業(yè)資格或能力等信息 驗證的過程。√ 　 　評 估者查驗文檔資料，驗證是否有人員離崗方面的處理規(guī)定； √ 　 　 人員安全管理人員離崗 評 估者要求出具離崗人員的離 崗手續(xù)資料，查驗是否包括回收證件、設備等的簽字信息?！?　 　評 估者要求出示人員的安全意 識教育培訓計劃、培訓教材、培訓合格記錄等文件；√ 　 　教育和培訓信息安全意識教育評 估者查驗培訓教材等材料，驗證是否包括信息的敏感性、信息安全的重要性和嚴重性，員工的責任、安全違例可導致紀律懲罰等方面的內容?！?　 　根據對 XX 市地稅局的 評估情況，地稅局的機構和人員建設既有做到相當好XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 14 頁 共 27 頁的方面，也同時存在一些重要層面需要進一步完善：1　 沒有專職的安全員崗位設置，兼職安全管理人員的責任和權利不夠明確。應設置專門的安全管理崗位，明確的指定信息安全的職責，配備對應的人員，這是組織保障和安全保障的前提和基礎。2　 由于政府機關人員錄用和使用上的特點，在當前的環(huán)境下，一些對于關鍵信息崗位的選、 錄、用 過程中尚不能加入對安全方面的要求，但隨著信息系統(tǒng)重要性的增加，應考慮與人事部門協(xié)調，在今后的關鍵職位任用時，對人員的安全性予以考慮。3　 目前對于安全崗位的員工的安全資質還沒有具體要求，同時也缺少持續(xù)的，有計劃的人員培訓機制，除了安全崗位安全意識 安全技能的培訓外，更廣范圍的安全意識培訓也對組織的安全保障效果起到重要作用，XX地稅局也進行過一些安全培訓，但仍需要將培 訓工作作為一項重要的安全措施納入安全管理范疇。4　 建議將安全責任作為每個工作人員職責的一部分，納入到績效考核體系。 安全風險管理風險管理是信息安全管理的重要方法，風險管理的方法應該持續(xù)在整個信息系統(tǒng)生命周期。XX 地稅局項 目中安全風險管理評估主要是通過訪談等方式了解地稅局當前如何利用風險評估的方法進行信息系統(tǒng)安全的管理。在此項評估中，從資產、弱點、威脅等風險分析要素出 發(fā)，了解 XX 市地稅局的風險管理的狀況。評估的內容包括 5 個層面 10 個問題：XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 15 頁 共 27 頁安全方面安全要求項問題 是 否 說明評 估者要求出示信息系統(tǒng)相關的 資產清單等文件，查驗資產清單中是否清晰 識別每項資產、其擁有權、責任人以及資產現(xiàn)在的位置等信息；√ 　 　資產鑒別和管理資產清單 評 估者觀察實際環(huán)境中網絡設備 、主機 設備及安全設備等，驗證是否有設備標識 信息。 　 √ 　威脅分析和評估基本的威脅分析評 估者要求出示信息系統(tǒng)威 脅分析的相關文件。 　 √ 　評 估者要求出示對信息系統(tǒng) 漏洞掃描的具體報告或相關報告； √ 　 　評 估者查驗漏洞掃描的具體日期，判斷漏洞掃描數據的可信程度； √ 　 　脆弱性分析和評估脆弱性的工具掃描 評 估者判斷漏洞掃描范圍是否包括網關 設備、網絡設備、主機設備和安全設備 等。 　 √ 　 風險分析和評估 經驗的風險評價評 估者要求出示信息系統(tǒng)的 風險評估報告等相關的文件。 　 √ 　評 估者要求出示用戶自己的安全 產品選型指南或相關文件； √ 　 　 評估者要求介紹安全措施選擇的基本過程和方法； √ 　 　選擇和實施風險控制措施基于安全基線表選擇控制措施評估者判斷安全措施的選擇 是否符合基線選擇要求。 　 √ 　XX 地稅局在安全 風險管理方面表現(xiàn)一般，以前沒有做過威脅分析、脆弱性分析以及風險分析，因而也就沒有相關的報告，文件可查。但是在本次 項目中這些工作卻是重點工作內容；在評估中，發(fā)現(xiàn)安全主管領導和安全管理組織的安全風險意識都非常強烈，對風險管理也有比較深刻的認識，因此需要將這種意識拓展，只要全員的安全風險意識都有提高，將全面提升 XX 地稅局信息系統(tǒng) 的保障水平。針對評估內容，建議 XX 市地稅局在以下方面 進行改善：1　 加強資產管理，以安全屬性為核心的資產管理是實現(xiàn)等級化防護的基礎，XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 16 頁 共 27 頁鑒于 XX 市地稅局信息系統(tǒng)發(fā)展的狀況和人員不足的困難，沒有采取資產管理方法，對后期的安全管理造成了比較大的困難。建議引進資產管理系統(tǒng)，可以選用適合的工具，降低資產管理的復雜度，彌 補 XX 市地稅局人力的緊張和不足。在初期可以利用合作伙伴完成基礎整理工作，尤其首先要對主機、網絡設備以及安全設備進行清晰的資產標識更重要的是形成長期的、周期性的資產管理制度，使得所得數據的準確。2　 通過風險評估項目，進行翔實的威脅、脆弱性、 風險分析，得出詳細的報告和過程文檔。為以后的安全建設以及管理做好依據和基準。3　 評估工作應符合安全狀態(tài)動態(tài)變化的特點，定期和不定期的評估相結合，外部評估和內部審計相結合，形成比 較完善的保障系統(tǒng)。4　 加大人員安全培訓工作的深度和廣度，全面提升 XX 市地稅局信息安全風險管理意識和技能水平。 工程建設與管理工程建設管理應對風險管理應該是信息系統(tǒng)的整個生命周期而非僅運維階段，因此在工程建設階段就充分考慮到信息系統(tǒng)所面臨的威脅和風險，將一些風險從內部解決而不是通過補丁來修正，無論從提高系統(tǒng)安全性還是節(jié)約成本而言都具有積極的意義。工程建設管理是科學管理的結果。鑒于稅務系統(tǒng)當前的工程建設模式，本次評估只是對最基本的安全要求進行分析，分析結果也主要用于今后 XX 市地稅局進 行工程建設時的一個參考， 評估的內容包括 2 個方