【文章內(nèi)容簡介】 （定稿)6　 XX 市基 層單位兼職信息化管理人員職責(zé)(新）7　 信息化星級(jí)管理辦法 20208　 XX 地稅市局征管數(shù)據(jù)庫備份系統(tǒng)維護(hù)管理辦法9　 XX 地稅市局征管數(shù)據(jù)庫備份系統(tǒng)維護(hù)手冊10　 XX 地稅數(shù)據(jù)復(fù)制系 統(tǒng)使用維護(hù)手冊11　 XX 地稅數(shù)據(jù)復(fù)制系 統(tǒng)維護(hù)管理辦法（試行）12　 XX 地稅市局機(jī)房維護(hù) 制度13　 XX 市地方稅務(wù)局計(jì) 算機(jī)使用維護(hù)管理制度主要的訪談內(nèi)容包括 2 個(gè) 層面 4 個(gè)問題：安全方面安全項(xiàng) 問題 是 否 說明信息 方針 評估者查驗(yàn)文檔資料，驗(yàn)證是否制定了 總體 √ 　 　XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報(bào) 告第 12 頁 共 27 頁方針和政策；安全方針與政策與政策的制定評估者查驗(yàn)是否有單位主管領(lǐng)導(dǎo)的簽字或蓋章等方式的批準(zhǔn)。 √ 　 　評估者查驗(yàn)文檔資料，驗(yàn)證是否制定了安全管理需要的規(guī)程和制度； √ 　 　安全管理策略與制度常用的信息安全策略和制度的制定評估者查驗(yàn)內(nèi)容是否覆蓋機(jī)房、網(wǎng) 絡(luò)、系 統(tǒng)、數(shù)據(jù)、防病毒管理等方面。 √ 　 　在評估過程中，查驗(yàn) XX 市地稅局有 總體方針政策，總體方針以上級(jí)發(fā)放的方針政策為主。根據(jù)自身工作 職責(zé)和特點(diǎn)制定了部分與安全有關(guān)的制度及流程，但制度之間缺乏相關(guān)性，制度本身也缺乏審核的更新的機(jī)制。針對 XX 市地稅局的情況，我們建議地稅局管理層提高對信息安全的重視程度，開發(fā) 適應(yīng)本局情況的安全策略。具體來 說，包括以下幾點(diǎn)：()1　 依據(jù) XX 市地稅局的基本要求，建立適 應(yīng)于地稅局具體情況的安全方針和全面的安全策略；2　 依據(jù)地稅局信息中心以及涉及信息系統(tǒng)安全的其他部門的情況，建立適應(yīng)各部門情況的安全管理辦法并完善操作流程中的安全規(guī)范。信息安全策略的內(nèi)容應(yīng)涵蓋以下方面：1　 信息安全的目標(biāo)和原則；2　 信息安全管理者的職責(zé)；3　 違背信息安全策略的后果。應(yīng)指定一定的機(jī)構(gòu)及人員對信息安全策略的制訂、修改、貫徹落實(shí)、 檢查等方面負(fù)責(zé)。所有的安全策略必 須經(jīng)高層管理進(jìn)行批準(zhǔn)推行。 機(jī)構(gòu)與人員安全管理組織包含三個(gè)控制目標(biāo)：組織的信息基礎(chǔ)架構(gòu)、第三方訪問安全以XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報(bào) 告第 13 頁 共 27 頁及外包。安全管理組織要求定義組織內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實(shí)安全責(zé)任，與安全有關(guān)的授權(quán)過程，同 時(shí)，要求管理者能夠識(shí)別第三方合作和外包過程中的風(fēng)險(xiǎn)，并通過相關(guān)的合同控制安全風(fēng)險(xiǎn)。在 XX 市地稅局 風(fēng)險(xiǎn)評估項(xiàng)目中，主要 對組織內(nèi)部的安全組織和人員安全進(jìn)行評估，沒有過多調(diào)查第三方 訪問安全和外包風(fēng)險(xiǎn)。評估的內(nèi)容包括 3 個(gè)層面 9個(gè)問題：安全方面 安全項(xiàng) 問題 是 否備注 / 說明評 估者詢問單位主管，讓其指出委任的安全管理人員，確認(rèn)安全管理人 員具有的安全管理的權(quán)力；　 √ 　評 估者詢問安全管理人員，讓其表述自己的安全管理權(quán)力，比較安全管理人 員描述的權(quán)力和單位主管賦予權(quán)力的區(qū)別；　 √ 　安全管理人員配備 評 估者要求出具安全管理人員的受教育或培訓(xùn)情況的資料，查驗(yàn)相關(guān) 資料的內(nèi)容，檢查專業(yè)技術(shù)水平是否符合安全管理人員的要求?！?　 　安全管理人員總體是否符合 　 　 　評 估者查驗(yàn)文檔資料，驗(yàn)證是否有人員錄用方面的規(guī)定； √ 　 　人員錄用評 估者要求出具錄用人員的相關(guān)登 記資料，查驗(yàn)是否包括身份的真實(shí) 性、工作的經(jīng)歷、技術(shù)專業(yè)資格或能力等信息 驗(yàn)證的過程?！?　 　評 估者查驗(yàn)文檔資料，驗(yàn)證是否有人員離崗方面的處理規(guī)定； √ 　 　 人員安全管理人員離崗 評 估者要求出具離崗人員的離 崗手續(xù)資料，查驗(yàn)是否包括回收證件、設(shè)備等的簽字信息?！?　 　評 估者要求出示人員的安全意 識(shí)教育培訓(xùn)計(jì)劃、培訓(xùn)教材、培訓(xùn)合格記錄等文件；√ 　 　教育和培訓(xùn)信息安全意識(shí)教育評 估者查驗(yàn)培訓(xùn)教材等材料，驗(yàn)證是否包括信息的敏感性、信息安全的重要性和嚴(yán)重性，員工的責(zé)任、安全違例可導(dǎo)致紀(jì)律懲罰等方面的內(nèi)容。√ 　 　根據(jù)對 XX 市地稅局的 評估情況，地稅局的機(jī)構(gòu)和人員建設(shè)既有做到相當(dāng)好XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報(bào) 告第 14 頁 共 27 頁的方面，也同時(shí)存在一些重要層面需要進(jìn)一步完善：1　 沒有專職的安全員崗位設(shè)置，兼職安全管理人員的責(zé)任和權(quán)利不夠明確。應(yīng)設(shè)置專門的安全管理崗位，明確的指定信息安全的職責(zé)，配備對應(yīng)的人員，這是組織保障和安全保障的前提和基礎(chǔ)。2　 由于政府機(jī)關(guān)人員錄用和使用上的特點(diǎn)，在當(dāng)前的環(huán)境下，一些對于關(guān)鍵信息崗位的選、 錄、用 過程中尚不能加入對安全方面的要求，但隨著信息系統(tǒng)重要性的增加，應(yīng)考慮與人事部門協(xié)調(diào)，在今后的關(guān)鍵職位任用時(shí)，對人員的安全性予以考慮。3　 目前對于安全崗位的員工的安全資質(zhì)還沒有具體要求，同時(shí)也缺少持續(xù)的，有計(jì)劃的人員培訓(xùn)機(jī)制，除了安全崗位安全意識(shí) 安全技能的培訓(xùn)外，更廣范圍的安全意識(shí)培訓(xùn)也對組織的安全保障效果起到重要作用，XX地稅局也進(jìn)行過一些安全培訓(xùn)，但仍需要將培 訓(xùn)工作作為一項(xiàng)重要的安全措施納入安全管理范疇。4　 建議將安全責(zé)任作為每個(gè)工作人員職責(zé)的一部分，納入到績效考核體系。 安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是信息安全管理的重要方法，風(fēng)險(xiǎn)管理的方法應(yīng)該持續(xù)在整個(gè)信息系統(tǒng)生命周期。XX 地稅局項(xiàng) 目中安全風(fēng)險(xiǎn)管理評估主要是通過訪談等方式了解地稅局當(dāng)前如何利用風(fēng)險(xiǎn)評估的方法進(jìn)行信息系統(tǒng)安全的管理。在此項(xiàng)評估中，從資產(chǎn)、弱點(diǎn)、威脅等風(fēng)險(xiǎn)分析要素出 發(fā)，了解 XX 市地稅局的風(fēng)險(xiǎn)管理的狀況。評估的內(nèi)容包括 5 個(gè)層面 10 個(gè)問題：XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報(bào) 告第 15 頁 共 27 頁安全方面安全要求項(xiàng)問題 是 否 說明評 估者要求出示信息系統(tǒng)相關(guān)的 資產(chǎn)清單等文件，查驗(yàn)資產(chǎn)清單中是否清晰 識(shí)別每項(xiàng)資產(chǎn)、其擁有權(quán)、責(zé)任人以及資產(chǎn)現(xiàn)在的位置等信息；√ 　 　資產(chǎn)鑒別和管理資產(chǎn)清單 評 估者觀察實(shí)際環(huán)境中網(wǎng)絡(luò)設(shè)備 、主機(jī) 設(shè)備及安全設(shè)備等，驗(yàn)證是否有設(shè)備標(biāo)識(shí) 信息。 　 √ 　威脅分析和評估基本的威脅分析評 估者要求出示信息系統(tǒng)威 脅分析的相關(guān)文件。 　 √ 　評 估者要求出示對信息系統(tǒng) 漏洞掃描的具體報(bào)告或相關(guān)報(bào)告； √ 　 　評 估者查驗(yàn)漏洞掃描的具體日期，判斷漏洞掃描數(shù)據(jù)的可信程度； √ 　 　脆弱性分析和評估脆弱性的工具掃描 評 估者判斷漏洞掃描范圍是否包括網(wǎng)關(guān) 設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備和安全設(shè)備 等。 　 √ 　 風(fēng)險(xiǎn)分析和評估 經(jīng)驗(yàn)的風(fēng)險(xiǎn)評價(jià)評 估者要求出示信息系統(tǒng)的 風(fēng)險(xiǎn)評估報(bào)告等相關(guān)的文件。 　 √ 　評 估者要求出示用戶自己的安全 產(chǎn)品選型指南或相關(guān)文件； √ 　 　 評估者要求介紹安全措施選擇的基本過程和方法； √ 　 　選擇和實(shí)施風(fēng)險(xiǎn)控制措施基于安全基線表選擇控制措施評估者判斷安全措施的選擇 是否符合基線選擇要求。 　 √ 　XX 地稅局在安全 風(fēng)險(xiǎn)管理方面表現(xiàn)一般，以前沒有做過威脅分析、脆弱性分析以及風(fēng)險(xiǎn)分析，因而也就沒有相關(guān)的報(bào)告，文件可查。但是在本次 項(xiàng)目中這些工作卻是重點(diǎn)工作內(nèi)容；在評估中，發(fā)現(xiàn)安全主管領(lǐng)導(dǎo)和安全管理組織的安全風(fēng)險(xiǎn)意識(shí)都非常強(qiáng)烈，對風(fēng)險(xiǎn)管理也有比較深刻的認(rèn)識(shí)，因此需要將這種意識(shí)拓展，只要全員的安全風(fēng)險(xiǎn)意識(shí)都有提高，將全面提升 XX 地稅局信息系統(tǒng) 的保障水平。針對評估內(nèi)容，建議 XX 市地稅局在以下方面 進(jìn)行改善：1　 加強(qiáng)資產(chǎn)管理，以安全屬性為核心的資產(chǎn)管理是實(shí)現(xiàn)等級(jí)化防護(hù)的基礎(chǔ)，XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報(bào) 告第 16 頁 共 27 頁鑒于 XX 市地稅局信息系統(tǒng)發(fā)展的狀況和人員不足的困難，沒有采取資產(chǎn)管理方法，對后期的安全管理造成了比較大的困難。建議引進(jìn)資產(chǎn)管理系統(tǒng)，可以選用適合的工具，降低資產(chǎn)管理的復(fù)雜度，彌 補(bǔ) XX 市地稅局人力的緊張和不足。在初期可以利用合作伙伴完成基礎(chǔ)整理工作，尤其首先要對主機(jī)、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備進(jìn)行清晰的資產(chǎn)標(biāo)識(shí)更重要的是形成長期的、周期性的資產(chǎn)管理制度，使得所得數(shù)據(jù)的準(zhǔn)確。2　 通過風(fēng)險(xiǎn)評估項(xiàng)目，進(jìn)行翔實(shí)的威脅、脆弱性、 風(fēng)險(xiǎn)分析，得出詳細(xì)的報(bào)告和過程文檔。為以后的安全建設(shè)以及管理做好依據(jù)和基準(zhǔn)。3　 評估工作應(yīng)符合安全狀態(tài)動(dòng)態(tài)變化的特點(diǎn)，定期和不定期的評估相結(jié)合，外部評估和內(nèi)部審計(jì)相結(jié)合，形成比 較完善的保障系統(tǒng)。4　 加大人員安全培訓(xùn)工作的深度和廣度，全面提升 XX 市地稅局信息安全風(fēng)險(xiǎn)管理意識(shí)和技能水平。 工程建設(shè)與管理工程建設(shè)管理應(yīng)對風(fēng)險(xiǎn)管理應(yīng)該是信息系統(tǒng)的整個(gè)生命周期而非僅運(yùn)維階段，因此在工程建設(shè)階段就充分考慮到信息系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)，將一些風(fēng)險(xiǎn)從內(nèi)部解決而不是通過補(bǔ)丁來修正，無論從提高系統(tǒng)安全性還是節(jié)約成本而言都具有積極的意義。工程建設(shè)管理是科學(xué)管理的結(jié)果。鑒于稅務(wù)系統(tǒng)當(dāng)前的工程建設(shè)模式，本次評估只是對最基本的安全要求進(jìn)行分析，分析結(jié)果也主要用于今后 XX 市地稅局進(jìn) 行工程建設(shè)時(shí)的一個(gè)參考， 評估的內(nèi)容包括 2 個(gè)方