【正文】 由各部門參與，開 發(fā)一套完整的 業(yè)務(wù)持續(xù)性計劃，并予以貫徹落實。對于小項目要加強(qiáng)質(zhì)量控制；8　 建立變更制度及審批流程，規(guī)范系統(tǒng)的變更行為，避免因不合法的變更對信息系統(tǒng)運(yùn)行造成影響；9　 建議建立對終端的管理制度和設(shè)置策略。4　 設(shè)置專職的安全員，在信息中心人員崗位職責(zé)中明確說明安全員的工作職責(zé)與權(quán)利。 對于安全崗位的員工的安全資質(zhì)還沒有具體要求；4　 安全風(fēng)險管理方面，資產(chǎn)管理存在很大風(fēng)險， 對設(shè)備沒有做資產(chǎn)標(biāo)識，沒有做過翔實的威脅、脆弱性、風(fēng)險分析，缺乏對員工的安全培訓(xùn)；5　 工程建設(shè)管理方面，以前 XX 地稅局的工程建設(shè)中，基本沒有正 規(guī)的安全需求分析報告，也沒有主管 領(lǐng)導(dǎo)蓋章批準(zhǔn)的需求分析文件，對于建設(shè)方案，基本沒有對應(yīng)的安全詳細(xì)設(shè)計方案，在驗收過 程安全性的考慮也很少；6　 運(yùn)行與維護(hù)管理方面，機(jī)房管理制度落實不好、資產(chǎn)管理沒有管理辦法制度指導(dǎo)，管理情況混亂； 對系統(tǒng)變更沒有規(guī)范的審批流程，操作過程中有不規(guī)范行為；缺乏終端管理的制度和安全策略；缺乏對外來人員管理的制度和約束策略；7　 業(yè)務(wù)連續(xù)性管理方面，缺少安全事件處理的規(guī)章制度，沒有對安全事件進(jìn)行分級，并分 別處理；沒有安全事件處理的規(guī)范報告和響應(yīng)程序；沒有制定應(yīng)急計劃或應(yīng)急預(yù)案；8　 其他管理要求方面，總體在法律符合性上做得比較好，但也缺乏防止濫用工作設(shè)備和資源的機(jī)制。√ 　 　從評估結(jié)果看來，XX 市地稅局在使用正版 軟件方面做的較好， 這也是國家信息系統(tǒng)的統(tǒng)一特點。對安全策略和技術(shù)符合性的評估要求采取審計監(jiān)督措施保護(hù)組織的安全策略得到了遵守、各種技術(shù)活動處于合法狀態(tài)。針對不同級別的事件做不同的處理程序2　 制定詳細(xì)的應(yīng)急預(yù)案或計劃，并對應(yīng)急預(yù)案進(jìn)行培訓(xùn)和測試演練，驗證應(yīng)急計劃的可執(zhí)行性和執(zhí)行效果3　 實施對各系統(tǒng)中斷事件產(chǎn)生的可能性及其后果的評估過程，做出定量或者半定量分析，作為采用冗余設(shè)施的決策依據(jù)；4　 由各部門參與，開發(fā)一套完整的業(yè)務(wù)持續(xù)性計劃，并予以貫徹落實。 √ 　 　備份與恢復(fù)數(shù)據(jù)備份和恢復(fù)評 估者查驗是否規(guī)定了對重要數(shù)據(jù)和 應(yīng)用環(huán)境每周進(jìn)行全備份。但是由于信息安全涉及的面比較廣， XX 地稅局的 業(yè)務(wù)操作在安全方面還是存在一定的疏漏，具體包括：1　 機(jī)房管理制度落實情況不好，對出入機(jī)房沒有嚴(yán)格登記，鑰匙也無專人管理；2　 沒有資產(chǎn)管理辦法和資產(chǎn)管理系統(tǒng)工具的支持，資產(chǎn)管理比較混亂，設(shè)備標(biāo)識不清楚；3　 對系統(tǒng)的變更沒有明確的審批操作流程，在執(zhí)行過程中也存在不合規(guī)范的行為；4　 缺乏終端管理的制度和策略，沒有規(guī)定用戶的口令策略，也沒有對便攜設(shè)備的安全管理規(guī)定；5　 在用戶管理方面，沒有為外來人員單獨(dú)開放帳號，外來人員使用的帳號也沒有經(jīng)過審批；6　 對系統(tǒng)文檔未強(qiáng)調(diào)授權(quán)訪問的控制措施，目前基本是共享使用的；針對 XX 地稅局在 業(yè)務(wù)系統(tǒng)操作方面的問題，我 們給出如下建議：1　 加強(qiáng)機(jī)房維護(hù)管理制度的落實和修訂，在制度中更明確的規(guī)定機(jī)房的出入、操作規(guī)定，并切在領(lǐng)導(dǎo)的監(jiān)督下嚴(yán)格落實；2　 制定本局的資產(chǎn)管理辦法，詳細(xì)說明資產(chǎn)的分類，各類資產(chǎn)的管理方式方法，責(zé)任人等。 √ 　 　 1 評估者應(yīng)詢問主管領(lǐng)導(dǎo)是否指定了 專人作為主要應(yīng)用服務(wù)器的系統(tǒng)管理員； √ 　 　系統(tǒng)管理員責(zé)任 1 評估者應(yīng)詢問系統(tǒng)管理員 是否有為外部人員使用的賬戶，如有，應(yīng)詢問開設(shè)該賬戶是否經(jīng)過審批，并驗證外部人員賬戶 的權(quán)限是否適當(dāng)。 　 √ 　 評估者應(yīng)詢問安全管理人 員，并 觀察各類記錄介質(zhì)，如紙介質(zhì)、磁介質(zhì)、半導(dǎo)體介質(zhì)和光介質(zhì)是否存放在加鎖的柜中；√ 　 　資源管理介質(zhì)管理 評估者應(yīng)詢問安全管理人員 ，如何 處理需要送出維修或銷毀的介質(zhì)。 運(yùn)行與維護(hù)管理運(yùn)行維護(hù)包括網(wǎng)絡(luò)維護(hù)、操作維護(hù)以及系統(tǒng)維護(hù)，具體內(nèi)容囊括了操作流程和責(zé)任， 惡意軟件的防護(hù)，物理環(huán)境管理，網(wǎng) 絡(luò)管理，介質(zhì)處理與安全，設(shè)備管理與安全，系統(tǒng)計劃和接收，信息和軟件交流等，操作流程和責(zé)任是確保信息處理設(shè)施的操作正確性和安全性，包括書面操作程序記錄，變更管理，事件管理和 職責(zé)分離等控制措施。詳細(xì)設(shè)計階段也沒有詳細(xì)的設(shè)計方案材料。工程建設(shè)管理是科學(xué)管理的結(jié)果。為以后的安全建設(shè)以及管理做好依據(jù)和基準(zhǔn)。針對評估內(nèi)容，建議 XX 市地稅局在以下方面 進(jìn)行改善：1　 加強(qiáng)資產(chǎn)管理，以安全屬性為核心的資產(chǎn)管理是實現(xiàn)等級化防護(hù)的基礎(chǔ)，XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 16 頁 共 27 頁鑒于 XX 市地稅局信息系統(tǒng)發(fā)展的狀況和人員不足的困難，沒有采取資產(chǎn)管理方法，對后期的安全管理造成了比較大的困難。 　 √ 　 風(fēng)險分析和評估 經(jīng)驗的風(fēng)險評價評 估者要求出示信息系統(tǒng)的 風(fēng)險評估報告等相關(guān)的文件。在此項評估中，從資產(chǎn)、弱點、威脅等風(fēng)險分析要素出 發(fā)，了解 XX 市地稅局的風(fēng)險管理的狀況。3　 目前對于安全崗位的員工的安全資質(zhì)還沒有具體要求，同時也缺少持續(xù)的，有計劃的人員培訓(xùn)機(jī)制，除了安全崗位安全意識 安全技能的培訓(xùn)外，更廣范圍的安全意識培訓(xùn)也對組織的安全保障效果起到重要作用，XX地稅局也進(jìn)行過一些安全培訓(xùn)，但仍需要將培 訓(xùn)工作作為一項重要的安全措施納入安全管理范疇?！?　 　評 估者要求出示人員的安全意 識教育培訓(xùn)計劃、培訓(xùn)教材、培訓(xùn)合格記錄等文件；√ 　 　教育和培訓(xùn)信息安全意識教育評 估者查驗培訓(xùn)教材等材料，驗證是否包括信息的敏感性、信息安全的重要性和嚴(yán)重性，員工的責(zé)任、安全違例可導(dǎo)致紀(jì)律懲罰等方面的內(nèi)容。在 XX 市地稅局 風(fēng)險評估項目中，主要 對組織內(nèi)部的安全組織和人員安全進(jìn)行評估，沒有過多調(diào)查第三方 訪問安全和外包風(fēng)險。應(yīng)指定一定的機(jī)構(gòu)及人員對信息安全策略的制訂、修改、貫徹落實、 檢查等方面負(fù)責(zé)。根據(jù)自身工作 職責(zé)和特點制定了部分與安全有關(guān)的制度及流程，但制度之間缺乏相關(guān)性，制度本身也缺乏審核的更新的機(jī)制。XX 市地稅局的信息安全政策和制度以文件為主， 輔助于各處自身的制度、手冊、指南等。 政策和制度安全政策和制度是為信息安全活動提供管理方向以及所需的支持手段和管理層的承諾，同時安全策略 還應(yīng)明確定義組織中安全策略的維護(hù)責(zé)任。建 議嚴(yán)格執(zhí)行機(jī)房的安全管理制度，制定更規(guī)范的機(jī)房出入登記表格，規(guī)范出入登記；2　 介質(zhì)安全方面，沒有對介質(zhì)進(jìn)行合理分類歸檔，也沒有對介質(zhì)的查詢做記錄。√機(jī)房空調(diào)降溫評 估者應(yīng)查驗溫度監(jiān)測控制點在機(jī)房內(nèi)是否分布均勻有效，機(jī)房溫度是否滿足設(shè)備正常運(yùn)行√評 估者應(yīng)查驗機(jī)房內(nèi)或周圍的用水設(shè)備，是否采取有效的防止給排水漫溢和滲漏的措施；√評 估者應(yīng)查驗濕度監(jiān)測控制點在機(jī)房內(nèi)是否分布均勻有效，機(jī)房的濕度是否滿足設(shè)備正常運(yùn)行；√機(jī)房防水防潮評 估者應(yīng)查驗是否采取措施防止雨水通過屋頂和墻壁滲透以及室內(nèi)水蒸氣結(jié)露等現(xiàn)象的發(fā)生。4 管理弱點評估 物理安全管理物理安全管理是信息安全保障的基礎(chǔ)，是信息系統(tǒng)的支撐，XX 市地稅局物理安全相關(guān)的主要管理制度和安全策略為：《XX 地稅市局機(jī)房維護(hù)制度（2020）》。XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 7 頁 共 27 頁 文檔體系的分析在經(jīng)過了對每個現(xiàn)有文檔的分析，總結(jié)得出整個策略文檔體系的概貌和意見。? 整理——對經(jīng)過鑒別的文檔進(jìn)行編號和整理成策略文檔分析清單。這些文檔可以是已經(jīng)正式發(fā)布的，也可以是正在編制和修改的，包括XX 地稅局下 發(fā)的和編寫的。3 評估過程 分析過程 文檔分析準(zhǔn)備在開始文檔分析之前，需要做出一些相應(yīng)的準(zhǔn)備工作：XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 6 頁 共 27 頁? 通過與地稅局的溝通，獲得相關(guān)策略文檔數(shù)量的估計；? 要求地稅局開始搜集相關(guān)的策略文檔；? 根據(jù)文檔的估計量，確定參加分析的文檔數(shù)量。 評估范圍和內(nèi)容本次安全管理體系評估側(cè)重于管理架構(gòu)的合理和安全策略的完善，評估范圍包括以下 8 個方面：1　 物理安全2　 政策和制度3　 機(jī)構(gòu)和人員4　 安全風(fēng)險管理5　 工程建設(shè)與管理6　 運(yùn)行維護(hù)與管理7　 業(yè)務(wù)連續(xù)性管理8　 其他管理要求安全策略文檔的分析對象包括所有正在使用或即將使用的安全策略文檔，XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 5 頁 共 27 頁包括安全方針（綱要）、技術(shù)標(biāo)準(zhǔn)（規(guī)范）、管理制度、操作流程、用戶協(xié)議、安全培訓(xùn)資料等涉及安全的策略文檔。報告最后給出了策略改進(jìn)建議，使 XX 市地稅局對當(dāng)前信息系統(tǒng)安全管理狀況有了一個清晰的認(rèn)識，以便能夠更好的制定安全管理制度和策略，使 XX 市地稅局信息系統(tǒng)的管理更加科學(xué)、高效，為 XX 市地稅局的安全管理體系建 設(shè)和安全策略完善起到指導(dǎo)作用。我中心以建立符合我省情況的 風(fēng)險評估方法、積累風(fēng)險評估工作經(jīng)驗、培養(yǎng) 隊伍、 協(xié)助 XX 市地稅局更深入地了解其信息系 統(tǒng)安全現(xiàn)狀為目標(biāo)，通過文檔分析、現(xiàn)場訪談、問卷調(diào)查 、技術(shù)評估等方法，對 XX市地稅局“征管信息系 統(tǒng)”進(jìn)行了全面的信息安全風(fēng)險評 估。信息系統(tǒng)安全管理評估是對 XX 市地稅局目前已有的信息安全相關(guān)策略參照業(yè)界成熟安全管理標(biāo)準(zhǔn)和電子政務(wù)等級保護(hù)管理要求，全面評估物理安全、安全策略和安全制度、安全管理組