【正文】 。減輕來自地方放人員的安全威脅；11　 加強文檔控制，針對不同重要級別的文檔對人員有不同的授權(quán)，沒有得到授權(quán)的人員不能訪問文檔；12　 制定安全事件的報告和響應(yīng)流程程序，并對事件進(jìn)行分級，針對不同級別的事件指定不同的事件處理程序；13　 制定詳細(xì)的應(yīng)急預(yù)案，并對應(yīng)急預(yù)案進(jìn)行培訓(xùn)和測試演練，驗證應(yīng)急計劃的可執(zhí)行性和執(zhí)行效果。規(guī)范對計算機終端以及便攜設(shè)XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 27 頁 共 27 頁備的接入以及設(shè)置，減少因終端問題對信息系統(tǒng)造成影響。評估工作應(yīng)符合安全狀態(tài)動態(tài)變化的特點，定期和不定期的評估相結(jié)合，外部評估和內(nèi)部審計相結(jié)合，形成比較完善的保障系統(tǒng)；6　 建議加強對員工進(jìn)行深入的安全培訓(xùn)，全面提升 XX 地稅局信息安全風(fēng)險管理意識和技能水平；7　 加強工程建設(shè)的管理，在安全需求、詳細(xì)設(shè)計階段，加入安全風(fēng)險的分析，將安全控制作為系統(tǒng)功能的一部分予以考慮。在安全崗位的人 員的選、 錄、用過程中要考慮安全性因素，對安全崗位人員要有資質(zhì)要求，并有定期的考核；5　 通過風(fēng)險評估項目，進(jìn)行翔實的威脅、脆弱性、風(fēng)險分析，得出 詳細(xì)的報告和過程文檔。信息安全的政策制度應(yīng)含蓋如下幾方面：? 信息安全的目標(biāo)和原則；? 信息安全管理者的職責(zé)；? 違背信息安全策略的后果。 改進(jìn)建議針對當(dāng)前 XX 地稅局在安全管理方面存在的疏漏和問題，我們給出以下的改進(jìn)建議：1　 加強機房管理制度的落實，做到制度一經(jīng)發(fā)布，嚴(yán)格執(zhí)行，對違反規(guī)定情況給予適當(dāng)處罰，以加強執(zhí) 行效果；2　 制定規(guī)范的資產(chǎn)管理辦法和介質(zhì)管理辦法，并部署資產(chǎn)管理系統(tǒng)軟件。5 管理評估綜述 主要問題描述根據(jù)以上安全管理八個方面的分析，對 XX 市地稅局目前在安全管理方面存在的主要問題列舉如下：1　 物理安全方面，機房管理維護制度落實不好， 對機房出入登記少，在機房內(nèi)的活動限制不好；對設(shè)備以及介質(zhì)資產(chǎn)的管理情況不好，沒有 資產(chǎn)管理辦法作為指導(dǎo)，主機、網(wǎng)絡(luò)設(shè)備等都沒有貼上清晰的 資產(chǎn)標(biāo)識；介質(zhì)也沒有很好的分類管理；2　 政策和制度方面，主要的信息安全方針， 規(guī)章制度都依賴于省局下發(fā)，沒有建立適應(yīng)于地稅局具體情況的安全方針和全面的安全策略；XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 25 頁 共 27 頁3　 機構(gòu)和人員方面，沒有專職的安全員崗位設(shè)置，安全管理人員的責(zé)任和權(quán)利不夠明確。不足主要體現(xiàn)在：1　 缺乏防止濫用工作設(shè)備和資源的機制；2　 雖然存在各種安全流程和技術(shù)檢查制度，但是執(zhí)行不力，不能得到有效的貫徹落實。√ 　 　XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 24 頁 共 27 頁評 估者查驗文檔資料，驗證是否制定了涉及知識產(chǎn)權(quán)和軟件版權(quán)等方面的規(guī)定； √ 　 　 軟件版權(quán)評 估者查驗系統(tǒng)中使用的軟 件， 選擇使用的幾個軟件作為案例，要求出示使用 許可協(xié)議，是否均有使用許可協(xié)議。系統(tǒng)審核的目 標(biāo)是將系統(tǒng)審計程序的效力提升到最高，將其對系統(tǒng)的影響降到最低。 法律符合性符合性包括符合法律要求，對安全策略和技術(shù)符合性的評估，系統(tǒng)審核等，符合法律要求的內(nèi)容覆蓋了明確使用的法律、知識產(chǎn)權(quán)保護、組織記錄保護、個人隱私和數(shù)據(jù)保護，防止信息 設(shè)施濫用、 證據(jù)收集等。 對該計劃要進(jìn)行周期性的測試和檢查，隨時根據(jù)實際情況作出調(diào)整。　 √ 　評估者查驗文檔資料，驗證是否制定了應(yīng)急計劃； 　 √ 　1評估者查驗應(yīng)急計劃的內(nèi)容，驗證應(yīng)急計劃是否劃分了人員的角色、規(guī)定了人 員的職責(zé)； 　 √ 　 應(yīng)急計劃的制定、 測試和維護應(yīng)急計劃制定 1評估者選擇一個應(yīng)急計劃案例，要求模擬實施應(yīng)急計劃，驗證應(yīng)急計劃的可 執(zhí)行程度，以及人員和資源方面的保證是否做到　 √ 　1評估者要求出示應(yīng)急計劃的培 訓(xùn)計劃、培訓(xùn)教材、培訓(xùn)合格記錄等文件 　 √ 　1評估者查驗培訓(xùn)教材等材料，驗證是否包括控制手段和恢復(fù)策略的培訓(xùn)內(nèi)容 　 √ 　1評估者查驗培訓(xùn)計劃和培訓(xùn)記錄 等材料，驗證應(yīng)急計劃的培訓(xùn)周期是否符合要求； 　 √ 　1評估者查驗培訓(xùn)計劃和培訓(xùn)記錄 等材料，驗證是否針對新雇員進(jìn)行應(yīng)急計劃的培訓(xùn) 　 √ 　 應(yīng)急計劃的實施保證應(yīng)急計劃的培訓(xùn)1評估者詢問應(yīng)急計劃涉及的相關(guān)人 員， 讓其描述應(yīng)急計劃的執(zhí)行過程，是否與 應(yīng)急計劃的內(nèi)容一致　 √ 　可以看出 XX 市地稅局在業(yè)務(wù)連續(xù)性保障方面還存在很多薄弱環(huán)節(jié)，只在數(shù)據(jù)的備份和恢復(fù)方面做得較好，具體不足之處在于：1　 安全事件處理方面，沒有對故障、事故或災(zāi) 難劃分等級2　 沒有安全事件的規(guī)范報告程序和響應(yīng)程序3　 沒有制定應(yīng)急計劃、方案等制度策略，因而也沒有應(yīng)急計劃的培訓(xùn)和演練4　 沒有對系統(tǒng)中斷事件的可能性及后果進(jìn)行的風(fēng)險評估；針對以上問題，我們建議如下：1　 制定安全事件的報告和響應(yīng)流程程序，并對事件進(jìn)行分級，分級內(nèi)容應(yīng)包括但不限于以下方面：包含不可抗力、設(shè)備故障、病毒爆 發(fā)事件、外部XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 23 頁 共 27 頁網(wǎng)絡(luò)入侵事件、內(nèi)部信息安全事件和內(nèi)部誤操作等。 √ 　 　評 估者查驗文檔資料，驗證是否對故障、事故或災(zāi)難的情況劃分了級別； 　 √ 　故障事故及災(zāi)難的劃分評 估者查驗級別劃分的內(nèi)容是否包含不可抗力、設(shè)備故障、病毒爆發(fā)事件、外部網(wǎng)絡(luò)入侵事件、內(nèi)部信息安全事件和內(nèi)部誤 操作等。連續(xù)性管理是個非常大的課題，涉及的內(nèi)容非常多，本項目中結(jié)合政府機關(guān)管理的特點，針對以下內(nèi)容 進(jìn)行分析和評估，包括 5 個方面的 17 個問題：安全方面安全要求項問題 是 否 說明評 估者查驗策略、規(guī)范、制度等文檔， 驗證是否制定了備份和恢復(fù)相關(guān)的策略； √ 　 　評 估者查驗內(nèi)容是否包含定期 備份重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件等要求； √ 　 　評 估者查驗是否規(guī)定了重要 業(yè)務(wù)信息的保存期以及永久保存的歸檔拷貝的保存期。引 進(jìn)資產(chǎn)管理系統(tǒng)，加強資產(chǎn)管理工作的效率；3　 增強系統(tǒng)變更管理的力度，可以通過完善變更審批和操作流程，加大檢查力度來實現(xiàn)；4　 加強對終端的管理，制定終端計算機的設(shè)置策略和管理制度，建議部署XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 21 頁 共 27 頁終端管理系統(tǒng)，實現(xiàn)對終端的集中管理，可大大提高終端的安全性；5　 加強對外來人員的管理，建立第三方人員管理辦法，對外來人員訪問系統(tǒng)要單獨建立帳號，開放適當(dāng) 權(quán)限，并要經(jīng)過領(lǐng)導(dǎo)審 批；6　 加大檢查力度和懲罰措施，防止在生產(chǎn)環(huán)境中自主安裝和運行無關(guān)的軟件；7　 對系統(tǒng)文檔應(yīng)采取控制措施，確保有必要的授權(quán)才可以得到指定的文檔，避免信息的泄漏。 √ 　 　XX 市地稅局存在一些 書面化的操作流程，詳細(xì)規(guī)定了業(yè)務(wù)操作方面的安全內(nèi)容?！?√ 　 1 評估者應(yīng)詢問主管領(lǐng)導(dǎo)是否指定了 專人作為網(wǎng)絡(luò)管理員； √ 　 　網(wǎng)絡(luò)管理員責(zé)任1 評估者應(yīng)詢問網(wǎng)絡(luò)管理員 是否定期檢查數(shù)據(jù)庫容量，如何確定數(shù)據(jù)備份的周期和方法。 √ 　 　 評估者應(yīng)查驗是否有拓?fù)?圖和網(wǎng)段劃分、VLAN 劃分、IP 地址分配說明； √ 　 　訪問控制策略管理　 1評估者應(yīng)詢問網(wǎng)絡(luò)管理員是否保留了主要網(wǎng)絡(luò)節(jié)點（網(wǎng)段劃分、VLAN 劃分、IP 地址分配的說明）的訪問控制列表的備份；√ 　 　1 評估者應(yīng)查驗被評估系統(tǒng) 的防病毒管理規(guī)定，是否包括關(guān)于檢查、記錄、升級和報告的規(guī)定；√ 　 　病毒防護管理　 1 評估者應(yīng)詢問安全管理人 員，如何 匯報病毒安全狀況，并通過詢問主管領(lǐng)導(dǎo) ，得到 驗證。 　 √ 　XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 19 頁 共 27 頁 評估者應(yīng)詢問系統(tǒng)管理員 或網(wǎng)絡(luò)管理員，是否不定期檢查 UPS 系統(tǒng)，是否按照 設(shè)備的操作手冊進(jìn)行設(shè)備的加電啟動和斷電中止操作；√ 　 　服務(wù)器操作管理 評 估者應(yīng)查驗系統(tǒng)管理員或網(wǎng) 絡(luò)管理員是否保留了重要系統(tǒng)的配置和服務(wù)設(shè)定文件。XX 市地稅局 項目中選擇了對于政府機關(guān)比較重要的 6 大類 21 個方面進(jìn)行了評估：安全方面安全要求項問題 是 否 說明評 估者應(yīng)詢問安全管理人員 是否有人員負(fù)責(zé)機房的出入，外部人員訪問范 圍是否受到限制、活動是否有人監(jiān)督；√ 　 　 評估者應(yīng)觀察被評估系統(tǒng) 機房或重要服務(wù)器是否加鎖，并詢問鑰匙是否由 專人保管； 　 √ 　物理環(huán)境管理機房管理評估者應(yīng)觀察被評估機房及控制室是否沒有茶杯、食品、煙蒂等物品。系統(tǒng)計 劃和接收的控制措施包括容量規(guī)劃和系統(tǒng)接收，目標(biāo)是將系統(tǒng)故障的風(fēng)險降到最低水平，惡意軟件防護的目標(biāo)是保護軟件和信息的完整性免受惡意軟件的傷害，網(wǎng)絡(luò)管理目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護支持性的基礎(chǔ)架構(gòu)?；谝陨犀F(xiàn)狀，建議 XX 地稅局重點完善以下幾個方面的管理：1　 加強工程設(shè)計、建設(shè)階段的安全比重，在 項目可行性分析、需求研究的 階段加入安全風(fēng)險分析，將安全控制作 為系統(tǒng)功能的一部分予以考慮2　 加強小項目的安全質(zhì)量的控制管理XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 18 頁 共 27 頁3　 在項目實施時可以考慮以項