【正文】 目管理的方式提高項目實施的效率和質(zhì)量。在工程建 設上基本沒有安全性方面的一些要求和控制措施，在一些大項目中的整體方案中提出了一些安全需求，但并沒有處于一個重要的地位?！?√ 　安全系統(tǒng)的設計和采購系統(tǒng)、產(chǎn)品和服務采購 評估者查驗是否有系統(tǒng)、產(chǎn)品和服務采購方面的規(guī)程； √ 　 　工程項目的控制和驗收安全系統(tǒng)的測試驗收評 估者要求出示安全系統(tǒng)驗 收的相關記錄或證據(jù)，表明進行了測試和驗 收； 　 √ 　1　 通過評估可以看出，在以前 XX 市地稅局的工程建設中，基本沒有正 規(guī)的安全需求分析報告，也沒有主管 領導蓋章批準的需求分析文件。鑒于稅務系統(tǒng)當前的工程建設模式，本次評估只是對最基本的安全要求進行分析，分析結果也主要用于今后 XX 市地稅局進 行工程建設時的一個參考， 評估的內(nèi)容包括 2 個方面 6 個問題： 安全方面安全要求項問題 是 否 說明XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 17 頁 共 27 頁 評估者要求出示信息系統(tǒng)的安全需求報告； 　 √ 　 安全需求分析和說明 評估者查驗是否有單位主管 領導的簽字或蓋章等方式的批準。 工程建設與管理工程建設管理應對風險管理應該是信息系統(tǒng)的整個生命周期而非僅運維階段，因此在工程建設階段就充分考慮到信息系統(tǒng)所面臨的威脅和風險，將一些風險從內(nèi)部解決而不是通過補丁來修正，無論從提高系統(tǒng)安全性還是節(jié)約成本而言都具有積極的意義。3　 評估工作應符合安全狀態(tài)動態(tài)變化的特點，定期和不定期的評估相結合，外部評估和內(nèi)部審計相結合，形成比 較完善的保障系統(tǒng)。2　 通過風險評估項目，進行翔實的威脅、脆弱性、 風險分析，得出詳細的報告和過程文檔。建議引進資產(chǎn)管理系統(tǒng)，可以選用適合的工具，降低資產(chǎn)管理的復雜度，彌 補 XX 市地稅局人力的緊張和不足。但是在本次 項目中這些工作卻是重點工作內(nèi)容；在評估中，發(fā)現(xiàn)安全主管領導和安全管理組織的安全風險意識都非常強烈，對風險管理也有比較深刻的認識，因此需要將這種意識拓展，只要全員的安全風險意識都有提高，將全面提升 XX 地稅局信息系統(tǒng) 的保障水平。 　 √ 　評 估者要求出示用戶自己的安全 產(chǎn)品選型指南或相關文件； √ 　 　 評估者要求介紹安全措施選擇的基本過程和方法； √ 　 　選擇和實施風險控制措施基于安全基線表選擇控制措施評估者判斷安全措施的選擇 是否符合基線選擇要求。 　 √ 　評 估者要求出示對信息系統(tǒng) 漏洞掃描的具體報告或相關報告； √ 　 　評 估者查驗漏洞掃描的具體日期，判斷漏洞掃描數(shù)據(jù)的可信程度； √ 　 　脆弱性分析和評估脆弱性的工具掃描 評 估者判斷漏洞掃描范圍是否包括網(wǎng)關 設備、網(wǎng)絡設備、主機設備和安全設備 等。評估的內(nèi)容包括 5 個層面 10 個問題：XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 15 頁 共 27 頁安全方面安全要求項問題 是 否 說明評 估者要求出示信息系統(tǒng)相關的 資產(chǎn)清單等文件，查驗資產(chǎn)清單中是否清晰 識別每項資產(chǎn)、其擁有權、責任人以及資產(chǎn)現(xiàn)在的位置等信息；√ 　 　資產(chǎn)鑒別和管理資產(chǎn)清單 評 估者觀察實際環(huán)境中網(wǎng)絡設備 、主機 設備及安全設備等，驗證是否有設備標識 信息。XX 地稅局項 目中安全風險管理評估主要是通過訪談等方式了解地稅局當前如何利用風險評估的方法進行信息系統(tǒng)安全的管理。4　 建議將安全責任作為每個工作人員職責的一部分，納入到績效考核體系。2　 由于政府機關人員錄用和使用上的特點，在當前的環(huán)境下，一些對于關鍵信息崗位的選、 錄、用 過程中尚不能加入對安全方面的要求，但隨著信息系統(tǒng)重要性的增加，應考慮與人事部門協(xié)調(diào)，在今后的關鍵職位任用時，對人員的安全性予以考慮?！?　 　根據(jù)對 XX 市地稅局的 評估情況，地稅局的機構和人員建設既有做到相當好XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 14 頁 共 27 頁的方面，也同時存在一些重要層面需要進一步完善：1　 沒有專職的安全員崗位設置，兼職安全管理人員的責任和權利不夠明確?！?　 　評 估者查驗文檔資料，驗證是否有人員離崗方面的處理規(guī)定； √ 　 　 人員安全管理人員離崗 評 估者要求出具離崗人員的離 崗手續(xù)資料，查驗是否包括回收證件、設備等的簽字信息。評估的內(nèi)容包括 3 個層面 9個問題：安全方面 安全項 問題 是 否備注 / 說明評 估者詢問單位主管，讓其指出委任的安全管理人員，確認安全管理人 員具有的安全管理的權力；　 √ 　評 估者詢問安全管理人員，讓其表述自己的安全管理權力，比較安全管理人 員描述的權力和單位主管賦予權力的區(qū)別；　 √ 　安全管理人員配備 評 估者要求出具安全管理人員的受教育或培訓情況的資料，查驗相關 資料的內(nèi)容，檢查專業(yè)技術水平是否符合安全管理人員的要求。安全管理組織要求定義組織內(nèi)部與信息安全有關的組織和協(xié)作，如何落實安全責任，與安全有關的授權過程，同 時，要求管理者能夠識別第三方合作和外包過程中的風險，并通過相關的合同控制安全風險。所有的安全策略必 須經(jīng)高層管理進行批準推行。信息安全策略的內(nèi)容應涵蓋以下方面：1　 信息安全的目標和原則；2　 信息安全管理者的職責；3　 違背信息安全策略的后果。針對 XX 市地稅局的情況，我們建議地稅局管理層提高對信息安全的重視程度，開發(fā) 適應本局情況的安全策略。 √ 　 　在評估過程中，查驗 XX 市地稅局有 總體方針政策，總體方針以上級發(fā)放的方針政策為主。在本次評估過程中主要收集和分析了以下文件： 1　 XX 地稅 計算機系統(tǒng)管理制度2　 XX 市地方稅 務局網(wǎng)絡安全管理制度3　 XX 市地方稅 務局網(wǎng)絡運行維護管理制度4　 系統(tǒng)數(shù)據(jù)庫口令管理5　 2020 年信息化工作要點（定稿)6　 XX 市基 層單位兼職信息化管理人員職責(新）7　 信息化星級管理辦法 20208　 XX 地稅市局征管數(shù)據(jù)庫備份系統(tǒng)維護管理辦法9　 XX 地稅市局征管數(shù)據(jù)庫備份系統(tǒng)維護手冊10　 XX 地稅數(shù)據(jù)復制系 統(tǒng)使用維護手冊11　 XX 地稅數(shù)據(jù)復制系 統(tǒng)維護管理辦法（試行）12　 XX 地稅市局機房維護 制度13　 XX 市地方稅務局計 算機使用維護管理制度主要的訪談內(nèi)容包括 2 個 層面 4 個問題：安全方面安全項 問題 是 否 說明信息 方針 評估者查驗文檔資料，驗證是否制定了 總體 √ 　 　XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 12 頁 共 27 頁方針和政策；安全方針與政策與政策的制定評估者查驗是否有單位主管領導的簽字或蓋章等方式的批準。訪談主要對象包括 XX 市地稅局信息安全主管領導，信息中心領導和主管人員等人。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運轉(zhuǎn)機制中安全防范的領域和重要性；管理意圖的闡述，信息安全目標和原則的支持；安全策略、原則和標準的簡 要說明以及對于機構有其重要的規(guī)范實施條件的解XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 11 頁 共 27 頁釋；闡述信息安全的職責等等。應完善介質(zhì)管理制度，做到有章可循。缺乏必要的制度規(guī)范介質(zhì)管理和使用，過于依 賴人員， 這和整體的資產(chǎn)管理制度不健全相關。物理安全管理方面主要存在以下問題：1　 機房出入方面，對機房出入的登記做得不夠好，沒有嚴格的登記出入攜帶設備、對出入人員的身份，出入原因登記也不夠詳細 ?！淘u估者應查驗機房內(nèi)是否采用了防靜電的活動地板； √機房防靜電 1評估者應查驗設備是否有良好的接地措施?！虣C房防火評 估者應訪談和查驗機房是否設有滅火設備，工作人員是否熟悉滅火流程√機房安全機房供配電評 估者應查驗機房內(nèi)其它電力負荷是否與計算機主機電源和不間斷電源系統(tǒng)分開供電，并設置專用動力配電箱√XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 9 頁 共 27 頁評 估者應訪談和查驗在機房電源接入處是否設置總開關或緊急斷路器，以備出現(xiàn)緊急故障時能夠及時切斷電源，總開關是否做標記并用防護罩保護以防意外斷電。物理安全管理的評估方法是用戶訪談和機房檢查。角 色 人員列表評估人員 梁立新、梁志、趙白、朱寧寧地稅配合人員 XXX、XXX 工作持續(xù)時間工作項 內(nèi)容 工作量 持續(xù)時間文檔調(diào)研（準備、搜集、接收、鑒別與整理）文檔調(diào)查表 224 個文檔 1 天物理安全 18項政策和制度 4項機構與人員 9項安全風險管理 10項工程建設與管理 6項運行與維護管理 21項安全管理文檔分析與訪談業(yè)務連續(xù)性管理 17項 天XX 市地稅局信息系 統(tǒng) 信息安全管理 評 估 報 告第 8 頁 共 27 頁其他管理要求 4項高管訪談 安全管理綜合訪談 21項 天 工作結束準則完成文檔搜集、接收、鑒別、整理；分析文檔完成管理 調(diào)研調(diào)查表的填寫，和高管的訪談，得出翔實的