稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架

word稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架PAGEPAGE11wordPAGE“稅務系統(tǒng)信息安全管理體系”編制說明兩辦發(fā)27號文對國家信息安全保障工作提出了具體的意見，為了落實黨和國家對信息安全保障工作的部署，切實保障稅務系統(tǒng)的信息安全問題，總局領導指示將稅務系統(tǒng)的建章立制工作作為近兩年稅務系統(tǒng)信息安全保障的重要工作內(nèi)容之一。本“稅務系統(tǒng)信息安全管理體系”依據(jù)信息系統(tǒng)全生命周期中各階段對于信息安全保障工作的不同需求，提出在信息系統(tǒng)全生命周期的安全管理制度。在制定稅務系統(tǒng)信息安全管理體系時，緊緊圍繞國家信息安全管理部門制定的國家信息安全保障工作重點以及稅務系統(tǒng)的網(wǎng)絡和業(yè)務應用的特征。所提出的稅務系統(tǒng)信息安全管理體系力求突出體系化的特征并符合國際與國內(nèi)相關(guān)的標準要求。稅務系統(tǒng)信息安全管理體系分為三個層次：安全策略-程序與管理制度-過程控制文件。其中稅務系統(tǒng)網(wǎng)絡與信息安全總體方案屬于第一個層次，程序與管理制度共37類文檔，過程控制文件包括11類文檔。本文檔制定了稅務系統(tǒng)信息安全管理體系的框架，在該框架內(nèi)每個層次的具體管理制度與規(guī)范等可以根據(jù)具體情況進行增減。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第1頁。

稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第1頁。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范之信息安全管理體系框架（征求意見稿）編制：審核：批準：國家稅務總局信息中心二〇〇四年六月稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第2頁。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第2頁。版本控制版本號日期參與人更新說明1.0分發(fā)控制:編號讀者文檔權(quán)限與文檔的主要關(guān)系12356稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第3頁。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第3頁。網(wǎng)絡與信息安全管理是指對計算機網(wǎng)絡應用體系中各個方面的安全技術(shù)和產(chǎn)品進行統(tǒng)一的管理和協(xié)調(diào)，進而從整體上提高計算機網(wǎng)絡的防范入侵、抵抗攻擊的能力。解決信息系統(tǒng)的安全問題，成敗通常取決于兩個要素：技術(shù)和管理。信息安全管理是信息安全技術(shù)發(fā)揮功效的重要保障和支撐。如果說，安全技術(shù)是信息安全的構(gòu)筑材料，那么，信息安全管理就是粘合劑和催化劑，只有將有效的安全管理貫徹落實于信息安全的方方面面，信息安全的長期性和有效性才能有所保證。信息系統(tǒng)安全管理要深入至信息系統(tǒng)生命周期的每一個階段從而保證信息的機密性、完整性和可用性來實現(xiàn)信息系統(tǒng)的安全。信息安全管理的生命周期模型如圖一所示。圖一信息安全管理生命周期模型稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第4頁。從上圖可見，信息系統(tǒng)安全管理體系框架包括三個部分：稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第4頁。信息系統(tǒng)生命周期：信息系統(tǒng)典型的生命周期模型分為計劃組織、開發(fā)采購、實施交付、運行維護、廢棄五個階段，信息系統(tǒng)安全管理需要貫穿信息系統(tǒng)的全生命周期。信息系統(tǒng)安全管理的支撐和指導：信息系統(tǒng)安全策略和信息安全風險管理是所有信息系統(tǒng)安全保障管理活動的支撐基礎，指導信息系統(tǒng)所有安全管理活動的實施。信息系統(tǒng)安全管理基礎，信息安全管理組織體系、資產(chǎn)管理、人事安全和物理安全是信息系統(tǒng)全生命周期內(nèi)安全管理的基石，是保障信息系統(tǒng)安全的基本安全保障措施。信息系統(tǒng)生命周期安全管理實踐：信息系統(tǒng)生命周期管理實踐將信息安全管理同信息系統(tǒng)生命周期相結(jié)合，通過在信息系統(tǒng)生命周期的不同階段進行不同的信息系統(tǒng)安全保障管理實踐。變更控制和符合性則貫穿于信息系統(tǒng)的全生命周期中。信息安全管理體系就是就是在信息安全生命周期管理模型的指導下，將信息系統(tǒng)全生命周期內(nèi)的管理實踐建立體系化的文檔框架。信息安全管理體系就是將組織、制度和人員這三個方面的問題通過文檔的方式表達出來并明確責任。一般來說，信息安全管理體系包含三個層次：安全策略-程序與管理制度-過程控制文件。為保證信息安全建設的統(tǒng)籌規(guī)劃，全面防范，重點突出，正確執(zhí)行，動態(tài)改進，建立以策略為核心的信息安全管理體系十分重要。信息安全策略是一切信息安全保障活動的基礎和出發(fā)點，指導全機構(gòu)/組織信息安全保障體系的開發(fā)和實施，為信息安全建設和實施指明方向，通過定義一套規(guī)則來規(guī)范信息安全體系的建設、運行和管理。程序和管理制度則是在策略指導下編寫的下層文件，用來具體規(guī)范人員行為，明確任務責任。在安全管理體系運作過程中還需要制定一系列第三層過程控制文件幫助紀錄并明確過程實施步驟、內(nèi)容、結(jié)果，并通過實施手冊和指南定義具體操作內(nèi)容和步驟，引導正確執(zhí)行工作。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第5頁。管理體系設計原則：完整、實用、簡潔、高效。管理體系的制定應該能夠覆蓋信息系統(tǒng)全生命周期內(nèi)的信息安全管理工作，符合稅務系統(tǒng)的業(yè)務特點，具有可實施性。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第5頁。根據(jù)信息安全管理體系框架，考慮到信息安全組織體系建設的重要性，在稅務系統(tǒng)信息安全管理體系框架中設立四個層次，將組織體系建設單獨作為一次層次，因此，稅務系統(tǒng)信息安全管理應制定的具體文件包括以下四個層次：1級文件:《信息安全總體策略》2級文件：《稅務系統(tǒng)信息安全組織崗位與職責分配》3級文件包括制度類、程序類、計劃類文件，按照管理域進行歸類劃分。4級文件包括操作指導書（指南類），以及系統(tǒng)運行過程中各類控制、記錄表單。在本信息安全管理體系框架內(nèi)所包含的信息安全管理相關(guān)文件可以根據(jù)具體情況進行組合，對于其中內(nèi)容相關(guān)的管理文檔可以合并成為一份文檔。2.1信息安全保障策略1、《稅務系統(tǒng)信息安全總體策略》（1級）目的與作用：對稅務系統(tǒng)全生命周期過程中所有的信息安全保障工作內(nèi)容進行定義，是一切信息安全活動的出發(fā)點和核心。具體定義稅務系統(tǒng)信息安全保障的總目標、總原則、范圍和對象，同時應聲明自身的地位和作用。稅務系統(tǒng)信息安全總體策略使用對象為稅務系統(tǒng)全體員工，而且包括與稅務系統(tǒng)信息化建設和維護相關(guān)的外部人員，以及稅務系統(tǒng)的用戶。2.2組織體系建設方面：2．《組織崗位與職責分配》（2級）目的與作用：清晰定義整個稅務系統(tǒng)信息安全保障組織架構(gòu)，明確架構(gòu)內(nèi)應設置的安全管理角色，并結(jié)合稅務系統(tǒng)的特點，依據(jù)安全管理角色設置信息安全管理崗位，明確定義每個崗位的信息安全職責。同時清晰描述與稅務系統(tǒng)在信息化建設與業(yè)務上有聯(lián)系的外部機構(gòu)，并明確其應承擔的與安全相關(guān)的具體職責。適用對象：稅務系統(tǒng)內(nèi)IT相關(guān)的所有員工，包括IT管理和維護部門以及業(yè)稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第6頁。務部門。同時包括設計稅務系統(tǒng)信息化建設的外部機構(gòu)。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第6頁。2.3信息安全保障制度、程序體系建設依據(jù)信息安全總體策略的內(nèi)容，對稅務系統(tǒng)信息安全保障的各項工作制定具體的落實辦法和實施規(guī)范，并參照崗位與指責分配，將管理職責落實到人。風險評估與管理：3．《稅務系統(tǒng)信息安全風險評估工作管理制度》（3級制度類）目的與作用：根據(jù)國家信息安全主管部門對信息安全保障工作的指示，信息安全風險評估工作是信息安全保障的基礎性工作。稅務系統(tǒng)信息安全風險評估工作必須在全系統(tǒng)落實，本制度從總局、省局、地市等幾個層次對稅務系統(tǒng)內(nèi)信息安全風險評估工作做出具體部署，并進行了具體的職責分配。涉及信息安全風險評估工作的組織與實施原則、審批與報告機制等。適用對象：IT管理人員與相關(guān)業(yè)務應用管理人員。人事方面：4．《系統(tǒng)內(nèi)部信息安全保障人事管理制度》（3級制度類）目的與作用：對于稅務系統(tǒng)內(nèi)部IT部門員工的招聘流程、條件制定管理辦法，特別是對于涉及信息安全重要管理崗位的人員對于崗位職責、勞動合同以及保密協(xié)議等進行具體規(guī)定。適用對象：稅務系統(tǒng)內(nèi)部IT部門以及業(yè)務應用部門工作人員。5．《第三方工作人員人事管理規(guī)定》目的與作用：對于稅務系統(tǒng)信息化建設與維護過程中，涉及到的外部人員所進行的管理制度，包括外部參觀人員以及合作開發(fā)人員在確保網(wǎng)絡與信息安全方面的管理規(guī)定，包括第三方人員訪問的審批、監(jiān)控以及保密協(xié)議等等。適用對象：外部工作人員。6．《安全培訓與考核管理規(guī)定》（3級制度類）目的與作用：應該制訂有效的意識培養(yǎng)計劃，維持信息安全意識。該計劃應覆蓋政府機構(gòu)內(nèi)部所有能夠訪問信息或系統(tǒng)的個人。制定關(guān)于向所有控制、或者可以訪問稅務系統(tǒng)的信息的人員提供恰當教育/培訓的管理制度。并對衡量各信息安全管理崗位的工作績效，制定考核辦法。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第7頁。適用對象：稅務系統(tǒng)IT部門相關(guān)人員。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第7頁。保障規(guī)劃方面:7．《稅務系統(tǒng)信息安全保障規(guī)劃》（3級計劃類）目的與作用：對稅務系統(tǒng)信息安全保障制定長期和短期規(guī)劃，信息安全管理和業(yè)務流程負責人在建立信息安全規(guī)劃時，應考慮風險評估結(jié)果，包括業(yè)務、環(huán)境、技術(shù)和人力資源風險。信息安全保障規(guī)劃需要考慮和充分解決稅務系統(tǒng)業(yè)務模式、稅務系統(tǒng)的地理分布性、費用、法律和規(guī)范要求、第三方或市場要求、業(yè)務流程重組、人員、內(nèi)外資源、數(shù)據(jù)、應用系統(tǒng)和技術(shù)體系結(jié)構(gòu)。所作選擇的效益應清晰地標識出來。信息安全長期和短期規(guī)劃還應包括執(zhí)行標志和目標。短期規(guī)劃應根據(jù)長期規(guī)劃分階段落實，包括人力、資源等。適用人員：IT管理部門及業(yè)務管理部門人員。軟件開發(fā)與維護方面:8．《軟件自主開發(fā)和維護過程管理要求》（3級制度類）目的和作用：對于稅務系統(tǒng)內(nèi)部自行組織開發(fā)的業(yè)務應用軟件的開發(fā)過程進行管理。包括軟件開發(fā)的流程，特別是應當在制定業(yè)務需求的同時確定信息安全需求，包括軟件代碼的版本控制，應用開發(fā)人員與測試人員以及業(yè)務管理人員的職責分配等方面。應用范圍：開發(fā)部門、測試部門及業(yè)務應用部門9．《外包軟件開發(fā)和維護過程管理要求》（3級制度類）目的和作用：對稅務系統(tǒng)內(nèi)部進行外包開發(fā)的應用軟件應當對如何確保安全需求及業(yè)務需求的實現(xiàn)進行管理，特別是如何對外包開發(fā)公司的職責提出管理的要求，如何對軟件升級及維護過程做出控制。應用范圍：業(yè)務應用部門10．《軟件工程文檔管理制度》（3級制度類）目的和作用：對稅務系統(tǒng)應用開發(fā)過程所產(chǎn)生的文檔建立規(guī)范的管理流程，特別重視文檔種類是否完備，關(guān)鍵軟件文檔的保管、借閱及處理制度等。應用范圍：IT管理部門、業(yè)務應用部門及資產(chǎn)管理部門。資產(chǎn)管理:稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第8頁。11．《資產(chǎn)描述及分類》（2級）稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第8頁。12．《信息資產(chǎn)標注和處理規(guī)定》（3級制度類）目的與作用：制定稅務系統(tǒng)內(nèi)部信息資產(chǎn)的分類及分級辦法，并根據(jù)信息資產(chǎn)的類別與等級，制定相應的處理辦法。適用對象：稅務系統(tǒng)所有人員13．《其它系統(tǒng)資產(chǎn)標注和安全管理制度》（3級制度類）目的與作用：對稅務系統(tǒng)關(guān)鍵硬件資產(chǎn)進行分類與分級辦法，并且制定對硬件資產(chǎn)的管理規(guī)定。適用對象:IT管理部門14．《新設備采購規(guī)程》（3級程序類）目的與作用：建立稅務系統(tǒng)內(nèi)部添加不同信息處理資產(chǎn)的處理過程，包括整個采購的審批與執(zhí)行過程等。適用對象：IT管理部門及業(yè)務應用部門。15．《資產(chǎn)報廢處理流程》（3級程序類）目的與作用：對不同安全等級的資產(chǎn)報廢時，應當制定相應的處理規(guī)定，避免處置不當造成敏感信息泄露。適用對象：稅務系統(tǒng)所有員工。16．《資產(chǎn)使用安全管理規(guī)定》特別是存儲介質(zhì)等的使用（3級制度類）目的與作用：對于信息資產(chǎn)（特別是筆記本、移動存儲介質(zhì)等）應當根據(jù)處理信息安全等級的不同，制定使用與日常管理的規(guī)定。適用對象：稅務系統(tǒng)所有員工。物理安全:17．《系統(tǒng)機房安全管理制度》（3級制度類）對于稅務系統(tǒng)機房的物理安全的管理及其人員職責，包括防火、防水等，特別是關(guān)鍵的數(shù)據(jù)庫機房的安全管理。適用對象：業(yè)務應用與管理部門、IT安全管理部門。18．《第三方來訪人員接待管理辦法》（3級制度類）目的與作用：對外來人員進出機房的管理規(guī)定，如果機房內(nèi)還特別劃出某個不同密級區(qū)域，特別加以保護，還應另外加以制定。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第9頁。適用對象：業(yè)務應用與管理部門、IT安全管理部門稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第9頁。通信與運行:19．《密鑰管理制度》（3級制度類）目的與作用：對業(yè)務應用部門的密鑰制定管理辦法。確保密鑰這個核心資產(chǎn)的安全。適用對象：相關(guān)部門20．《系統(tǒng)內(nèi)服務器、網(wǎng)絡設備以及安全設備日常維護管理制度》（3級制度類）目的與作用：對稅務系統(tǒng)關(guān)鍵服務器、網(wǎng)絡設備的維護與日常管理制定具體工作內(nèi)容并落實到人。適用對象：業(yè)務應用與管理部門、IT安全管理部門21．《業(yè)務系統(tǒng)日常維護管理制度》（3級制度類）目的與作用：對稅務系統(tǒng)應用業(yè)務系統(tǒng)的維護與日常管理制定具體工作內(nèi)容并落實責任到人。適用對象：業(yè)務應用與管理部門、IT安全管理部門22．《數(shù)據(jù)庫及其它應用軟件日常維護管理制度》（3級制度類）目的與作用：對稅務系統(tǒng)數(shù)據(jù)庫的維護與日常管理制定具體工作內(nèi)容并落實到人。適用對象：業(yè)務應用與管理部門、IT安全管理部門23．《系統(tǒng)數(shù)據(jù)日常備份和管理制度》（3級制度類）目的與作用：對稅務系統(tǒng)關(guān)鍵數(shù)據(jù)的備份與處理制定具體工作內(nèi)容并落實到人。適用對象：業(yè)務應用與管理部門、IT安全管理部門24．《系統(tǒng)病毒防治管理制度》（3級制度類）目的與作用：對稅務系統(tǒng)病毒防治工作制定具體工作內(nèi)容并落實到人。適用對象：業(yè)務應用與管理部門、IT安全管理部門25．《網(wǎng)絡監(jiān)測與事件匯報制度》（3級制度類）目的與作用：對稅務系統(tǒng)網(wǎng)絡監(jiān)測以及發(fā)現(xiàn)異常事件的通報與處理過程制定具體工作內(nèi)容并落實到人。稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第10頁。適用對稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第10頁。26．《網(wǎng)站信息發(fā)布與安全管理規(guī)定》（3級制度類）目的與作用：對通過稅務系統(tǒng)對外及對內(nèi)發(fā)布的信息制定審批與發(fā)布的具體規(guī)定，并將責任落實到人。適用對象：業(yè)務應用與管理部門、IT安全管理部門27．《辦公網(wǎng)安全管理規(guī)定》（3級制度類）目的與作用：對稅務系統(tǒng)關(guān)辦公網(wǎng)的安全管理與日常維護制定具體工作內(nèi)容并落實到人。適用對象：業(yè)務應用與管理部門、IT安全管理部門28．《與其他外部單位工作聯(lián)系管理規(guī)定》目的與作用：對稅務系統(tǒng)信息安全保障工作對外聯(lián)系制定具體過程。適用對象：業(yè)務應用與管理部門、IT安全管理部門29．《安全事故處理流程》（3級程序類）目的與作用：對稅務系統(tǒng)內(nèi)的信息安全事故制定處理及通報的流程并落實到人。如果系統(tǒng)內(nèi)有專用或特別保護的設備，還應制定。適用對象：業(yè)務應用與管理部門、IT安全管理部門30．《高敏感設備安全管理規(guī)定》（3級制度類）目的與作用：對稅務系統(tǒng)內(nèi)的高敏感設備制定管理規(guī)定并落實到人。適用對象：相關(guān)部門邏輯訪問控制:31．《訪問控制權(quán)限分配與授權(quán)規(guī)程》（3級程序類）目的與作用：建立稅務系統(tǒng)內(nèi)部人員訪問控制權(quán)限的分配與授權(quán)過程。適用對象：所有員工32．《權(quán)限管理實施規(guī)定》（3級制度類）目的與作用：對稅務系統(tǒng)內(nèi)部人員的訪問控制權(quán)限應進行定期審核、制定人員離崗、轉(zhuǎn)崗等不同狀況下的權(quán)限管理規(guī)定。適用對象：所有員工變更控制:33．《系統(tǒng)生命周期內(nèi)變更控制管理規(guī)定》（3級制度類）稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第11頁。目的與作用：對稅務系統(tǒng)生命周期內(nèi)任何有關(guān)涉及系統(tǒng)結(jié)構(gòu)、業(yè)務需求等稅務系統(tǒng)網(wǎng)絡與信息安全標準規(guī)范信息安全管理體系框架全文共13頁，當前為第11頁。方面的變更應當采用一套規(guī)范的流程進行控制，如變更風險評估、變更結(jié)果通告等。適用對象：所有員工業(yè)務持續(xù)性:34．《業(yè)務持續(xù)性計劃》（3級計劃類）目的與作用：建立稅務系統(tǒng)業(yè)務影響分析與業(yè)務持續(xù)性的需求。根據(jù)業(yè)務不同制定具體的持續(xù)性方法。適用對象：業(yè)務部門與IT管理部門35．《應急響應制度》（3級制度類）目的與作用：建立稅務系統(tǒng)的應急響應組織體系和響應流程。適用對象：IT管理部門36．《災難恢復制度》（3級制度類）目的與作用：建立災難分級與分類方法，對于不同嚴重等級的災難制定具體的恢復機制和處理方法。適用對象：IT管理部門符合性:37．《安全審計管理制度》（3級制度類）目的與作用：對于不同層次的稅務系統(tǒng)，應當對于內(nèi)部業(yè)務和人員的工作進行定期審計，并對審計結(jié)果的處理方法，信息安全審計工作的組織方式。適用對象：IT管理部門