文档介绍:海北州地税系统网络与信息安全总体策略
(试行稿)
海北州地税局电子税务管理中心
二〇一〇年十二月
1安全策略概述
税务系统相关信息和支撑系统、程序等,不论它们以何种形式存在,均是税务系统的关键资产。信息的可用性、完整性和机密性是信息安全的基本要素,关系到全国税务机关的形象和全国税务征管业务的持续运行。因此,必须保护这些资产不受威胁侵害(威胁可能来自各个方面,如网络诈骗、侦探、病毒或黑客,自然灾害等)。定义和监督执行税务系统网络与信息安全总体策略是国家税务总局网络与信息安全管理部门的职责。
全国税务信息系统是存储、传输、处理大量关于全国税务征管业务关键信息的系统。这些信息受国家法律保护,必须保证其安全。确保全国税务信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。
随着信息技术的发展,信息安全技术也不断发展,税务系统面临的安全威胁也可能在不断变化,为了应对安全要求及各种约束条件的变化,对于安全策略及其相应的支撑管理规程和制度需要不断的修订和改进。
信息安全关系到所有类型的信息和存贮、处理或传输这些信息的硬件、软件及固件。本策略适用于与税务业务相关的所有部门的所有系统及其工作人员。然而,需要不同的部门要根据其自身的特点,对需求、威胁、风险、信息类型进行针对性的规定。
信息安全的目标就是确保税务业务的连续性,并通过一系列预防措施将业务可能受到的损害降到最低,将安全事故产生的影响降到最低。信息安全管理应在确保信息和计算机资产受到保护的同时,确保信息能够在允许的范围内正常运行使用。对每种资产的保护程度由以下四个基本要素决定:
机密性
完整性
可用性
可审计性
同样,本策略的目的也是让所有工作人员能够了解信息安全问题以及他们个人的责任,并严格遵守本安全策略。促进信息安全策略的实现和普及是每个工作人员应尽的责任和义务。依照本安全策略,需要制定:
信息安全相关的角色需求
各种安全环境下的岗位和职责需求
全体工作人员都应该遵守国家相关的计算机或信息安全法律要求,并明确他们各自的信息安全职责。
税务系统所有工作人员都有责任学****理解并遵守安全策略,以确保税务系统敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
税务系统安全总体策略由总局网络与信息安全管理部门负责制定和解释,并每年组织一次对总体策略进行修订和维护,由总局信息安全领导小组在税务系统内发布。
税务系统内已存在的但内容与本安全策略不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。
建立安全组织的目标是管理税务系统内部的信息安全。州局、县局都必须建立专门的安全领导小组,指定专职的安全管理员。
必须建立信息安全管理体系,在税务系统内部开展和控制信息安全的管理实施。
信息安全是所有税务系统工作人员必须共同承担的责任。各级税务系统必须建立相应的最高安全领导小组,由最高的主管领导担任组长,领导小组应能够:
提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权;
审查、批准信息安全策略和岗位职责;
审查业务关键安全事件;
批准增强信息安全保障能力的关键措施和机制;
保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
相关信息安全管理部门必须为建立和维持信息安全管理体系,协调相关活动,并承担如下职责:
调整并制定所有必要的信息安全管理规程、制度以及实施指南等;
提议并配合执行信息安全相关的实施方法和程序,如风险评估、资产分级分类方法等;
主动采取部门内的信息安全措施,如安全意识培训及教育等;
配合执行新系统或服务的特殊信息安全措施;
审查对信息安全策略的遵循性;
审查、监控、协调对信息安全相关事件的评估和响应;
配合并参与安全评估事项;
根据信息安全管理体系的要求,定期向上级主管领导和信息安全领导小组报告。
各级税务系统的安全角色和职责的分配应该根据自己的具体情况补充更详细的环境、系统或服务的描述,这些描述必须明确定义单个资产(包括物理的和信息的)的职责和安全规程,例如业务持续性计划。
为了避免任何对个人责任的误解,每个管理者所负责的管理区域必须被明确规定,重点强调如下:
应该识别和定义与每个业务应用系统相关的各种资产和安全过程;
管理者应该知晓与其相关的资产管理责任,并且形成文件;
应明确定义授权级别,并形