文档介绍：“税务系统信息安全管理体系”
编制说明

两办发27号文对国家信息安全保障工作提出了具体的意见，为了落实党和国家对信息安全保障工作的部署，切实保障税务系统的信息安全问题，总局领导指示将税务系统的建章立制工作作为近两年税务系统信息安全保障的重要工作内容之一。
本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶段对于信息安全保障工作的不同需求，提出在信息系统全生命周期的安全管理制度。在制定税务系统信息安全管理体系时，紧紧围绕国家信息安全管理部门制定的国家信息安全保障工作重点以及税务系统的网络和业务应用的特征。所提出的税务系统信息安全管理体系力求突出体系化的特征并符合国际与国内相关的标准要求。
税务系统信息安全管理体系分为三个层次：安全策略-程序与管理制度-过程控制文件。其中税务系统网络与信息安全总体方案属于第一个层次，程序与管理制度共37类文档，过程控制文件包括11类文档。
本文档制定了税务系统信息安全管理体系的框架，在该框架内每个层次的具体管理制度与规范等可以根据具体情况进行增减。
税务系统网络与信息安全标准规范
之
信息安全管理体系框架
（征求意见稿）



国家税务总局信息中心
二〇〇四年六月
版本控制
版本号
日期
参与人
更新说明
分发控制:
编号
读者
文档权限
与文档的主要关系
1
2
3
5
6
管理体系建设综述
网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。解决信息系统的安全问题，成败通常取决于两个要素：技术和管理。信息安全管理是信息安全技术发挥功效的重要保障和支撑。如果说，安全技术是信息安全的构筑材料，那么，信息安全管理就是粘合剂和催化剂，只有将有效的安全管理贯彻落实于信息安全的方方面面，信息安全的长期性和有效性才能有所保证。
信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的安全。信息安全管理的生命周期模型如图一所示。
图一 信息安全管理生命周期模型
从上图可见，信息系统安全管理体系框架包括三个部分：
信息系统生命周期：信息系统典型的生命周期模型分为计划组织、开发采购、实施交付、运行维护、废弃五个阶段，信息系统安全管理需要贯穿信息系统的全生命周期。
信息系统安全管理的支撑和指导：信息系统安全策略和信息安全风险管理是所有信息系统安全保障管理活动的支撑基础，指导信息系统所有安全管理活动的实施。
信息系统安全管理基础，信息安全管理组织体系、资产管理、人事安全和物理安全是信息系统全生命周期内安全管理的基石，是保障信息系统安全的基本安全保障措施。
信息系统生命周期安全管理实践：信息系统生命周期管理实践将信息安全管理同信息系统生命周期相结合，通过在信息系统生命周期的不同阶段进行不同的信息系统安全保障管理实践。变更控制和符合性则贯穿于信息系统的全生命周期中。
信息安全管理体系就是就是在信息安全生命周期管理模型的指导下，将信息系统全生命周期内的管理实践建立体系化的文档框架。信息安全管理体系就是将组织、制度和人员这三个方面的问题通过文档的方式表达出来并明确责任。
一般来说，信息安全管理体系包含三个层次：安全策略-程序与管理制度-过程控制文件。为保证信息安全建设的统筹规划，全面防范，重点突出，正确执行，动态改进，建立以策略为核心的信息安全管理体系十分重要。
信息安全策略是一切信息安全保障活动的基础和出发点，指导全机构/组织信息安全保障体系的开发和实施，为信息安全建设和实施指明方向，通过定义一套规则来规范信息安全体系的建设、运行和管理。程序和管理制度则是在策略指导下编写的下层文件，用来具体规范人员行为，明确任务责任。在安全管理体系运作过程中还需要制定一系列第三层过程控制文件帮助纪录并明确过程实施步骤、内容、结果，并通过实施手册和指南定义具体操作内容和步骤，引导正确执行工作。
管理体系设计原则：完整、实用、简洁、高效。管理体系的制定应该能够覆盖信息系统全生命周期内的信息安全管理工作，符合税务系统的业务特点，具有可实施性。
应制定的具体文件
根据信息安全管理体系