税务系统信息安全管理岗位及其职责征求意见稿.docx
《税务系统信息安全管理岗位及其职责征求意见稿.docx》由会员分享,可在线阅读,更多相关《税务系统信息安全管理岗位及其职责征求意见稿.docx(8页珍藏版)》请在冰豆网上搜索。
税务系统信息安全管理岗位及其职责征求意见稿
《税务系统信息安全管理岗位及其职责》
编制说明
《税务系统信息安全管理岗位及其职责》是税务系统网络与信息安全保障的文件之一,这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写,目的是为了初步建立税务系统信息安全管理角色,明确管理人员的职责。
但由于税务系统各组织(总局、省局、地市局)各自具有不同的特点,没有一种模式适用所有的组织,特别市对地市局来说,通常没有特定的专职人员担任这里描述的众多安全管理角色,即使是国家税务总局中,描述的一些安全管理角色也不会安排专门人员来担任。
最重要的是各组织应该以适当的方式来安排这些管理角色。
本《税务系统信息安全管理岗位及其职责》编制的目的和主要内容如下:
1.描述了税务系统信息安全管理组织架构,以及主要的信息安全管理角色与职责。
示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统信息安全管理岗位设置原则。
税务系统信息安全管理岗位及其职责
(征求意见稿)
编制:
审核:
批准:
国家税务总局信息中心
二〇〇四年七月
版本控制
版本号
日期
参与人
更新说明
分发控制:
编号
读者
文档权限
与文档的主要关系
1
2
3
5
6
一、税务系统信息安全管理角色与职责
为有效实施信息安全管理,保障和实施税务系统的信息安全,在税务系统内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。
根据税务系统编制体系现状以及人员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与安全管理运行方面,应起到指导与监管的作用。
在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。
因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。
具体的信息安全管理角色与职责描述如下。
信息安全领导小组
信息安全是所有税务系统人员必须共用承担的责任,一般来说,各级税务系统首先应建立信息安全领导小组。
信息安全领导小组是税务系统内的信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。
总局信息安全领导小组负责全局信息安全总体规划与决策,并领导总局信息系统安全建设、运行、维护和管理等工作;省局信息安全领导小组负责组织落实上层决策,制定省级决策,并领导省局信息安全工作;地市局信息安全领导小组负责落实上层决策,制定地市级决策,并领导地市级信息安全工作。
各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅,并结合信息安全相关各职能部门的主要负责人参加。
各级信息安全领导小组的职责是:
1.总局信息安全领导小组负责领导制定全局信息系统安全建设的总体规划并审议监督各省级安全工作规划的制定与实施;负责制定全局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定与信息系统安全相关的规章制度;负责信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全工作报告;负责全局重大安全事故查处与汇报工作。
2.省局信息安全领导小组负责领导落实全局信息系统安全建设的总体规划,制定省级建设规划并监督各地市级安全工作规划的制定与实施;在全局信息安全总体方针的指导下,负责组织制定省级信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责省级信息系统安全管理层以上的人员权限授予工作;负责审阅省局信息安全工作报告;负责省局重大安全事故查处与汇报工作。
3.地市局信息安全领导小组负责领导落实省局信息系统安全建设规划,制定地市局级安全规划;在全局信息安全总体方针以及省级相关策略文件的指导下,负责组织制定审批地方级信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责地市级信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责地市局重大安全事故查处与汇报工作。
信息安全管理部门
在信息安全领导小组的基础上,各级税务系统信息安全管理应该由本单位信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。
业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。
安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。
行政部门从行政上对信息安全保障执行管理工作。
各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
具体执行管理角色
对于信息系统建设和运行维护的具体执行,应该有相应的安全管理岗位,但由于整个税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,不宜在本文档中直接定义具体的安全岗位,而只是定义了相应的安全角色和职责,各具体机构根据实际情况设置相应安全岗位,具体的安全角色和职责的描述如下。
安全管理员
Ø负责安全产品的购置,负责组织制定各种安全产品策略与配置规则,负责跟踪安全产品投产后的使用情况;
Ø负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作;
Ø负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告;
Ø根据本单位的信息安全需求,定期提出本单位的信息安全改进意见,并上报信息安全管理部门主管;
Ø定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
Ø负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度;
Ø负责参与安全事故调查。
主机系统管理员
Ø负责主机操作系统的安全配置和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制;
Ø协助安全管理员制定主机操作系统的安全配置规则,并落实执行;
Ø负责主机设备的日常管理与维护,保持系统处于良好的运行状态;
Ø为安全审计员提供完整、准确的主机系统运行活动的日志记录;
Ø在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
Ø编制主机设备的维修、报损、报废计划,报主管领导审核;
网络管理员
Ø负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份;
Ø协助安全管理员制定网络设备安全配置规则,并落实执行;
Ø为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;
Ø在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
Ø编制网络设备的维修、报损、报废等计划,报主管领导审核;
数据库管理员
Ø对数据库系统进行安全配置,修补已发现的漏洞;
Ø负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析;
Ø负责业务数据及系统其它重要数据的备份与备份数据管理工作;
Ø为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报;
Ø在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
Ø根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。
应用管理员
Ø对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞;
Ø对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行监测和分析;
Ø负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据;
Ø实施系统软件版本管理,应用软件备份和恢复管理。
安全审计员
Ø负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;
Ø负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
病毒防护员
Ø协助安全管理员制定病毒防范操作规程;
Ø负责执行和监督整个系统全面的杀毒工作;
Ø定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作;
Ø实时监控重要业务系统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响;
Ø及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的病毒的有效解决方案。
密钥管理员(包括证书管理员、证书操作员)
Ø负责税务系统交易、传输、认证密钥的管理以及加密机的操作。
资产管理员
Ø负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。
安全保卫员(机房安全员)
Ø负责制定和执行适当的物理安全控制;
Ø主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。
安全协调人员
Ø负责安全项目、安全问题、安全事件、安全工作的组织协调。
人事管理人员
Ø协助安全主管确定某个职位是否需要进行安全背景调查;
Ø还可能负责为员工离开本单位时提供与安全相关的离职规程。
安全法律顾问
Ø负责本单位与外单位签署安全服务合同的法律咨询工作。
二、税务系统信息安全管理岗位及设置原则
3.1信息安全管理岗位
根据税务系统信息安全管理组织架构以及安全管理角色与职责,相应地,税务系统组织结构内需要设置信息安全管理岗位,由于整个税务系统包括国家税务总局在内、各个省局、地市局的具体情况有所差别,所以本文档中仅列出信息技术部门中的主要信息安全管理岗位,总局、各省局及地市局应根据本文档结合本单位的具体情况指导单位内的岗位分工和各岗位安全职责,从而进行具体的设置。
安全管理员岗位
安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。
也可以根据具体情况,设置多个安全岗位。
网络系统管理员岗位
网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。
也可以根据具体情况,设置多个安全岗位。
应用管理员岗位
应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。
也可以根据具体情况,设置多个安全岗位。
对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。
3.2安全岗位设置原则
为确保税务信息系统的安全,必须加强人事安全管理,提高安全管理人员的技术水平和安全意识,同时在人员岗位的设置方面要遵循以下原则。
多人负责原则
对一些有较高密级的与安全有关的活动,都必须有两人或多人在场。
工作人员必须由系统主管领导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。
上述所指与安全有关的活动包括:
硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。
任期有限原则
决不能由一人长期担任安全管理职务。
对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
职责分离原则
非经系统主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。
安全工作人员活动所涉及的范围应是受到限制的,不能越权限访问。
工作分开原则
权力不能过于集中在某个人或某些人手里,在信息安全工作中,有的工作不能由一个人担任,工作分开便于相互制约。
出于对安全的考虑,下面每组内的两项信息处理工作应该由不同的人员来负责:
对计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其它工作;计算机操作与信息系统使用媒介的保管等。
权限随岗原则
权限随岗原则。
根据岗位变动情况及时调整相应的授权,做到:
在岗有权、离岗失权。
出师表
两汉:
诸葛亮
先帝创业未半而中道崩殂,今天下三分,益州疲弊,此诚危急存亡之秋也。
然侍卫之臣不懈于内,忠志之士忘身于外者,盖追先帝之殊遇,欲报之于陛下也。
诚宜开张圣听,以光先帝遗德,恢弘志士之气,不宜妄自菲薄,引喻失义,以塞忠谏之路也。
宫中府中,俱为一体;陟罚臧否,不宜异同。
若有作奸犯科及为忠善者,宜付有司论其刑赏,以昭陛下平明之理;不宜偏私,使内外异法也。
侍中、侍郎郭攸之、费祎、董允等,此皆良实,志虑忠纯,是以先帝简拔以遗陛下:
愚以为宫中之事,事无大小,悉以咨之,然后施行,必能裨补阙漏,有所广益。
将军向宠,性行淑均,晓畅军事,试用于昔日,先帝称之曰“能”,是以众议举宠为督:
愚以为营中之事,悉以咨之,必能使行阵和睦,优劣得所。
亲贤臣,远小人,此先汉所以兴隆也;亲小人,远贤臣,此后汉所以倾颓也。
先帝在时,每与臣论此事,未尝不叹息痛恨于桓、灵也。
侍中、尚书、长史、参军,此悉贞良死节之臣,愿陛下亲之、信之,则汉室之隆,可计日而待也
。
臣本布衣,躬耕于南阳,苟全性命于乱世,不求闻达于诸侯。
先帝不以臣卑鄙,猥自枉屈,三顾臣于草庐之中,咨臣以当世之事,由是感激,遂许先帝以驱驰。
后值倾覆,受任于败军之际,奉命于危难之间,尔来二十有一年矣。
先帝知臣谨慎,故临崩寄臣以大事也。
受命以来,夙夜忧叹,恐托付不效,以伤先帝之明;故五月渡泸,深入不毛。
今南方已定,兵甲已足,当奖率三军,北定中原,庶竭驽钝,攘除奸凶,兴复汉室,还于旧都。
此臣所以报先帝而忠陛下之职分也。
至于斟酌损益,进尽忠言,则攸之、祎、允之任也。
愿陛下托臣以讨贼兴复之效,不效,则治臣之罪,以告先帝之灵。
若无兴德之言,则责攸之、祎、允等之慢,以彰其咎;陛下亦宜自谋,以咨诹善道,察纳雅言,深追先帝遗诏。
臣不胜受恩感激。
今当远离,临表涕零,不知所言。
升级会员 