浅谈基层税务机关信息安全风险评估工作

浅谈基层税务机关信息安全风险评估工作
夏林树
经过近几年来的发展，基层税务机关的信息安全风险评估工作取得了成效，初步解决了信息安全管理靠经验开展及盲目投资的问题，为信息安全等级管理提供了很好的支持。

但当前的信息安全风险评估工作仍然存在一些不完善之处，制约其进一步的发展。

如何正确认识信息安全风险评估工作，更好地发挥信息安全风险评估的作用。

笔者根据多年基层信息工作的经历，对辖内基层税务机关开展信息安全风险评估工作的情况进行了调查，分析了目前存在的问题，并提出改进建议。

一、基层税务机关信息安全风险评估存在的主要问题
（一）对信息安全风险评估宣传不到位、认识不足、重视不够
一是开展信息安全风险评估的单位只是通过举办一些风险评估讲座，进行风险评估理论、方法、技术和工具等专用知识的宣传，多数单位的信息安全风险评估宣传工作仍处于起步阶段。

二是基层税务机关对信息安全风险评估的作用没有清楚的认识，往往把信息安全风险评估与信息安全混在一起，没
有把信息安全风险评估工作作为信息安全管理工作的第一步来抓。

三是基层税务机关受人力、物力、财力等限制，没有像重视信息安全工作一样，重视信息系统安全的前期工作——信息安全风险评估。

四是没有把信息安全风险评估纳入信息安全系统的框架中。

（二）现有的信息安全风险评估指标分析体系和工作流程设计有欠缺
目前，基层税务机关信息安全风险评估制订的指标过多，工作流程复杂且针对性不强。

基层税务机关在开展风险评估时一般是根据上级机关的风险评估模板对应开展，由于上下级之间系统建设有部分不同，很多风险评估的指标难以对应。

能对应上的指标由于基层税务机关的信息安全等级不同，也难以照搬照套上级行的风险评估指标和工作流程。

基层税务机关在实际操作中往往采取变通或简化方式进行，信息安全风险评估失去了严肃性、科学性，造成评估的成果失真，效果差。

（三）信息安全风险评估缺少专业技术和管理人才
从基层单位的情况看，一是没有设置信息安全风险评估岗位，也没有专业评估人员。

目前该岗位人员主要由信息人员担当，而绝大多数基层税务机关没有对信息人员很好地组织培训。

信息安全风险评估是一项技术含量非常高的专业行
为，信息人员难以担当从事信息安全风险评估专业人才的角色。

二是信息安全风险评估基本上是由信息部门负责组织和实施。

但信息安全风险评估是一项综合性工作，不仅涉及到全行的业务信息系统，还涉及到全行各个方面的人力、物力、财力，仅靠信息部门进行组织协调，难以完成全面的信息安全风险评估工作。

三是信息部门既是信息系统的建设者和管理者，又是安全风险的评估者，使得评估的结果不具备说服力。

（四）信息安全风险评估工具不足
一是基层行基本没有风险评估工具，只能借用上级机关的风险评估工具，而上级机关的风险评估工具也不多，多数只有漏洞扫描等简单的工具。

二是针对基层税务机关的信息安全风险评估工具更是少之又少，发展滞后，很难对技术脆弱性这一块进行全面的评估或系统地分析网络与系统所面临
的威胁及其存在的不足。

（五）难以聘请第三方公司进行信息安全风险评估
根据发达国家经验，税务机关一般采取聘请第三方评估公司的方式对本单位进行风险评估。

但目前，基层税务机关还难以聘请第三方评估公司开展专业的信息安全风险评估。

一是国内专业信息安全风险评估公司刚刚起步，规模较小，品牌意识弱，人员流动强，安全保密等问题又没有法律进行约束，基层税务机关担心聘请第三方信息安全风险评估若管理
不好可能产生泄密风险。

二是评估的价格过高，基层税务机关很难承担高昂的评估费用。

（六）创新项目信息安全风险评估不足
信息部门为配合业务的创新，充分利用科技为税收服务的理念，自主或外包开发了一些应用软件，为业务创新，减少工作人员的工作量做出了很大贡献。

但在项目上马或验收时，往往缺少风险评估这一环节，对软件的风险没有一个完整的、系统的评估。

二、基层税务机关信息安全风险评估的建议
（一）加强宣传，提高对信息安全风险评估的认识。

随着税收信息化的发展，信息安全风险也随之提高，若仍采用传统的安全管理方式进行安全管理，势必造成很大的浪费，还难以提高风险管理的水平。

因此，必须站在构建更高层次的风险管理角度，加大对风险管理体系建设宣传力度，使每一位员工充分认识到做好信息安全风险评估是防范税收风险的最基础性工作。

没有正确的信息安全风险认识，就没有正确的信息安全风险管理。

我们要把被动评估变成主动评估，使安全风险评估真正走到为风险管理提供决策支持的轨道上来。

（二）加强制度建设。

一是建立健全信息安全风险评估制度，保证风险评估工作开展有据可依。

二是健全信息安全风险评估制度，明确评
估者、建设者、使用者和管理者之间的关系及各自职责。

三是细化信息安全风险评估制度，使信息系统安全风险评估在信息系统的规划、研发、建设、运行、维护、监控及退出的整个生命周期都能有效地开展。

（三）加强规划，科学制订评估标准。

基层税务机关应结合自身信息化建设的特点，将风险评估的工作流程、评估内容、评估方法和风险判断准则制订出统一的标准，为确立信息系统的安全等级提供判断标准。

一是参照国家有关标准，对基层税务机关信息系统的信息资产、面临的威胁、自身的脆弱性和已有的安全措施进行分类和等级划分，并为这些要素各自不同的等级提供赋值方法。

二是以可操作性和灵活性为原则，提供风险等级计算方法，让评估者将风险评估与等级保护工作有机地结合起来，完善等级安全保护。

（四）加强人员培训，提高评估人员的专业技能。

一是整合内部人力资源，加大培训力度，制订辖内统一的培训规划，编写培训教材，通过学习弥补知识缺陷，提高技术水平。

二是实行互补型培训，将评估技术按专业进行分类，组织不同的技术人员分别进行培训，在较短的时间内培养出一支技术互补型的团队。

三是合理使用社会资源，通过聘请富有经验的专家，学者，组成第三方评估机构。

由第三方评估机构对一个基层单位进行评估，组织辖内的评估人员积极
投身其中，通过学习和交流，不断积累评估工作经验，提高实际评估技术能力。

四是对技术人员进行系统的认证培训，实行职业资格准入制度。

（五）加强创新，推动信息安全风险评估工作上一个新台阶。

税务机关面临的外来威胁大，种类多，手段多变，随着操作系统补丁日益频繁的发布，随着"零日攻击"的出现，最受黑客关注的税务行业如果仅采取常规的静态、年度风险评估，明显不能适应形势。

一是扩大范围，将信息安全风险评估工作从运维阶段，推向信息工作的规划、研发、建设、运行、维护、监控及退出全程，全面真实地反映整个信息系统的安全。

二是加大频度，在成熟的信息平台上，充分使用信息安全风险评估工具和计算机系统监控等自动化平台代替人工劳动，争取时时对信息系统进行风险监控，依托工具自动完成对数据的采集、整理、计算、分析和呈现。