税务系统网络与信息安全管理岗位及其职责

《税务系统网络与信息安全管理岗位及其职责》

编制说明

《税务系统网络与信息安全管理岗位及其职责》是税务系统网络与信息安全管理体系框架中的文档之一，这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写，目的是为了初步建立税务系统网络与信息安全管理岗位，明确安全管理人员的职责。

但由于各级税务系统（总局、省局、地市局、区县级局）具有不同的特点，没有一种模式适用所有的组织，而且由于人员的限制，特别是地市局及区县级局中人员的限制，通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此，本文档的适用范围确定在总局、各省局、各地市局，对区县级局不适用，各区县级局可由其上级地市局根据具体情况做相应要求。

本《税务系统网络与信息安全管理岗位及其职责》文档共包括二章内容, 第一章为管理角色与职责，描述了税务系统网络与信息安全管理组织架构，以及主要的信息安全管理角色与职责；第二章为管理岗位及设置原则，示例列出信息技术部门中主要信息安全管理岗位，并描述了税务系统网络与信息安全管理岗位设置原则

税务系统网络与信息安全管理岗位及其职

（试行稿）

国家税务总局信息中心

二00四年十月

目录

一、税务系统网络与信息安全管理角色与职责 (1)

1.1信息安全领导小组 (1)

1.2信息安全管理部门 (2)

1.3具体执行管理角色 (2)

安全管理员 (3)

主机系统管理员 (3)

网络管理员 (4)

数据库管理员 (4)

应用管理员 (4)

安全审计员 (5)

病毒防护员 (5)

密钥管理员（包括证书管理员、证书操作员） .. 5

资产管理员 (5)

安全保卫员（机房安全员） (5)

安全协调人员 (5)

人事管理人员 (5)

安全法律顾问 (6)

二、税务系统网络与信息安全管理岗位及设置原则 .. 6

2.1信息安全管理岗位 (6)

安全管理员岗位 (6)

网络系统管理员岗位 (6)

应用管理员岗位 (6)

2.2安全岗位设置原则 (6)

多人负责原则 (7)

任期有限原则 (7)

职责分离原则 (7)

工作分开原则 (7)

权限随岗原则 (7)

、税务系统网络与信息安全管理角色与职责

为有效实施信息安全管理，保障和实施税务系统的信息安全，在税务系统内部应该建立自己的信息安全管理组织架构。

信息安全管理组织架构是实施系统安全，进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构，信息安全管理组织架构纵向涵盖总局、省局、地市局三级，总局对省局、省局对地市局在信息化建设与安全管理运行方面，应起到指导与监管的作用。在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。因此，总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。

1.1 信息安全领导小组

信息安全是全国税务系统工作人员必须共用承担的责任，一般来说，各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构，它不隶属于任何部门，直接对本单位最高领导负责，信息安全领导小组是一个常设机构，负责本单位信息安全工作的宏观管理。

总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策，并领导总局信息系统安全建设、运行、维护和管理等工作；省局信息安全领导小组负责组织落实上层决策，制定本省决策，并领导本省信息安全工作；地市局信息安全领导小组负责落实上层决策，制定本地市决策，并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅，并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是：

1．总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施；负责制定总局信息安全总

体策略并审批总局信息系统安全策略以及各省级上报的安全策略；负责领导制

定总局与信息系统安全相关的规章制度；负责总局信息系统安全管理层以上的

人员权限授予工作；负责审阅总局信息安全工作报告；负责全国税务系统重大

安全事故查处与汇报工作。

2．省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划，制定本省建设规划并监督各地市级安全工作规划的制定与实施；在全国税务系统网

络与信息安全总体方针的指导下，负责组织制定本省信息系统安全策略并审批

地方局上报的信息系统安全策略；负责组织细化上级规章制度，制定相应程序

指南，并监督落实规章制度；负责本省信息系统安全管理层以上的人员权限授

予工作；负责审阅省局信息安全工作报告；负责本省重大安全事故查处与汇报

工作。

3．地市局信息安全领导小组负责领导落实本省信息系统安全建设规划，制定地市局级安全规划；在全国税务系统网络与信息安全总体方针以及省级相关策略文

件的指导下，负责组织制定审批本地市信息系统安全策略；负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；负责本地市信息系统安

全管理层以上的人员权限授予工作；负责审阅地市局信息安全工作报告；负责

本地市重大安全事故查处与汇报工作。

1.2信息安全管理部门

在信息安全领导小组的基础上，各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成，例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。

信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持，在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作，共同对信息系统的建设和运行维护承担管理责任。

为明确安全职责，应在相关管理部门中指定对信息安全负责的主管，这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案，并监督安全策略的落实。