您的位置:360文档中心› [VIP专享]税务系统网络与信息安全标准规范信息安全管理体系框架

[VIP专享]税务系统网络与信息安全标准规范信息安全管理体系框架

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

“税务系统信息安全管理体系”

编制说明

两办发27号文对国家信息安全保障工作提出了具体的意见,为了落实党和国家对信息安全保障工作的部署,切实保障税务系统的信息安全问题,总局领导指示将税务系统的建章立制工作作为近两年税务系统信息安全保障的重要工作内容之一。

本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶段对于信息安全保障工作的不同需求,提出在信息系统全生命周期的安全管理制度。在制定税务系统信息安全管理体系时,紧紧围绕国家信息安全管理部门制定的国家信息安全保障工作重点以及税务系统的网络和业务应用的特征。所提出的税务系统信息安全管理体系力求突出体系化的特征并符合国际与国内相关的标准要求。

税务系统信息安全管理体系分为三个层次:安全策略-程序与管理制度-过程控制文件。其中税务系统网络与信息安全总体方案属于第一个层次,程序与管理制度共37类文档,过程控制文件包括11类文档。

本文档制定了税务系统信息安全管理体系的框架,在该框架内每个层次的具体管理制度与规范等可以根据具体情况进行增减。

税务系统网络与信息安全标准规范

信息安全管理体系框架

(征求意见稿)

编制:

审核:

批准:

国家税务总局信息中心

二〇〇四年六月

版本控制

版本号日期参与人更新说明

1.0

分发控制:

编号读者文档权限与文档的主要

关系

1

2

3

5

6

第 1 章管理体系建设综述

网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。解决信息系统的安全问题,成败通常取决于两个要素:技术和管理。信息安全管理是信息安全技术发挥功效的重要保障和支撑。如果说,安全技术是信息安全的构筑材料,那么,信息安全管理就是粘合剂和催化剂,只有将有效的安全管理贯彻落实于信息安全的方方面面,信息安全的长期性和有效性才能有所保证。

信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的安全。信息安全管理的生命周期模型如图一所示。

图一信息安全管理生命周期模型

从上图可见,信息系统安全管理体系框架包括三个部分:

信息系统生命周期:信息系统典型的生命周期模型分为计划组织、开发采购、实施交付、运行维护、废弃五个阶段,信息系统安全管理需要贯穿信息系统的全生命周期。

信息系统安全管理的支撑和指导:信息系统安全策略和信息安全风险管理是所有信息系统安全保障管理活动的支撑基础,指导信息系统所有安全管理活动的实施。

信息系统安全管理基础,信息安全管理组织体系、资产管理、人事安全和物理安全是信息系统全生命周期内安全管理的基石,是保障信息系统安全的基本安全保障措施。

信息系统生命周期安全管理实践:信息系统生命周期管理实践将信息安全管理同信息系统生命周期相结合,通过在信息系统生命周期的不同阶段进行不同的信息系统安全保障管理实践。变更控制和符合性则贯穿于信息系统的全生命周期中。

信息安全管理体系就是就是在信息安全生命周期管理模型的指导下,将信息系统全生命周期内的管理实践建立体系化的文档框架。信息安全管理体系就是将组织、制度和人员这三个方面的问题通过文档的方式表达出来并明确责任。

一般来说,信息安全管理体系包含三个层次:安全策略-程序与管理制度-过程控制文件。为保证信息安全建设的统筹规划,全面防范,重点突出,正确执行,动态改进,建立以策略为核心的信息安全管理体系十分重要。

信息安全策略是一切信息安全保障活动的基础和出发点,指导全机构/组织信息安全保障体系的开发和实施,为信息安全建设和实施指明方向,通过定义一套规则来规范信息安全体系的建设、运行和管理。程序和管理制度则是在策略指导下编写的下层文件,用来具体规范人员行为,明确任务责任。在安全管理体系运作过程中还需要制定一系列第三层过程控制文件帮助纪录并明确过程实施步骤、内容、结果,并通过实施手册和指南定义具体操作内容和步骤,引导正确执行工作。

管理体系设计原则:完整、实用、简洁、高效。管理体系的制定应该能够覆盖信息系统全生命周期内的信息安全管理工作,符合税务系统的业务特点,具有可实施性。

第 2 章应制定的具体文件

根据信息安全管理体系框架,考虑到信息安全组织体系建设的重要性,在税

务系统信息安全管理体系框架中设立四个层次,将组织体系建设单独作为一次层次,因此,税务系统信息安全管理应制定的具体文件包括以下四个层次:1级文件:《信息安全总体策略》

2级文件:《税务系统信息安全组织岗位与职责分配》

3级文件包括制度类、程序类、计划类文件,按照管理域进行归类划分。

4级文件包括操作指导书(指南类),以及系统运行过程中各类控制、记录表单。

在本信息安全管理体系框架内所包含的信息安全管理相关文件可以根据具体情况进行组合,对于其中内容相关的管理文档可以合并成为一份文档。

2.1信息安全保障策略

1、《税务系统信息安全总体策略》(1级)

目的与作用:对税务系统全生命周期过程中所有的信息安全保障工作内容进行定义,是一切信息安全活动的出发点和核心。具体定义税务系统信息安全保障的总目标、总原则、范围和对象,同时应声明自身的地位和作用。

税务系统信息安全总体策略使用对象为税务系统全体员工,而且包括与税务系统信息化建设和维护相关的外部人员,以及税务系统的用户。

2.2组织体系建设方面:

2.《组织岗位与职责分配》(2级)

目的与作用:清晰定义整个税务系统信息安全保障组织架构,明确架构内应设置的安全管理角色,并结合税务系统的特点,依据安全管理角色设置信息安全管理岗位,明确定义每个岗位的信息安全职责。同时清晰描述与税务系统在信息化建设与业务上有联系的外部机构,并明确其应承担的与安全相关的具体职责。

适用对象:税务系统内IT相关的所有员工,包括IT管理和维护部门以及业

相关文档
最新文档