[VIP专享]税务系统网络与信息安全标准规范信息安全管理体系框架

“税务系统信息安全管理体系”
编制说明
两办发27号文对国家信息安全保障工作提出了具体的意见，为了落实党和国家对信息安全保障工作的部署，切实保障税务系统的信息安全问题，总局领导指示将税务系统的建章立制工作作为近两年税务系统信息安全保障的重要工作内容之一。

本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶段对于信息安全保障工作的不同需求，提出在信息系统全生命周期的安全管理制度。

在制定税务系统信息安全管理体系时，紧紧围绕国家信息安全管理部门制定的国家信息安全保障工作重点以及税务系统的网络和业务应用的特征。

所提出的税务系统信息安全管理体系力求突出体系化的特征并符合国际与国内相关的标准要求。

税务系统信息安全管理体系分为三个层次：安全策略-程序与管理制度-过程控制文件。

其中税务系统网络与信息安全总体方案属于第一个层次，程序与管理制度共37类文档，过程控制文件包括11类文档。

本文档制定了税务系统信息安全管理体系的框架，在该框架内每个层次的具体管理制度与规范等可以根据具体情况进行增减。

税务系统网络与信息安全标准规范
之
信息安全管理体系框架
（征求意见稿）
编制：
审核：
批准：
国家税务总局信息中心
二〇〇四年六月
版本控制
版本号日期参与人更新说明
1.0
分发控制:
编号读者文档权限与文档的主要
关系
1
2
3
5
6
第 1 章管理体系建设综述
网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。

解决信息系统的安全问题，成败通常取决于两个要素：技术和管理。

信息安全管理是信息安全技术发挥功效的重要保障和支撑。

如果说，安全技术是信息安全的构筑材料，那么，信息安全管理就是粘合剂和催化剂，只有将有效的安全管理贯彻落实于信息安全的方方面面，信息安全的长期性和有效性才能有所保证。

信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的安全。

信息安全管理的生命周期模型如图一所示。

图一信息安全管理生命周期模型
从上图可见，信息系统安全管理体系框架包括三个部分：
信息系统生命周期：信息系统典型的生命周期模型分为计划组织、开发采购、实施交付、运行维护、废弃五个阶段，信息系统安全管理需要贯穿信息系统的全生命周期。

信息系统安全管理的支撑和指导：信息系统安全策略和信息安全风险管理是所有信息系统安全保障管理活动的支撑基础，指导信息系统所有安全管理活动的实施。

信息系统安全管理基础，信息安全管理组织体系、资产管理、人事安全和物理安全是信息系统全生命周期内安全管理的基石，是保障信息系统安全的基本安全保障措施。

信息系统生命周期安全管理实践：信息系统生命周期管理实践将信息安全管理同信息系统生命周期相结合，通过在信息系统生命周期的不同阶段进行不同的信息系统安全保障管理实践。

变更控制和符合性则贯穿于信息系统的全生命周期中。

信息安全管理体系就是就是在信息安全生命周期管理模型的指导下，将信息系统全生命周期内的管理实践建立体系化的文档框架。

信息安全管理体系就是将组织、制度和人员这三个方面的问题通过文档的方式表达出来并明确责任。

一般来说，信息安全管理体系包含三个层次：安全策略-程序与管理制度-过程控制文件。

为保证信息安全建设的统筹规划，全面防范，重点突出，正确执行，动态改进，建立以策略为核心的信息安全管理体系十分重要。

信息安全策略是一切信息安全保障活动的基础和出发点，指导全机构/组织信息安全保障体系的开发和实施，为信息安全建设和实施指明方向，通过定义一套规则来规范信息安全体系的建设、运行和管理。

程序和管理制度则是在策略指导下编写的下层文件，用来具体规范人员行为，明确任务责任。

在安全管理体系运作过程中还需要制定一系列第三层过程控制文件帮助纪录并明确过程实施步骤、内容、结果，并通过实施手册和指南定义具体操作内容和步骤，引导正确执行工作。

管理体系设计原则：完整、实用、简洁、高效。

管理体系的制定应该能够覆盖信息系统全生命周期内的信息安全管理工作，符合税务系统的业务特点，具有可实施性。

第 2 章应制定的具体文件
根据信息安全管理体系框架，考虑到信息安全组织体系建设的重要性，在税
务系统信息安全管理体系框架中设立四个层次，将组织体系建设单独作为一次层次，因此，税务系统信息安全管理应制定的具体文件包括以下四个层次：1级文件:《信息安全总体策略》
2级文件：《税务系统信息安全组织岗位与职责分配》
3级文件包括制度类、程序类、计划类文件，按照管理域进行归类划分。

4级文件包括操作指导书（指南类），以及系统运行过程中各类控制、记录表单。

在本信息安全管理体系框架内所包含的信息安全管理相关文件可以根据具体情况进行组合，对于其中内容相关的管理文档可以合并成为一份文档。

2.1信息安全保障策略
1、《税务系统信息安全总体策略》（1级）
目的与作用：对税务系统全生命周期过程中所有的信息安全保障工作内容进行定义，是一切信息安全活动的出发点和核心。

具体定义税务系统信息安全保障的总目标、总原则、范围和对象，同时应声明自身的地位和作用。

税务系统信息安全总体策略使用对象为税务系统全体员工，而且包括与税务系统信息化建设和维护相关的外部人员，以及税务系统的用户。

2.2组织体系建设方面：
2．《组织岗位与职责分配》（2级）
目的与作用：清晰定义整个税务系统信息安全保障组织架构，明确架构内应设置的安全管理角色，并结合税务系统的特点，依据安全管理角色设置信息安全管理岗位，明确定义每个岗位的信息安全职责。

同时清晰描述与税务系统在信息化建设与业务上有联系的外部机构，并明确其应承担的与安全相关的具体职责。

适用对象：税务系统内IT相关的所有员工，包括IT管理和维护部门以及业
务部门。

同时包括设计税务系统信息化建设的外部机构。

2.3信息安全保障制度、程序体系建设
依据信息安全总体策略的内容，对税务系统信息安全保障的各项工作制定具体的落实办法和实施规范，并参照岗位与指责分配，将管理职责落实到人。

风险评估与管理：
3．《税务系统信息安全风险评估工作管理制度》（3级制度类）
目的与作用：根据国家信息安全主管部门对信息安全保障工作的指示，信息安全风险评估工作是信息安全保障的基础性工作。

税务系统信息安全风险评估工作必须在全系统落实，本制度从总局、省局、地市等几个层次对税务系统内信息安全风险评估工作做出具体部署，并进行了具体的职责分配。

涉及信息安全风险评估工作的组织与实施原则、审批与报告机制等。

适用对象：IT管理人员与相关业务应用管理人员。

人事方面：
4．《系统内部信息安全保障人事管理制度》（3级制度类）
目的与作用：对于税务系统内部IT 部门员工的招聘流程、条件制定管理办法，特别是对于涉及信息安全重要管理岗位的人员对于岗位职责、劳动合同以及保密协议等进行具体规定。

适用对象：税务系统内部IT部门以及业务应用部门工作人员。

5．《第三方工作人员人事管理规定》
目的与作用：对于税务系统信息化建设与维护过程中，涉及到的外部人员所进行的管理制度，包括外部参观人员以及合作开发人员在确保网络与信息安全方面的管理规定，包括第三方人员访问的审批、监控以及保密协议等等。

适用对象：外部工作人员。

6．《安全培训与考核管理规定》（3级制度类）
目的与作用：应该制订有效的意识培养计划，维持信息安全意识。

该计划应覆盖政府机构内部所有能够访问信息或系统的个人。

制定关于向所有控制、或者可以访问税务系统的信息的人员提供恰当教育/培训的管理制度。

并对衡量各信息安全管理岗位的工作绩效，制定考核办法。

适用对象：税务系统IT部门相关人员。

保障规划方面:
7．《税务系统信息安全保障规划》（3级计划类）
目的与作用：对税务系统信息安全保障制定长期和短期规划，信息安全管
理和业务流程负责人在建立信息安全规划时，应考虑风险评估结果，包括业务、环境、技术和人力资源风险。

信息安全保障规划需要考虑和充分解决税务系统
业务模式、税务系统的地理分布性、费用、法律和规范要求、第三方或市场要求、业务流程重组、人员、内外资源、数据、应用系统和技术体系结构。

所作
选择的效益应清晰地标识出来。

信息安全长期和短期规划还应包括执行标志和
目标。

短期规划应根据长期规划分阶段落实，包括人力、资源等。

适用人员：IT管理部门及业务管理部门人员。

软件开发与维护方面:
8．《软件自主开发和维护过程管理要求》（3级制度类）
目的和作用：对于税务系统内部自行组织开发的业务应用软件的开发过程进行管理。

包括软件开发的流程，特别是应当在制定业务需求的同时确定信息
安全需求，包括软件代码的版本控制，应用开发人员与测试人员以及业务管理
人员的职责分配等方面。

应用范围：开发部门、测试部门及业务应用部门
9．《外包软件开发和维护过程管理要求》（3级制度类）
目的和作用：对税务系统内部进行外包开发的应用软件应当对如何确保安全需求及业务需求的实现进行管理，特别是如何对外包开发公司的职责提出管
理的要求，如何对软件升级及维护过程做出控制。

应用范围：业务应用部门
10．《软件工程文档管理制度》（3级制度类）
目的和作用：对税务系统应用开发过程所产生的文档建立规范的管理流程，特别重视文档种类是否完备，关键软件文档的保管、借阅及处理制度等。

应用范围：IT管理部门、业务应用部门及资产管理部门。

资产管理:
11．《资产描述及分类》（2级）
12．《信息资产标注和处理规定》（3级制度类）
目的与作用：制定税务系统内部信息资产的分类及分级办法，并根据信息资产的类别与等级，制定相应的处理办法。

适用对象：税务系统所有人员
13．《其它系统资产标注和安全管理制度》（3级制度类）
目的与作用：对税务系统关键硬件资产进行分类与分级办法，并且制定对硬件资产的管理规定。

适用对象:IT管理部门
14．《新设备采购规程》（3级程序类）
目的与作用：建立税务系统内部添加不同信息处理资产的处理过程，包括整个采购的审批与执行过程等。

适用对象：IT管理部门及业务应用部门。

15．《资产报废处理流程》（3级程序类）
目的与作用：对不同安全等级的资产报废时，应当制定相应的处理规定，避免处置不当造成敏感信息泄露。

适用对象：税务系统所有员工。

16．《资产使用安全管理规定》特别是存储介质等的使用（3级制度类）目的与作用：对于信息资产（特别是笔记本、移动存储介质等）应当根据处理信息安全等级的不同，制定使用与日常管理的规定。

适用对象：税务系统所有员工。

物理安全:
17．《系统机房安全管理制度》（3级制度类）
对于税务系统机房的物理安全的管理及其人员职责，包括防火、防水等，特别是关键的数据库机房的安全管理。

适用对象：业务应用与管理部门、IT安全管理部门。

18．《第三方来访人员接待管理办法》（3级制度类）
目的与作用：对外来人员进出机房的管理规定，如果机房内还特别划出某个不同密级区域，特别加以保护，还应另外加以制定。

适用对象：业务应用与管理部门、IT安全管理部门
通信与运行:
19．《密钥管理制度》（3级制度类）
目的与作用：对业务应用部门的密钥制定管理办法。

确保密钥这个核心资产的安全。

适用对象：相关部门
20．《系统内服务器、网络设备以及安全设备日常维护管理制度》（3级制度类）
目的与作用：对税务系统关键服务器、网络设备的维护与日常管理制定具体工作内容并落实到人。

适用对象：业务应用与管理部门、IT安全管理部门
21．《业务系统日常维护管理制度》（3级制度类）
目的与作用：对税务系统应用业务系统的维护与日常管理制定具体工作内容并落实责任到人。

适用对象：业务应用与管理部门、IT安全管理部门
22．《数据库及其它应用软件日常维护管理制度》（3级制度类）
目的与作用：对税务系统数据库的维护与日常管理制定具体工作内容并落实到人。

适用对象：业务应用与管理部门、IT安全管理部门
23．《系统数据日常备份和管理制度》（3级制度类）
目的与作用：对税务系统关键数据的备份与处理制定具体工作内容并落实到人。

适用对象：业务应用与管理部门、IT安全管理部门
24．《系统病毒防治管理制度》（3级制度类）
目的与作用：对税务系统病毒防治工作制定具体工作内容并落实到人。

适用对象：业务应用与管理部门、IT安全管理部门
25．《网络监测与事件汇报制度》（3级制度类）
目的与作用：对税务系统网络监测以及发现异常事件的通报与处理过程制定具体工作内容并落实到人。

适用对象：业务应用与管理部门、IT安全管理部门
26．《网站信息发布与安全管理规定》（3级制度类）
目的与作用：对通过税务系统对外及对内发布的信息制定审批与发布的具体规定，并将责任落实到人。

适用对象：业务应用与管理部门、IT安全管理部门
27．《办公网安全管理规定》（3级制度类）
目的与作用：对税务系统关办公网的安全管理与日常维护制定具体工作内容并落实到人。

适用对象：业务应用与管理部门、IT安全管理部门
28．《与其他外部单位工作联系管理规定》
目的与作用：对税务系统信息安全保障工作对外联系制定具体过程。

适用对象：业务应用与管理部门、IT安全管理部门
29．《安全事故处理流程》（3级程序类）
目的与作用：对税务系统内的信息安全事故制定处理及通报的流程并落实到人。

如果系统内有专用或特别保护的设备，还应制定。

适用对象：业务应用与管理部门、IT安全管理部门
30．《高敏感设备安全管理规定》（3级制度类）
目的与作用：对税务系统内的高敏感设备制定管理规定并落实到人。

适用对象：相关部门
逻辑访问控制:
31．《访问控制权限分配与授权规程》（3级程序类）
目的与作用：建立税务系统内部人员访问控制权限的分配与授权过程。

适用对象：所有员工
32．《权限管理实施规定》（3级制度类）
目的与作用：对税务系统内部人员的访问控制权限应进行定期审核、制定人员离岗、转岗等不同状况下的权限管理规定。

适用对象：所有员工
变更控制:
33．《系统生命周期内变更控制管理规定》（3级制度类）
目的与作用：对税务系统生命周期内任何有关涉及系统结构、业务需求等方面的变更应当采用一套规范的流程进行控制，如变更风险评估、变更结果通告
等。

适用对象：所有员工
业务持续性:
34．《业务持续性计划》（3级计划类）
目的与作用：建立税务系统业务影响分析与业务持续性的需求。

根据业务不同制定具体的持续性方法。

适用对象：业务部门与IT管理部门
35．《应急响应制度》（3级制度类）
目的与作用：建立税务系统的应急响应组织体系和响应流程。

适用对象：IT管理部门
36．《灾难恢复制度》（3级制度类）
目的与作用：建立灾难分级与分类方法，对于不同严重等级的灾难制定具体的恢复机制和处理方法。

适用对象：IT管理部门
符合性:
37．《安全审计管理制度》（3级制度类）
目的与作用：对于不同层次的税务系统，应当对于内部业务和人员的工作进行定期审计，并对审计结果的处理方法，信息安全审计工作的组织方式。

适用对象：IT管理部门
38．《安全审计实施规程》（3级程序类）
目的与作用：确定税务系统信息信息安全审计工作的内容，实施方法。

2.4信息安全保障指南建设
39．《风险评估指南》（4级操作指导书）
目的与作用：制定进行税务系统信息安全风险评估工作的流程、以及工作成果。

适用对象：IT管理部门、风险评估实施单位
40．《系统安装操作指南》（4级操作指导书）
目的与作用：针对税务系统内部主流操作系统、业务应用系统建立安全指南以及日常的操作指南。

适用对象：IT管理与维护部门
41．《系统安全配置操作指南》（4级操作指导书）
目的与作用：根据税务系统业务应用的实际情况，制定税务系统内关键服务器、数据库的安全配置模版。

适用对象：IT管理与维护部门
42．《日常备份与恢复操作指南》（4级操作指导书）
目的与作用：对于日常的数据备份工作建立规范统一的操作指南，并制定发生故障时，数据恢复的操作指南。

适用对象：IT管理与维护部门
2.5信息安全管理体系运行中第三层文件
43．《岗位授权任务书》（4级体系运行控制文件）
44．《资产清单》（4级体系运行控制文件）
45．《各类系统运行、配置情况记录表单》（4级体系运行控制文件）
46．《各类设备检修记录保单》（4级体系运行控制文件）
47．《各类故障维修纪录表单》（4级体系运行控制文件）
48．《事件、事故处理过程纪录表单与报告模版》（4级体系运行控制文件）。