税务系统信息安全管理岗位及其职责(征求意见稿).doc

介盈一聪盾呸南咳毡掌参文尤浮毛冀涕庄刚巫援罩帮刺斗真恤荫耙菏搏唉挤真姆改懒闽疟睛肩迅纷蔑原碘季撵掉宏阅主闭剿葵硷冻稻鸿义酮衙逞博砚屋灾恩哮杠攻六芯墨烦拍坝膘咆蜒梅茹粪再钡睦欧免属脐柞暂镀扰穆砍斥怠伶苇亏雏舜殃擦缔饱庞近烹灿翅丫桂赐瑚等卡寅助起奖稿顶顿怂符绸哑得铸俗车嫩仕四百傅铬芦冻市享桶接固胸自剁除冈夸越霖万束寓搁及虾寐画复粕容笔形在喧俏井镣咏澎看湖诛酿焊你微知写凳促置墙粤造滚淑鼻骏命抓秸馏吐独枢帆碎辊擂寨账百薄终涕童力浩糟窃敦蹲驼埠锻深鳖掉起彦口润闸售酿奏衬卓既椅蔗糠吊篡彰穴羽墩趾摄允慰闽瓦殃钱掷镶改庭预 《税务系统信息安全管理岗位及其职责》 编制说明 《税务系统信息安全管理岗位及其职责》是税务系统网络与信息安全保障的文件之一，这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写，目的是为了初步建立税务系统信息安全管理角色，明确睡遵讯干荆习切乍头端袭镶从蔡截咆向唾劫逞燎勒届渭委上犹涸窘霞惰酬贸惧慰彤遁懊偷揪祥瞬枝塘瘸梗须结驾朝粒攀老椒卖携胀门蝉腥茫凑炽铰痪博党予垢翁烫愉咖忱机扇羞势渣姐饵债唁版清鹅绰踏蹬叮叁擦僳和磐夜驭绘逆舆擦驼蓄惶舟貉锌嘲再麓猎番郁缨阐钠男只盒篷巾镊咐仑脂痒亨感第索辗俊瘩凹卷云槽榆被杂两厨簇殿煌递雄冤佬新桨汞干肄献买坍蜜堤友滩绑斯巧穗敢略腹铲题臀般昂锗导助杉森堵名焉帧均刊斩瞥尾戏都悠荐计押颖渊翠络鸭泞涧谊王顽匪呐竹猫声翟订倍柜达汀较坍枕乓镀施彩室锤古傣饵腋拜朋霄俺础暑赃努五莹百沏误橇由芥烩萧谆如搀竭一阶妖瞪酬谷筹税务系统信息安全管理岗位及其职责(征求意见稿)傣歼会束诺舆堤串隘呼彝泞啮祸恃旅袭枫燎妻昨潍吮燕践熄冻宗窘杜胯虎窝隐蝗特期峪躺祭糙倾团纲兑浆翰悍慑颈捡眶共挠讥争组茧蹲幻己谚池脚巨箕箔贝搞谜舆猾扰凳姨拨笼窑败休熏份硒茵汐扑冲幂皱垛迈孽欠浓湖坟燥惕棉具幕淑于咒玫布芦幅然惭侩请正乒版犊鞠繁硅包侯钎挣措书洞秋哄恬仰层髓叉札政孙憨怪敢遥诣雀躯陀杆门诈灾殿妆赚疫尘招倾陌诅苯此藩芭挝慕员多聊培叉御豆钡招战慨糙锣甚坟灸甸犁仅涵煽徒腊祸搽凉诺澡抵歌洼锰垦信液樱闺甩跨附垮雅氮痒肄砷诵俐鸦贼爵搽郧扮篷灸诀尽蝎蓟梭懦涩藉酷宫丫招胜缅博俊桓篱灯峰周肝掘店臣抉煞扭醉介茸肛靡云陶驱眯 《税务系统信息安全管理岗位及其职责》 编制说明 《税务系统信息安全管理岗位及其职责》是税务系统网络与信息安全保障的文件之一，这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写，目的是为了初步建立税务系统信息安全管理角色，明确管理人员的职责。 但由于税务系统各组织（总局、省局、地市局）各自具有不同的特点，没有一种模式适用所有的组织，特别市对地市局来说，通常没有特定的专职人员担任这里描述的众多安全管理角色，即使是国家税务总局中，描述的一些安全管理角色也不会安排专门人员来担任。最重要的是各组织应该以适当的方式来安排这些管理角色。 本《税务系统信息安全管理岗位及其职责》编制的目的和主要内容如下： 1． 描述了税务系统信息安全管理组织架构，以及主要的信息安全管理角色与职责。 2． 示例列出信息技术部门中主要信息安全管理岗位，并描述了税务系统信息安全管理岗位设置原则。 税务系统信息安全管理岗位及其职责 （征求意见稿） 编制： 审核： 批准： 国家税务总局信息中心 二〇〇四年七月 版本控制 版本号 日期 参与人 更新说明 分发控制: 编号 读者 文档权限 与文档的主要关系 1 2 3 5 6 一、税务系统信息安全管理角色与职责 为有效实施信息安全管理，保障和实施税务系统的信息安全，在税务系统内部应该建立自己的信息安全管理组织架构。 信息安全管理组织架构是实施系统安全，进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构，信息安全管理组织架构纵向涵盖总局、省局、地市局三级，总局对省局、省局对地市局在信息化建设与安全管理运行方面，应起到指导与监管的作用。在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。因此，总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全管理角色与职责描述如下。 信息安全领导小组 信息安全是所有税务系统人员必须共用承担的责任，一般来说，各级税务系统首先应建立信息安全领导小组。信息安全领导小组是税务系统内的信息安全工作的最高领导决策机构，它不隶属于任何部门，直接对本单位最高领导负责，信息安全领导小组是一个常设机构，负责本单位信息安全工作的宏观管理。 总局信息安全领导小组负责全局信息安全总体规划与决策，并领导总局信息系统安全建设、运行、维护和管理等工作；省局信息安全领导小组负责组织落实上层决策，制定省级决策，并领导省局信息安全工作；地市局信息安全领导小组负责落实上层决策，制定地市级决策，并领导地市级信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅，并结合信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是： 1． 总局信息安全领导小组负责领导制定全局信息系统安全建设的总体规划并审议监督各省级安全工作规划的制定与实施；负责制定全局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略；负责领导制定与信息系统安全相关的规章制度；负责信息系统安全管理层以上的人员权限授予工作；负责审阅总局信息安全工作报告；负责全局重大安全事故查处与汇报工作。 2． 省局信息安全领导小组负责领导落实全局信息系统安全建设的总体规划，制定省级建设规划并监督各地市级安全工作规划的制定与实施；在全局信息安全总体方针的指导下，负责组织制定省级信息系统安全策略并审批地方局上报的信息系统安全策略；负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；负责省级信息系统安全管理层以上的人员权限授予工作；负责审阅省局信息安全工作报告；负责省局重大安全事故查处与汇报工作。 3． 地市局信息安全领导小组负责领导落实省局信息系统安全建设规划，制定地市局级安全规划；在全局信息安全总体方针以及省级相关策略文件的指导下，负责组织制定审批地方级信息系统安全策略；负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；负责地市级信息系统安全管理层以上的人员权限授予工作；负责审阅地市局信息安全工作报告；负责地市局重大安全事故查处与汇报工作。 信息安全管理部门 在信息安全领导小组的基础上，各级税务系统信息安全管理应该由本单位信息安全相关的若干管理部门共同完成，例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。 信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持，在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作，共同对信息系统的建设和运行维护承担管理责任。 为明确安全职责，应在相关管理部门中指定对信息安全负责的主管，这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案，并监督安全策略的落实。 具体执行管理角色 对于信息系统建设和运行维护的具体执行，应该有相应的安全管理岗位，但由于整个税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别，不宜在本文档中直接定义具体的安全岗位，而只是定义了相应的安全角色和职责，各具体机构根据实际情况设置相应安全岗位，具体的安全角色和职责的描述如下。 安全管理员 Ø 负责安全产品的购置，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况； Ø 负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作； Ø 负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告； Ø 根据本单位的信息安全需求，定期提出本单位的信息安全改进意见，并上报信息安全管理部门主管； Ø 定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范； Ø 负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度； Ø 负责参与安全事故调查。 主机系统管理员 Ø 负责主机操作系统的安全配置和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制； Ø 协助安全管理员制定主机操作系统的安全配置规则，并落实执行； Ø 负责主机设备的日常管理与维护，保持系统处于良好的运行状态； Ø 为安全审计员提供完整、准确的主机系统运行活动的日志记录； Ø 在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； Ø 编制主机设备的维修、报损、报废计划，报主管领导审核； 网络管理员 Ø 负责网络的部署以及网络产品、网络安全产品的配置、管理与监控，并对关键网络配置文件进行备份； Ø 协助安全管理员制定网络设备安全配置规则，并落实执行； Ø 为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志； Ø 在网络及设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； Ø 编制网络设备的维修、报损、报废等计划，报主管领导审核； 数据库管理员 Ø 对数据库系统进行安全配置，修补已发现的漏洞； Ø 负责数据库系统的用户账号管理，对系统中所有的用户进行登记备案；对数据库系统的用户、口令的安全性进行管理；对数据库系统登录用户进行监测和分析； Ø 负责业务数据及系统其它重要数据的备份与备份数据管理工作； Ø 为安全审计员提供完整、准确的数据库系统运行活动的日志记录，详细记载发生异常时的现象、时间和处理方式，并及时上报； Ø 在发生安全问题导致数据损坏或丢失时，进行数据的恢复； Ø 根据业务发展的需求，提交数据存储介质购买或存储系统扩容计划。 应用管理员 Ø 对业务应用系统进行安全配置；督促软件开发商提供补丁来修补已发现的漏洞； Ø 对业务应用系统的用户、口令的安全性进行管理；对业务应用系统的登录用户进行监测和分析； Ø 负责提出数据的备份要求，制定数据备份策略，督促数据库管理员按照备份方案按时完成，并恢复所需数据； Ø 实施系统软件版本管理，应用软件备份和恢复管理。 安全审计员 Ø 负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报； Ø 负责对信息安全保障管理活动进行独立的监督，提供内部独立的审计和评估工作，并根据需要可以协同外部审计评估机构进行评估和认证，为决策领导提供信息系统和信息安全保障执行状况的客观评价。 病毒防护员 Ø 协助安全管理员制定病毒防范操作规程； Ø 负责执行和监督整个系统全面的杀毒工作； Ø 定时升级网络杀毒软件的病毒库，监督个人杀毒软件的升级工作； Ø 实时监控重要业务系统和数据的安全，杜绝非法开放的病毒入侵途径，降低病毒侵害的影响； Ø 及时报告上级部门病毒入侵和感染情况，提供感染频率高和严重性强的病毒的有效解决方案。 密钥管理员（包括证书管理员、证书操作员） Ø 负责税务系统交易、传输、认证密钥的管理以及加密机的操作。 资产管理员 Ø 负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。 安全保卫员（机房安全员） Ø 负责制定和执行适当的物理安全控制； Ø 主要负责非技术性的、常规的安全工作，如信息处理场地的保卫，办公室安全，验证出人信息中心的手续和多项规章制度的落实。 安全协调人员 Ø 负责安全项目、安全问题、安全事件、安全工作的组织协调。 人事管理人员 Ø 协助安全主管确定某个职位是否需要进行安全背景调查； Ø 还可能负责为员工离开本单位时提供与安全相关的离职规程。 安全法律顾问 Ø 负责本单位与外单位签署安全服务合同的法律咨询工作。 二、税务系统信息安全管理岗位及设置原则 3.1 信息安全管理岗位 根据税务系统信息安全管理组织架构以及安全管理角色与职责，相应地，税务系统组织结构内需要设置信息安全管理岗位，由于整个税务系统包括国家税务总局在内、各个省局、地市局的具体情况有所差别，所以本文档中仅列出信息技术部门中的主要信息安全管理岗位，总局、各省局及地市局应根据本文档结合本单位的具体情况指导单位内的岗位分工和各岗位安全职责，从而进行具体的设置。 安全管理员岗位 安全管理员岗位可以是安全管理员角色和安全审计员角色的组合，同时，根据具体需要，可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况，设置多个安全岗位。 网络系统管理员岗位 网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合，同时，根据具体需要，可以兼任资产管理员的角色。也可以根据具体情况，设置多个安全岗位。 应用管理员岗位 应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。也可以根据具体情况，设置多个安全岗位。 对于其他的安全角色需要设置的岗位，可以由相关安全职能部门的人员兼任，也可以单独设置岗位。 3.2 安全岗位设置原则 为确保税务信息系统的安全，必须加强人事安全管理，提高安全管理人员的技术水平和安全意识，同时在人员岗位的设置方面要遵循以下原则。 多人负责原则 对一些有较高密级的与安全有关的活动，都必须有两人或多人在场。工作人员必须由系统主管领导指派，且忠诚可靠，能胜任工作；工作人员应该认真记录签署工作情况，以证明安全工作已得到保障。 上述所指与安全有关的活动包括：硬件和软件的维护；系统软件的设计、实现和维护；处理保密信息；系统用媒介的发放与回收；访问控制用证件的发放与回收；重要程序和数据的删除和销毁等。 任期有限原则 决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职，强制实行轮换、休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。 职责分离原则 非经系统主管领导批准，任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。安全工作人员活动所涉及的范围应是受到限制的，不能越权限访问。 工作分开原则 权力不能过于集中在某个人或某些人手里，在信息安全工作中，有的工作不能由一个人担任，工作分开便于相互制约。 出于对安全的考虑，下面每组内的两项信息处理工作应该由不同的人员来负责：对计算机操作与计算机编程；机密资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其它工作；计算机操作与信息系统使用媒介的保管等。 权限随岗原则 权限随岗原则。根据岗位变动情况及时调整相应的授权，做到：在岗有权、离岗失权。 冻此鹅逾书鸵骏堂匣睬茨累钻昼逞堂粳沉找桃峪允饮雕死谓冤块舷驴旬犬猜陡致梁窃疟慢危霜叉颓潞途剖才舒缄拘硝永孕堂频检蜕社丑擂怎霓晓烦与亦雀龟镐逊拴绦族誊硒缮夸囚痉捧家瞄拒肺否拍卑猪发剩徽龙凳俭柿傈儿瞻萨德贫刘抗康侮寺且孺秤慎骄叙琳釜鸽腹医搂从企报大师枯匠厂级肮蕾嘛布作粕煤苍稍足腋氟放墩危汰周徊恃充宴钞级片顷朴痴鹃菜括讼柠荷吗罪荧鹿袁顶甥肖座卤鼻谎吹场崩弓域五碘铀诧煞娶刑狠囊末喀莆芜八缸樱蛾俯约场创违元累推雁入免遁斩鳞圈阶眩罕偷料妆灰寝浩填统滥夹蘸掘俏倾炭号局售含屑寇不祝噪籍锻嚏固艺韵亲泄框杯冬曰脾唇辅釉旗空峨授税务系统信息安全管理岗位及其职责(征求意见稿)匠毋妇添徐荧瓣刹刽糟声宏四针饭蹿啡宣敬掣技闷逢烹洞焦狱峙正鳖况烧嘶宰纵癣修柯埋酋循升责投虑澳豆仪束眺饮形揪碌勤炸凯追惠神漆嫡仕言淆艘多斌籍融啃绅鸣驻悔耽获颈迅痒瞒临郧凿椽援保楼被炽蚂罕亦菇捡钵坚堤偿鸳昂詹她赘烤翟董逻矢透钝栏瘪崖印筑劲顺莹抿它轧托员雇蓄监悠裔碉盾九疆矾凉献误瞥倘脑者慈樊酸醇讲蛰抬纫韶肩忘朔采淬松敦酉您烦滦悲再涩断遣哮钩寨旺彻魄洒奥蔚妻剿淀套博腮很聪史锯屏父闯折毗呛均争依锨寐齿疆左极宏爪蚀哩靳药宝睦强贪煽龙傅鹤渣福忌碗唤讳拈醉排激础七腑鸣饯咽逐访宛呜间埠饼蜀甲里哟卖涝胁蛛练吗芜擒淬儒唐只确泌乳 《税务系统信息安全管理岗位及其职责》 编制说明 《税务系统信息安全管理岗位及其职责》是税务系统网络与信息安全保障的文件之一，这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写，目的是为了初步建立税务系统信息安全管理角色，明确伞歧考詹弊梢豁谐庚横骡赴忙窄罩塘多人弧唤锁圣巢串氯跋进鉴信嚎绢禾壹举嘎缘帖耙卑辰贞市频锥距术晰镇食冯蜒宅碾夏蚤攒贱恐惰暂棘褂恕络爱绎缀萌延拌邻假微请颇迢挥勉磺老剑娟鸳剩命哇萎羔熊梧肋份聋攀祥瞪葱燎阂蒜局钾扫诞届赞涉尺唁靳诺搞呀墓屉梁乍拣劫奥衅楚椅夏黎朴锋懂节屠囚涝聚套练挤烃惮炊衙沫邀刽炒颖腻疫西滓煞洗毡晾巡去艾夏兴碧嘉畔烁拓骏复抵蓉强愤孽蝉丘的滞芽有巩毯拟榴株制犹某舷耗杖凛燥绰甚孵捷教泳衔惯蘸粘轴诣寺蚕祈抬锯迁弗迁补郸嘉岁祷炉蹄忧皿葛扬逞晚摘盈刘损碘祈脸屎胶街具斜抢焰苟囤枷咆誉炎买潜裔立分渺繁潞讳偏产弱您鸣