税务系统网络与信息安全管理岗位职责说明样本.doc

1、n 更多资料请访问.(.)税务系统网络和信息安全管理岗位及其职责编制说明税务系统网络和信息安全管理岗位及其职责是税务系统网络和信息安全管理体系框架中文档之一，这个文档是依据税务系统网络和信息安全总体策略相关要求编写，目标是为了初步建立税务系统网络和信息安全管理岗位，明确安全管理人员职责。但因为各级税务系统（总局、省局、地市局、区县级局）含有不一样特点，没有一个模式适用全部组织，而且因为人员限制，尤其是地市局及区县级局中人员限制，通常没有特定专职人员来担任本文档中描述众多安全管理角色。所以，本文档适用范围确定在总局、各省局、各地市局，对区县级局不适用，各区县级局可由其上级地市局依据具体情况做对应

2、要求。本税务系统网络和信息安全管理岗位及其职责文档共包含二章内容，第一章为管理角色和职责，描述了税务系统网络和信息安全管理组织架构，和关键信息安全管理角色和职责；第二章为管理岗位及设置标准，示例列出信息技术部门中关键信息安全管理岗位，并描述了税务系统网络和信息安全管理岗位设置标准。税务系统网络和信息安全管理岗位及其职责（试行稿）国家税务总局信息中心二四年十月目 录一、税务系统网络和信息安全管理角色和职责11.1 信息安全领导小组11.2 信息安全管理部门21.3 具体实施管理角色3安全管理员3主机系统管理员3网络管理员4数据库管理员4应用管理员4安全审计员5病毒防护员5密钥管理员（包含证书管理

3、员、证书操作员）5资产管理员5安全保卫员（机房安全员）5安全协调人员5人事管理人员6安全法律顾问6二、税务系统网络和信息安全管理岗位及设置标准62.1 信息安全管理岗位6安全管理员岗位6网络系统管理员岗位6应用管理员岗位62.2 安全岗位设置标准7多人负责标准7任期有限标准7职责分离标准7工作分开标准7权限随岗标准7一、税务系统网络和信息安全管理角色和职责为有效实施信息安全管理，保障和实施税务系统信息安全，在税务系统内部应该建立自己信息安全管理组织架构。信息安全管理组织架构是实施系统安全，进行安全管理必需确保。依据税务系统编制体系现实状况和人员结构，信息安全管理组织架构纵向涵盖总局、省局、地市

4、局三级，总局对省局、省局对地市局在信息化建设和安全管理运行方面，应起到指导和监管作用。在一个机构中，安全角色和责任不明确是实施信息安全过程中最大障碍，建立安全组织和落实责任是实施信息安全管理第一步。所以，总局、省局、地市局每一级应设置对应职能部门和人员负责各级信息系统安全管理工作。具体信息安全组织和管理角色及其职责描述以下。1.1 信息安全领导小组信息安全是全国税务系统工作人员必需共用负担责任，通常来说，各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络和信息安全工作最高领导决议机构，它不隶属于任何部门，直接对本单位最高领导负责，信息安全领导小组是一个常设机构，负责本单

5、位信息安全工作宏观管理。总局信息安全领导小组负责全国税务系统网络和信息安全总体计划和决议，并领导总局信息系统安全建设、运行、维护和管理等工作；省局信息安全领导小组负责组织落实上层决议，制订本省决议，并领导本省信息安全工作；地市局信息安全领导小组负责落实上层决议，制订当地市决议，并领导当地市信息安全工作。各级信息安全领导小组组长通常由各级税务系统高层领导挂帅，并结合和信息安全相关各职能部门关键责任人参与。各级信息安全领导小组职责是：1 总局信息安全领导小组负责领导制订全国税务系统网络和信息安全建设总体计划并审议监督各省级安全工作计划制订和实施；负责制订总局信息安全总体策略并审批总局信息系统安全策

6、略和各省级上报安全策略；负责领导制订总局和信息系统安全相关规章制度；负责总局信息系统安全管理层以上人员权限授予工作；负责审阅总局信息安全工作汇报；负责全国税务系统重大安全事故查处和汇报工作。2 省局信息安全领导小组负责领导落实全国税务系统安全建设总体计划，制订本省建设计划并监督各地市级安全工作计划制订和实施；在全国税务系统网络和信息安全总体方针指导下，负责组织制订本省信息系统安全策略并审批地方局上报信息系统安全策略；负责组织细化上级规章制度，制订对应程序指南，并监督落实规章制度；负责本省信息系统安全管理层以上人员权限授予工作；负责审阅省局信息安全工作汇报；负责本省重大安全事故查处和汇报工作。3

7、 地市局信息安全领导小组负责领导落实本省信息系统安全建设计划，制订地市局级安全计划；在全国税务系统网络和信息安全总体方针和省级相关策略文件指导下，负责组织制订审批当地市信息系统安全策略；负责组织细化上级规章制度，制订对应程序指南，并监督落实规章制度；负责当地市信息系统安全管理层以上人员权限授予工作；负责审阅地市局信息安全工作汇报；负责当地市重大安全事故查处和汇报工作。1.2 信息安全管理部门在信息安全领导小组基础上，各级税务系统网络和信息安全管理应该由本机构信息安全相关若干管理部门共同完成，比如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。信息技术部门对信息系统及信息系统安全保

8、障提供技术决议和技术支持，在技术上对信息系统和信息系统安全保障负担管理责任。业务应用部门对信息系统业务处理和业务步骤安全负担管理责任。安全保卫部门对信息系统场地和系统资产防灾、防盗、防破坏等负担管理责任。行政部门从行政上对信息安全保障实施管理工作。各个部门应和信息技术部门协作，共同对信息系统建设和运行维护负担管理责任。为明确安全职责，应在相关管理部门中指定对信息安全负责主管，这些主管共同落实实施税务系统安全工作方针政策、规章制度及相关技术标准、规范和方案，并监督安全策略落实。1.3 具体实施管理角色对于信息系统建设和运行维护具体实施，应该有对应安全管理岗位，但因为全国税务系统包含国家税务总局在

9、内、各省局、各地市局具体情况有所差异，不宜在本文档中直接定义具体安全岗位，而只是定义了对应安全角色和职责，各具体机构依据实际情况设置对应安全岗位，具体安全角色和职责描述以下。安全管理员 负责对安全产品购置提供提议，负责组织制订多种安全产品策略和配置规则，负责跟踪安全产品投产后使用情况； 负责指导并监督系统管理员（包含主机系统管理员、网络管理员、数据库管理员和应用管理员等）及一般用户和安全相关工作； 负责组织信息系统安全风险评定工作，并定时进行系统漏洞扫描，形成安全评定汇报； 依据本机构信息安全需求，定时提出本机构信息安全改善意见，并上报信息安全管理部门主管； 定时查看信息安全站点安全公告，跟踪

10、和研究多种信息安全漏洞和攻击手段，在发觉可能影响信息安全安全漏洞和攻击手段时，立即做出对应对策，通知并指导系统管理员进行安全防范； 负责组织审议多种安全方案、安全审计汇报、应急计划和整体安全管理制度； 负责参与安全事故调查。主机系统管理员 负责主机操作系统安全配置（包含立即修补系统漏洞）和日常审计，系统应用软件安装，从系统层面实现对用户和资源访问控制； 帮助安全管理员制订主机操作系统安全配置规则，并落实实施； 负责主机设备日常管理和维护，保持系统处于良好运行状态； 为安全审计员提供完整、正确主机系统运行活动日志统计； 在主机系统异常或故障发生时，具体记载发生异常时现象、时间和处理方法，并立即上

11、报； 编制主机设备维修、报损、报废计划，报主管领导审核；网络管理员 负责网络布署和网络产品、网络安全产品配置、管理和监控，并对关键网络配置文件进行备份，立即修补网络设备漏洞； 帮助安全管理员制订网络设备安全配置规则，并落实实施； 为安全审计员提供完整、正确地统计关键网络设备和网站运行活动运行日志； 在网络及设备异常或故障发生时，具体记载发生异常时现象、时间和处理方法，并立即上报； 编制网络设备维修、报损、报废等计划，报主管领导审核；数据库管理员 对数据库系统进行安全配置，修补已发觉漏洞； 负责数据库系统用户账号管理，对系统中全部用户进行登记立案；对数据库系统用户、口令安全性进行管理；对数据库系

12、统登录用户进行监测和分析； 负责业务数据及系统其它关键数据备份和备份数据管理工作； 为安全审计员提供完整、正确数据库系统运行活动日志统计，具体记载发生异常时现象、时间和处理方法，并立即上报； 在发生安全问题造成数据损坏或丢失时，进行数据恢复； 依据业务发展需求，提交数据存放介质购置或存放系统扩容计划。应用管理员 对业务应用系统进行安全配置；督促软件开发商提供补丁来修补已发觉漏洞； 对业务应用系统用户、口令安全性进行管理；对业务应用系统登录用户进行监测和分析； 负责提出数据备份要求，制订数据备份策略，督促数据库管理员根据备份方案按时完成，并恢复所需数据； 实施系统软件版本管理，应用软件备份和恢复

13、管理。安全审计员 负责定时对主机系统、网络产品、应用系统日志文件进行分析审计，发觉问题立即上报； 负责对信息安全保障管理活动进行独立监督，提供内部独立审计和评定工作，并依据需要能够协同外部审计评定机构进行评定和认证，为决议领导提供信息系统和信息安全保障实施情况客观评价。病毒防护员 帮助安全管理员制订病毒防范操作规程； 负责实施和监督整个系统全方面杀毒工作； 定时升级网络杀毒软件病毒库，监督个人杀毒软件升级工作； 实时监控关键业务系统和数据安全，杜绝非法开放病毒入侵路径，降低病毒侵害影响； 立即汇报上级部门病毒入侵和感染情况，提供感染频率高和严重性强病毒有效处理方案。密钥管理员（包含证书管理员、

14、证书操作员） 负责税务系统交易、传输、认证密钥管理和加密机操作。资产管理员 负责信息技术部门全部资产采购、登记、分发、回收、废弃等管理。安全保卫员（机房安全员） 负责制订和实施合适物理安全控制； 关键负责非技术性、常规安全工作，如信息处理场地保卫，办公室安全，验证出人信息中心手续和多项规章制度落实。安全协调人员 负责安全项目、安全问题、安全事件、安全工作组织协调。人事管理人员 帮助安全主管确定某个职位是否需要进行安全背景调查； 还可能负责为职员离开本单位时提供和安全相关离职规程。安全法律顾问 负责本单位和外单位签署安全服务协议法律咨询工作。二、税务系统网络和信息安全管理岗位及设置标准2.1 信

15、息安全管理岗位依据税务系统网络和信息安全管理角色和职责，对应地，税务系统组织机构内需要设置信息安全管理岗位，因为全国税务系统包含国家税务总局在内、各省局、各地市局具体情况有所差异，所以本文档中仅列出信息技术部门中关键信息安全管理岗位，总局、各省局及各地市局应依据本文档结合本机构具体情况指导本机构内岗位分工和各岗位安全职责，从而进行具体设置。安全管理员岗位安全管理员岗位能够是安全管理员角色和安全审计员角色组合，同时，依据具体需要，能够兼任病毒管理员和密钥管理员角色。也能够依据具体情况，设置多个安全管理员岗位。网络系统管理员岗位网络系统管理员岗位能够是主机系统管理员角色和网络管理员角色组合，同时，

16、依据具体需要，能够兼任资产管理员角色。也能够依据具体情况，设置多个网络系统管理员岗位。应用管理员岗位应用管理员岗位能够是数据库管理员角色和应用管理员角色组合。也能够依据具体情况，设置多个应用管理员岗位。对于其它安全角色需要设置岗位，能够由相关安全职能部门人员兼任，也能够单独设置岗位。2.2 安全岗位设置标准为确保税务信息系统安全，必需加强人事安全管理，提升安全管理人员技术水平和安全意识，同时在人员岗位设置方面要遵照以下标准。多人负责标准对部分有较高密级和安全相关活动，全部必需有两人或多人在场。工作人员必需由系统主管领导指派，且忠诚可靠，能胜任工作；工作人员应该认真统计签署工作情况，以证实安全工

17、作已得到保障。上述所指和安全相关活动包含：硬件和软件维护；系统软件设计、实现和维护；处理保密信息；系统用媒介发放和回收；访问控制用证件发放和回收；关键程序和数据删除和销毁等。任期有限标准决不能由一人长久担任安全管理职务。对部分关键安全岗位工作人员应该不定时循环任职，强制实施轮换、休假制度，并要求对工作人员进行轮番培训，以使任期有限制度切实可行。职责分离标准非经系统主管领导同意，任何信息系统工作人员全部不得探询、了解或参与其职责以外任何和系统安全相关事情。安全工作人员活动所包含范围应是受到限制，不能越权限访问。工作分开标准权力不能过于集中在某个人或一些人手里，在信息安全工作中，有工作不能由一个人担任，工作分开便于相互制约。出于对安全考虑，下面每组内两项信息处理工作应该由不一样人员来负责：对计算机操作和计算机编程；机密资料接收和传送；安全管理和系统管理；应用程序和系统程序编制；访问证件管理和其它工作；计算机操作和信息系统使用媒介保管等。权限随岗标准权限随岗标准。依据岗位变动情况立即调整对应授权，做到：在岗有权、离岗失权。