网上办税系统信息安全基本技术规范(税总函〔2014〕13号)

网上办税系统技术咨询服务商管理办法第一章总则第一条为持续优化税收营商环境，提升办税便利度，规范网上办税系统技术咨询服务行为，加强网上办税系统技术咨询服务商（以下简称“服务商”）的管理，特制定本办法。

第二条本办法所称的网上办税系统技术咨询服务是指经国家税务总局上海市税务局（以下简称“市局）委托，上海市政府采购中心按照规定的政府采购流程公开招标采购项目中列示的服务，中标的企业为该项目服务商。

第三条服务商为纳税人提供涉及网上办税系统使用的流程类、操作类咨询服务，为纳税人提供办税指引，帮助其正确、便捷地通过互联网办理涉税事项。

服务内容涉及的软件系统目前主要包括：网上电子申报软件（又称“eTax@SH3”）、网上认证软件（又称“eTax@SH网上认证”）、自然人税收管理系统（ITS）扣缴客户端、企业所得税汇算清缴申报软件、出口退税申报软件、出口退税网上申报软件、国际贸易单一窗口出口退税申报系统、离境退税管理信息系统、通用开票软件、电子税务局、税收调查网上直报软件等各类面向纳税人直接使用的网上办税系统。

第二章技术咨询服务内容和要求第四条提供网上在线咨询服务。

服务商开通网上在线咨询服务功能，7×24小时为纳税人提供技术咨询问题的受理与解答。

要求：咨询员应在系统提示发起对话30秒内作出回应。

纳税人较多，无法即时应答的，系统推送提示语对纳税人进行回应。

在实时咨询交互过程当中，咨询员预计静默时间超过2分钟的，应征询纳税人意见，根据纳税人意愿采取继续等待或事后答复的方式处理。

纳税人静默时间超过4分钟的，系统自动推送提醒，纳税人仍旧无回应的，推送结束用语后结束对话。

第五条提供电话咨询服务。

服务商开通热线服务电话，热线系统与12366热线系统对接，纳税人可以拨打服务商热线电话也可以拨打12366热线进行技术咨询。

人工接通率需达到90%，60秒人工接通率接通率需达到80%；咨询员应耐心听取纳税人的提问，判断其是否属于咨询服务受理范围，为纳税人提供准确、高效的咨询服务，不得出现违反首问责任制，推诿不答的情况；不属于受理范围的，咨询员应主动告知纳税人不予受理的理由。

乐税智库文档财税法规策划 乐税网国家税务总局信息中心关于税务系统首期网络与信息安全防护体系2007年6月份运行情况的通报【标 签】安全防护体系,首期网络与信息,全国税务系统【颁布单位】国家税务总局【文 号】信便函﹝2007﹞266号【发文日期】2007-09-05【实施时间】2007-09-05【 有效性 】全文有效【税 种】征收管理各省、自治区、直辖市和计划单列市国家税务局、地方税务局： 根据各单位2007年6月上报的首期安全防护体系运行情况报表统计，本月安全防护体系整体运行稳定，系统内没有发生重大网络安全事件。

现将运行情况通报如下： 一、安全体系运行情况 税务系统首期安全防护体系配备防火墙设备在线使用637台，不在线2台；入侵检测系统设备在线使用575台，不在线0台；瑞星杀毒软件运行稳定，总局总控制中心能够有效管理的省级系统中心有58个，都已升级到最新版本；漏洞扫描系统使用正常。

二、安全体系防护情况分析 （一）防火墙事件分析 本月针对联想防火墙日志进行统计分析，共发生攻击事件15513次，扫描事件5155次，入侵事件0次。

与5月相比，攻击事件增加260%，扫描降低450%，入侵事件降低200%，总体报警事件比上月有所减低。

攻击、入侵、扫描较多事件大部分是由一些正常使用的系统和北信源桌面安全防护产品扫描在线设备运行的正常访问事件；同时有部分ICMP攻击LargePacket（ping大包）和端口扫描。

（二）病毒疫情分析 根据各地上报数据统计，本月共查杀病毒5219359个，较上月数量有所增加，病毒爆发情况依然严重，其中主要感染病毒为蠕虫，主要病毒类型有：（1）Worm.Pabug及其变种，该病毒主要通过MP3（或者U盘）进行传播，由于现在使用MP3（U盘）交换歌曲和电影文件的用户非常多，使得该病毒传播极广。

（2）Worm.Nimaya（熊猫烧香）及其变种，该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为"熊猫烧香".同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

附件1网上办税系统技术要求国家税务总局2014年10月目录网上办税系统技术要求 (1)说明 (3)第1部分网上办税系统概述 (3)1.1用户 (3)1.2数据 (4)1.3业务功能 (4)1.4系统管理功能 (6)1.5业务数据流向 (6)第2部分系统设计开发要求 (8)2.1系统规划设计 (8)2.1.1系统设计原则 (8)2.1.2总体逻辑设计 (9)2.2系统开发要求 (13)2.2.1总体要求 (13)2.2.2纳税人端应用开发要求 (14)2.2.3业务受理区应用开发要求 (14)2.2.4业务处理区应用开发要求 (15)2.3系统测试要求 (16)2.3.1总体要求 (16)2.3.2关键环节及要求 (17)2.3.3测试内容及要求 (17)2.4系统部署要求 (18)2.4.1总体要求 (18)2.4.2基础设施要求 (19)2.4.3网络要求 (20)2.4.4应用部署要求 (21)2.5信息安全要求 (21)第3部分管理要求 (22)3.1总体要求 (22)3.2系统管理制度 (22)3.2.1管理策略 (22)3.2.2管理规章制度 (22)3.2.3策略与制度文档管理 (22)3.2.4项目管理要求 (22)3.2.5工程管理要求 (23)3.3运行和维护管理 (23)3.3.1升级管理 (23)3.3.2维护管理 (24)3.3.3数据管理 (24)3.3.4可用性监控 (24)3.3.5应急响应管理 (24)3.3.6信息安全管理 (25)3.3.7变更及缺陷管理 (25)3.3.8事件跟踪及问题管理 (25)3.3.9运维知识库管理 (25)3.3.10沟通汇报 (25)3.3.11系统优化管理 (25)3.4质量保证 (25)3.5配置管理 (26)3.6技术文档管理 (26)3.7验收管理 (26)第4部分技术服务要求 (28)4.1服务原则 (28)4.2技术服务内容 (28)4.3技术服务方式 (29)4.4技术服务体系 (29)4.5第三方的服务监管要求 (30)第5部分附录 (32)5.1引用文件 (32)5.2名词解释 (32)说明编制目的：根据国家税务总局进一步优化纳税服务工作的要求，各地税务机关大力依托公共网络向纳税人提供网上办税服务，各地网上办税系统的数量和覆盖的业务范围快速增加，逐渐成为税务部门为纳税人办理涉税业务的一种重要方式。

国家税务总局关于印发《税务计算机信息系统安全管理规定》的通知1999年7月20日国税发【1999】131号各省、自治区、直辖市和计划单列市国家税务局、地方税务局，扬州培训中心、长春税务学院：为加强全国税务机关计算机信息系统安全保护工作，保证税收电子化事业的顺利发展，根据公安部、国家保密局的有关规定，针对新形势下计算机应用的特点，总局对1997年发布的《税务系统计算机系统安全管理暂行规定》（国税发【1997】069号）进行了修订和完善，并更名为《税务计算机信息系统安全管理规定》。

现印发给你们，请遵照执行。

原国税发【1997】069号同时作废。

国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中华人民共和国公安部令第33号等文件随本文一并印发。

税务计算机信息系统安全管理规定第一章总则第一条根据《中华人民共和国保守国家秘密法》和公安部、国家保密局的有关规定及要求，为了更好地规范和管理税务系统的计算机、网络设备和电子信息，使之安全运行，更好地发挥计算机、网络和信息资源的作用，特制定《税务计算机信息系统安全管理规定》（以下简称《规定》）。

第二条本《规定》适用于全国地市级以上税务机关的网络、计算机及附属设备和电子数据的管理。

第三条税务系统计算机信息系统安全保护工作谁主管、谁负责，预防为主、综合治理、人员防范与技术防范相结合的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理科学化、规范化。

第四条任何组织或个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。

第五条各级税务机关计算机信息系统的建设和规划应按国家保密局（国保发【1998】1号）文件的规定，同步规划并落实相应的保密措施。

第六条涉及国家秘密的计算机信息系统的建设，必须严格按照中共中央保密委员公办公室和国家保密局（中保办发【1998】6号）的通知要求，报经省局以上保密部门审批后，方可投入使用。

税务系统信息中心规章制度
《税务系统信息中心规章制度》
税务系统信息中心是国家税务部门的重要组成部分，负责税收信息的收集、处理、储存和查询。

为了规范信息中心的运作，保障税务工作的顺利进行，税务系统信息中心制定了一系列规章制度。

首先，信息中心建立了完善的信息安全管理制度，包括机房保护措施、网络安全规定、数据备份方案等，确保税收信息的安全可靠。

其次，信息中心规定了信息采集、处理和查询的流程和标准，明确了各环节的责任人和操作规范，保证税务信息的真实性和准确性。

再次，信息中心建立了用户权限管理制度，对不同级别的用户给予相应的权限，以保护税收信息不被非法获取和篡改。

此外，信息中心还规定了信息共享和交流的程序和规定，促进税务部门内部和外部单位的信息互通互联。

这些规章制度的制定和执行，保障了税务工作的顺利进行，也保障了纳税人的合法权益。

同时，信息中心也不断完善和更新规章制度，以适应信息技术的发展和税收工作的需要。

税务系统信息中心规章制度的贯彻执行，将为国家税收工作的高效运行提供有力保障。

网上办税系统安全保障要求分析一、概述本文档分析的内容是辽宁国税网上办税厅系统（含网络发票部分）【后简称系统】与国税总局发布的《网上办税系统安全保障要求》【后简称要求】之间的异同。

本次分析仅包括要求文档中第二部分（既系统安全保障技术要求）中的应用和数据安全要求，安全保障基础设施和系统安全开发和实现。

不包括涉及硬件环境或管理制度的环境安全要求，系统安全配置要求和第三部分系统安全管理要求。

分析分为两部分：一分原文分析（采用原文加注的方式），二为针对原文分析部分的简要总结。

二、原文分析---------------------------------------------------------------------------------------------------------------- 2.3 应用和数据安全要求2.3.1 用户数据保护2.3.1.1用户数据完整性与抗抵赖性应从以下方面设计和实现应用系统的数据完整性与抗抵赖性控制功能：（1）应对纳税登记数据、纳税申报数据、纳税证书数据等用户数据进行完整性与抗抵赖性检测，确保数据完整性和抗抵赖。

（2）应对网上办税业务数据、业务管理数据等用户数据进行完整性与抗抵赖性检测，确保数据完整性和抗抵赖。

【目前系统的完整性和抗抵赖性检测由电子签章技术实现。

由于文中没有相关的技术标准，所以该项技术是否符合要求不确定。

】2.3.1.2 用户数据保密性应从以下方面设计和实现应用系统的数据保密性控制功能：（1）纳税登记数据、纳税申报数据、纳税证书数据等用户数据，应进行一定的保密性保护，确保外部用户不能用简单的方法获得该类用户数据。

（2）应对网上办税业务数据、业务管理数据等用户数据进行数据保密性保护。

【目前系统应已实现外部用户不能用简单的方法获得该类用户数据。

但文中未明确简单的方法是什么意思，也没有明确保密性措施是在以哪种方式实现，有没有什么标准要求。

】2.3.2身份鉴别2.3.2.1用户身份标识（1）对用户身份标识要求进行基本标识、标识唯一性和标识信息管理：①基本标识：应在系统安全功能实施所要求的动作之前，先对提出该动作要求的用户进行标识；②标识唯一性：应确保所标识用户在信息系统生命周期内的唯一性，并将用户标识与安全审计相关联；③标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。

国家税务总局关于印发《增值税税控系统服务单位监督管理办法》的通知税总发〔2015〕118号各省、自治区、直辖市和计划单列市国家税务局:为进一步加强税务机关对增值税税控系统服务单位的监督管理，不断优化对增值税纳税人的开票服务，在广泛征求意见的基础上，国家税务总局制定了新的《增值税税控系统服务单位监督管理办法》（以下简称监督管理办法），现印发给你们，并就有关事项通知如下：一、纳税人可自愿选择使用航天信息股份有限公司（以下简称航天信息）或国家信息安全工程技术研究中心（以下简称国家信息安全中心）生产的增值税税控系统专用设备。

二、纳税人可自愿选择具备服务资格的维护服务单位（以下简称服务单位）进行服务。

服务单位对航天信息或国家信息安全中心生产的专用设备均可以进行维护服务。

三、服务单位开展的增值税税控系统操作培训应遵循使用单位自愿的原则，严禁收费培训，严禁强行培训，严禁强行搭售通用设备、软件或其他商品。

四、税务机关应做好专用设备销售价格和技术维护价格的收费标准、增值税税控系统通用设备基本配置标准等相关事项的公示工作，以便接受纳税人监督。

五、各地要高度重视纳税人对服务单位的投诉举报工作。

各级税务机关应设立并通过各种有效方式向社会公布投诉举报电话，及时处理增值税税控系统使用单位对服务单位的投诉举报。

省国税局负责对投诉举报及处理情况进行跟踪管理，按月汇总相关情况，随服务质量调查情况一并上报国家税务总局。

六、税务机关应向需使用增值税税控系统的每一位纳税人发放《增值 税税控系统安装使用告知书》（附件1，以下简称《使用告知书》），告知纳税人有关政策规定和享有的权利。

服务单位应凭《使用告知书》向纳税人销售专用设备，提供售后服务，严禁向未持有《使用告知书》的纳税人发售专用设备。

七、税务机关和税务工作人员严禁直接或间接从事税控系统相关的商业性经营活动，严禁向纳税人推销任何商品。

八、各级税务机关应高度重视服务单位监督管理工作，严格落实监督管理办法，认真履行监督管理职责。