税务系统网络与信息安全标准规范信息安全管理体系框架
国家税务总局关于印发《税务系统网络与信息安全防范处置预案》的
乐税智库文档财税法规策划 乐税网国家税务总局关于印发《税务系统网络与信息安全防范处置预案》的紧急通知【标 签】网络与信息安全防范【颁布单位】国家税务总局【文 号】国税函﹝2002﹞865号【发文日期】2002-01-01【实施时间】2002-01-01【 有效性 】全文有效【税 种】税务内部行政管理国家网络与信息安全协调小组办公室,各省、自治区、直辖市和计划单列市国家税务局、地方税务局,扬州税务学院: 根据国家信息化工作办公室和国家网络与信息安全协调小组办公室近期关于网络与信息安全工作会议的要求,为确保党的十六大至明年两会期间税务系统网络与信息的安全,进一步加强系统内网络新闻宣传管理工作,国家税务总局现下发《税务系统网络与信息安全防范处置预案》(以下简称《预案》),并提出以下具体要求,请各地遵照执行。
一、提高认识,加强领导。
各级税务机关要把确保十六大至明年两会期间网络与信息安全工作当作一项严肃的政治任务来抓。
要认清当前严峻的网络与信息安全形势,关注基础设施和重要信息系统中存在的安全隐患,强化信息安全意识,改进管理中的薄弱环节。
各单位负责人要从讲政治、顾大局、保证国家安全、保证十六大顺利召开的高度,重视此项工作,亲自抓落实。
二、工作突出重点,责任落实到人。
各地应参照总局下发的《预案》,结合本地的实际情况,制定本单位的网络与信息安全应急预案;要限期成立本级网络与信息安全组织机构,明确责任与分工,各项工作及责任落实到人;要加强监管,加强对金税工程网络和本单位因特网网站有害信息的清理整治;要力争无大事故发生,若一旦发生事故应能按照已制定的预案紧急处置,将危害和影响降至最低程度。
各地应于10月15日前按照本地制定的网络与信息安全防范处置预案完成培训和具体演练工作,并将有关执行情况及时报告总局网络与信息安全协调小组办公室。
尚未按照国税函[2002]799号文件要求完成网络自查工作的单位务必尽快完成有关工作。
《税务计算机信息系统安全管理规定》
《税务计算机信息系统安全管理规定》————————————————————————————————作者:————————————————————————————————日期:2国家税务总局关于印发《税务计算机信息系统安全管理规定》的通知1999年7月20日国税发【1999】131号各省、自治区、直辖市和计划单列市国家税务局、地方税务局,扬州培训中心、长春税务学院:为加强全国税务机关计算机信息系统安全保护工作,保证税收电子化事业的顺利发展,根据公安部、国家保密局的有关规定,针对新形势下计算机应用的特点,总局对1997年发布的《税务系统计算机系统安全管理暂行规定》(国税发【1997】069号)进行了修订和完善,并更名为《税务计算机信息系统安全管理规定》。
现印发给你们,请遵照执行。
原国税发【1997】069号同时作废。
国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中华人民共和国公安部令第33号等文件随本文一并印发。
税务计算机信息系统安全管理规定第一章总则第一条根据《中华人民共和国保守国家秘密法》和公安部、国家保密局的有关规定及要求,为了更好地规范和管理税务系统的计算机、网络设备和电子信息,使之安全运行,更好地发挥计算机、网络和信息资源的作用,特制定《税务计算机信息系统安全管理规定》(以下简称《规定》)。
第二条本《规定》适用于全国地市级以上税务机关的网络、计算机及附属设备和电子数据的管理。
第三条税务系统计算机信息系统安全保护工作谁主管、谁负责,预防为主、综合治理、人员防范与技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理科学化、规范化。
第四条任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第五条各级税务机关计算机信息系统的建设和规划应按国家保密局(国保发【1998】1号)文件的规定,同步规划并落实相应的保密措施。
税务系统网络与信息安全管理岗位职责说明
税务系统网络与信息安全管理岗位
职责说明
税务系统网络与信息安全管理岗位职责说明
1.职责范围
税务系统网络与信息安全管理岗位职责涵盖以下方面:
(1)制定网络与信息安全管理规章制度,落实各项网络与信息安全管理工作;
(2)负责系统安全、网络安全和信息安全的保护工作,确保系统、网络和信息的安全性;
(3)掌握相关技术,分析、诊断和解决网络安全问题,维护系统网络运行稳定性;
(4)负责网络安全检查和应急响应处理,及时发现和处理风险事件,保证网络信息的可用性;
(5)定期开展网络安全培训,提高员工网络安全意识,有效避免信息泄露和攻击事件发生;
(6)配合相关部门开展相关技术防范和安全审计工作,定期评估网络和信息安全体系的有效性,并提出改善建议。
2.合法合规
在税务系统网络与信息安全管理岗位职责范围内,需要保证合法合规,遵守国家相关法律法规和政策,确保公司业务的合法性和正常流程。
3.公正公平
在税务系统网络与信息安全管理岗位职责范围内,需要公正公平,不得利用岗位职权谋取私利,遵守职业伦理,坚决杜绝内部切换等违规行为。
4.切实可行
税务系统网络与信息安全管理岗位职责说明需要切实可行,具有可操作性和可行性,需要通过实际运行效果来检验和评估。
5.持续改进
税务系统网络与信息安全管理工作需要持续改进,不断完善制度体系,跟踪并吸收新技术和新理念,提高信息安全防范能力,保护企业网络和信息安全,确保企业的安全稳定发展。
税务网络安全建设管理制度
第一章总则第一条为加强税务网络安全建设,保障税务信息系统的安全稳定运行,防止网络安全事件的发生,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合税务工作实际,制定本制度。
第二条本制度适用于各级税务机关及其所属单位,包括税务信息系统、网络设备、网络安全设备等。
第三条税务网络安全建设应遵循以下原则:(一)安全与发展并重,确保税务信息系统安全与业务发展同步;(二)统一规划,分步实施,逐步完善税务网络安全体系;(三)预防为主,防治结合,提高网络安全防护能力;(四)依法管理,规范操作,加强网络安全队伍建设。
第二章组织机构与职责第四条成立税务网络安全领导小组,负责统筹协调税务网络安全工作,下设办公室,负责日常管理工作。
第五条税务网络安全领导小组职责:(一)制定税务网络安全建设规划、管理制度和应急预案;(二)组织开展网络安全培训、宣传和考核;(三)协调解决网络安全重大问题;(四)对网络安全事件进行调查处理。
第六条税务网络安全办公室职责:(一)贯彻落实税务网络安全领导小组的决策;(二)制定网络安全管理制度和操作规程;(三)组织开展网络安全检查、评估和整改;(四)负责网络安全设备的采购、配置和维护;(五)负责网络安全事件的信息收集、报告和应急处置。
第三章网络安全管理制度第七条税务信息系统安全管理制度:(一)建立健全税务信息系统安全管理制度,明确各级单位、部门和个人在网络安全中的职责;(二)加强税务信息系统安全防护,确保信息系统稳定、可靠运行;(三)定期对税务信息系统进行安全检查、评估和整改,及时消除安全隐患。
第八条网络设备安全管理制度:(一)规范网络设备采购、配置和维护,确保网络设备安全可靠;(二)定期对网络设备进行安全检查、评估和整改,及时消除安全隐患;(三)加强网络设备物理安全管理,防止设备被盗、损坏等。
第九条网络安全设备安全管理制度:(一)规范网络安全设备采购、配置和维护,确保设备安全可靠;(二)定期对网络安全设备进行安全检查、评估和整改,及时消除安全隐患;(三)加强网络安全设备物理安全管理,防止设备被盗、损坏等。
税务系统网络安全管理制度
一、总则为保障我国税务系统网络的安全稳定运行,维护国家税收安全和社会公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国税收征收管理法》等法律法规,结合税务系统工作实际,特制定本制度。
二、适用范围本制度适用于各级税务机关及其工作人员,以及与税务机关有业务往来的单位和个人。
三、组织领导1. 成立税务系统网络安全领导小组,负责组织、协调、指导全系统网络安全工作。
2. 各级税务机关设立网络安全管理部门,负责本地区税务系统网络安全工作的具体实施。
四、网络安全要求1. 网络安全设施:各级税务机关应按照国家规定,配备符合安全要求的网络设备,并定期进行维护、更新。
2. 网络安全防护:各级税务机关应建立健全网络安全防护体系,包括防火墙、入侵检测系统、病毒防护系统等,确保网络设备安全稳定运行。
3. 数据安全:各级税务机关应加强数据安全管理,确保数据完整性、保密性和可用性。
4. 系统安全:各级税务机关应定期对信息系统进行安全检查和风险评估,及时修复漏洞,提高系统安全防护能力。
5. 人员安全:各级税务机关应加强网络安全意识教育,提高工作人员网络安全技能,严格执行网络安全操作规范。
五、网络安全管理措施1. 网络接入管理:各级税务机关应严格规范网络接入,确保所有网络接入设备符合安全要求。
2. 网络访问控制:各级税务机关应建立健全网络访问控制机制,对内部网络和外部网络访问进行严格控制。
3. 信息安全审计:各级税务机关应定期对网络设备和信息系统进行安全审计,及时发现和整改安全隐患。
4. 网络安全事件处理:各级税务机关应建立健全网络安全事件应急响应机制,确保在发生网络安全事件时,能够迅速、有效地进行处置。
5. 网络安全培训:各级税务机关应定期开展网络安全培训,提高工作人员网络安全意识和技能。
六、监督检查1. 税务系统网络安全领导小组负责对本制度执行情况进行监督检查。
2. 各级税务机关应定期对本地区税务系统网络安全工作进行自查,发现问题及时整改。
税务系统信息安全体系总体方案
税务系统信息安全体系总体方案一、项目背景和目标随着信息技术的迅猛发展,税务系统也越来越依赖于信息化手段来进行税收管理和服务工作。
然而,税务系统所处理的数据特殊性和敏感性,使得系统的安全性和稳定性成为了重中之重。
因此,为了保护税务系统中的数据安全,建立一套完善的信息安全体系已成为必要之举。
本次方案的目标是构建一个税务系统的信息安全体系,保护税务系统中的数据不受损害和盗窃,确保系统的稳定性和服务正常运行。
二、体系构建内容1.风险评估和管理通过对税务系统进行全面的风险评估,分析潜在的安全风险和威胁,制定相应的风险管理和应急预案。
2.组织架构和责任明确税务系统信息安全工作的组织架构和责任,设立专门的信息安全管理部门或岗位,负责制定和执行信息安全策略,协调各方面资源。
3.策略和标准制定统一的信息安全策略和标准,明确各项安全措施和要求,确保系统的整体安全性和一致性,包括但不限于密码策略、网络访问控制、数据备份等方面。
4.人员管理建立完善的人员安全管理制度,包括在招聘、培训、定期考核等环节对人员进行安全背景调查和信息安全教育,提高人员的安全意识和技能。
5.技术管理对税务系统进行全面的技术管理,包括但不限于系统的安全设计、安全配置、安全审计、补丁管理、安全检测等方面,确保系统的技术安全性。
6.物理安全加强税务系统的物理安全措施,包括但不限于机房的门禁控制、监控和报警系统、服务器的存放和管理等,防止未经授权的人员进入系统。
7.安全事件响应建立完善的安全事件响应机制,及时响应、处理和报告安全事件,最小化安全事件的影响和损失。
三、实施步骤和时间表1.制定项目计划和规划,明确目标、任务、时间节点和人员分工。
2.收集和分析税务系统的相关资料,进行风险评估和管理,确定关键风险和需重点解决的问题。
3.制定税务系统信息安全策略和标准,明确安全措施和要求,并进行内部审批。
4.建立相应的组织架构和责任,设置信息安全管理部门或岗位。
税务系统信息安全工作计划
一、前言随着信息技术的快速发展,税务系统信息安全工作日益重要。
为确保税务系统安全稳定运行,防止信息泄露、篡改等安全事件的发生,特制定本信息安全工作计划。
二、工作目标1. 提高税务系统信息安全防护能力,确保税务数据安全、系统稳定运行。
2. 完善信息安全管理制度,规范信息安全操作流程。
3. 加强信息安全培训,提高员工信息安全意识。
三、工作内容1. 组织架构(1)成立信息安全工作领导小组,负责统筹规划、组织实施信息安全工作。
(2)设立信息安全管理部门,负责日常信息安全管理工作。
2. 安全防护措施(1)加强网络安全防护,部署防火墙、入侵检测系统等安全设备,防止外部攻击。
(2)对内部网络进行划分,设置访问控制策略,确保敏感数据安全。
(3)定期对系统进行漏洞扫描和修复,降低系统漏洞风险。
(4)加强数据加密,确保数据传输和存储安全。
3. 安全管理制度(1)制定信息安全管理制度,明确各部门、各岗位信息安全责任。
(2)建立健全信息安全事件报告、调查、处理和通报制度。
(3)加强对信息安全事件的监控和分析,提高应对能力。
4. 安全培训与宣传(1)定期开展信息安全培训,提高员工信息安全意识和技能。
(2)通过内部刊物、网络等渠道,宣传信息安全知识,营造良好的信息安全氛围。
5. 安全检查与评估(1)定期开展信息安全检查,发现并整改安全隐患。
(2)对信息安全工作进行评估,确保信息安全工作取得实效。
四、实施步骤1. 第一阶段(1-3个月):成立信息安全工作领导小组,制定信息安全管理制度,开展信息安全培训。
2. 第二阶段(4-6个月):部署网络安全防护设备,开展漏洞扫描和修复,加强数据加密。
3. 第三阶段(7-9个月):完善信息安全事件报告、调查、处理和通报制度,开展信息安全检查。
4. 第四阶段(10-12个月):对信息安全工作进行评估,总结经验,持续改进。
五、保障措施1. 加强组织领导,明确各部门、各岗位信息安全责任。
2. 加大经费投入,保障信息安全工作顺利开展。
税务系统网络安全
税务系统网络安全税务系统网络安全是指对税务系统和相关网络设备进行防护,防止黑客攻击、数据泄露和信息篡改等网络安全威胁的一系列措施和技术手段。
首先,税务系统网络安全的基础是建立健全的网络安全管理体系。
税务系统应设立专门的网络安全管理部门,负责制定网络安全策略和规范,制定网络安全应急预案,并对职工进行网络安全培训,提高他们的网络安全意识。
此外,税务系统还应加强对网络管理人员的资质审查,确保他们具备专业技术和道德操守。
其次,税务系统应加强对网络设备的防护措施。
网络设备包括路由器、交换机、防火墙等,它们是税务系统的重要组成部分,一旦受到攻击将可能导致整个系统瘫痪。
税务系统应确保网络设备的软件及时更新,及时修补网络设备的漏洞,设置严格的访问控制和权限管理,限制非授权人员对网络设备的访问,并采用入侵检测和防御系统来监控和阻止潜在的攻击。
第三,税务系统应采取措施防止黑客攻击。
黑客攻击是税务系统网络安全的主要威胁之一,它会导致用户信息泄露、交易数据丢失等严重后果。
税务系统应加强对网络入侵的监控和检测,及时发现并阻止黑客攻击行为。
此外,税务系统还应对重要数据进行加密存储和传输,防止数据被窃取或篡改。
另外,税务系统还应制定网络安全应急预案,一旦发生黑客攻击,能够及时采取应对措施,减少损失。
最后,税务系统应加强数据备份和恢复工作。
定期对重要数据进行备份,并将备份数据存储在安全的地方,以防数据丢失或损坏。
同时,税务系统还应建立数据恢复机制,一旦数据丢失,能够及时恢复。
在加强税务系统网络安全的过程中,应注重技术手段与管理手段的结合,既要依靠先进的技术手段提高安全性能,又要加强管理手段提高安全意识和纪律性。
只有不断完善税务系统网络安全管理体系,加强技术措施和人员培训,才能确保税务系统网络安全,保护好纳税人的利益。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
税务系统网络与信息安全标准规范信息安全管理体系框架“税务系统信息安全管理体系”编制说明两办发27号文对国家信息安全保障工作提出了具体的意见,为了落实党和国家对信息安全保障工作的部署,切实保障税务系统的信息安全问题,总局领导指示将税务系统的建章立制工作作为近两年税务系统信息安全保障的重要工作内容之一。
本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶段对于信息安全保障工作的不同需求,提出在信息系统全生命周期的安全管理制度。
在制定税务系统信息安全管理体系时,紧紧围绕国家信息安全管理部门制定的国家信息安全保障工作重点以及税务系统的网络和业务应用的特征。
所提出的税务系统信息安全管理体系力求突出体系化的特征并符合国际与国内相关的标准要求。
税务系统信息安全管理体系分为三个层次:安全策略-程序与管理制度-过程控制文件。
其中税务系统网络与信息安全总体方案属于第一个层次,程序与管理制度共37类文档,过程控制文件包括11类文档。
本文档制定了税务系统信息安全管理体系的框架,在该框架内每个层次的具体管理制度与规范等可以根据具体情况进行增减。
税务系统网络与信息安全标准规范之信息安全管理体系框架(征求意见稿)编制:审核:批准:国家税务总局信息中心二〇〇四年六月版本控制分发控制:第 1 章管理体系建设综述网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。
解决信息系统的安全问题,成败通常取决于两个要素:技术和管理。
信息安全管理是信息安全技术发挥功效的重要保障和支撑。
如果说,安全技术是信息安全的构筑材料,那么,信息安全管理就是粘合剂和催化剂,只有将有效的安全管理贯彻落实于信息安全的方方面面,信息安全的长期性和有效性才能有所保证。
信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的安全。
信息安全管理的生命周期模型如图一所示。
图一信息安全管理生命周期模型从上图可见,信息系统安全管理体系框架包括三个部分:➢信息系统生命周期:信息系统典型的生命周期模型分为计划组织、开发采购、实施交付、运行维护、废弃五个阶段,信息系统安全管理需要贯穿信息系统的全生命周期。
➢信息系统安全管理的支撑和指导:信息系统安全策略和信息安全风险管理是所有信息系统安全保障管理活动的支撑基础,指导信息系统所有安全管理活动的实施。
➢信息系统安全管理基础,信息安全管理组织体系、资产管理、人事安全和物理安全是信息系统全生命周期内安全管理的基石,是保障信息系统安全的基本安全保障措施。
➢信息系统生命周期安全管理实践:信息系统生命周期管理实践将信息安全管理同信息系统生命周期相结合,通过在信息系统生命周期的不同阶段进行不同的信息系统安全保障管理实践。
变更控制和符合性则贯穿于信息系统的全生命周期中。
信息安全管理体系就是就是在信息安全生命周期管理模型的指导下,将信息系统全生命周期内的管理实践建立体系化的文档框架。
信息安全管理体系就是将组织、制度和人员这三个方面的问题通过文档的方式表达出来并明确责任。
一般来说,信息安全管理体系包含三个层次:安全策略-程序与管理制度-过程控制文件。
为保证信息安全建设的统筹规划,全面防范,重点突出,正确执行,动态改进,建立以策略为核心的信息安全管理体系十分重要。
信息安全策略是一切信息安全保障活动的基础和出发点,指导全机构/组织信息安全保障体系的开发和实施,为信息安全建设和实施指明方向,通过定义一套规则来规范信息安全体系的建设、运行和管理。
程序和管理制度则是在策略指导下编写的下层文件,用来具体规范人员行为,明确任务责任。
在安全管理体系运作过程中还需要制定一系列第三层过程控制文件帮助纪录并明确过程实施步骤、内容、结果,并通过实施手册和指南定义具体操作内容和步骤,引导正确执行工作。
管理体系设计原则:完整、实用、简洁、高效。
管理体系的制定应该能够覆盖信息系统全生命周期内的信息安全管理工作,符合税务系统的业务特点,具有可实施性。
第 2 章应制定的具体文件根据信息安全管理体系框架,考虑到信息安全组织体系建设的重要性,在税务系统信息安全管理体系框架中设立四个层次,将组织体系建设单独作为一次层次,因此,税务系统信息安全管理应制定的具体文件包括以下四个层次:1级文件:《信息安全总体策略》2级文件:《税务系统信息安全组织岗位与职责分配》3级文件包括制度类、程序类、计划类文件,按照管理域进行归类划分。
4级文件包括操作指导书(指南类),以及系统运行过程中各类控制、记录表单。
在本信息安全管理体系框架内所包含的信息安全管理相关文件可以根据具体情况进行组合,对于其中内容相关的管理文档可以合并成为一份文档。
2.1信息安全保障策略1、《税务系统信息安全总体策略》(1级)目的与作用:对税务系统全生命周期过程中所有的信息安全保障工作内容进行定义,是一切信息安全活动的出发点和核心。
具体定义税务系统信息安全保障的总目标、总原则、范围和对象,同时应声明自身的地位和作用。
税务系统信息安全总体策略使用对象为税务系统全体员工,而且包括与税务系统信息化建设和维护相关的外部人员,以及税务系统的用户。
2.2组织体系建设方面:2.《组织岗位与职责分配》(2级)目的与作用:清晰定义整个税务系统信息安全保障组织架构,明确架构内应设置的安全管理角色,并结合税务系统的特点,依据安全管理角色设置信息安全管理岗位,明确定义每个岗位的信息安全职责。
同时清晰描述与税务系统在信息化建设与业务上有联系的外部机构,并明确其应承担的与安全相关的具体职责。
适用对象:税务系统内IT相关的所有员工,包括IT管理和维护部门以及业务部门。
同时包括设计税务系统信息化建设的外部机构。
2.3信息安全保障制度、程序体系建设依据信息安全总体策略的内容,对税务系统信息安全保障的各项工作制定具体的落实办法和实施规范,并参照岗位与指责分配,将管理职责落实到人。
风险评估与管理:3.《税务系统信息安全风险评估工作管理制度》(3级制度类)目的与作用:根据国家信息安全主管部门对信息安全保障工作的指示,信息安全风险评估工作是信息安全保障的基础性工作。
税务系统信息安全风险评估工作必须在全系统落实,本制度从总局、省局、地市等几个层次对税务系统内信息安全风险评估工作做出具体部署,并进行了具体的职责分配。
涉及信息安全风险评估工作的组织与实施原则、审批与报告机制等。
适用对象:IT管理人员与相关业务应用管理人员。
人事方面:4.《系统内部信息安全保障人事管理制度》(3级制度类)目的与作用:对于税务系统内部IT 部门员工的招聘流程、条件制定管理办法,特别是对于涉及信息安全重要管理岗位的人员对于岗位职责、劳动合同以及保密协议等进行具体规定。
适用对象:税务系统内部IT部门以及业务应用部门工作人员。
5.《第三方工作人员人事管理规定》目的与作用:对于税务系统信息化建设与维护过程中,涉及到的外部人员所进行的管理制度,包括外部参观人员以及合作开发人员在确保网络与信息安全方面的管理规定,包括第三方人员访问的审批、监控以及保密协议等等。
适用对象:外部工作人员。
6.《安全培训与考核管理规定》(3级制度类)目的与作用:应该制订有效的意识培养计划,维持信息安全意识。
该计划应覆盖政府机构内部所有能够访问信息或系统的个人。
制定关于向所有控制、或者可以访问税务系统的信息的人员提供恰当教育/培训的管理制度。
并对衡量各信息安全管理岗位的工作绩效,制定考核办法。
适用对象:税务系统IT部门相关人员。
保障规划方面:7.《税务系统信息安全保障规划》(3级计划类)目的与作用:对税务系统信息安全保障制定长期和短期规划,信息安全管理和业务流程负责人在建立信息安全规划时,应考虑风险评估结果,包括业务、环境、技术和人力资源风险。
信息安全保障规划需要考虑和充分解决税务系统业务模式、税务系统的地理分布性、费用、法律和规范要求、第三方或市场要求、业务流程重组、人员、内外资源、数据、应用系统和技术体系结构。
所作选择的效益应清晰地标识出来。
信息安全长期和短期规划还应包括执行标志和目标。
短期规划应根据长期规划分阶段落实,包括人力、资源等。
适用人员:IT管理部门及业务管理部门人员。
软件开发与维护方面:8.《软件自主开发和维护过程管理要求》(3级制度类)目的和作用:对于税务系统内部自行组织开发的业务应用软件的开发过程进行管理。
包括软件开发的流程,特别是应当在制定业务需求的同时确定信息安全需求,包括软件代码的版本控制,应用开发人员与测试人员以及业务管理人员的职责分配等方面。
应用范围:开发部门、测试部门及业务应用部门9.《外包软件开发和维护过程管理要求》(3级制度类)目的和作用:对税务系统内部进行外包开发的应用软件应当对如何确保安全需求及业务需求的实现进行管理,特别是如何对外包开发公司的职责提出管理的要求,如何对软件升级及维护过程做出控制。
应用范围:业务应用部门10.《软件工程文档管理制度》(3级制度类)目的和作用:对税务系统应用开发过程所产生的文档建立规范的管理流程,特别重视文档种类是否完备,关键软件文档的保管、借阅及处理制度等。
应用范围:IT管理部门、业务应用部门及资产管理部门。
资产管理:11.《资产描述及分类》(2级)12.《信息资产标注和处理规定》(3级制度类)目的与作用:制定税务系统内部信息资产的分类及分级办法,并根据信息资产的类别与等级,制定相应的处理办法。
适用对象:税务系统所有人员13.《其它系统资产标注和安全管理制度》(3级制度类)目的与作用:对税务系统关键硬件资产进行分类与分级办法,并且制定对硬件资产的管理规定。
适用对象:IT管理部门14.《新设备采购规程》(3级程序类)目的与作用:建立税务系统内部添加不同信息处理资产的处理过程,包括整个采购的审批与执行过程等。
适用对象:IT管理部门及业务应用部门。
15.《资产报废处理流程》(3级程序类)目的与作用:对不同安全等级的资产报废时,应当制定相应的处理规定,避免处置不当造成敏感信息泄露。
适用对象:税务系统所有员工。
16.《资产使用安全管理规定》特别是存储介质等的使用(3级制度类)目的与作用:对于信息资产(特别是笔记本、移动存储介质等)应当根据处理信息安全等级的不同,制定使用与日常管理的规定。
适用对象:税务系统所有员工。
物理安全:17.《系统机房安全管理制度》(3级制度类)对于税务系统机房的物理安全的管理及其人员职责,包括防火、防水等,特别是关键的数据库机房的安全管理。
适用对象:业务应用与管理部门、IT安全管理部门。
18.《第三方来访人员接待管理办法》(3级制度类)目的与作用:对外来人员进出机房的管理规定,如果机房内还特别划出某个不同密级区域,特别加以保护,还应另外加以制定。