税务系统网络与信息安全标准规范信息安全管理体系框架
税务计算机信息系统安全管理规定
税务计算机信息系统安全管理规定一、总则为了加强税务计算机信息系统的安全管理,保障税务工作的正常运行,保护国家税收信息的安全和完整,根据国家有关法律法规和税务工作的实际需要,制定本规定。
本规定适用于各级税务机关的计算机信息系统,包括税务征管系统、办公自动化系统、数据分析系统等。
二、安全管理责任(一)税务机关应当明确计算机信息系统安全管理的责任部门和责任人,建立健全安全管理责任制。
(二)安全管理责任人应当具备相应的技术能力和管理经验,负责制定和实施安全管理制度,组织开展安全培训和应急演练,对系统安全状况进行定期评估和检查。
(三)各部门和工作人员应当遵守安全管理制度,履行安全职责,不得擅自泄露系统账号和密码,不得利用系统从事违法违规活动。
三、系统建设与运维安全(一)在系统建设过程中,应当遵循国家安全标准和规范,进行安全需求分析和风险评估,确保系统具备相应的安全功能和防护措施。
(二)选择具备资质和良好信誉的供应商进行系统开发和集成,签订安全保密协议,明确双方的安全责任和义务。
(三)系统上线前,应当进行严格的安全测试和验收,对发现的安全漏洞及时进行整改。
(四)加强系统运维管理,建立运维管理制度和流程,定期对系统进行巡检、备份和维护,及时处理系统故障和安全事件。
四、网络安全(一)税务机关应当建立健全网络安全防护体系,采取访问控制、入侵检测、防火墙等安全技术措施,保障网络安全。
(二)对内部网络和外部网络进行隔离,限制外部网络对内部网络的访问,严格控制内部网络用户的访问权限。
(三)加强网络设备的管理,定期对网络设备进行安全配置检查和更新,防止网络设备被非法入侵和控制。
(四)对网络传输的数据进行加密,保障数据的机密性和完整性。
五、数据安全(一)建立数据管理制度,明确数据的采集、存储、使用、传输和销毁等环节的安全要求。
(二)对重要数据进行分类分级管理,采取相应的安全保护措施,如加密存储、访问控制、数据备份等。
(三)定期对数据进行备份,并对备份数据进行定期恢复测试,确保备份数据的可用性。
税务行业信息安全管理系统的设计与实现
税务行业信息安全管理系统的设计与实现汇报人:日期:•引言•税务行业信息安全需求分析•税务行业信息安全管理系统设计•税务行业信息安全管理系统实现•税务行业信息安全管理系统应用与推广目•结论与展望录01引言税务行业信息泄露风险近年来,税务行业的信息安全问题逐渐凸显,受到越来越多的关注。
税务信息涉及大量的个人、企业和政府数据,一旦泄露可能会对经济、社会和政治稳定产生严重影响。
研究意义针对税务行业的信息安全问题进行深入研究,设计和实现一个高效、可靠的信息安全管理系统,对于保障国家税收征管和纳税人的合法权益具有重要意义。
研究背景与意义032. 信息安全管理需求分析通过对税务行业的信息安全管理需求进行调研,明确信息安全管理体系应具备的功能和特性。
研究内容与方法01研究内容本研究的主要内容包括以下几个方面021. 税务行业信息安全威胁分析对当前税务行业面临的信息安全威胁进行深入分析,识别出主要的威胁类型和攻击手段。
研究内容与方法3. 信息安全管理系统设计根据信息安全管理需求分析结果,设计出一个符合税务行业特点的信息安全管理系统架构。
4. 信息安全管理系统实现依据系统架构,进一步细化系统功能模块,并选择合适的技术和工具进行系统开发与实现。
研究方法本研究将采用以下研究方法研究内容与方法2. 案例分析搜集和整理国内外税务行业信息安全管理方面的案例,从中提炼出优秀实践和经验教训。
3. 实证研究在税务部门实地调研和访谈的基础上,对所设计的税务行业信息安全管理系统的可行性和有效性进行实证验证。
1. 文献回顾系统回顾和分析税务行业信息安全相关的学术论文、政策法规和技术报告等资料,深入了解当前的研究现状和发展趋势。
02税务行业信息安全需求分析税务行业涉及大量的个人信息和企业信息,一旦泄露或被篡改,将对个人、企业和社会造成严重后果。
税务行业信息安全的重要性随着信息技术的发展,税务行业面临着来自内部和外部的信息安全风险,如黑客攻击、内部人员误操作、系统漏洞等。
“六大系统”的建设标准及管理制度(2篇)
“六大系统”的建设标准及管理制度六大系统的建设标准及管理制度十分重要,能够有效规范六大系统的建设和运营,提高系统的质量和安全性。
下面将从建设标准和管理制度两方面,详细介绍六大系统的要求。
一、建设标准:1. 系统设计标准:- 系统要符合相关行业标准和规范的要求。
- 系统的设计应具备可扩展性和灵活性,以满足未来业务的变化和发展需求。
- 系统需要考虑用户体验,界面友好、易于操作。
- 系统应设计合理的数据结构和数据库管理系统。
- 系统应具备高可用性和容错性,确保系统故障时能够快速恢复。
2. 系统开发标准:- 系统的开发过程应符合相关的软件工程标准和规范。
- 开发人员应按照规范设计、编码和测试系统,确保代码质量和可维护性。
- 开发人员应使用标准的开发工具和技术,提高开发效率和质量。
3. 系统测试标准:- 系统测试应分为单元测试、集成测试、系统测试和验收测试等多个阶段。
- 测试人员应按照测试计划和用例进行测试,确保系统的功能和性能达到要求。
- 测试应覆盖系统的各个功能模块和交互场景。
4. 系统部署标准:- 系统的部署应按照规范进行,包括环境准备、配置和安装等步骤。
- 系统需要进行数据迁移和数据库的初始化。
- 系统应具备监控和报警功能,能够实时监测系统的运行状态。
5. 系统安全标准:- 系统的安全性需要进行评估和测试,确保系统能够抵御各类安全威胁。
- 系统需要进行权限控制和身份认证,确保只有合法用户可以访问系统。
- 系统应具备数据备份和恢复的能力,以防止数据丢失或破坏。
6. 系统维护标准:- 系统的维护应按照规范进行,包括软件升级、漏洞修复等工作。
- 维护人员应定期检查系统,并进行性能优化和故障排除。
二、管理制度:1. 建立项目管理制度:- 对于六大系统的建设,应按照项目管理的原则进行组织和管理。
- 需要建立项目组织结构、责任分工和沟通机制。
- 需要制定项目计划、进度控制和风险管理方案。
2. 建立质量管理制度:- 建立质量管理体系,包括质量目标、流程和文档等。
案例:主要软硬件选型原则和详细软硬件配置清单
主要软硬件选型原则和详细软硬件配置清单5.12.1软硬件选型原则软件选型原则:开放性,对称性与非对称处理,异种机互联能力,目录及安全服务的支持能力,应用软件的支持能力,网管能力,性能优化和监视能力,系统备份/恢复支持能力。
硬件选型原则:系统的开放性,系统的延续性,系统可扩展性,系统的互连性能,应用软件的支持,系统的性价比,生产厂商的技术支持,可管理性(同事管理多处工作,消除问题,智能管理的方法),远程管理,状况跟踪,预故障处理,性能监控,安全管理,可用性,磁盘故障,内存问题,容错性(冗余组件、自动服务器恢复,冗余网卡,冗余CPU电源模块,双对等PCI总线)及平台支持5.12.2软硬件配置清单参考《附表》中的项目软硬件配置清单。
机房及配套工程建设方案使用目前已经建设好并正在使用的机房,不需要重新建设。
3.4.2 性能需求3.4.1. 交易响应时间交易响应时间指完成目标系统中的交互或批量业务处理所需的响应时间。
根据业务处理类型的不同,可以把交易划分为三类:交互类业务、查询类业务和大数据量批处理类业务,分别给出响应时间要求的参考值,包括峰值响应时间、平均响应时间。
1、交互类业务日常交易指传统的大厅交互业务,如申报、发票销售、税务登记等,具有较高的响应要求。
批量交易指一次完成多笔业务处理的交易,如批量扣缴等,由于批量交易的数据量不确定,需要根据具体的情况确定响应时间。
表3-1 交易类业务复杂性与响应时间关系表备注:以上交易如果涉及与税务-国库-银行或税务-银行-国库交互的,响应时间参考值中均包含交互的时间2、查询类业务如登记资料查询、申报表查询等。
查询业务由于受到查询的复杂程度、查询的数据量大小等因素的影响,需要根据具体情况而定,在此给出一个参考范围。
如有特殊要求,可以在具体开发文档中单独给出响应时间要求。
表3-2 查询类业务复杂性与响应时间关系表备注:业务处理过程的交互操作的响应时间参见上面交互类业务的相关指标。
国家税务总局关于印发《税务管理信息系统运行维护体系管理办法(
乐税智库文档财税法规策划 乐税网国家税务总局关于印发《税务管理信息系统运行维护体系管理办法(试行)》的通知【标 签】税务管理信息系统,运行维护体系,管理办法【颁布单位】国家税务总局【文 号】国税发﹝2005﹞128号【发文日期】2005-08-03【实施时间】2005-08-03【 有效性 】全文有效【税 种】税务内部行政管理各省、自治区、直辖市和计划单列市国家税务局,扬州税务进修学院: 根据税务信息系统建设总体规划,各类应用系统正逐步以省级集中模式推广运行,对应用系统运行保障提出了更高的要求。
为进一步强化应用系统运行维护管理工作、提高效率,确保各类应用系统稳定、安全、高效运行,总局在现有运行维护模式的基础上制定了《税务管理信息系统运行维护体系管理办法(试行)》,现印发给你们,请结合实际认真贯彻执行。
对在试行过程中遇到的情况和问题,要及时报告总局(信息中心)。
税务管理信息系统运行维护体系管理办法(试行) 第一章 总则 第一条 根据税务信息系统建设总体规划,税务应用系统以省级集中模式运行。
为保障各类应用系统稳定、安全、高效运行,加强运行维护管理工作,国家税务总局决定面向税务系统内部建立以省级运行维护为基础,总局呼叫中心为平台,高级技术支持为后盾,协调高效、安全可靠的税务信息系统运行维护体系。
第二条 为使运行维护体系建设及管理规范化,保证运行维护工作协调有序、安全高效,特制订本管理办法。
第二章 组织与管理 第三条 运行维护体系由省级运行维护、总局呼叫中心和总局高级技术支持组组成。
省级运行维护队伍由各省信息中心负责筹建和管理,由信息中心及其相关人员组成,根据岗位要求合理设置人员,详见《省级信息系统运行维护岗位设置要求》(附件1)。
总局呼叫中心在总局设立不少于30个席位,在各技术支持分中心设立不少于10个席位。
座席人员由总局信息中心、技术支持分中心及合作单位指派的专职人员组成。
总局高级技术支持组由总局信息中心、技术支持分中心和合作单位的技术人员组成。
税务安全工作总结
税务安全工作总结引言税务安全是指通过采取合理有效的措施,保护税务信息系统的正常运行和数据的安全性,防范和应对来自内部和外部的各种安全威胁。
税务安全工作是推动税务管理现代化的重要环节,对于维护纳税人权益、确保税收稳定增长具有重要意义。
本文将总结税务安全工作的主要内容和取得的成绩,以及在实践中存在的问题和需要改进的方面。
主要内容税务安全工作的主要内容税务安全工作主要包括以下几个方面:1.网络安全管理:加强网络安全管理,建立完善的网络安全防护体系,包括网络边界安全防护、网络攻击监测和响应、数据库安全等方面的措施。
2.安全审计与监控:建立完善的安全审计与监控体系,对系统和数据进行实时监控、审计和分析,及时发现异常情况并做出相应的应对措施。
3.权限管理:加强对系统和数据的权限管理,确保只有授权人员可以访问和操作敏感数据,防止信息泄露和滥用。
4.恶意代码防护:建立恶意代码防护措施,包括实时更新病毒库、定期进行杀毒扫描、禁止使用未经授权的外部存储设备等。
5.备份与恢复:建立完善的数据备份与恢复机制,确保系统和数据的持续可用性和完整性,防止因灾害或其他原因导致的数据丢失。
取得的成绩在税务安全工作中,我们取得了以下几个方面的成绩:1.建立了完善的税务安全管理体系,制定了相关的政策和流程,明确了各个单位和个人的责任和义务。
2.加强了网络安全管理,建立了多层次的网络安全防护体系,有效预防了网络攻击和恶意代码的侵害。
3.完善了安全审计与监控体系,通过实时监控和分析,及时发现并应对各类安全事件,保障了税务信息系统的安全稳定运行。
4.加强了权限管理,规范了用户权限的授权与撤销流程,确保了敏感数据的安全访问。
5.建立了完善的数据备份与恢复机制,保证了系统和数据的可用性和完整性。
存在的问题和改进方向在实践中,我们也发现了一些问题,需要进一步改进:1.缺乏全员参与的安全意识:部分员工对税务安全的重要性认识不足,缺乏安全意识和主动性,容易发生安全隐患。
税务系统网络与信息安全标准规范信息安全管理体系框架
税务系统网络与信息安全标准规范信息安全管理体系框架“税务系统信息安全管理体系”编制说明两办发27号文对国家信息安全保障工作提出了具体的意见,为了落实党和国家对信息安全保障工作的部署,切实保障税务系统的信息安全问题,总局领导指示将税务系统的建章立制工作作为近两年税务系统信息安全保障的重要工作内容之一。
本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶段对于信息安全保障工作的不同需求,提出在信息系统全生命周期的安全管理制度。
在制定税务系统信息安全管理体系时,紧紧围绕国家信息安全管理部门制定的国家信息安全保障工作重点以及税务系统的网络和业务应用的特征。
所提出的税务系统信息安全管理体系力求突出体系化的特征并符合国际与国内相关的标准要求。
税务系统信息安全管理体系分为三个层次:安全策略-程序与管理制度-过程控制文件。
其中税务系统网络与信息安全总体方案属于第一个层次,程序与管理制度共37类文档,过程控制文件包括11类文档。
本文档制定了税务系统信息安全管理体系的框架,在该框架内每个层次的具体管理制度与规范等可以根据具体情况进行增减。
税务系统网络与信息安全标准规范之信息安全管理体系框架(征求意见稿)编制:审核:批准:国家税务总局信息中心二〇〇四年六月版本控制分发控制:第 1 章管理体系建设综述网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。
解决信息系统的安全问题,成败通常取决于两个要素:技术和管理。
信息安全管理是信息安全技术发挥功效的重要保障和支撑。
如果说,安全技术是信息安全的构筑材料,那么,信息安全管理就是粘合剂和催化剂,只有将有效的安全管理贯彻落实于信息安全的方方面面,信息安全的长期性和有效性才能有所保证。
信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的安全。
税务系统信息安全体系总体方案
税务系统信息安全体系总体方案一、项目背景和目标随着信息技术的迅猛发展,税务系统也越来越依赖于信息化手段来进行税收管理和服务工作。
然而,税务系统所处理的数据特殊性和敏感性,使得系统的安全性和稳定性成为了重中之重。
因此,为了保护税务系统中的数据安全,建立一套完善的信息安全体系已成为必要之举。
本次方案的目标是构建一个税务系统的信息安全体系,保护税务系统中的数据不受损害和盗窃,确保系统的稳定性和服务正常运行。
二、体系构建内容1.风险评估和管理通过对税务系统进行全面的风险评估,分析潜在的安全风险和威胁,制定相应的风险管理和应急预案。
2.组织架构和责任明确税务系统信息安全工作的组织架构和责任,设立专门的信息安全管理部门或岗位,负责制定和执行信息安全策略,协调各方面资源。
3.策略和标准制定统一的信息安全策略和标准,明确各项安全措施和要求,确保系统的整体安全性和一致性,包括但不限于密码策略、网络访问控制、数据备份等方面。
4.人员管理建立完善的人员安全管理制度,包括在招聘、培训、定期考核等环节对人员进行安全背景调查和信息安全教育,提高人员的安全意识和技能。
5.技术管理对税务系统进行全面的技术管理,包括但不限于系统的安全设计、安全配置、安全审计、补丁管理、安全检测等方面,确保系统的技术安全性。
6.物理安全加强税务系统的物理安全措施,包括但不限于机房的门禁控制、监控和报警系统、服务器的存放和管理等,防止未经授权的人员进入系统。
7.安全事件响应建立完善的安全事件响应机制,及时响应、处理和报告安全事件,最小化安全事件的影响和损失。
三、实施步骤和时间表1.制定项目计划和规划,明确目标、任务、时间节点和人员分工。
2.收集和分析税务系统的相关资料,进行风险评估和管理,确定关键风险和需重点解决的问题。
3.制定税务系统信息安全策略和标准,明确安全措施和要求,并进行内部审批。
4.建立相应的组织架构和责任,设置信息安全管理部门或岗位。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
“税务系统信息安全管理体系”编制说明两办发27号文对国家信息安全保障工作提出了具体的意见,为了落实党和国家对信息安全保障工作的部署,切实保障税务系统的信息安全问题,总局领导指示将税务系统的建章立制工作作为近两年税务系统信息安全保障的重要工作内容之一。
本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶段对于信息安全保障工作的不同需求,提出在信息系统全生命周期的安全管理制度。
在制定税务系统信息安全管理体系时,紧紧围绕国家信息安全管理部门制定的国家信息安全保障工作重点以及税务系统的网络和业务应用的特征。
所提出的税务系统信息安全管理体系力求突出体系化的特征并符合国际与国内相关的标准要求。
税务系统信息安全管理体系分为三个层次:安全策略-程序与管理制度-过程控制文件。
其中税务系统网络与信息安全总体方案属于第一个层次,程序与管理制度共37类文档,过程控制文件包括11类文档。
本文档制定了税务系统信息安全管理体系的框架,在该框架内每个层次的具体管理制度与规范等可以根据具体情况进行增减。
税务系统网络与信息安全标准规范之信息安全管理体系框架(征求意见稿)编制:审核:批准:国家税务总局信息中心二〇〇四年六月版本控制分发控制:第 1 章管理体系建设综述网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。
解决信息系统的安全问题,成败通常取决于两个要素:技术和管理。
信息安全管理是信息安全技术发挥功效的重要保障和支撑。
如果说,安全技术是信息安全的构筑材料,那么,信息安全管理就是粘合剂和催化剂,只有将有效的安全管理贯彻落实于信息安全的方方面面,信息安全的长期性和有效性才能有所保证。
信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的安全。
信息安全管理的生命周期模型如图一所示。
图一信息安全管理生命周期模型从上图可见,信息系统安全管理体系框架包括三个部分:信息系统生命周期:信息系统典型的生命周期模型分为计划组织、开发采购、实施交付、运行维护、废弃五个阶段,信息系统安全管理需要贯穿信息系统的全生命周期。
信息系统安全管理的支撑和指导:信息系统安全策略和信息安全风险管理是所有信息系统安全保障管理活动的支撑基础,指导信息系统所有安全管理活动的实施。
信息系统安全管理基础,信息安全管理组织体系、资产管理、人事安全和物理安全是信息系统全生命周期内安全管理的基石,是保障信息系统安全的基本安全保障措施。
信息系统生命周期安全管理实践:信息系统生命周期管理实践将信息安全管理同信息系统生命周期相结合,通过在信息系统生命周期的不同阶段进行不同的信息系统安全保障管理实践。
变更控制和符合性则贯穿于信息系统的全生命周期中。
信息安全管理体系就是就是在信息安全生命周期管理模型的指导下,将信息系统全生命周期内的管理实践建立体系化的文档框架。
信息安全管理体系就是将组织、制度和人员这三个方面的问题通过文档的方式表达出来并明确责任。
一般来说,信息安全管理体系包含三个层次:安全策略-程序与管理制度-过程控制文件。
为保证信息安全建设的统筹规划,全面防范,重点突出,正确执行,动态改进,建立以策略为核心的信息安全管理体系十分重要。
信息安全策略是一切信息安全保障活动的基础和出发点,指导全机构/组织信息安全保障体系的开发和实施,为信息安全建设和实施指明方向,通过定义一套规则来规范信息安全体系的建设、运行和管理。
程序和管理制度则是在策略指导下编写的下层文件,用来具体规范人员行为,明确任务责任。
在安全管理体系运作过程中还需要制定一系列第三层过程控制文件帮助纪录并明确过程实施步骤、内容、结果,并通过实施手册和指南定义具体操作内容和步骤,引导正确执行工作。
管理体系设计原则:完整、实用、简洁、高效。
管理体系的制定应该能够覆盖信息系统全生命周期内的信息安全管理工作,符合税务系统的业务特点,具有可实施性。
第 2 章应制定的具体文件根据信息安全管理体系框架,考虑到信息安全组织体系建设的重要性,在税务系统信息安全管理体系框架中设立四个层次,将组织体系建设单独作为一次层次,因此,税务系统信息安全管理应制定的具体文件包括以下四个层次:1级文件:《信息安全总体策略》2级文件:《税务系统信息安全组织岗位与职责分配》3级文件包括制度类、程序类、计划类文件,按照管理域进行归类划分。
4级文件包括操作指导书(指南类),以及系统运行过程中各类控制、记录表单。
在本信息安全管理体系框架内所包含的信息安全管理相关文件可以根据具体情况进行组合,对于其中内容相关的管理文档可以合并成为一份文档。
2.1信息安全保障策略1、《税务系统信息安全总体策略》(1级)目的与作用:对税务系统全生命周期过程中所有的信息安全保障工作内容进行定义,是一切信息安全活动的出发点和核心。
具体定义税务系统信息安全保障的总目标、总原则、范围和对象,同时应声明自身的地位和作用。
税务系统信息安全总体策略使用对象为税务系统全体员工,而且包括与税务系统信息化建设和维护相关的外部人员,以及税务系统的用户。
2.2组织体系建设方面:2.《组织岗位与职责分配》(2级)目的与作用:清晰定义整个税务系统信息安全保障组织架构,明确架构内应设置的安全管理角色,并结合税务系统的特点,依据安全管理角色设置信息安全管理岗位,明确定义每个岗位的信息安全职责。
同时清晰描述与税务系统在信息化建设与业务上有联系的外部机构,并明确其应承担的与安全相关的具体职责。
适用对象:税务系统内IT相关的所有员工,包括IT管理和维护部门以及业务部门。
同时包括设计税务系统信息化建设的外部机构。
2.3信息安全保障制度、程序体系建设依据信息安全总体策略的内容,对税务系统信息安全保障的各项工作制定具体的落实办法和实施规范,并参照岗位与指责分配,将管理职责落实到人。
风险评估与管理:3.《税务系统信息安全风险评估工作管理制度》(3级制度类)目的与作用:根据国家信息安全主管部门对信息安全保障工作的指示,信息安全风险评估工作是信息安全保障的基础性工作。
税务系统信息安全风险评估工作必须在全系统落实,本制度从总局、省局、地市等几个层次对税务系统内信息安全风险评估工作做出具体部署,并进行了具体的职责分配。
涉及信息安全风险评估工作的组织与实施原则、审批与报告机制等。
适用对象:IT管理人员与相关业务应用管理人员。
人事方面:4.《系统内部信息安全保障人事管理制度》(3级制度类)目的与作用:对于税务系统内部IT 部门员工的招聘流程、条件制定管理办法,特别是对于涉及信息安全重要管理岗位的人员对于岗位职责、劳动合同以及保密协议等进行具体规定。
适用对象:税务系统内部IT部门以及业务应用部门工作人员。
5.《第三方工作人员人事管理规定》目的与作用:对于税务系统信息化建设与维护过程中,涉及到的外部人员所进行的管理制度,包括外部参观人员以及合作开发人员在确保网络与信息安全方面的管理规定,包括第三方人员访问的审批、监控以及保密协议等等。
适用对象:外部工作人员。
6.《安全培训与考核管理规定》(3级制度类)目的与作用:应该制订有效的意识培养计划,维持信息安全意识。
该计划应覆盖政府机构内部所有能够访问信息或系统的个人。
制定关于向所有控制、或者可以访问税务系统的信息的人员提供恰当教育/培训的管理制度。
并对衡量各信息安全管理岗位的工作绩效,制定考核办法。
适用对象:税务系统IT部门相关人员。
保障规划方面:7.《税务系统信息安全保障规划》(3级计划类)目的与作用:对税务系统信息安全保障制定长期和短期规划,信息安全管理和业务流程负责人在建立信息安全规划时,应考虑风险评估结果,包括业务、环境、技术和人力资源风险。
信息安全保障规划需要考虑和充分解决税务系统业务模式、税务系统的地理分布性、费用、法律和规范要求、第三方或市场要求、业务流程重组、人员、内外资源、数据、应用系统和技术体系结构。
所作选择的效益应清晰地标识出来。
信息安全长期和短期规划还应包括执行标志和目标。
短期规划应根据长期规划分阶段落实,包括人力、资源等。
适用人员:IT管理部门及业务管理部门人员。
软件开发与维护方面:8.《软件自主开发和维护过程管理要求》(3级制度类)目的和作用:对于税务系统内部自行组织开发的业务应用软件的开发过程进行管理。
包括软件开发的流程,特别是应当在制定业务需求的同时确定信息安全需求,包括软件代码的版本控制,应用开发人员与测试人员以及业务管理人员的职责分配等方面。
应用范围:开发部门、测试部门及业务应用部门9.《外包软件开发和维护过程管理要求》(3级制度类)目的和作用:对税务系统内部进行外包开发的应用软件应当对如何确保安全需求及业务需求的实现进行管理,特别是如何对外包开发公司的职责提出管理的要求,如何对软件升级及维护过程做出控制。
应用范围:业务应用部门10.《软件工程文档管理制度》(3级制度类)目的和作用:对税务系统应用开发过程所产生的文档建立规范的管理流程,特别重视文档种类是否完备,关键软件文档的保管、借阅及处理制度等。
应用范围:IT管理部门、业务应用部门及资产管理部门。
资产管理:11.《资产描述及分类》(2级)12.《信息资产标注和处理规定》(3级制度类)目的与作用:制定税务系统内部信息资产的分类及分级办法,并根据信息资产的类别与等级,制定相应的处理办法。
适用对象:税务系统所有人员13.《其它系统资产标注和安全管理制度》(3级制度类)目的与作用:对税务系统关键硬件资产进行分类与分级办法,并且制定对硬件资产的管理规定。
适用对象:IT管理部门14.《新设备采购规程》(3级程序类)目的与作用:建立税务系统内部添加不同信息处理资产的处理过程,包括整个采购的审批与执行过程等。
适用对象:IT管理部门及业务应用部门。
15.《资产报废处理流程》(3级程序类)目的与作用:对不同安全等级的资产报废时,应当制定相应的处理规定,避免处置不当造成敏感信息泄露。
适用对象:税务系统所有员工。
16.《资产使用安全管理规定》特别是存储介质等的使用(3级制度类)目的与作用:对于信息资产(特别是笔记本、移动存储介质等)应当根据处理信息安全等级的不同,制定使用与日常管理的规定。
适用对象:税务系统所有员工。
物理安全:17.《系统机房安全管理制度》(3级制度类)对于税务系统机房的物理安全的管理及其人员职责,包括防火、防水等,特别是关键的数据库机房的安全管理。
适用对象:业务应用与管理部门、IT安全管理部门。
18.《第三方来访人员接待管理办法》(3级制度类)目的与作用:对外来人员进出机房的管理规定,如果机房内还特别划出某个不同密级区域,特别加以保护,还应另外加以制定。