试论国税系统信息安全管理

试论国税系统信息安全管理

目前，我国电子政务建设正稳步展开，电子政务已经成为政府管理改革和创新的最强动力和最有力手段。在电子政务发展的进程中，信息安全问题成为阻碍其发展的重要因素之一。政务信息比商务信息更加敏感，它涉及到公民的个人隐私、商业机密乃至国家安全，一旦丢失、破坏，不仅会造成巨大的经济损失，还会危及国家安全、社会稳定，甚至人民生存。

国税信息化建设起步相对较早，经历了从最初的低平台征管信息系统到现在的CTAIS2.0、监控分析及辅助决策应用的三个阶段。每个阶段以发展业务应用为主，安全性的考虑欠充分。在建设“国税信息安全保障体系”之前，我们对国税信息系统的整体安全状况还不能完全了解，是否符合国家相应的法律法规和标准的要求也还不明确。

目前的电子国税运行模式，借助第三方力量，将总局、省、市、县国税三级虚拟专网连接在一起，实现了跨省市数据共享和联网核查。面对如此多的国税节点，网络连接的安全性和不同网络节点之间数据传输的安全性还不能得到稳定可靠的保证。对于不同的国税节点，其网络规模和业务系统存在着极大的差别，相应的，应该根据实际情况和等级原则对其采用的安全保护措施进行明确的划分。

广东省国税局目前推广运用的CTAIS2.0是以科学化、精细化管理要求为总揽，以“执法规范、征收率高、成本降低、社会满意”为系统功能目标，以流程再造等现代管理理论为指导，体现国家税务总局关于金税三期的部署要求，全面覆盖基层国税机关税收征管操作层和各级国税管理机关税收管理层应用，全面增进税收征管质量和效率的提高。但CTAIS2.0的网络安全性又如何呢？到目前为止还是个未知数。有一点可以肯定，现有的安全管理制度主要集中在“静态”的安全性方面，缺乏对安全风险等动态安全问题的管理要求，特别是与CTAIS2.0系统安全运行相适应的各种管理制度和机制尚未建立和完善，还不能适应CTAIS2.0系统的安全运行管理要求，难以实现“谁主管谁负责，谁运营谁负责”的目标，难以实现风险分担和转移的目标。同时，国税内部人员的安全意识还相对淡薄，迫切需要对现状进行一次全面的摸底调查，敲响国税系统信息安全防范的警钟。

一、构建国税信息安全管理体系的思路

如果把信息系统安全管理长效机制比喻成一个整体的话，那么可以形象的把日常保障机制看成是核心躯干，这是我们主要的、核心的工作；应急响应机制就好比是安全帽，没有这个安全帽，我们就可能在突发事件中遭遇伤害；监督检查机制和考核评价机制好比是左右手，是我们工作中的主要着力点和手段，只有两手齐用才能更好的发挥作用；教育培训机制可以看作是两条腿，是我们信息安全工作的基础和不断前进的动力。

而在这每一部分中，组织保障是骨架，没有这个骨架的支撑，安全工作就没有存在的空间；制度建设是肌肉，没有肌肉或是肌肉不健全，我们的安全工作就没有力度；机制是血脉，没有血脉或供血不足我们的安全工作就缺乏生机和活力。

二、建立健全日常保障机制

1、组织上：完善信息安全组织体系，落实信息安全管理责任

（1）进一步完善省市组织架构。主要有：一是在决策层面引入“专家咨询组”的概念，即成立由国税务上级局、兄弟国税、社会三方面的专家组成的“专家咨询组”，在有关重大的信息系统安全项目和工程时，将“专家咨询组”的意见一并提交，以供决策参考；二是在管理层面明确信息中心为监督管理的职能部门；三是在执行层面明确信息系统的其它相关科室为安全策略的具体执行部门，强化其它科室和信息中心的协调配合机制，各部门按规定尽职尽责，以形成完备的省市信息安全组织体系。

（2）细化职能科室岗位职责与授权：一是明确界定信息中心内各责任岗位的职责范围与内容，进行合理的工、授权。即各岗位与信息系统安全相关人员、执行人员、监督人员的职责定义清晰，各岗位角色必须被指定到人，如系统管理、系统安全、网络管理、网络安全、系统维护、应急响应、病毒防范、安全审计等工作都要有具体人员担任；二是制定监督管理岗位与具体执行岗位共同协作的职责管理规定。设立岗位目标，对各岗位协调配合的工作效果建立分析、评价、改进的具体工作规范；三是明确不能同时兼任的岗位，按合理的人员需求计划、调派各个岗位工作人员。如有权管理访问控制的工作人员不能同时兼任安全审计工作、系统管理员与数据库管理员不能同时兼任等。

2、制度上：逐步建立和完善省市三级信息系统安全制度体系

即以“总纲类”来明确方向策略，以“制度类”来分类管理，以“细表类”进行规范补充的三级制度体系。具体实施规划如下：

第一级：省局总体信息安全策略方针、纲领性文件。

省局的信息安全总体策略方针、纲领性文件包括两部分，第一部分为总体方针，即国家相关法规，包括：《国家标准信息技术安全技术信息系统安全保障等级评估准则》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电子签名法》；国家税务总局制定的“国税信息系统安全管理规定”及其配套管理规定。这部分重点陈述了国税信息系统安全保障的目的、适用范围、安全管理意图及指导原则，为省局信息系统安全各个方面提供高层指导；第二部分是在第一部分的基础上，以“省局信息系统安全管理规定实施细则”的形式对省局信息系统各方面的安全提出具体的原则和要求，是对省局信息系统安全总体方针的细化。

根据省局实际情况和安全工作的形势变化，由信息中心负责对“省局信息系统安全管理规定实施细则”及时进行制定和修改工作。

第二级：各岗位的工作规范、制度与管理性指南。在内容和形式上遵循第一级策略方针文件，对信息系统日常运行、管理工作、使用等方面起到分类管理、规范、指导的基础性作用。

一是按照第一级省局总体策略方针文件的要求所制定的某些信息安全制度文件、工作规范等。如：信息中心应重点检查组织岗位责任方面、业务持续性方面的规章制度，包括《脆弱性检测与风险评估制度》、《应急响应制度》等等；网络中心重点检查物理安全、运行安全方面的规章制度，包括：《系统机房安全管理制度》、《来访人员接待管理办法》、《涉密区域管理规定》、《系统数据日常备份和管理制度》、《系统病毒防治管理制度》、《网络监测与事件汇报制度》等。

二是按照第一级省局总体策略方针文件制定的全面的基础性信息安全制度文件与可操作的程序指南类文件。指覆盖信息安全方方面面，包括文件管理、人事管理、软件开发与维护方面、资产管理、物理安全、通信与运行、访问控制、变更控制、业务持续性等的文件，如：《访问控制权限分配与授权规程》、《安全事故处理流程》、《新设备采购规程》、《资产报废处理流程》、《应急响应与灾难恢复实施程序》等。指南文件包括：《系统安装操作指南》、《系统安全配置操作指南》、《日常备份与恢复操作指南》、《普通用户系统使用指南》等等，这部分由信息中心进行检查并指导协助相关职能科室完善。

三是将制度要求落到实处的一系列计划、规划类文件，包括：《年度安全意识培养、培训与考核计划》、《信息安全保障长期规划（3-5年）》、《业务持续性计划》。

四是为有效监督策略、制度规范与程序指南的正确实施，要求补充实施规范监督、审计评估工作的制度程序计划文件，包括《安全审计管理制度》、《安全审计实施规程》、《安全管理体系运行状况检查计划》等。

后面这两部分主要是由信息中心根据必要性和紧迫性进行检查和完善。

第三级：各类表格、执行文本和过程记录。主要指在信息系统运行保障过程中，按第二级制度文件的要求制定的一系列帮助记录以及起补充作用的记录实施步骤、内容、结果的表格和说明。这些表单文件和过程记录，主要是为监控安全控制措施和管理体系运作的有效性，计划从以下几方面完善：

一是根据第二级制度文件制定、细化第三级过程表格文件，主要包括实施第二级制度文件中需要使用的表格和文件，如：《岗位授权任务书》、《各类系统运行、配置情况记录表单》、《各类设备检修记录单》、《各类故障维修纪录表单》、《事件、事故处理过程纪录表单与报告模版》等。

二是在工作过程中建立一套完整地的坚持数据、日志和记录的收集和保存的程序。

三是根据策略、计划、制度规范要求对记录进行定量的比对、分析、控制、测试和验证分析。

四是针对测试、审计、评估报告按照制度流程要求制定改进策略，并相应更新文件体系。

以上这些细表类的制定工作主要是由各职能科室在制定第二级制度规范时初步完成，再由信息中心对制定出的各项制度规范进行逐一细致检查，并协调、督促各科室在实践中逐项落实，同时在实际工作中观察、记录、备案实际执行效果。

3、管理上：将风险管理理念引入信息系统安全管理工作，提高自查与完善能力

对省、市局信息系统所面临的威胁及其影响以及信息系统脆弱性及其发生的可能性进行评估。由信息中心采用规范的评估流程、有效的评估方法，组织、协调、指导省、市各信息系统安全相关科室（人员）定期或不定期的对省、市信息系统进行风险评估，每一次风险评估将重新复审系统的安全风险和已实施的安全控制的效果。按照这种方法，结合总局的风险评估活动，在省市信息系统安全管理周期内重复往至，循环不息，以不断提高自我完善的能力。

三、建立健全应急响应机制

信息中心负责积极推动全省信息系统安全等级保护工作，制定并完善《全省信息系统安全等级评定办法》；逐步实行省市信息系统安全风险评估；协调运行网络，对《省、市信息系统安全应急处理预案》进行不断完善，提高基础信息网络和重要信息系统的抗毁性与灾难恢复能力；制定《省、市信息系统应用软件安装管理规定》，对网络中没有经过总局安全认定的软件进行清查。

针对基础信息网络的突发性、大规模安全事件，各相关部门负责建立程序化的处理流程以及信息安全事故报告制度，信息中心在有条件的情况下，适当针对应急预案组织进行适当规模的演练；加大省、市局投入，有针对性的逐步建立备份恢复系统。

四、建立健全监督检查机制

国税各部门建立《信息系统安全监督检查工作规范》，明确信息系统安全检查的内容、方式、范围和时间，针对不同时期的情况，采用合适的检查方案。采取多种形式组成信息系统安全监督检查队伍，积极与办公室、其它隶属单位协商配合，临时抽调技术人员、兼职安全人员组成由总局技术处与办公室联合检查组、或者是由总局职能部门牵头隶属单位参加的检查组，按照“工作规范”定期或者不定期的对省、市局的信息系统安全状况进行的检查、抽查、互查。

信息中心在已有的《省市信息系统安全运行情况通报》的基础上，进一步强化省、市局信息安全情况通报机制；加强对省市信息系统安全人员法律和业务的培训，逐步建立考核合格后持证上岗制度，切实提高信息系统安全人员安全监督意识和业务管理水平，建立起覆盖全省的信息系统安全监督管理队伍和体系。

在加强日常安全监督管理的基础上，信息中心应改变单一的、运动式的安全监督检查方式，从重点监督检查信息系统实体安全，转变为重点监督检查安全责任制的建立与落实状况，以及安全标准规范的落实和执行情况；从以告知性的检查为主，转变为以随机抽查及巡查为主。加大对业务现场、基层单位等安全薄弱环节的监督管理力度。运行科、网络科以强化安全监督的技术手段为着力点，充分利用信息网络技术，健全完善信息系统重大安全事故报告和信息处理系统，定期公布信息系统安全不良记录，增强安全舆论监督力度。认真查处事故，强化责任追究，坚持事故原因未查清不放过、责任人员未处理不放过、整改措施未落实不放过、有关人员未受到教育不放过的“四不放过”原则，对于重特大信息安全事故不仅要追究事故直接责任人的责任，同时要追究有关负责人的领导责任。

五、建立健全教育培训机制

一是学习互助机制。由信息中心负责牵头组织信息安全培训及研讨。培训对象由其他职能科室的技术人员、省市局的兼职技术人员组成，学习探讨安全方面的新技术、新知识，强化本单位人员的安全培训工作。

二是纪律约束机制。逐步建立“凡培训必考”等制度，加强纪律约束，促使相关岗位人员自觉主动加强学习。

三是宏观指导机制。按照受培训人员的不同层次、不同岗位的特点，科学制定相应的教育培训目标，加强对基层单位教育培训工作的宏观指导，避免出现教育培训目标层次性不突出、指导性不强、实用性不强、难以满足培训需求多样性等问题。

四是资源整合机制。充分利用国税系统内部、社会方面的资源，采取面授、自学、以及网络教学等多种方式，创新培训手段，以此提高安全教育培训的实效。

五是省、市局基层建设纲要，对于国税业务系统以及相关应用管理项目，定期地开展与信息安全保障相关的应急演练培训，针对事故应变、配置管理以及持续性运行维护和灾难恢复等突发事件强化相关角色的应变能力。

六、建立健全考核评估机制

在省、市局设立信息安全考核目标，对信息系统安全工作协调合作的效果建立评价标准；由信息中心担当监督的角色，负责监督各项工作过程和结果，并对执行效果予以考核评估，考核结果在进行设备配置、计划设定、年终评议时有所参考。

应按以下原则构建考核评估体系：一是注重考核评估内容的科学性。根据反馈的情况和实际效果对考核指标进行不断修正；二是增强考核评估指标的针对性。既充分考虑省局的整体要求，又针对不同单位、不同岗位、不同层次的要求，提出不同的具体要求。三是提高考核评估的可操作性。制订科学合理、明确具体的指标体系，便于在实际操作中运用。四是扩大考核评估的群众性。把基层反映的意见作为重要标准，把握好效率与安全的辨证关系，将安全工作落到实处。

国税系统网络信息安全存在的问题

国税信息

国税系统固定资产管理自查报告

信息机房安全监控管理系统1

国税系统固定资产管理自查报告（推荐）

重庆市国税系统税源管理特点

四川省国税系统风险管理考核办法

国税系统依法行政

哈密地区国税系统

国税系统演讲稿

《试论国税系统信息安全管理.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档