税务系统网络与信息全总体策略(征求意见稿).docVIP

“税务系统网络与信息安全总体策略” 编制说明 根据税务系统信息安全管理体系框架，税务系统网络与信息安全总体策略是顶层的管理文档，是税务系统信息安全保障工作的出发点和核心，是税务系统信息安全保障管理实践和技术措施的指导性文件。税务系统网络与信息安全总体策略是税务系统所有员工必须遵循的信息安全行为准则，由总局信息安全领导小组发布，并组织全系统学习与贯彻。 本总体策略参考国内外信息安全保障的权威标准和最佳实践，内容组织上参考美国IATF，从本地计算环境、网络边界、网络基础设施与支撑性基础设施四个方面体现税务系统信息安全纵深防御的思想。 本总体策略主要内容包括：人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。 税务系统网络与信息安全 总体策略 （征求意见稿） 版本1.0, 发布日期2004年7月5日 制定： 审核： 批准： 国家税务总局网络与信息安全管理部门 二〇〇四年六月 说 明 〖关于本文档的说明，留空。〗 目 录 1 安全策略概述 6 1.1简介 6 1.2范围 6 1.3目标 6 1.4遵循 7 1.5安全组织 8 1.5.1信息安全管理组织 8 1.5.2信息安全职责分配 9 1.6术语表及其定义 9 2资产分类与控制 10 2.1信息分类 10 2.1.1资产分类 10 2.1.2资产的保护 11 2.1.3分类标记 11 2.1.4文档分类 11 2.2资产的可审计性 11 3人员信息安全策略 12 3.1工作定义及资源的安全 12 3.2用户培训 12 3.3事件报告 13 3.4外部访问者 13 3.5员工调转和解聘 13 3.6信息处理设备可接受的使用策略 13 3.7处理从互联网下载的软件和文件 15 3.8员工保密协议 15 3.9知识产权权利 15 4物理和环境安全 17 4.1安全域 17 4.2设备安全 17 4.3物理访问控制 18 4.4建筑和环境的安全管理 19 4.5数据中心访问记录管理 19 4.6设备和电缆安全 19 4.7设备装载、处置或重新使用 20 5计算机和网络的运行管理 21 5.1操作规程和职责 21 5.2操作变更控制 22 5.3系统计划编制和批准 22 5.4软件和信息保护 22 5.5介质的处理和安全性 22 5.6维护完整性和可用性 23 5.7鉴别和网络安全 23 5.8数据交换 24 5.9操作人员日志 24 5.10错误日志记录 25 5.11网络安全管理 25 5.12信息和软件交换 25 5.13网上税务安全 26 5.14电子邮件安全 26 5.15病毒防范策略 26 5.16因特网安全策略 27 5.17备份与恢复 28 5.18入侵检测 28 5.19加密 29 6访问控制 30 6.1应用程序访问控制 30 6.2计算机访问控制 30 6.3帐号管理 31 6.4口令管理 31 6.5权限管理 33 7系统开发和维护 34 7.1系统的安全需求 34 7.2信息系统的安全 34 7.3信息系统文件的安全 34 7.4开发和支持环境的安全 34 7.5软件开发和维护 35 8个人计算机和信息安全 36 9风险管理 37 10业务连续性管理，恢复 38 10.1业务连续性管理的特点 38 10.2业务连续性管理程序 38 10.3业务连续性和影响分析 38 10.4编写和实施连续性计划 39 10.5业务连续性计划框架 39 10.6业务连续性计划的检查、维护和重新分析 40 11遵循性 41 11.1软件的使用 41 11.2防止滥用IT工具 41 11.3对安全策略的遵循性 41 参考标准及法规 42  1 安全策略概述 1.1简介 税务系统相关信息和支撑系统、过程等，不论它们以何种形式存在，均是税务系统的关键资产。信息的可用性、完整性和机密性是信息安全的基本要素，关系到国家税务机关的形象和国家税务征管业务的持续运行。因此，必须保护这些资产不受威胁侵害（威胁可能来自各个方面，如网络诈骗、侦探、病毒或黑客，自然灾害等）。定义和监督执行税务系统网络与信息安全总体策略是总局网络与信息安全管理部门的职责。 国家税务信息系统是存储、传输、处理大量关于国家税务征管关键信息的系统。这些信息受国家法律保护，必须保证安全。确保国家税务信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。 随