税务系统网络及信息安全标准规范信息安全管理体系框架.pdfVIP

“税务系统信息安全管理体系” 编制说明 两办发 27 号文对国家信息安全保障工作提出了具体的意见，为 了落实党和国家对信息安全保障工作的部署，切实保障税务系统的信 息安全问题，总局领导指示将税务系统的建章立制工作作为近两年税 务系统信息安全保障的重要工作内容之一。 本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶 段对于信息安全保障工作的不同需求，提出在信息系统全生命周期的 安全管理制度。在制定税务系统信息安全管理体系时，紧紧围绕国家 信息安全管理部门制定的国家信息安全保障工作重点以及税务系统 的网络和业务应用的特征。所提出的税务系统信息安全管理体系力求 突出体系化的特征并符合国际与国内相关的标准要求。 税务系统信息安全管理体系分为三个层次：安全策略-程序与管 理制度-过程控制文件。其中税务系统网络与信息安全总体方案属于 第一个层次，程序与管理制度共 37 类文档，过程控制文件包括 11 类 文档。 本文档制定了税务系统信息安全管理体系的框架，在该框架内每 个层次的具体管理制度与规范等可以根据具体情况进行增减。 税务系统网络与信息安全标准规范 之 信息安全管理体系框架 （征求意见稿） 编制： 审核： 批准： 国家税务总局信息中心 二〇〇四年六月 版本控制 版本号 日期 参与人 更新说明 1.0 分发控制: 编号 读者 文档权 与文档的主要 关系 1 2 3 5 6 1 第 1 章 管理体系建设综述 网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和 产品进行统一的管理和协调，进而从整体上提高计算机网络的防范入侵、抵抗攻 击的能力。解决信息系统的安全问题，成败通常取决于两个要素：技术和管理。 信息安全管理是信息安全技术发挥功效的重要保障和支撑。如果说，安全技术是 信息安全的构筑材料，那么，信息安全管理就是粘合剂和催化剂，只有将有效的 安全管理贯彻落实于信息安全的方方面面，信息安全的长期性和有效性才能有所 保证。 信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息 的机密性、完整性和可用性来实现信息系统的安全。信息安全管理的生命周期模 型如图一所示。 图一 信息安全管理生命周期模型 从上图可见，信息系统安全管理体系框架包括三个部分：  信息系统生命周期：信息系统典型的生命周期模型分为计划组织、开发采购、 实施交付、运行维护、废弃五个阶段，信息系统安全管理需要贯穿信息系统 的全生命周期。  信息系统安全管理的支撑和指导：信息系统安全策略和信息安全风险管理是 所有信息系统安全保障管理活动的支撑基础，指导信息系统所有安全管理活 动的实施。  信息系统安全管理基础，信息安全管理组织体系、资产管理、人事安全和物 理安全是信息系统全生命周期内安全管理的基石，是保障信息系统安全的基 本安全保障措施。  信息系统生命周期安全管理实践：信息系统生命周期管理实践将信息安全管 理同信息系统生命周期相结合，通过在信息系统生命周期的不同阶段进行不 同的信息系统安全保障管理实践。变更控制和符合性则贯穿于信息系统的全 生命周期中。 信息安全管理体系就是就是在信息安全生命周期管理模型的指导下，将信息 系统全生命周期内的管理实践建立体系化的文档框架。信息安全管理体系就是将 组织、制度和人员这三个方面的问题通过文档的方式表达出来并明确责任。 一般