税务系统网络与信息安全标准规范信息安全管理体系框架.docx

“税务系统信息平安管理体系” 编制说明 两办发 27 号文对国家信息平安保障工作提出了具体的意见，为了落实党和国家对信息平安保障工作的部署，切实保障税务系统的信息平安问题，总局领导指示将税务系统的建章立制工作作为近两年税 务系统信息平安保障的重要工作内容之一。 本“税务系统信息平安管理体系”依据信息系统全生命周期中各 阶段对于信息平安保障工作的不同需求，提出在信息系统全生命周期 的平安管理制度。在制定税务系统信息平安管理体系时，紧紧围绕国家信息平安管理部门制定的国家信息平安保障工作重点以及税务系统的网络和业务应用的特征。所提出的税务系统信息平安管理体系力 求突出体系化的特征并符合国际与国内相关的标准要求。 税务系统信息平安管理体系分为三个层次：平安策略-程序与管理制度-过程把握文件。其中税务系统网络与信息平安总体方案属于 第一个层次，程序与管理制度共37 类文档，过程把握文件包括11 类文档。 本文档制定了税务系统信息平安管理体系的框架，在该框架内每 个层次的具体管理制度与规范等可以依据具体状况进行增减。 2 2 税务系统网络与信息平安标准规范 之 信息平安管理体系框架 （征求意见稿） 编制： 审核： 批准： 国家税务总局信息中心二〇〇四年六月 1 1 版本把握 版本号 版本号 日期 参与人 更新说明 1.0 分发把握: 编号 读者 文档权限 与文档的主要 1 关系 2 3 5 6 2 2 第 1 章 管理体系建设综述 网络与信息平安管理是指对计算机网络应用体系中各个方面的平安技术和 产品进行统一的管理和协调，进而从整体上提高计算机网络的防范入侵、抵制攻击的力量。解决信息系统的平安问题，成败通常取决于两个要素：技术和管理。信息平安管理是信息平安技术发挥功效的重要保障和支撑。假如说，平安技术是信息平安的构筑材料，那么，信息平安管理就是粘合剂和催化剂，只有将有效的平安管理贯彻落实于信息平安的方方面面，信息平安的长期性和有效性才能有所保证。 信息系统平安管理要深化至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的平安。信息平安管理的生命周期模型如图一所示。 图一 信息平安管理生命周期模型从上图可见，信息系统平安管理体系框架包括三个部分： PAGE PAGE 11 信息系统生命周期：信息系统典型的生命周期模型分为方案组织、开发选购、实施交付、运行维护、废弃五个阶段，信息系统平安管理需要贯穿信息系统的全生命周期。 信息系统平安管理的支撑和指导：信息系统平安策略和信息平安风险管理是全部信息系统平安保障管理活动的支撑基础，指导信息系统全部平安管理活动的实施。 信息系统平安管理基础，信息平安管理组织体系、资产管理、人事平安和物 理平安是信息系统全生命周期内平安管理的基石，是保障信息系统平安的基本平安保障措施。 信息系统生命周期平安管理实践：信息系统生命周期管理实践将信息平安管 理同信息系统生命周期相结合，通过在信息系统生命周期的不同阶段进行不同的信息系统平安保障管理实践。变更把握和符合性则贯穿于信息系统的全生命周期中。 信息平安管理体系就是就是在信息平安生命周期管理模型的指导下，将信息系统全生命周期内的管理实践建立体系化的文档框架。信息平安管理体系就是将组织、制度和人员这三个方面的问题通过文档的方式表达出来并明确责任。 一般来说，信息平安管理体系包含三个层次：平安策略-程序与管理制度-过程把握文件。为保证信息平安建设的统筹规划，全面防范，重点突出，正确执行， 动态改进，建立以策略为核心的信息平安管理体系格外重要。 信息平安策略是一切信息平安保障活动的基础和动身点，指导全机构/组织 信息平安保障体系的开发和实施，为信息平安建设和实施指明方向，通过定义一套规章来规范信息平安体系的建设、运行和管理。程序和管理制度则是在策略指导下编写的下层文件，用来具体规范人员行为，明确任务责任。在平安管理体系运作过程中还需要制定一系列 第三层过程把握文件 挂念纪录并明确过程实施步骤、内容、结果，并通过实施手册和指南定义具体操作内容和步骤，引导正确执行工作。 管理体系设计原则：完整、有用、简洁、高效。管理体系的制定应当能够掩盖信息系统全生命周期内的信息平安管理工作，符合税务系统的业务特点，具有可实施性。 第 2 章 应制定的具体文件 依据信息平安管理体系框架，考虑到信息平安组织体系建设的重要性，在税务系统信息平安管理体系框架中设立四个层次，将组织体系建设单独作为一次层次，因此，税务系统信息平安管理应制定的具体文件包括以下四个层次： 级文件:《信息平安总体策略》 级文件：《税务系统信息平安组织岗位与职责安排》 级文件包括制度类、程序类、方案类文件，依据管理域进行归类划分。 级文件包括操作指导书（指南类），以及系统运行过程中各类把握