一、税务系统网络与信息安全管理角色与职责
为有效实施信息安全管理,保障和实施税务系统的信息安全,在税务系统内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与安全管理运行方面,应起到指导与监管的作用。在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。
1.1 信息安全领导小组
信息安全是全国税务系统工作人员必须共用承担的责任,一般来说,各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。
总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策,并领导总局信息系统安全建设、运行、维护和管理等工作;省局信息安全领导小组负责组织落实上层决策,制定本省决策,并领导本省信息安全工作;地市局信息安全领导小组负责落实上层决策,制定本地市决策,并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是:
1. 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划
并审议监督各省级安全工作规划的制定与实施;负责制定总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定总局与信息系统安全相关的规章制度;负责总局信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全工作报告;负责全国税务系统重大安全事故查处与汇报工作。 2. 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划,制定本省建
设规划并监督各地市级安全工作规划的制定与实施;在全国税务系统网络与信息安全总体方针的指导下,负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本省信息系统安全管理层以上的人员权限授予工作;负责审阅省局信息安全工作报告;负责本省重大安全事故查处与汇报工作。
3. 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划,制定地市局级安
全规划;在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下,负责组织制定审批本地市信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本地市信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责本地市重大安全事故查处与汇报工作。
1.2 信息安全管理部门
在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
1.3 具体执行管理角色
对于信息系统建设和运行维护的具体执行,应该有相应的安全管理岗位,但由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,不宜在本文档中直接定义具体的安全岗位,而只是定义了相应的安全角色和职责,各具体机构根据实际情况设置相应安全岗位,具体的安全角色和职责的描述如下。 安全管理员
? 负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置规则,负责
跟踪安全产品投产后的使用情况;
? 负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和
应用管理员等)及普通用户与安全相关的工作;
? 负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估
报告;
? 根据本机构的信息安全需求,定期提出本机构的信息安全改进意见,并上报信息安
全管理部门主管;
? 定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在
发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
? 负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度; ? 负责参与安全事故调查。 主机系统管理员
? 负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软
件的安装,从系统层面实现对用户与资源的访问控制;
? 协助安全管理员制定主机操作系统的安全配置规则,并落实执行; ? 负责主机设备的日常管理与维护,保持系统处于良好的运行状态; ? 为安全审计员提供完整、准确的主机系统运行活动的日志记录;
? 在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并
及时上报;
? 编制主机设备的维修、报损、报废计划,报主管领导审核; 网络管理员
? 负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络
配置文件进行备份,及时修补网络设备的漏洞;
? 协助安全管理员制定网络设备安全配置规则,并落实执行;
? 为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志; ? 在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,
并及时上报;
? 编制网络设备的维修、报损、报废等计划,报主管领导审核;
数据库管理员
? 对数据库系统进行安全配置,修补已发现的漏洞;
? 负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系
统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析; ? 负责业务数据及系统其它重要数据的备份与备份数据管理工作;
? 为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异
常时的现象、时间和处理方式,并及时上报;
? 在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
? 根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。 应用管理员
? 对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞; ? 对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行
监测和分析;
? 负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按
时完成,并恢复所需数据;
? 实施系统软件版本管理,应用软件备份和恢复管理。 安全审计员
? 负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及
时上报;
? 负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,
并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
税务系统网络与信息安全管理岗位职责说明【精编版】
