《税务系统网络与信息安全管理岗位职责说明14365.docx》由会员分享,可在线阅读,更多相关《税务系统网络与信息安全管理岗位职责说明14365.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、n 更多资料料请访问问.(.)税务系系统网络络与信息息安全管管理岗位位及其职职责编制说明明税务系系统网络络与信息息安全管管理岗位位及其职职责是是税务系系统网络络与信息息安全管管理体系系框架中中的文档档之一,这这个文档档是依据据税务务系统网网络与信信息安全全总体策策略的的相关要要求编写写,目的的是为了了初步建建立税务务系统网网络与信信息安全全管理岗岗位,明明确安全全管理人人员的职职责。但由于各各级税务务系统(总总局、省省局、地地市局、区县级级局)具具有不同同的特点点,没有有一种模模式适用用所有的的组织,而而且由于于人员的的限制,特特别是地地市局及及区县级级局中人人员的限限制,通通常没有有特定的的
2、专职人人员来担担任本文文档中描描述的众众多安全全管理角角色。因因此,本本文档的的适用范范围确定定在总局局、各省省局、各各地市局局,对区区县级局局不适用用,各区区县级局局可由其其上级地地市局根根据具体体情况做做相应要要求。本税务务系统网网络与信信息安全全管理岗岗位及其其职责文文档共包包括二章章内容,第第一章为为管理角角色与职职责,描描述了税税务系统统网络与与信息安安全管理理组织架架构,以以及主要要的信息息安全管管理角色色与职责责;第二二章为管管理岗位位及设置置原则,示示例列出出信息技技术部门门中主要要信息安安全管理理岗位,并并描述了了税务系系统网络络与信息息安全管管理岗位位设置原原则。税务系统统
3、网络与与信息安安全管理理岗位及及其职责责(试行稿稿)国家税务务总局信信息中心心二四四年十月月目 录录一、税务务系统网网络与信信息安全全管理角角色与职职责11.1 信息安安全领导导小组111.2 信息安安全管理理部门221.3 具体执执行管理理角色33安全管理理员3主机系统统管理员员3网络管理理员4数据库管管理员44应用管理理员4安全审计计员5病毒防护护员5密钥管理理员(包包括证书书管理员员、证书书操作员员)5资产管理理员5安全保卫卫员(机机房安全全员)55安全协调调人员55人事管理理人员66安全法律律顾问66二、税务务系统网网络与信信息安全全管理岗岗位及设设置原则则62.1 信息安安全管理理岗
4、位66安全管理理员岗位位6网络系统统管理员员岗位66应用管理理员岗位位62.2 安全岗岗位设置置原则77多人负责责原则77任期有限限原则77职责分离离原则77工作分开开原则77权限随岗岗原则77一、税务务系统网网络与信信息安全全管理角角色与职职责为有效实实施信息息安全管管理,保保障和实实施税务务系统的的信息安安全,在在税务系系统内部部应该建建立自己己的信息息安全管管理组织织架构。信息安全全管理组组织架构构是实施施系统安安全,进进行安全全管理的的必要保保证。根根据税务务系统编编制体系系现状以以及人员员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与
5、安全管理运行方面,应起到指导与监管的作用。在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。1.1 信息安安全领导导小组信息安全全是全国国税务系系统工作作人员必必须共用用承担的的责任,一一般来说说,各级级税务系系统首先先应建立立信息安安全领导导小组。信息安安全领导导小组是是各级税税务系统统网络与与信息安安全工作作的最高高领导决决策机构构,它不不隶属于于任何部部门,直直接对本本单位最最高领导导负责,信
6、信息安全全领导小小组是一一个常设设机构,负负责本单单位信息息安全工工作的宏宏观管理理。总局信息息安全领领导小组组负责全全国税务务系统网网络与信信息安全全总体规规划与决决策,并并领导总总局信息息系统安安全建设设、运行行、维护护和管理理等工作作;省局局信息安安全领导导小组负负责组织织落实上上层决策策,制定定本省决决策,并并领导本本省信息息安全工工作;地地市局信信息安全全领导小小组负责责落实上上层决策策,制定定本地市市决策,并并领导本本地市信信息安全全工作。各级信信息安全全领导小小组的组组长一般般由各级级税务系系统的高高层领导导挂帅,并并结合与与信息安安全相关关各职能能部门的的主要负负责人参参加。各
7、各级信息息安全领领导小组组的职责责是:1 总局信息息安全领领导小组组负责领领导制定定全国税税务系统统网络与与信息安安全建设设的总体体规划并并审议监监督各省省级安全全工作规规划的制制定与实实施;负负责制定定总局信信息安全全总体策策略并审审批总局局信息系系统安全全策略以以及各省省级上报报的安全全策略;负责领领导制定定总局与与信息系系统安全全相关的的规章制制度;负负责总局局信息系系统安全全管理层层以上的的人员权权限授予予工作;负责审审阅总局局信息安安全工作作报告;负责全全国税务务系统重重大安全全事故查查处与汇汇报工作作。2 省局信息息安全领领导小组组负责领领导落实实全国税税务系统统安全建建设的总总体
8、规划划,制定定本省建建设规划划并监督督各地市市级安全全工作规规划的制制定与实实施;在在全国税税务系统统网络与与信息安安全总体体方针的的指导下下,负责责组织制制定本省省信息系系统安全全策略并并审批地地方局上上报的信信息系统统安全策策略;负负责组织织细化上上级规章章制度,制制定相应应程序指指南,并并监督落落实规章章制度;负责本本省信息息系统安安全管理理层以上上的人员员权限授授予工作作;负责责审阅省省局信息息安全工工作报告告;负责责本省重重大安全全事故查查处与汇汇报工作作。3 地市局信信息安全全领导小小组负责责领导落落实本省省信息系系统安全全建设规规划,制制定地市市局级安安全规划划;在全全国税务务系
9、统网网络与信信息安全全总体方方针以及及省级相相关策略略文件的的指导下下,负责责组织制制定审批批本地市市信息系系统安全全策略;负责组组织细化化上级规规章制度度,制定定相应程程序指南南,并监监督落实实规章制制度;负负责本地地市信息息系统安安全管理理层以上上的人员员权限授授予工作作;负责责审阅地地市局信信息安全全工作报报告;负负责本地地市重大大安全事事故查处处与汇报报工作。1.2 信息安安全管理理部门在信息安安全领导导小组的的基础上上,各级级税务系系统网络络与信息息安全管管理应该该由本机机构信息息安全相相关的若若干管理理部门共共同完成成,例如如有信息息技术部部门、业业务应用用部门、安全保保卫部门门、
10、人事事行政部部门等等等。信息技术术部门对对信息系系统及信信息系统统安全保保障提供供技术决决策和技技术支持持,在技技术上对对信息系系统和信信息系统统安全保保障承担担管理责责任。业业务应用用部门对对信息系系统的业业务处理理以及业业务流程程的安全全承担管管理责任任。安全全保卫部部门对信信息系统统的场地地以及系系统资产产的防灾灾、防盗盗、防破破坏等承承担管理理责任。行政部部门从行行政上对对信息安安全保障障执行管管理工作作。各个个部门应应与信息息技术部部门协作作,共同同对信息息系统的的建设和和运行维维护承担担管理责责任。为明确安安全职责责,应在在相关管管理部门门中指定定对信息息安全负负责的主主管,这这些
11、主管管共同贯贯彻执行行税务系系统安全全工作的的方针政政策、规规章制度度及有关关的技术术标准、规范和和方案,并并监督安安全策略略的落实实。1.3 具体执执行管理理角色对于信息息系统建建设和运运行维护护的具体体执行,应应该有相相应的安安全管理理岗位,但但由于全全国税务务系统包包括国家家税务总总局在内内、各省省局、各各地市局局的具体体情况有有所差别别,不宜宜在本文文档中直直接定义义具体的的安全岗岗位,而而只是定定义了相相应的安安全角色色和职责责,各具具体机构构根据实实际情况况设置相相应安全全岗位,具具体的安安全角色色和职责责的描述述如下。安全管理理员 负责对安安全产品品购置提提供建议议,负责责组织制
12、制定各种种安全产产品策略略与配置置规则,负负责跟踪踪安全产产品投产产后的使使用情况况; 负责指导导并监督督系统管管理员(包包括主机机系统管管理员、网络管管理员、数据库库管理员员和应用用管理员员等)及及普通用用户与安安全相关关的工作作; 负责组织织信息系系统的安安全风险险评估工工作,并并定期进进行系统统漏洞扫扫描,形形成安全全评估报报告; 根据本机机构的信信息安全全需求,定定期提出出本机构构的信息息安全改改进意见见,并上上报信息息安全管管理部门门主管; 定期查看看信息安安全站点点的安全全公告,跟跟踪和研研究各种种信息安安全漏洞洞和攻击击手段,在在发现可可能影响响信息安安全的安安全漏洞洞和攻击击手
13、段时时,及时时做出相相应的对对策,通通知并指指导系统统管理员员进行安安全防范范; 负责组织织审议各各种安全全方案、安全审审计报告告、应急急计划以以及整体体安全管管理制度度; 负责参与与安全事事故调查查。主机系统统管理员员 负责主机机操作系系统的安安全配置置(包括括及时修修补系统统漏洞)和和日常审审计,系系统应用用软件的的安装,从从系统层层面实现现对用户户与资源源的访问问控制; 协助安全全管理员员制定主主机操作作系统的的安全配配置规则则,并落落实执行行; 负责主机机设备的的日常管管理与维维护,保保持系统统处于良良好的运运行状态态; 为安全审审计员提提供完整整、准确确的主机机系统运运行活动动的日志
14、志记录; 在主机系系统异常常或故障障发生时时,详细细记载发发生异常常时的现现象、时时间和处处理方式式,并及及时上报报; 编制主机机设备的的维修、报损、报废计计划,报报主管领领导审核核;网络管理理员 负责网络络的部署署以及网网络产品品、网络络安全产产品的配配置、管管理与监监控,并并对关键键网络配配置文件件进行备备份,及及时修补补网络设设备的漏漏洞; 协助安全全管理员员制定网网络设备备安全配配置规则则,并落落实执行行; 为安全审审计员提提供完整整、准确确地记录录重要网网络设备备和网站站运行活活动的运运行日志志; 在网络及及设备异异常或故故障发生生时,详详细记载载发生异异常时的的现象、时间和和处理方
15、方式,并并及时上上报; 编制网络络设备的的维修、报损、报废等等计划,报报主管领领导审核核;数据库管管理员 对数据库库系统进进行安全全配置,修修补已发发现的漏漏洞; 负责数据据库系统统的用户户账号管管理,对对系统中中所有的的用户进进行登记记备案;对数据据库系统统的用户户、口令令的安全全性进行行管理;对数据据库系统统登录用用户进行行监测和和分析; 负责业务务数据及及系统其其它重要要数据的的备份与与备份数数据管理理工作; 为安全审审计员提提供完整整、准确确的数据据库系统统运行活活动的日日志记录录,详细细记载发发生异常常时的现现象、时时间和处处理方式式,并及及时上报报; 在发生安安全问题题导致数数据损
16、坏坏或丢失失时,进进行数据据的恢复复; 根据业务务发展的的需求,提提交数据据存储介介质购买买或存储储系统扩扩容计划划。应用管理理员 对业务应应用系统统进行安安全配置置;督促促软件开开发商提提供补丁丁来修补补已发现现的漏洞洞; 对业务应应用系统统的用户户、口令令的安全全性进行行管理;对业务务应用系系统的登登录用户户进行监监测和分分析; 负责提出出数据的的备份要要求,制制定数据据备份策策略,督督促数据据库管理理员按照照备份方方案按时时完成,并并恢复所所需数据据; 实施系统统软件版版本管理理,应用用软件备备份和恢恢复管理理。安全审计计员 负责定期期对主机机系统、网络产产品、应应用系统统的日志志文件进
17、进行分析析审计,发发现问题题及时上上报; 负责对信信息安全全保障管管理活动动进行独独立的监监督,提提供内部部独立的的审计和和评估工工作,并并根据需需要可以以协同外外部审计计评估机机构进行行评估和和认证,为为决策领领导提供供信息系系统和信信息安全全保障执执行状况况的客观观评价。病毒防护护员 协助安全全管理员员制定病病毒防范范操作规规程; 负责执行行和监督督整个系系统全面面的杀毒毒工作; 定时升级级网络杀杀毒软件件的病毒毒库,监监督个人人杀毒软软件的升升级工作作; 实时监控控重要业业务系统统和数据据的安全全,杜绝绝非法开开放的病病毒入侵侵途径,降降低病毒毒侵害的的影响; 及时报告告上级部部门病毒毒
18、入侵和和感染情情况,提提供感染染频率高高和严重重性强的的病毒的的有效解解决方案案。密钥管理理员(包包括证书书管理员员、证书书操作员员) 负责税务务系统交交易、传传输、认认证密钥钥的管理理以及加加密机的的操作。资产管理理员 负责信息息技术部部门全部部资产的的采购、登记、分发、回收、废弃等等管理。安全保卫卫员(机机房安全全员) 负责制定定和执行行适当的的物理安安全控制制; 主要负责责非技术术性的、常规的的安全工工作,如如信息处处理场地地的保卫,办办公室安安全,验验证出人人信息中中心的手手续和多多项规章章制度的的落实。安全协调调人员 负责安全全项目、安全问问题、安安全事件件、安全全工作的的组织协协调
19、。人事管理理人员 协助安全全主管确确定某个个职位是是否需要要进行安安全背景景调查; 还可能负负责为员员工离开开本单位位时提供供与安全全相关的的离职规规程。安全法律律顾问 负责本单单位与外外单位签签署安全全服务合合同的法法律咨询询工作。二、税务务系统网网络与信信息安全全管理岗岗位及设设置原则则2.1 信息安安全管理理岗位根据税务务系统网网络与信信息安全全管理角角色与职职责,相相应地,税税务系统统组织机机构内需需要设置置信息安安全管理理岗位,由由于全国国税务系系统包括括国家税税务总局局在内、各省局局、各地地市局的的具体情情况有所所差别,所所以本文文档中仅仅列出信信息技术术部门中中的主要要信息安安全
20、管理理岗位,总总局、各各省局及及各地市市局应根根据本文文档结合合本机构构的具体体情况指指导本机机构内的的岗位分分工和各各岗位安安全职责责,从而而进行具具体的设设置。安全管理理员岗位位安全管理理员岗位位可以是是安全管管理员角角色和安安全审计计员角色色的组合合,同时时,根据据具体需需要,可可以兼任任病毒管管理员和和密钥管管理员的的角色。也可以以根据具具体情况况,设置置多个安安全管理理员岗位位。网络系统统管理员员岗位网络系统统管理员员岗位可可以是主主机系统统管理员员角色和和网络管管理员角角色的组组合,同同时,根根据具体体需要,可可以兼任任资产管管理员的的角色。也可以以根据具具体情况况,设置置多个网网
21、络系统统管理员员岗位。应用管理理员岗位位应用管理理员岗位位可以是是数据库库管理员员角色和和应用管管理员角角色的组组合。也也可以根根据具体体情况,设设置多个个应用管管理员岗岗位。对于其他他的安全全角色需需要设置置的岗位位,可以以由相关关安全职职能部门门的人员员兼任,也也可以单单独设置置岗位。2.2 安全岗位位设置原原则为确保税税务信息息系统的的安全,必必须加强强人事安安全管理理,提高高安全管管理人员员的技术术水平和和安全意意识,同同时在人人员岗位位的设置置方面要要遵循以以下原则则。多人负责责原则对一些有有较高密密级的与与安全有有关的活活动,都都必须有有两人或或多人在在场。工工作人员员必须由由系统
22、主主管领导导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。上述所指指与安全全有关的的活动包包括:硬硬件和软软件的维维护;系系统软件件的设计计、实现现和维护护;处理理BaooMi信信息;系系统用媒媒介的发发放与回回收;访访问控制制用证件件的发放放与回收收;重要要程序和和数据的的删除和和销毁等等。任期有限限原则决不能由由一人长长期担任任安全管管理职务务。对一一些重要要安全岗岗位的工工作人员员应该不定期期循环任任职,强强制实行行轮换、休假制制度,并并规定对对工作人人员进行行轮流培培训,以以使任期期有限制制度切实实可行。职责分离离原则非经系统统主管领领导批准
23、准,任何何信息系系统的工工作人员员都不得得打听、了解或或参与其其职责以以外的任任何与系系统安全全有关的的事情。安全工工作人员员活动所所涉及的的范围应应是受到到限制的的,不能能越权限限访问。工作分开开原则权力不能能过于集集中在某某个人或或某些人人手里,在在信息安安全工作作中,有有的工作作不能由由一个人人担任,工工作分开开便于相相互制约约。出于于对安全全的考虑虑,下面面每组内内的两项项信息处处理工作作应该由由不同的的人员来来负责:对计算算机操作作与计算算机编程程;jimmi资料料的接收收和传送送;安全管管理和系系统管理理;应用程程序和系系统程序序的编制制;访问证证件的管管理与其其它工作作;计算机机操作与与信息系统统使用媒媒介的保保管等。权限随岗岗原则权限随岗岗原则。根据岗岗位变动动情况及及时调整整相应的的授权,做做到:在在岗有权权、离岗岗失权。