《税务系统网络与信息安全管理岗位职责说明29783.docx》由会员分享,可在线阅读,更多相关《税务系统网络与信息安全管理岗位职责说明29783.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、n 更多资料请请访问.(.)税务系统统网络与信信息安全管管理岗位及及其职责编制说明税务系统统网络与信信息安全管管理岗位及及其职责是是税务系统统网络与信信息安全管管理体系框框架中的文文档之一,这这个文档是是依据税税务系统网网络与信息息安全总体体策略的的相关要求求编写,目目的是为了了初步建立立税务系统统网络与信信息安全管管理岗位,明明确安全管管理人员的的职责。但由于各级级税务系统统(总局、省省局、地市市局、区县县级局)具具有不同的的特点,没没有一种模模式适用所所有的组织织,而且由由于人员的的限制,特特别是地市市局及区县县级局中人人员的限制制,通常没没有特定的的专职人员员来担任本本文档中描描述的众多
2、多安全管理理角色。因因此,本文文档的适用用范围确定定在总局、各各省局、各各地市局,对对区县级局局不适用,各各区县级局局可由其上上级地市局局根据具体体情况做相相应要求。本税务系系统网络与与信息安全全管理岗位位及其职责责文档共共包括二章章内容,第第一章为管管理角色与与职责,描描述了税务务系统网络络与信息安安全管理组组织架构,以以及主要的的信息安全全管理角色色与职责;第二章为为管理岗位位及设置原原则,示例例列出信息息技术部门门中主要信信息安全管管理岗位,并并描述了税税务系统网网络与信息息安全管理理岗位设置置原则。税务系统网网络与信息息安全管理理岗位及其其职责(试行稿)国家税务总总局信息中中心二四年年
3、十月目 录一、税务系系统网络与与信息安全全管理角色色与职责111.1 信信息安全领领导小组111.2 信信息安全管管理部门221.3 具具体执行管管理角色33安全管理员员3主机系统管管理员3网络管理员员4数据库管理理员4应用管理员员4安全审计员员5病毒防护员员5密钥管理员员(包括证证书管理员员、证书操操作员)55资产管理员员5安全保卫员员(机房安安全员)55安全协调人人员5人事管理人人员6安全法律顾顾问6二、税务系系统网络与与信息安全全管理岗位位及设置原原则62.1 信信息安全管管理岗位66安全管理员员岗位6网络系统管管理员岗位位6应用管理员员岗位62.2 安安全岗位设设置原则77多人负责原原
4、则7任期有限原原则7职责分离原原则7工作分开原原则7权限随岗原原则7一、税务系系统网络与与信息安全全管理角色色与职责为有效实施施信息安全全管理,保保障和实施施税务系统统的信息安安全,在税税务系统内内部应该建建立自己的的信息安全全管理组织织架构。信息安全管管理组织架构是是实施系统统安全,进进行安全管管理的必要要保证。根根据税务系系统编制体体系现状以以及人员结结构,信息息安全管理理组织架构纵向涵涵盖总局、省省局、地市市局三级,总总局对省局局、省局对对地市局在在信息化建建设与安全全管理运行行方面,应应起到指导导与监管的的作用。在在一个机构构中,安全全角色与责责任的不明明确是实施施信息安全全过程中的的
5、最大障碍碍,建立安安全组织与与落实责任任是实施信信息安全管管理的第一一步。因此此,总局、省省局、地市市局每一级级应设置相相应职能部部门和人员员负责各级级信息系统统安全管理理工作。具具体的信息息安全组织织和管理角角色及其职职责描述如如下。1.1 信信息安全领领导小组信息安全是是全国税务务系统工作作人员必须须共用承担担的责任,一一般来说,各各级税务系系统首先应应建立信息息安全领导导小组。信信息安全领领导小组是是各级税务务系统网络络与信息安安全工作的的最高领导导决策机构构,它不隶隶属于任何何部门,直直接对本单单位最高领领导负责,信信息安全领领导小组是是一个常设设机构,负负责本单位位信息安全全工作的宏
6、宏观管理。总局信息安安全领导小小组负责全全国税务系系统网络与与信息安全全总体规划划与决策,并并领导总局局信息系统统安全建设设、运行、维维护和管理理等工作;省局信息息安全领导导小组负责责组织落实实上层决策策,制定本本省决策,并并领导本省省信息安全全工作;地地市局信息息安全领导导小组负责责落实上层层决策,制制定本地市市决策,并并领导本地地市信息安安全工作。各各级信息安安全领导小小组的组长长一般由各各级税务系系统的高层层领导挂帅帅,并结合合与信息安安全相关各各职能部门门的主要负负责人参加加。各级信信息安全领领导小组的的职责是:1 总局信息安安全领导小小组负责领领导制定全全国税务系系统网络与与信息安全
7、全建设的总总体规划并并审议监督督各省级安安全工作规规划的制定定与实施;负责制定定总局信息息安全总体体策略并审审批总局信信息系统安安全策略以以及各省级级上报的安安全策略;负责领导导制定总局局与信息系系统安全相相关的规章章制度;负负责总局信信息系统安安全管理层层以上的人人员权限授授予工作;负责审阅阅总局信息息安全工作作报告;负负责全国税税务系统重重大安全事事故查处与与汇报工作作。2 省局信息安安全领导小小组负责领领导落实全全国税务系系统安全建建设的总体体规划,制制定本省建建设规划并并监督各地地市级安全全工作规划划的制定与与实施;在在全国税务务系统网络络与信息安安全总体方方针的指导导下,负责责组织制
8、定定本省信息息系统安全全策略并审审批地方局局上报的信信息系统安安全策略;负责组织织细化上级级规章制度度,制定相相应程序指指南,并监监督落实规规章制度;负责本省省信息系统统安全管理理层以上的的人员权限限授予工作作;负责审审阅省局信信息安全工工作报告;负责本省省重大安全全事故查处处与汇报工工作。3 地市局信息息安全领导导小组负责责领导落实实本省信息息系统安全全建设规划划,制定地地市局级安安全规划;在全国税税务系统网网络与信息息安全总体体方针以及及省级相关关策略文件件的指导下下,负责组组织制定审审批本地市市信息系统统安全策略略;负责组组织细化上上级规章制制度,制定定相应程序序指南,并并监督落实实规章
9、制度度;负责本本地市信息息系统安全全管理层以以上的人员员权限授予予工作;负负责审阅地地市局信息息安全工作作报告;负负责本地市市重大安全全事故查处处与汇报工工作。1.2 信信息安全管管理部门在信息安全全领导小组组的基础上上,各级税税务系统网网络与信息息安全管理理应该由本本机构信息息安全相关关的若干管管理部门共共同完成,例例如有信息息技术部门门、业务应应用部门、安安全保卫部部门、人事事行政部门门等等。信息技术部部门对信息息系统及信信息系统安安全保障提提供技术决决策和技术术支持,在在技术上对对信息系统统和信息系系统安全保保障承担管管理责任。业业务应用部部门对信息息系统的业业务处理以以及业务流流程的安
10、全全承担管理理责任。安安全保卫部部门对信息息系统的场场地以及系系统资产的的防灾、防防盗、防破破坏等承担担管理责任任。行政部部门从行政政上对信息息安全保障障执行管理理工作。各各个部门应应与信息技技术部门协协作,共同同对信息系系统的建设设和运行维维护承担管管理责任。为明确安全全职责,应应在相关管管理部门中中指定对信信息安全负负责的主管管,这些主主管共同贯贯彻执行税税务系统安安全工作的的方针政策策、规章制制度及有关关的技术标标准、规范范和方案,并并监督安全全策略的落落实。1.3 具具体执行管管理角色对于信息系系统建设和和运行维护护的具体执执行,应该该有相应的的安全管理理岗位,但但由于全国国税务系统统
11、包括国家家税务总局局在内、各各省局、各各地市局的的具体情况况有所差别别,不宜在在本文档中中直接定义义具体的安安全岗位,而而只是定义义了相应的的安全角色色和职责,各各具体机构构根据实际际情况设置置相应安全全岗位,具具体的安全全角色和职职责的描述述如下。安全管理员员 负责对安全全产品购置置提供建议议,负责组组织制定各各种安全产产品策略与与配置规则则,负责跟跟踪安全产产品投产后后的使用情情况; 负责指导并并监督系统统管理员(包包括主机系系统管理员员、网络管管理员、数数据库管理理员和应用用管理员等等)及普通通用户与安安全相关的的工作; 负责组织信信息系统的的安全风险险评估工作作,并定期期进行系统统漏洞
12、扫描描,形成安安全评估报报告; 根据本机构构的信息安安全需求,定定期提出本本机构的信信息安全改改进意见,并并上报信息息安全管理理部门主管管; 定期查看信信息安全站站点的安全全公告,跟跟踪和研究究各种信息息安全漏洞洞和攻击手手段,在发发现可能影影响信息安安全的安全全漏洞和攻攻击手段时时,及时做做出相应的的对策,通通知并指导导系统管理理员进行安安全防范; 负责组织审审议各种安安全方案、安安全审计报报告、应急急计划以及及整体安全全管理制度度; 负责参与安安全事故调调查。主机系统管管理员 负责主机操操作系统的的安全配置置(包括及及时修补系系统漏洞)和和日常审计计,系统应应用软件的的安装,从从系统层面面
13、实现对用用户与资源源的访问控控制; 协助安全管管理员制定定主机操作作系统的安安全配置规规则,并落落实执行; 负责主机设设备的日常常管理与维维护,保持持系统处于于良好的运运行状态; 为安全审计计员提供完完整、准确确的主机系系统运行活活动的日志志记录; 在主机系统统异常或故故障发生时时,详细记记载发生异异常时的现现象、时间间和处理方方式,并及及时上报; 编制主机设设备的维修修、报损、报报废计划,报报主管领导导审核;网络管理员员 负责网络的的部署以及及网络产品品、网络安安全产品的的配置、管管理与监控控,并对关关键网络配配置文件进进行备份,及及时修补网网络设备的的漏洞; 协助安全管管理员制定定网络设备
14、备安全配置置规则,并并落实执行行; 为安全审计计员提供完完整、准确确地记录重重要网络设设备和网站站运行活动动的运行日日志; 在网络及设设备异常或或故障发生生时,详细细记载发生生异常时的的现象、时时间和处理理方式,并并及时上报报; 编制网络设设备的维修修、报损、报报废等计划划,报主管管领导审核核;数据库管理理员 对数据库系系统进行安安全配置,修修补已发现现的漏洞; 负责数据库库系统的用用户账号管管理,对系系统中所有有的用户进进行登记备备案;对数数据库系统统的用户、口口令的安全全性进行管管理;对数数据库系统统登录用户户进行监测测和分析; 负责业务数数据及系统统其它重要要数据的备备份与备份份数据管理
15、理工作; 为安全审计计员提供完完整、准确确的数据库库系统运行行活动的日日志记录,详详细记载发发生异常时时的现象、时时间和处理理方式,并并及时上报报; 在发生安全全问题导致致数据损坏坏或丢失时时,进行数数据的恢复复; 根据业务发发展的需求求,提交数数据存储介介质购买或或存储系统统扩容计划划。应用管理员员 对业务应用用系统进行行安全配置置;督促软软件开发商商提供补丁丁来修补已已发现的漏漏洞; 对业务应用用系统的用用户、口令令的安全性性进行管理理;对业务务应用系统统的登录用用户进行监监测和分析析; 负责提出数数据的备份份要求,制制定数据备备份策略,督督促数据库库管理员按按照备份方方案按时完完成,并恢
16、恢复所需数数据; 实施系统软软件版本管管理,应用用软件备份份和恢复管管理。安全审计员员 负责定期对对主机系统统、网络产产品、应用用系统的日日志文件进进行分析审审计,发现现问题及时时上报; 负责对信息息安全保障障管理活动动进行独立立的监督,提提供内部独独立的审计计和评估工工作,并根根据需要可可以协同外外部审计评评估机构进进行评估和和认证,为为决策领导导提供信息息系统和信信息安全保保障执行状状况的客观观评价。病毒防护员员 协助安全管管理员制定定病毒防范范操作规程程; 负责执行和和监督整个个系统全面面的杀毒工工作; 定时升级网网络杀毒软软件的病毒毒库,监督督个人杀毒毒软件的升升级工作; 实时监控重重
17、要业务系系统和数据据的安全,杜杜绝非法开开放的病毒毒入侵途径径,降低病病毒侵害的的影响; 及时报告上上级部门病病毒入侵和和感染情况况,提供感感染频率高高和严重性性强的病毒毒的有效解解决方案。密钥管理员员(包括证证书管理员员、证书操操作员) 负责税务系系统交易、传传输、认证证密钥的管管理以及加加密机的操操作。资产管理员员 负责信息技技术部门全全部资产的的采购、登登记、分发发、回收、废废弃等管理理。安全保卫员员(机房安安全员) 负责制定和和执行适当当的物理安安全控制; 主要负责非非技术性的的、常规的的安全工作作,如信息息处理场地地的保卫,办公公室安全,验验证出人信信息中心的的手续和多多项规章制制度
18、的落实实。安全协调人人员 负责安全项项目、安全全问题、安安全事件、安安全工作的的组织协调调。人事管理人人员 协助安全主主管确定某某个职位是是否需要进进行安全背背景调查; 还可能负责责为员工离离开本单位位时提供与与安全相关关的离职规规程。安全法律顾顾问 负责本单位位与外单位位签署安全全服务合同同的法律咨咨询工作。二、税务系系统网络与与信息安全全管理岗位位及设置原原则2.1 信信息安全管管理岗位根据税务系系统网络与与信息安全全管理角色色与职责,相相应地,税税务系统组组织机构内内需要设置置信息安全全管理岗位位,由于全全国税务系系统包括国国家税务总总局在内、各各省局、各各地市局的的具体情况况有所差别别
19、,所以本本文档中仅仅列出信息息技术部门门中的主要要信息安全全管理岗位位,总局、各各省局及各各地市局应应根据本文文档结合本本机构的具具体情况指指导本机构构内的岗位位分工和各各岗位安全全职责,从从而进行具具体的设置置。安全管理员员岗位安全管理员员岗位可以以是安全管管理员角色色和安全审审计员角色色的组合,同同时,根据据具体需要要,可以兼兼任病毒管管理员和密密钥管理员员的角色。也也可以根据据具体情况况,设置多多个安全管管理员岗位位。网络系统管管理员岗位位网络系统管管理员岗位位可以是主主机系统管管理员角色色和网络管管理员角色色的组合,同同时,根据据具体需要要,可以兼兼任资产管管理员的角角色。也可可以根据
20、具具体情况,设设置多个网网络系统管管理员岗位位。应用管理员员岗位应用管理员员岗位可以以是数据库库管理员角角色和应用用管理员角角色的组合合。也可以以根据具体体情况,设设置多个应应用管理员员岗位。对于其他的的安全角色色需要设置置的岗位,可可以由相关关安全职能能部门的人人员兼任,也也可以单独独设置岗位位。2.2 安安全岗位设设置原则为确保税务务信息系统统的安全,必必须加强人人事安全管管理,提高高安全管理理人员的技技术水平和和安全意识识,同时在在人员岗位位的设置方方面要遵循循以下原则则。多人负责原原则对一些有较较高密级的的与安全有有关的活动动,都必须须有两人或或多人在场场。工作人人员必须由由系统主管管
21、领导指派派,且忠诚可靠靠,能胜任工工作;工作作人员应该该认真记录录签署工作作情况,以以证明安全全工作已得得到保障。上述所指与与安全有关关的活动包包括:硬件件和软件的的维护;系系统软件的的设计、实实现和维护护;处理BBaoMii信息;系系统用媒介介的发放与与回收;访访问控制用用证件的发发放与回收收;重要程程序和数据据的删除和和销毁等。任期有限原原则决不能由一一人长期担担任安全管管理职务。对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原原则非经系统主主管领导批批准,任何何信息系统统的工作人人员都不得得打听、了
22、了解或参与与其职责以以外的任何何与系统安安全有关的的事情。安安全工作人人员活动所所涉及的范范围应是受受到限制的的,不能越越权限访问问。工作分开原原则权力不能过过于集中在在某个人或或某些人手手里,在信信息安全工工作中,有有的工作不不能由一个个人担任,工工作分开便便于相互制制约。出于于对安全的的考虑,下下面每组内内的两项信信息处理工工作应该由由不同的人人员来负责责:对计算算机操作与与计算机编编程;jimii资料的接接收和传送送;安全管理理和系统管管理;应用程序序和系统程程序的编制制;访问证件件的管理与与其它工作作;计算机操操作与信息息系统使用用媒介的保保管等。权限随岗原原则权限随岗原原则。根据据岗位变动动情况及时时调整相应应的授权,做做到:在岗岗有权、离离岗失权。