《税务系统网络与信息安全管理岗位及其职责》由会员分享,可在线阅读,更多相关《税务系统网络与信息安全管理岗位及其职责(9页珍藏版)》请在金锄头文库上搜索。
1、税务系统网络与信息安全管理岗位及其职责编制说明税务系统网络与信息安全管理岗位及其职责是税务系统网络与信 息安全管理体系框架中的文档之一,这个文档是依据税务系统网络与信 息安全总体策略的相关要求编写,目的是为了初步建立税务系统网络与 信息安全管理岗位,明确安全管理人员的职责。但由于各级税务系统(总局、省局、地市局、区县级局)具有不同的 特点,没有一种模式适用所有的组织,而且由于人员的限制,特别是地市 局及区县级局中人员的限制,通常没有特定的专职人员来担任本文档中描 述的众多安全管理角色。因此,本文档的适用范围确定在总局、各省局、 各地市局,对区县级局不适用,各区县级局可由其上级地市局根据具体情
2、况做相应要求。本税务系统网络与信息安全管理岗位及其职责文档共包括二章内 容,第一章为管理角色与职责,描述了税务系统网络与信息安全管理组织 架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原 则,示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统 网络与信息安全管理岗位设置原则。税务系统网络与信息安全管理岗位及其职(试行稿)国家税务总局信息中心二00四年十月目录一、税务系统网络与信息安全管理角色与职责信息安全领导小组 信息安全管理部门 具体执行管理角色安全管理员 主机系统管理员 网络管理员 数据库管理员 应用管理员 安全审计员 病毒防护员 密钥管理员(包括证书管理员、证书
3、操作员) 资产管理员 安全保卫员(机房安全员) 安全协调人员 人事管理人员 安全法律顾问 二、税务系统网络与信息安全管理岗位及设置原则 信息安全管理岗位安全管理员岗位网络系统管理员岗位应用管理员岗位安全岗位设置原则 多人负责原则 任期有限原则 职责分离原则 工作分开原则 权限随岗原则 一、税务系统网络与信息安全管理角色与职责为有效实施信息安全管理, 保障和实施税务系统的信息安全, 在税务系统内部应该建立自己的信息安全管理组织架构。信息安全管理组织架构是实施系统安全, 进行安全管理的必要保证。 根据税务系统编制体系现状以及人员结构, 信息安全管理组织架构纵向涵盖总局、 省局、地市局三级,总局对省
4、局、 省局对地市局在信息化建设与安全管理运行方面, 应起到指导与监管的作用。 在一个机构中, 安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、 地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。信息安全领导小组信息安全是全国税务系统工作人员必须共用承担的责任, 一般来说, 各级税务系统首先应建立信息安全领导小组。 信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构, 它不隶属于任何部门, 直接对本单位最高领导负责, 信息安全领导小组是一个常设机
5、构, 负责本单位信息安全工作的宏观管理。总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策,并领导总局信息系统安全建设、运行、 维护和管理等工作; 省局信息安全领导小组负责组织落实上层决策,制定本省决策, 并领导本省信息安全工作; 地市局信息安全领导小组负责落实上层决策, 制定本地市决策, 并领导本地市信息安全工作。 各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅, 并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是:1 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施;负责制定
6、总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定总局与信息系统安全相关的规章制度;负责总局信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全工作报告;负责全国税务系统重大安全事故查处与汇报工作。2 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划,制定本省建设规划并监督各地市级安全工作规划的制定与实施;在全国税务系统网络与信息安全总体方针的指导下,负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本省信息系统安全管理层以上的人员权限授予工作;负责审
7、阅省局信息安全工作报告;负责本省重大安全事故查处与汇报工作。3 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划,制定地市局级安全规划;在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下, 负责组织制定审批本地市信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本地市信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责本地市重大安全事故查处与汇报工作。信息安全管理部门在信息安全领导小组的基础上, 各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成, 例如有信息技术部门、 业务应用部门
8、、安全保卫部门、人事行政部门等等。信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持, 在技术上对信息系统和信息系统安全保障承担管理责任。 业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。 安全保卫部门对信息系统的场地以及系统资产的防灾、 防盗、防破坏等承担管理责任。 行政部门从行政上对信息安全保障执行管理工作。 各个部门应与信息技术部门协作, 共同对信息系统的建设和运行维护承担管理责任。为明确安全职责, 应在相关管理部门中指定对信息安全负责的主管, 这些主管共同贯彻执行税务系统安全工作的方针政策、 规章制度及有关的技术标准、 规范和方案,并监督安全策略的落实。具体
9、执行管理角色对于信息系统建设和运行维护的具体执行, 应该有相应的安全管理岗位, 但各省局、 各地市局的具体情况有所差 别,不宜在本文档中直接定义具体的安全岗位, 而只是定义了相应的安全角色和 职责,各具体机构根据实际情况设置相应安全岗位, 具体的安全角色和职责的描 述如下。安全管理员负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置 规则,负责跟踪安全产品投产后的使用情况;负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据 库管理员和应用管理员等)及普通用户与安全相关的工作;负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形 成安全评估报告;根据本机构的信息
10、安全需求,定期提出本机构的信息安全改进意见,并 上报信息安全管理部门主管;定期查看信息安全站点的安全公告, 跟踪和研究各种信息安全漏洞和攻 击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出 相应的对策,通知并指导系统管理员进行安全防范;负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管 理制度;负责参与安全事故调查。主机系统管理员负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计, 系统应用软件的安装,从系统层面实现对用户与资源的访问控制; 协助安全管理员制定主机操作系统的安全配置规则,并落实执行; 负责主机设备的日常管理与维护,保持系统处于良好的运行状态;
11、 为安全审计员提供完整、准确的主机系统运行活动的日志记录;在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处 理方式,并及时上报;编制主机设备的维修、报损、报废计划,报主管领导审核;网络管理员负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞;协助安全管理员制定网络设备安全配置规则,并落实执行;为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和 处理方式,并及时上报;编制网络设备的维修、报损、报废等计划,报主管领导审核;数据库管理员对数据库
12、系统进行安全配置,修补已发现的漏洞;负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析;负责业务数据及系统其它重要数据的备份与备份数据管理工作;为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报;在发生安全问题导致数据损坏或丢失时,进行数据的恢复;根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。应用管理员对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现 的漏洞;对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登
13、录用户进行监测和分析;负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照 备份方案按时完成,并恢复所需数据;实施系统软件版本管理,应用软件备份和恢复管理。安全审计员负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计, 发现问题及时上报;负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和 评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为 决策领导提供信息系统和信息安全保障执行状况的客观评价。病毒防护员协助安全管理员制定病毒防范操作规程;负责执行和监督整个系统全面的杀毒工作;定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作;实时监控重要业务系
14、统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响;及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的 病毒的有效解决方案。密钥管理员(包括证书管理员、证书操作员)负责税务系统交易、传输、认证密钥的管理以及加密机的操作。资产管理员负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。安全保卫员(机房安全员)负责制定和执行适当的物理安全控制;主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公 室安全,验证出人信息中心的手续和多项规章制度的落实。安全协调人员负责安全项目、安全问题、安全事件、安全工作的组织协调。人事管理人员协助安全主管确定某个职位是否需要
15、进行安全背景调查;还可能负责为员工离开本单位时提供与安全相关的离职规程安全法律顾问负责本单位与外单位签署安全服务合同的法律咨询工作。二、税务系统网络与信息安全管理岗位及设置原则信息安全管理岗位根据税务系统网络与信息安全管理角色与职责,相应地,税务系统组织机构内需要设置信息安全管理岗位,由于全国税务系统包括国家税务总局在内、 各省 局、各地市局的具体情况有所差别,所以本文档中仅列出信息技术部门中的主要 信息安全管理岗位,总局、各省局及各地市局应根据本文档结合本机构的具体情 况指导本机构内的岗位分工和各岗位安全职责,从而进行具体的设置。安全管理员岗位安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况, 设置多个安全管理员岗位。网络系统管理员岗位网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合, 同时,根据具体需要,可以兼任资产管理员的角色。也可以根据具体情况,设置 多个网络系统管理员岗位。应用管理员岗位应用
