《稅務系統網路與資訊保安管理崗位及其職責》
編制說明
《稅務系統網路與資訊保安管理崗位及其職責》是稅務系統網路與資訊保安管理體系框架中的文件之一,這個文件是依據《稅務系統網路與資訊保安總體策略》的相關要求編寫,目的是為了初步建立稅務系統網路與資訊保安管理崗位,明確安全管理人員的職責。
但由於各級稅務系統(總局、省局、地市局、區縣級局)具有不同的特點,沒有一種模式適用所有的組織,而且由於人員的限制,特別是地市局及區縣級局中人員的限制,通常沒有特定的專職人員來擔任本文件中描述的眾多安全管理角色。因此,本文件的適用範圍確定在總局、各省局、各地市局,對區縣級局不適用,各區縣級局可由其上級地市局根據具體情況做相應要求。
本《稅務系統網路與資訊保安管理崗位及其職責》文件共包括二章內容,第一章為管理角色與職責,描述了稅務系統網路與資訊保安管理組織架構,以及主要的資訊保安管理角色與職責;第二章為管理崗位及設定原則,示例列出資訊科技部門中主要資訊保安管理崗位,並描述了稅務系統網路與資訊保安管理崗位設定原則。
稅務系統網路與資訊保安管理崗位及其職責
(試行稿)
國家稅務總局資訊中心
二〇〇四年十月
目錄一、稅務系統網路與資訊保安管理角色與職責 1
1.1 資訊保安領導小組 1
1.2 資訊保安管理部門 2
1.3 具體執行管理角色 3
安全管理員 3
主機系統管理員 3
網路管理員 4
資料庫管理員 4
應用管理員 4
安全審計員 5
病毒防護員 5
金鑰管理員(包括證書管理員、證書操作員) 5
資產管理員 5
安全保衛員(機房安全員) 5
安全協調人員 5
人事管理人員 6
安全法律顧問 6
二、稅務系統網路與資訊保安管理崗位及設定原則 6
2.1 資訊保安管理崗位 6
安全管理員崗位 6
網路系統管理員崗位 6
應用管理員崗位 6
2.2 安全崗位設定原則 7
多人負責原則 7
任期有限原則 7
職責分離原則 7
工作分開原則 7
許可權隨崗原則 7
為有效實施資訊保安管理,保障和實施稅務系統的資訊保安,在稅務系統內部應該建立自己的資訊保安管理組織架構。
資訊保安管理組織架構是實施系統安全,進行安全管理的必要保證。根據稅務系統編制體系現狀以及人員結構,資訊保安管理組織架構縱向涵蓋總局、省局、地市局**,總局對省局、省局對地市局在資訊化建設與安全管理執行方面,應起到指導與監管的作用。在乙個機構中,安全角色與責任的不明確是實施資訊保安過程中的最大障礙,建立安全組織與落實責任是實施資訊保安管理的第一步。
因此,總局、省局、地市局每一級應設定相應職能部門和人員負責各級資訊系統安全管理工作。具體的資訊保安組織和管理角色及其職責描述如下。
資訊保安是全國稅務系統工作人員必須共用承擔的責任,一般來說,各級稅務系統首先應建立資訊保安領導小組。資訊保安領導小組是各級稅務系統網路與資訊保安工作的最高領導決策機構,它不隸屬於任何部門,直接對本單位最高領導負責,資訊保安領導小組是乙個常設機構,負責本單位資訊保安工作的巨集觀管理。
總局資訊保安領導小組負責全國稅務系統網路與資訊保安總體規劃與決策,並領導總局資訊系統安全建設、執行、維護和管理等工作;省局資訊保安領導小組負責組織落實上層決策,制定本省決策,並領導本省資訊保安工作;地市局資訊保安領導小組負責落實上層決策,制定本地市決策,並領導本地市資訊保安工作。各級資訊保安領導小組的組長一般由各級稅務系統的高層領導掛帥,並結合與資訊保安相關各職能部門的主要負責人參加。各級資訊保安領導小組的職責是:
1. ;負責制定總局資訊保安總體策略並審批總局資訊系統安全策略以及各省級上報的安全策略;負責領導制定總局與資訊系統安全相關的規章制度;負責總局資訊系統安全管理層以上的人員許可權授予工作;負責審閱總局資訊保安工作報告;負責全國稅務系統重大安全事故查處與匯報工作。
2. 省局資訊保安領導小組負責領導落實全國稅務系統安全建設的總體規劃,制定本省建設規劃並監督各地市級安全工作規劃的制定與實施;在全國稅務系統網路與資訊保安總體方針的指導下,負責組織制定本省資訊系統安全策略並審批地方局上報的資訊系統安全策略;負責組織細化上級規章制度,制定相應程式指南,並監督落實規章制度;負責本省資訊系統安全管理層以上的人員許可權授予工作;負責審閱省局資訊保安工作報告;負責本省重大安全事故查處與匯報工作。
3. 地市局資訊保安領導小組負責領導落實本省資訊系統安全建設規劃,制定地市局級安全規劃;在全國稅務系統網路與資訊保安總體方針以及省級相關策略檔案的指導下,負責組織制定審批本地市資訊系統安全策略;負責組織細化上級規章制度,制定相應程式指南,並監督落實規章制度;負責本地市資訊系統安全管理層以上的人員許可權授予工作;負責審閱地市局資訊保安工作報告;負責本地市重大安全事故查處與匯報工作。
在資訊保安領導小組的基礎上,各級稅務系統網路與資訊保安管理應該由本機構資訊保安相關的若干管理部門共同完成,例如有資訊科技部門、業務應用部門、安全保衛部門、人事行政部門等等。
資訊科技部門對資訊系統及資訊系統安全保障提供技術決策和技術支援,在技術上對資訊系統和資訊系統安全保障承擔管理責任。業務應用部門對資訊系統的業務處理以及業務流程的安全承擔管理責任。安全保衛部門對資訊系統的場地以及系統資產的防災、防盜、防破壞等承擔管理責任。
行政部門從行政上對資訊保安保障執行管理工作。各個部門應與資訊科技部門協作,共同對資訊系統的建設和執行維護承擔管理責任。
為明確安全職責,應在相關管理部門中指定對資訊保安負責的主管,這些主管共同貫徹執行稅務系統安全工作的方針政策、規章制度及有關的技術標準、規範和方案,並監督安全策略的落實。
對於資訊系統建設和執行維護的具體執行,應該有相應的安全管理崗位,但由於全國稅務系統包括國家稅務總局在內、各省局、各地市局的具體情況有所差別,不宜在本文件中直接定義具體的安全崗位,而只是定義了相應的安全角色和職責,各具體機構根據實際情況設定相應安全崗位,具體的安全角色和職責的描述如下。
負責對安全產品購置提供建議,負責組織制定各種安全產品策略與配置規則,負責跟蹤安全產品投產後的使用情況;
負責指導並監督系統管理員(包括主機系統管理員、網路管理員、資料庫管理員和應用管理員等)及普通使用者與安全相關的工作;
負責組織資訊系統的安全風險評估工作,並定期進行系統漏洞掃瞄,形成安全評估報告;
根據本機構的資訊保安需求,定期提出本機構的資訊保安改進意見,並上報資訊保安管理部門主管;
定期檢視資訊保安站點的安全公告,跟蹤和研究各種資訊保安漏洞和攻擊手段,在發現可能影響資訊保安的安全漏洞和攻擊手段時,及時做出相應的對策,通知並指導系統管理員進行安全防範;
負責組織審議各種安全方案、安全審計報告、應急計畫以及整體安全管理制度;
負責參與安全事故調查。
負責主機作業系統的安全配置(包括及時修補系統漏洞)和日常審計,系統應用軟體的安裝,從系統層面實現對使用者與資源的訪問控制;
協助安全管理員制定主機作業系統的安全配置規則,並落實執行;
負責主機裝置的日常管理與維護,保持系統處於良好的執行狀態;
為安全審計員提供完整、準確的主機系統執行活動的日誌記錄;
在主機系統異常或故障發生時,詳細記載發生異常時的現象、時間和處理方式,並及時上報;
編制主機裝置的維修、報損、報廢計畫,報主管領導審核;
負責網路的部署以及網路產品、網路安全產品的配置、管理與監控,並對關鍵網路配置檔案進行備份,及時修補網路裝置的漏洞;
協助安全管理員制定網路裝置安全配置規則,並落實執行;
為安全審計員提供完整、準確地記錄重要網路裝置和**執行活動的執行日誌;
在網路及裝置異常或故障發生時,詳細記載發生異常時的現象、時間和處理方式,並及時上報;
編制網路裝置的維修、報損、報廢等計畫,報主管領導審核;
對資料庫系統進行安全配置,修補已發現的漏洞;
負責資料庫系統的使用者賬號管理,對系統中所有的使用者進行登記備案;對資料庫系統的使用者、口令的安全性進行管理;對資料庫系統登入使用者進行監測和分析;
負責業務資料及系統其它重要資料的備份與備份資料管理工作;
為安全審計員提供完整、準確的資料庫系統執行活動的日誌記錄,詳細記載發生異常時的現象、時間和處理方式,並及時上報;
在發生安全問題導致資料損壞或丟失時,進行資料的恢復;
根據業務發展的需求,提交資料儲存介質購買或儲存系統擴容計畫。
對業務應用系統進行安全配置;督促軟體開發商提供補丁來修補已發現的漏洞;
對業務應用系統的使用者、口令的安全性進行管理;對業務應用系統的登入使用者進行監測和分析;
負責提出資料的備份要求,制定資料備份策略,督促資料庫管理員按照備份方案按時完成,並恢復所需資料;
稅務系統網路與資訊保安管理崗位及其職責
編制說明 稅務系統網路與資訊保安管理崗位及其職責 是稅務系統網路與資訊保安管理體系框架中的文件之一,這個文件是依據 稅務系統網路與資訊保安總體策略 的相關要求編寫,目的是為了初步建立稅務系統網路與資訊保安管理崗位,明確安全管理人員的職責。但由於各級稅務系統 總局 省局 地市局 區縣級局 具有不同的特...
醫療質量管理小組及其崗位職責
組長 林海 副組長 鄢亞麗組員 各科室負責人 一 醫療質量管理委員會組織 1 防治醫療質量管理小組在院長直接領導下,由副院長 醫務組長直接牽頭並開展工作。2 成員 由臨床科室負責人及醫技科室等負責人組成。二 醫療質量管理小組工作其主要任務 職責 負責醫院臨床科室 醫技科室 行政及後勤部門等的質量控制...
安全管理部崗位職責
經理部一 協助安全主管領導組織推動本專案的安全生產工作,宣傳貫徹有關安全生產的方針 政策 法律 法規,負責監督檢查專案安全生產執 況。二 定期起草和協助制定安全工作的方針目標和工作計畫,並負責具體組織和協調計畫的實施。三 協助主管領導定期組織安全生產檢查,制止違章指揮 違章作業,發現有可能造成重大事...