信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告.doc

密 級(jí)： 內(nèi)部 文檔編號(hào)：2007002-005 項(xiàng)目編號(hào)：2007002 xxxx 市地稅局信息系統(tǒng)市地稅局信息系統(tǒng) 資產(chǎn)評(píng)估報(bào)告資產(chǎn)評(píng)估報(bào)告 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 1 頁(yè) 共 41 頁(yè) 目目 錄錄 1概述概述3 2信息信息資產(chǎn)資產(chǎn)分分類類和和識(shí)別識(shí)別 3 2.1信息資產(chǎn)調(diào)查的過(guò)程 .3 2.2調(diào)查范圍及方法 4 2.3信息資料識(shí)別5 2.3.1硬件資產(chǎn).5 2.3.2軟件資產(chǎn).9 2.3.3數(shù)據(jù)資產(chǎn).11 2.3.4文檔資產(chǎn).12 2.3.5人員資產(chǎn).15 3資產(chǎn)賦值資產(chǎn)賦值方法方法.21 3.1保密性賦值22 3.2完整性賦值22 3.3可用性賦值23 3.4資產(chǎn)重要性等級(jí) 24 4xx 市地稅局市地稅局資產(chǎn)賦值資產(chǎn)賦值 26 4.1硬件資產(chǎn)賦值26 4.1.1主機(jī)設(shè)備.26 4.1.2網(wǎng)絡(luò)設(shè)備.28 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 2 頁(yè) 共 41 頁(yè) 4.1.3安全設(shè)備.29 4.1.4存儲(chǔ)設(shè)備.29 4.1.5保障設(shè)備.30 4.1.6通訊線路.31 4.2軟件資產(chǎn)賦值32 4.2.1系統(tǒng)軟件.32 4.2.2應(yīng)用軟件.33 4.3數(shù)據(jù)資產(chǎn)賦值34 4.4文檔資產(chǎn)賦值35 4.5人員資產(chǎn)賦值38 5地稅信息地稅信息資產(chǎn)統(tǒng)計(jì)資產(chǎn)統(tǒng)計(jì)分析分析.40 5.1資產(chǎn)價(jià)值分布40 5.2分段價(jià)值分布40 5.3資產(chǎn)分類對(duì)比41 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 3 頁(yè) 共 41 頁(yè) 1 概述概述 根據(jù)xx 省人民政府信息化工作辦公室關(guān)于印發(fā)的通知文件精神，xx 省信息安全測(cè)評(píng)中心承擔(dān)了 xx 市地稅局 “征管信息系統(tǒng)”的風(fēng)險(xiǎn)評(píng)估工作。我中心以建立符合我省情況的風(fēng)險(xiǎn)評(píng)估方法、 積累風(fēng)險(xiǎn)評(píng)估工作經(jīng)驗(yàn)、培養(yǎng)隊(duì)伍、協(xié)助 xx 市地稅局更深入地了解其信息系統(tǒng) 安全現(xiàn)狀為目標(biāo)，通過(guò)文檔分析、現(xiàn)場(chǎng)訪談、問(wèn)卷調(diào)查、技術(shù)評(píng)估等方法，對(duì) xx 市地稅局“征管信息系統(tǒng)”進(jìn)行了全面的信息安全風(fēng)險(xiǎn)評(píng)估。 在整個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目過(guò)程中，資產(chǎn)調(diào)查是其首要工作。資產(chǎn)調(diào)查過(guò)程主要包 括資產(chǎn)識(shí)別和資產(chǎn)賦值。一方面，項(xiàng)目組根據(jù)資產(chǎn)識(shí)別的情況設(shè)計(jì)出 xx 市地稅 局保護(hù)對(duì)象框架，并在此基礎(chǔ)上進(jìn)行安全體系設(shè)計(jì)；另一方面，項(xiàng)目組將資產(chǎn)賦 值結(jié)果用于風(fēng)險(xiǎn)計(jì)算，以便準(zhǔn)確地表達(dá)安全調(diào)查的結(jié)果。 2 信息資產(chǎn)分類和識(shí)別信息資產(chǎn)分類和識(shí)別 2.1信息資產(chǎn)調(diào)查的過(guò)程信息資產(chǎn)調(diào)查的過(guò)程 在本項(xiàng)目中，項(xiàng)目組首先定制了資產(chǎn)調(diào)查表，通過(guò)訪談方式，對(duì)安全管理人 員、網(wǎng)絡(luò)管理人員、主機(jī)系統(tǒng)管理人員、應(yīng)用開(kāi)發(fā)和維護(hù)人員等進(jìn)行了訪談。逐 步地識(shí)別 xx 市地稅局信息資產(chǎn)并收集其信息。 隨后，項(xiàng)目組通過(guò)對(duì)信息中心進(jìn)行掃描，從第二條渠道獲得了可掃描系統(tǒng)的 系統(tǒng)信息，包括服務(wù)器主機(jī)、可網(wǎng)管的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)和 pc 機(jī)。 通過(guò)將上述訪談和掃描的結(jié)果進(jìn)行人工對(duì)比，合并和除錯(cuò)，項(xiàng)目組獲得所有 必要的資產(chǎn)信息。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 4 頁(yè) 共 41 頁(yè) 最后，項(xiàng)目組對(duì)所有已識(shí)別的資產(chǎn)進(jìn)行賦值，并編制本報(bào)告。 2.2調(diào)查范圍及方法調(diào)查范圍及方法 資料分類技術(shù)參考點(diǎn)輸出成果評(píng)估范圍評(píng)估方式涉及地稅人員評(píng)估人員 主機(jī)設(shè)備 11 臺(tái)主機(jī) 調(diào)查訪談、實(shí)際核查趙白、梁志 網(wǎng)絡(luò)設(shè)備3 臺(tái)設(shè)備調(diào)查訪談、實(shí)際核查 王維、梁立 新、朱寧寧 安全設(shè)備1 臺(tái)設(shè)備調(diào)查訪談、實(shí)際核查趙白、梁志 存儲(chǔ)設(shè)備1 臺(tái)設(shè)備調(diào)查訪談、實(shí)際核查 陳修杰、梁 立新、朱寧 寧 保障設(shè)備6 種保障設(shè)備調(diào)查訪談、實(shí)際核查趙白、梁志 硬件資產(chǎn) 通訊線路 硬件資產(chǎn) 調(diào)查表 140 條線路調(diào)查訪談、實(shí)際核查 陳修杰、梁 立新、朱寧 寧 系統(tǒng)軟件 11 套主機(jī)系 統(tǒng) 調(diào)查訪談、實(shí)際核查 趙白、串廣 義 軟件資產(chǎn) 應(yīng)用軟件 軟件資產(chǎn) 調(diào)查表 4 套應(yīng)用系統(tǒng)調(diào)查訪談、實(shí)際核查 梁志、梁立 新、朱寧寧 人員資產(chǎn)中心人員 人員資產(chǎn) 調(diào)查表 9 人 調(diào)查訪談、文檔檢查 趙白、串廣 義 數(shù)據(jù)資產(chǎn) 信息數(shù)據(jù) 數(shù)據(jù)資產(chǎn) 調(diào)查表 征管系統(tǒng)數(shù) 據(jù) 調(diào)查訪談、實(shí)際核查 趙白、梁立 新、朱寧寧 文檔資資料文檔文檔資料 224 個(gè)相關(guān) 調(diào)查訪談、實(shí)際核 梁立新、 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 5 頁(yè) 共 41 頁(yè) 產(chǎn) 調(diào)查表 文檔 查 朱寧寧 2.3信息資料識(shí)別信息資料識(shí)別 xx 市地稅局的信息資產(chǎn)是指在 xx 市地稅局信息系統(tǒng)范圍內(nèi)，具有價(jià)值并 需要保護(hù)的對(duì)象。它可能是以多種形式存在，有無(wú)形的、有有形的，有硬件、有軟 件，有數(shù)據(jù)，也有服務(wù)等。它們分別具有不同的價(jià)值屬性和存在特點(diǎn)，存在的弱 點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。 參照國(guó)家最新信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范對(duì)信息資產(chǎn)的描述和定義，并結(jié)合 xx 市地稅局的基本情況，我們將 xx 市地稅局的信息資產(chǎn)分為 5 類，分別為：硬 件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、文檔資產(chǎn)，以下為本次調(diào)查的結(jié)果。 2.3.1 硬件硬件資產(chǎn)資產(chǎn) 國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范把硬件資產(chǎn)分為以下 7 大類： 1.網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等； 2.計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī) 等； 3.存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等； 4.傳輸線路：光纖、雙絞線等； 5.保障設(shè)備：動(dòng)力保障設(shè)備（ups、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門 禁、消防設(shè)施等； 6.安全保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份鑒別等； 7.其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等。 根據(jù) xx 市地稅局實(shí)際情況并結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，我們把 xx 市 地稅局的硬件資產(chǎn)分為以下 6 大類進(jìn)行分別的調(diào)查識(shí)別： xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 6 頁(yè) 共 41 頁(yè) 1.主機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等； 2.網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等； 3.安全設(shè)備：和信息安全相關(guān)的設(shè)備； 4.存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等； 5.傳輸線路：光纖、雙絞線等； 6.保障設(shè)備：動(dòng)力保障設(shè)備（ups、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門 禁、消防設(shè)施等。 主機(jī)設(shè)備主機(jī)設(shè)備 序序 號(hào)號(hào) 設(shè)備設(shè)備名稱名稱 硬件型號(hào)硬件型號(hào)硬件配置硬件配置ipip 地址地址 操作系操作系統(tǒng)統(tǒng)用途用途說(shuō)說(shuō)明明 1sjz_node1ibm rs6000 rs64 iii750mhz*4 8*512mb*2 18.2gb*2 xx.20.225.1aix 征管業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù) 2sjz_node2ibm rs6000 rs64 iii750mhz*4 8*512mb*2 18.2gb*3 xx.20.225.3aix 征管業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù) 3zg-app1ibm x440 xeon 2.4g*2 4gb 36.4gb*2 xx.20.225.19win2000 srv 征管業(yè)務(wù)系統(tǒng)應(yīng)用 4sjapp2ibm x440xeon xx.20.225.21win2000 srv 征管業(yè)務(wù)系統(tǒng)應(yīng)用 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 7 頁(yè) 共 41 頁(yè) 2.4g*2 4gb 36.4gb*2 5sjapp3ibm x440 xeon 2.4g*2 4gb 36.4gb*2 xx.20.225.23win2000 srv 征管業(yè)務(wù)系統(tǒng)應(yīng)用 6sjapp4ibm x440 xeon 2.4g*2 4gb 36.4gb*2 xx.20.225.25win2000 srv 征管業(yè)務(wù)系統(tǒng)應(yīng)用 7sjdc1ibm x440 xeon 2.4g*2 4gb 36.4gb*2 xx.20.225.10win2000 srv dc 主域控制器 8sjdc2ibm x440 xeon 2.4g*2 4gb 36.4gb*2 xx.20.225.11win2000 srv dc 主域控制器 9ibm x366 xeon 2.8g*4 4gb 72gb*3 xx.20.225.71win2000 srv 稅收管理員應(yīng)用 10sjz-oa-webhp d360 xeon 3.0g*2 2gb 72gb*2 xx.20.224.10 （11） win2000 srv www 服務(wù)器 11sjzds-odpshp d360 xeon 3.0g*2 2gb 72gb*2 xx.20.224.19 （9） win2000 srv 公文流轉(zhuǎn)服務(wù)器/瑞 星殺毒服務(wù)器 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 8 頁(yè) 共 41 頁(yè) 12hp d360 xeon 3.0g*2 2gb 72gb*2 xx.168.10.2win2000 srv 互聯(lián)網(wǎng)服務(wù)器 網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱 ipip 地址地址硬件型號(hào)硬件型號(hào) 出出產(chǎn)產(chǎn)廠商廠商 用途用途安裝日期安裝日期 1sj7513xx.20.231.254 cisco 7513 思科核心路由器 2003 年 5 月 2sj4506xx.20.231.1 cisco 4506 思科 核心交換機(jī) 2003 年 5 月 3f5xx.20.225.18f5f5 負(fù)載均衡器 2005 年 9 月 安全設(shè)備安全設(shè)備 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱設(shè)備設(shè)備形形態(tài)態(tài) ipip 地址地址 出出產(chǎn)產(chǎn)廠商廠商 品牌品牌用途用途 1ips 硬件 xx.20.225.251 綠盟 冰之眼 ips 存儲(chǔ)設(shè)備存儲(chǔ)設(shè)備 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱 ipip 地址地址硬件型號(hào)硬件型號(hào) 出出產(chǎn)產(chǎn) 廠商廠商 品牌品牌 操作系操作系統(tǒng)統(tǒng) 用途用途 1sjnasxx.20.225.165194-226ibm nas 200 windows 2000 srv 磁盤陣 列 保障設(shè)備保障設(shè)備 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱 物理地址物理地址硬件型號(hào)硬件型號(hào) 出出產(chǎn)產(chǎn)廠商廠商 品牌品牌用途用途 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 9 頁(yè) 共 41 頁(yè) 1ups 機(jī)房 ul33-0600l emerson network power emerson 停電時(shí) 供機(jī)房 所有設(shè) 備電源 2 空調(diào) 機(jī)房 s23dw001hirosshiross 機(jī)房制 冷設(shè)備 3 防雷 配電柜 val-msphcenixphcenix 機(jī)房防 雷設(shè)備 4 視頻監(jiān)控器 機(jī)房 ares 機(jī)房視 頻監(jiān)控 5 動(dòng)力、環(huán)境 監(jiān)測(cè) 機(jī)房 機(jī)房電 力、防水 監(jiān)控 6 氣體消防系 統(tǒng) 機(jī)房 ld-kp06 海灣安全技 術(shù)有限公司 gst 機(jī)房自 動(dòng)消防 系統(tǒng) 通訊線路通訊線路 用用戶戶名稱名稱線線路供路供應(yīng)應(yīng)商商 端口速率端口速率 單單位位責(zé)責(zé)任人任人 網(wǎng)通2m*115 各稅務(wù)所各單位 市局 網(wǎng)通 8m*25 各縣（市）區(qū)局各單位 2.3.2 軟軟件件資產(chǎn)資產(chǎn) 國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范把軟件資產(chǎn)分為以下 3 大類： xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 10 頁(yè) 共 41 頁(yè) 1.系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)句包、工具軟件、各種庫(kù)等； 2.應(yīng)用軟件：外部購(gòu)買的應(yīng)用軟件，外包開(kāi)發(fā)的應(yīng)用軟件等； 3.源程序：各種共享源代碼、自行或合作開(kāi)發(fā)的各種代碼等。 根據(jù) xx 市地稅局實(shí)際情況并結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，我們把 xx 市 地稅局的軟件資產(chǎn)分為以下 2 大類進(jìn)行分別的調(diào)查識(shí)別： 1.系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)句包、工具軟件、各種庫(kù)等； 2.應(yīng)用軟件：外部購(gòu)買的應(yīng)用軟件，外包開(kāi)發(fā)的應(yīng)用軟件等。 系統(tǒng)軟件系統(tǒng)軟件 序號(hào)序號(hào) 系系統(tǒng)統(tǒng)名名 稱稱 版本號(hào)版本號(hào) 對(duì)應(yīng)對(duì)應(yīng)主機(jī)主機(jī)資產(chǎn)資產(chǎn)應(yīng)應(yīng)用服用服務(wù)務(wù)出出產(chǎn)產(chǎn)廠商廠商 軟軟件服件服 務(wù)務(wù)期限期限 1windows 2000 server xx.20.225.19 tcp/ip 8020 8090 80 microsoft 是 2windows 2000 server xx.20.225.21 tcp/ip 8020 8090 80 microsoft 是 3windows 2000 server xx.20.225.23 tcp/ip 8020 8090 80 microsoft 是 4windows 2000 server xx.20.225.25 tcp/ip 8020 8090 80 microsoft 是 5windows 2000 server xx.20.225.10tcp/ipmicrosoft 是 6windows 2000 server xx.20.225.11tcp/ip microsoft 是 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 11 頁(yè) 共 41 頁(yè) 7windows 2000 server xx.20.225.14 tcp/ip 110 25 80 microsoft 是 8aix4.3.3xx.20.225.1tcp/ipibm 是 9aix4.3.3xx.20.225.3tcp/ipibm 是 10oraclexx.20.225.1tcp/ip 1521 甲骨文是 11oraclexx.20.225.3tcp/ip 1521 甲骨文是 應(yīng)用軟件應(yīng)用軟件 序序 號(hào)號(hào) 應(yīng)應(yīng)用用軟軟件名稱件名稱對(duì)應(yīng)對(duì)應(yīng)主機(jī)主機(jī)資產(chǎn)資產(chǎn)應(yīng)應(yīng)用服用服務(wù)務(wù) 軟軟件版件版 本號(hào)本號(hào) 出出產(chǎn)產(chǎn)廠商廠商 1 xx 地稅稅收征收管 理系統(tǒng) xx.20.225.19 tcp/ip 8020 8090 80 2005 版 北京華安通聯(lián)有限 責(zé)任公司 2 xx 地稅稅收征收管 理系統(tǒng) xx.20.225.21 tcp/ip 8020 8090 80 2005 版 北京華安通聯(lián)有限 責(zé)任公司 3 xx 地稅稅收征收管 理系統(tǒng) xx.20.225.23 tcp/ip 8020 8090 80 2005 版 北京華安通聯(lián)有限 責(zé)任公司 4 xx 地稅稅收征收管 理系統(tǒng) xx.20.225.25 tcp/ip 8020 8090 80 2005 版 北京華安通聯(lián)有限 責(zé)任公司 2.3.3 數(shù)據(jù)數(shù)據(jù)資產(chǎn)資產(chǎn) 國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范把數(shù)據(jù)資產(chǎn)定義為保存在信息媒介上的各種 數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用 戶手冊(cè)等 根據(jù) xx 市地稅局實(shí)際情況并結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，我們把 xx 市 地稅局?jǐn)?shù)據(jù)資產(chǎn)的評(píng)估范圍設(shè)定在核心征管系統(tǒng)的數(shù)據(jù)庫(kù)數(shù)據(jù)。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 12 頁(yè) 共 41 頁(yè) 序號(hào)序號(hào)數(shù)據(jù)名稱數(shù)據(jù)名稱用途用途 分分發(fā)發(fā)范范圍圍對(duì)應(yīng)對(duì)應(yīng)主機(jī)主機(jī)資產(chǎn)資產(chǎn)應(yīng)應(yīng)用服用服務(wù)務(wù) 數(shù)據(jù)期限數(shù)據(jù)期限 1 稅收征管相關(guān) 資料 反映納稅人相 關(guān)情況 地稅系統(tǒng) 內(nèi)部 xx.20.225.1 xx.20.225.3 稅收征管 系統(tǒng) 10 年 2.3.4 文檔文檔資產(chǎn)資產(chǎn) 國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范文檔資產(chǎn)定義為紙質(zhì)的各種文件，如傳真、電 報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等。 根據(jù) xx 市地稅局實(shí)際情況并結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，我們把 xx 市 地稅局的文檔資產(chǎn)的評(píng)估范圍設(shè)定在信息中心現(xiàn)存的重要的文檔、規(guī)范、制度及 培訓(xùn)手冊(cè)等。此次共整理 224 個(gè)各類文檔，從中提取出 31 個(gè)文檔作為此次文檔 資產(chǎn)評(píng)估范圍。 序序 號(hào)號(hào) 文檔年份文檔年份文檔名稱文檔名稱用途用途存放方式存放方式 12006 xx 地稅計(jì)算機(jī)系統(tǒng)管理制度系統(tǒng)管理制度 紙質(zhì)文檔與 電子檔 22006 系統(tǒng)數(shù)據(jù)庫(kù)口令管理系統(tǒng)管理制度 紙質(zhì)文檔與 電子檔 32004 xx 市地方稅務(wù)局信息化星級(jí)管 理辦法 管理制度 紙質(zhì)文檔與 電子檔 42004 xx 市地方稅務(wù)局 2004 年信息 化建設(shè)實(shí)施方案 管理制度 紙質(zhì)文檔與 電子檔 52004 信息化主要建設(shè)項(xiàng)目實(shí)行統(tǒng)一 審批管理 管理制度 紙質(zhì)文檔與 電子檔 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 13 頁(yè) 共 41 頁(yè) 62004 關(guān)于成立信息化工作領(lǐng)導(dǎo)小組 管理制度 紙質(zhì)文檔與 電子檔 72004 xx 市地方稅務(wù)局基層局機(jī)房維 護(hù)管理制度 管理制度 紙質(zhì)文檔與 電子檔 82004 xx 市地方稅務(wù)局計(jì)算機(jī)使用維 護(hù)管理制度 管理制度 紙質(zhì)文檔與 電子檔 92004 xx 市地方稅務(wù)局網(wǎng)絡(luò)安全管理 制度 管理制度 紙質(zhì)文檔與 電子檔 102004 xx 市地方稅務(wù)局網(wǎng)絡(luò)運(yùn)行維護(hù) 管理制度 管理制度 紙質(zhì)文檔與 電子檔 112004 xx 市地方稅務(wù)局應(yīng)用軟件維護(hù) 管理（暫行）辦法 2004-7-29 管理制度 紙質(zhì)文檔與 電子檔 122004 信息化星級(jí)管理辦法 管理制度 紙質(zhì)文檔與 電子檔 132004 xx 地稅計(jì)算機(jī)系統(tǒng)管理制度 (定稿) 管理制度 紙質(zhì)文檔與 電子檔 142004 xx 地稅市局機(jī)房維護(hù)制度 管理制度 紙質(zhì)文檔與 電子檔 152006 應(yīng)用軟件維護(hù)制度 22 號(hào)文 管理制度 紙質(zhì)文檔與 電子檔 162007 2007 年信息化工作要點(diǎn)（定稿)管理制度 紙質(zhì)文檔與 電子檔 172007 xx 市基層單位兼職信息化管理 管理制度 紙質(zhì)文檔與 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 14 頁(yè) 共 41 頁(yè) 人員職責(zé)(新）電子檔 182007 信息化星級(jí)管理辦法 2007 管理制度 紙質(zhì)文檔與 電子檔 192006 xx 地稅市局征管數(shù)據(jù)庫(kù)備份系 統(tǒng)維護(hù)管理辦法 管理制度 紙質(zhì)文檔與 電子檔 202005 xx 地稅市局征管數(shù)據(jù)庫(kù)備份系 統(tǒng)維護(hù)手冊(cè) 維護(hù)手冊(cè) 紙質(zhì)文檔與 電子檔 212006 xx 地稅數(shù)據(jù)復(fù)制系統(tǒng)使用維護(hù) 手冊(cè) 維護(hù)手冊(cè) 紙質(zhì)文檔與 電子檔 222006 xx 地稅數(shù)據(jù)復(fù)制系統(tǒng)維護(hù)管理 辦法（試行） 管理制度 紙質(zhì)文檔與 電子檔 232005 2005 版征管系統(tǒng)稅務(wù)登記說(shuō)明 書(shū)（一） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 242005 2005 版征管系統(tǒng)申報(bào)征收說(shuō)明 書(shū)（二） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 252005 2005 版征管系統(tǒng)稅收計(jì)會(huì)說(shuō)明 書(shū)（三） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 262005 2005 版征管系統(tǒng)稅務(wù)管理說(shuō)明 書(shū)（四） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 272005 2005 版征管系統(tǒng)征收管理說(shuō)明 書(shū)（五） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 282005 2005 版征管系統(tǒng)文書(shū)審批說(shuō)明 書(shū)（六） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 15 頁(yè) 共 41 頁(yè) 292005 2005 版征管系統(tǒng)基層查詢說(shuō)明 書(shū)（七） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 302005 2005 版征管系統(tǒng)設(shè)置說(shuō)明書(shū) （八） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 312005 2005 版征管系統(tǒng)典型業(yè)務(wù)說(shuō)明 書(shū)（九） 征管軟件說(shuō)明書(shū) 紙質(zhì)文檔與 電子檔 2.3.5 人人員資產(chǎn)員資產(chǎn) 國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范人員資產(chǎn)定義為掌握重要信息和核心業(yè)務(wù)的 人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目主管等。 根據(jù) xx 市地稅局實(shí)際情況并結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，我們把 xx 市 地稅局的人員資產(chǎn)的評(píng)估范圍設(shè)定在信息中心在職工作人員。信息中心在職人 員共有 13 人，主要進(jìn)行高級(jí)管理的主任或副級(jí)的人員有三人，重要系統(tǒng)管理人 員為六人。因此，此次人員資產(chǎn)的評(píng)估范圍是信息中心高級(jí)管理人員及重要資產(chǎn) 管理人員共九人。 序號(hào)序號(hào) 人人員員名稱名稱 所屬所屬 部部門門 人人員員 職務(wù)職務(wù) 人人員職責(zé)員職責(zé) 1xxx 信息中心主任 1 負(fù)責(zé)全面工作。 2 負(fù)責(zé)全系統(tǒng)信息化建設(shè)規(guī)劃和實(shí)施方案的 組織制定工作。 3 負(fù)責(zé)協(xié)調(diào)組織全系統(tǒng)信息化建設(shè)規(guī)劃和方 案的實(shí)施工作。 4 負(fù)責(zé)信息化隊(duì)伍建設(shè)工作。 5 完成領(lǐng)導(dǎo)交辦的其他工作。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 16 頁(yè) 共 41 頁(yè) 2xxx 信息中心副主任 1主管軟件維護(hù)工作。 2主管軟件試點(diǎn)和推廣工作。 3主管辦公自動(dòng)化工作。 4主管安全防范工作。 5完成領(lǐng)導(dǎo)交辦的其他工作。 3xxx 信息中心副主任 1主管網(wǎng)絡(luò)維護(hù)工作。 2主管系統(tǒng)運(yùn)維工作。 3主管軟件開(kāi)發(fā)工作。 4主管綜合工作。 5完成領(lǐng)導(dǎo)交辦的其他工作。 4xxx 信息中心 組長(zhǎng) 1負(fù)責(zé)網(wǎng)絡(luò)管理工作 2負(fù)責(zé)系統(tǒng)維護(hù)工作 3負(fù)責(zé) dc1、dc2 服務(wù)器的硬件及系統(tǒng)的維護(hù) 4負(fù)責(zé) ftp 服務(wù)器的硬件及軟件的維護(hù) 5負(fù)責(zé) nas 服務(wù)器的硬件及數(shù)據(jù)備份的管理與 維護(hù) 6負(fù)責(zé) exchange 服務(wù)器的硬件及郵件系統(tǒng)的 維護(hù) 7負(fù)責(zé)輔助應(yīng)用系統(tǒng)的硬件及操作系統(tǒng)的升級(jí) 與維護(hù) 8負(fù)責(zé)機(jī)房空調(diào)維護(hù)工作 9負(fù)責(zé)消防系統(tǒng)維護(hù)工作 10負(fù)責(zé)機(jī)房環(huán)境監(jiān)控工作 11負(fù)責(zé)軟件開(kāi)發(fā)的前期開(kāi)發(fā)工作 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 17 頁(yè) 共 41 頁(yè) 12領(lǐng)導(dǎo)安排的其他工作 5xxx 信息中心 科員 1. 負(fù)責(zé)市局辦公網(wǎng)站的框架規(guī)劃、版式設(shè)計(jì)及 組織編寫網(wǎng)站程序。 2. 負(fù)責(zé)辦公網(wǎng)站的部署實(shí)施與程序維護(hù)。 3. 負(fù)責(zé)辦公網(wǎng)站的信息發(fā)布工作的技術(shù)指導(dǎo) 和培訓(xùn)。 4. 負(fù)責(zé)市局辦公網(wǎng)站的數(shù)據(jù)備份及服務(wù)器日 常管理。 5. 負(fù)責(zé)全系統(tǒng)計(jì)算機(jī)防病毒工作的維護(hù)工作， 定時(shí)升級(jí)防病毒軟件。 6. 負(fù)責(zé)監(jiān)控全系統(tǒng)下級(jí)防計(jì)算機(jī)病毒中心，督 導(dǎo)客戶端及時(shí)升級(jí)查殺。 7. 負(fù)責(zé)全系統(tǒng)每年的計(jì)算機(jī)安全培訓(xùn)工作。 8. 負(fù)責(zé)長(zhǎng)安辦公樓的辦公網(wǎng)站服務(wù)器的資源 管理。 9完成領(lǐng)導(dǎo)交辦的其他工作。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 18 頁(yè) 共 41 頁(yè) 6xxx 信息中心 科員 1.負(fù)責(zé)機(jī)房 ups 維護(hù)工作 2.負(fù)責(zé) ups 電池維護(hù)工作 3.負(fù)責(zé)機(jī)房強(qiáng)電維護(hù)工作 4.負(fù)責(zé)機(jī)房 kvm 維護(hù)工作 5.負(fù)責(zé)主控室設(shè)備維護(hù)工作 6.負(fù)責(zé)軟件開(kāi)發(fā)的后期工作 7.負(fù)責(zé) 1721 層電腦維護(hù)及局域網(wǎng)維護(hù)工作 8.負(fù)責(zé)弱電井設(shè)備維護(hù)工作 9.負(fù)責(zé)視頻會(huì)議會(huì)前調(diào)試和維護(hù)工作 10.負(fù)責(zé)數(shù)據(jù)分析工作 7xxx 信息中心 科員 1. 負(fù)責(zé)有關(guān)網(wǎng)絡(luò)的日常事務(wù)性維護(hù)； 2. 負(fù)責(zé)市局中心端內(nèi)、外網(wǎng)網(wǎng)絡(luò)設(shè)備故障的排 除； 3. 負(fù)責(zé) cdma 線路故障的排除； 4. 負(fù)責(zé)市局內(nèi)、外網(wǎng)監(jiān)控與管理； 5. 與有關(guān)同志共同負(fù)責(zé)網(wǎng)絡(luò)建設(shè)項(xiàng)目； 6. 與有關(guān)同志共同負(fù)責(zé)有關(guān)網(wǎng)絡(luò)知識(shí)的培訓(xùn)； 7. 協(xié)助基層單位分析網(wǎng)絡(luò)故障； 8. 協(xié)調(diào)網(wǎng)通、基層局排除廣域網(wǎng)線路故障； 9. 了解網(wǎng)絡(luò)現(xiàn)狀，適時(shí)向領(lǐng)導(dǎo)提出網(wǎng)絡(luò)發(fā)展規(guī) 劃； 10. 領(lǐng)導(dǎo)交辦的其它工作。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 19 頁(yè) 共 41 頁(yè) 8xxx 信息中心 科員 1負(fù)責(zé)小型機(jī)硬件維護(hù)、調(diào)試及保養(yǎng) 2負(fù)責(zé)小型機(jī)操作系統(tǒng) aix 的升級(jí)、維護(hù) 3負(fù)責(zé)征管系統(tǒng)后臺(tái) oracle 數(shù)據(jù)庫(kù)的日常維 護(hù)、數(shù)據(jù)備份、狀態(tài)監(jiān)控及性能調(diào)優(yōu) 4負(fù)責(zé)征管系統(tǒng)應(yīng)用服務(wù)器的硬件及操作系統(tǒng) 的維護(hù)及升級(jí) 5負(fù)責(zé) dc1、dc2 服務(wù)器的硬件及系統(tǒng)的維護(hù) 6負(fù)責(zé) exchange 服務(wù)器的硬件及郵件系統(tǒng)的 維護(hù) 7負(fù)責(zé) ftp 服務(wù)器的硬件及軟件的維護(hù) 8負(fù)責(zé) nas 服務(wù)器的硬件及數(shù)據(jù)備份的管理與 維護(hù) 9負(fù)責(zé)輔助應(yīng)用系統(tǒng)的硬件及操作系統(tǒng)的升級(jí) 與維護(hù) 10負(fù)責(zé)培訓(xùn)環(huán)境的硬件及操作系統(tǒng)的升級(jí)與 維護(hù) 11負(fù)責(zé)車船稅征收管理軟件、建安房地產(chǎn)軟件 相關(guān)設(shè)備維護(hù)及軟件運(yùn)行管理 12負(fù)責(zé)軟件開(kāi)發(fā)工作 13領(lǐng)導(dǎo)安排的其他工作 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 20 頁(yè) 共 41 頁(yè) 9xxx 信息中心 科員 1. 負(fù)責(zé)征管軟件的運(yùn)行維護(hù)工作. 2. 負(fù)責(zé)個(gè)人所得稅軟件的運(yùn)行維護(hù)工作. 3. 負(fù)責(zé)網(wǎng)上報(bào)稅軟件的運(yùn)行維護(hù)工作. 4. 負(fù)責(zé)決策支持系統(tǒng)的運(yùn)行維護(hù)工作. 5. 負(fù)責(zé)法制軟件的運(yùn)行維護(hù)工作. 6. 負(fù)責(zé)人事管理軟件維護(hù)工作. 7. 負(fù)責(zé)其它軟件的維護(hù)工作. 8. 負(fù)責(zé)應(yīng)用軟件的試點(diǎn)測(cè)試工作,做好方案制 定、培訓(xùn)和試點(diǎn)軟件技術(shù)問(wèn)題搜集、分析、解答 工作。 9. 負(fù)責(zé)應(yīng)用軟件的推廣工作，做好方案制定、 培訓(xùn)和技術(shù)問(wèn)題分析、解答工作。 10. 完成其它工作。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 21 頁(yè) 共 41 頁(yè) 3 資產(chǎn)賦值方法資產(chǎn)賦值方法 信息資產(chǎn)價(jià)值有別于資產(chǎn)的帳面價(jià)值和重置價(jià)值，而是指資產(chǎn)在安全方面 的相對(duì)價(jià)值。本文中所指的信息資產(chǎn)價(jià)值全部都表示相對(duì)價(jià)值。 進(jìn)行資產(chǎn)估價(jià)時(shí)，不僅要考慮資產(chǎn)的帳面價(jià)值，更重要的是考慮資產(chǎn)對(duì)于組 織商務(wù)或業(yè)務(wù)的重要性，即資產(chǎn)損失所引發(fā)潛在的商務(wù)或業(yè)務(wù)的影響來(lái)決定，例 如導(dǎo)致業(yè)務(wù)中斷、資金和市場(chǎng)份額的損失、企業(yè)形象的損害等直接和間接的經(jīng)濟(jì) 損失。為確保資產(chǎn)估價(jià)的一致性和準(zhǔn)確性，應(yīng)建立一個(gè)資產(chǎn)的價(jià)值尺度，即資產(chǎn) 評(píng)價(jià)標(biāo)準(zhǔn)，以明確如何對(duì)資產(chǎn)進(jìn)行賦值。 信息資產(chǎn)分別具有不同的安全屬性，機(jī)密性、完整性和可用性分別反映了資 產(chǎn)在三個(gè)不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需 求的不同。通過(guò)考察三種不同安全屬性，可以得出一個(gè)能夠基本反映資產(chǎn)價(jià)值的 定性的數(shù)值。在信息資產(chǎn)估價(jià)時(shí)，主要對(duì)資產(chǎn)的這三個(gè)安全屬性分別賦予價(jià)值， 以此反映出信息資產(chǎn)的價(jià)值。 密性、完整性和可用性的定義如下： 保密性：確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息。如果信息或者服務(wù)被無(wú) 關(guān)甚至懷有惡意的人獲得，則表明該資產(chǎn)的保密性受到了損害。 完整性：保護(hù)信息和信息的處理方法準(zhǔn)確而完整；如果信息或者服務(wù)在 傳遞過(guò)程中因?yàn)橄到y(tǒng)故障或者惡意的方法導(dǎo)致被修改，并引起錯(cuò)誤，則 表明該資產(chǎn)的完整性受到了損害。 可用性：確保經(jīng)過(guò)授權(quán)的用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息 資產(chǎn)。如果信息非正常丟失或者服務(wù)非正常中斷，則表明該資產(chǎn)的可用 性受到了損害。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 22 頁(yè) 共 41 頁(yè) 保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià) 值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度 或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不 同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的 安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對(duì)組織中的資 產(chǎn)進(jìn)行識(shí)別。 3.1保密性賦值保密性賦值 根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上 應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。表提供了一種保密性賦值的參考。 資產(chǎn)保密性賦值表資產(chǎn)保密性賦值表 賦值標(biāo)識(shí)定義 5 很高 包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定 性的影響，如果泄露會(huì)造成災(zāi)難性的損害 4 高 包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害 3 中等 組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害 2 低 僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的 利益造成輕微損害 1 很低 可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等 3.2完整性賦值完整性賦值 根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn) 在完整性上缺失時(shí)對(duì)整個(gè)組織的影響。表提供了一種完整性賦值的參考。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 23 頁(yè) 共 41 頁(yè) 資產(chǎn)完整性賦值表資產(chǎn)完整性賦值表 賦值標(biāo)識(shí)定義 5 很高 完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受 的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)。 4 高 完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊 嚴(yán)重，較難彌補(bǔ)。 3 中等 完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯， 但可以彌補(bǔ)。 2 低 完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊 輕微，容易彌補(bǔ)。 1 很低 完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè) 務(wù)沖擊可以忽略。 3.3可用性賦值可用性賦值 根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn) 在可用性上應(yīng)達(dá)成的不同程度。表 4 提供了一種可用性賦值的參考。 資產(chǎn)可用性賦值表資產(chǎn)可用性賦值表 賦值標(biāo)識(shí)定義 5 很高 可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度 99.9%以 上，或系統(tǒng)不允許中斷。 4 高 可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天 90%以上， 或系統(tǒng)允許中斷時(shí)間小于 10min。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 24 頁(yè) 共 41 頁(yè) 3 中等 可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 70%以上，或系統(tǒng)允許中斷時(shí)間小于 30min。 2 低 可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 25%以上，或系統(tǒng)允許中斷時(shí)間小于 60min。 1 很低 可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間 低于 25%。 3.4資產(chǎn)重要性等級(jí)資產(chǎn)重要性等級(jí) 資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng) 定得出。綜合評(píng)定方法可以根據(jù)自身的特點(diǎn)，選擇對(duì)資產(chǎn)保密性、完整性和可用 性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保 密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值 結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。 本標(biāo)準(zhǔn)中，為與上述安全屬性的賦值相對(duì)應(yīng)，根據(jù)最終賦值將資產(chǎn)劃分為五 級(jí)，級(jí)別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實(shí)際情況確定資產(chǎn)識(shí)別中的賦 值依據(jù)和等級(jí)。表中的資產(chǎn)等級(jí)劃分表明了不同等級(jí)的重要性的綜合描述。評(píng)估 者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進(jìn)行下一步 的風(fēng)險(xiǎn)評(píng)估。 資產(chǎn)等級(jí)及含義描述資產(chǎn)等級(jí)及含義描述 等級(jí)標(biāo)識(shí) 描述 5 很高 非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失。 4 高 重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 25 頁(yè) 共 41 頁(yè) 3 中 比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失。 2 低 不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失。 1 很低 不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)。 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 26 頁(yè) 共 41 頁(yè) 4 xx 市地稅局資產(chǎn)賦值市地稅局資產(chǎn)賦值 4.1硬件資產(chǎn)賦值硬件資產(chǎn)賦值 4.1.1 主機(jī)主機(jī)設(shè)備設(shè)備 保密性賦值： 數(shù)據(jù)庫(kù)主機(jī)中運(yùn)行的是核心應(yīng)用征管系統(tǒng)的數(shù)據(jù)庫(kù)，保密性設(shè)為 5； dc 域控制器為征管系統(tǒng)提供集中身份驗(yàn)證，保密性為 4； 征管應(yīng)用服務(wù)器為核心應(yīng)用系統(tǒng)，保密性設(shè)為 3； 稅收管理應(yīng)用，為內(nèi)部應(yīng)用服務(wù)器，保密性設(shè)為 3； www 服務(wù)器為發(fā)布服務(wù)器，保密性要求相對(duì)比較低，因此設(shè)為 2； 公文流轉(zhuǎn)及防病毒服務(wù)器，承擔(dān)內(nèi)部公文流轉(zhuǎn)及防病毒的任務(wù)，由于有公文 流轉(zhuǎn)，因此設(shè)為 4； 可用性賦值 數(shù)據(jù)庫(kù)主機(jī)承擔(dān)征管系統(tǒng)數(shù)據(jù)查詢及數(shù)據(jù)存儲(chǔ)功能，雖然由兩臺(tái)數(shù)據(jù)庫(kù)主 機(jī)分別提供此項(xiàng)功能，但由于平時(shí)數(shù)據(jù)庫(kù)主機(jī)的壓力比較高，一臺(tái)主機(jī)如果 發(fā)生故障有可能影響整個(gè)征管系統(tǒng)的應(yīng)用，因此可用性要求最高，設(shè)為 5； dc 域控制器為征管提供身體驗(yàn)證，由兩臺(tái) dc 控制器分別進(jìn)行，可能用性 要求不是非常高，設(shè)為 3； 征管應(yīng)用系統(tǒng)由四臺(tái)主機(jī)分別提供，任何一臺(tái)或兩臺(tái)主機(jī)發(fā)生故障，一般不 會(huì)影響整個(gè)系統(tǒng)的應(yīng)用，因此可用性設(shè)為 2； 稅收管理應(yīng)用，現(xiàn)階段沒(méi)有正式開(kāi)通，可用性要求不高，設(shè)為 2； www 服務(wù)器為發(fā)布服務(wù)器，只有一臺(tái)主機(jī)提供服務(wù)，可用性要求相對(duì)較高， xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 27 頁(yè) 共 41 頁(yè) 設(shè)為 4； 公文流轉(zhuǎn)及防病毒服務(wù)器，承擔(dān)內(nèi)部公文流轉(zhuǎn)及防病毒的任務(wù)，只有一臺(tái)主 機(jī)提供相關(guān)服務(wù)，可用性要求相對(duì)較高，設(shè)為 4； 完整性賦值 數(shù)據(jù)庫(kù)承擔(dān)征管系統(tǒng)數(shù)據(jù)查詢及數(shù)據(jù)存儲(chǔ)功能，數(shù)據(jù)內(nèi)容不容被破壞或修 改，因此，完整性要求最高，設(shè)為 4； dc 域控制器為征管提供身體驗(yàn)證，完整性要求相對(duì)較高設(shè)為 3； 征管應(yīng)用系統(tǒng)由四臺(tái)主機(jī)分別提供，征管應(yīng)用是一項(xiàng)流程一項(xiàng)業(yè)務(wù)，對(duì)于流 程或業(yè)務(wù)完整性的要求比較高，因此，設(shè)為 4； 稅收管理應(yīng)用，是一項(xiàng)應(yīng)用服務(wù)，完整性的要求比較高，設(shè)為 4； www 服務(wù)器為發(fā)布服務(wù)器，但由于此服務(wù)器不是核心應(yīng)用系統(tǒng)，因此完整 性要求不是要求很嚴(yán)格，設(shè)為 3 公文流轉(zhuǎn)及防病毒服務(wù)器，承擔(dān)內(nèi)部公文流轉(zhuǎn)及防病毒的任務(wù)，公文流轉(zhuǎn)和 防病毒都是比較重要的應(yīng)用服務(wù)，完整性要求相對(duì)較高，設(shè)為 4； 具體列表如下： 序序 號(hào)號(hào) 設(shè)備設(shè)備名稱名稱 ipip 地址地址 用途用途說(shuō)說(shuō)明明 保密性保密性可用性可用性完整性完整性 資產(chǎn)資產(chǎn) 等等級(jí)級(jí) 1sjz_node1xx.20.225.1 征管業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù) 544 2sjz_node1xx.20.225.3 征管業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù) 544 3zg-app1xx.20.225.19 征管業(yè)務(wù)系統(tǒng)應(yīng)用 324 4sjapp2xx.20.225.21 征管業(yè)務(wù)系統(tǒng)應(yīng)用 324 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 28 頁(yè) 共 41 頁(yè) 5sjapp3xx.20.225.23 征管業(yè)務(wù)系統(tǒng)應(yīng)用 324 6sjapp4xx.20.225.25 征管業(yè)務(wù)系統(tǒng)應(yīng)用 324 7sjdc1xx.20.225.10 dc 主域控制器433 8sjdc2xx.20.225.11 dc 主域控制器433 9xx.20.225.71 稅收管理員應(yīng)用 324 10sjz-oa-web xx.20.224.10（1 1） www 服務(wù)器 243 11sjzds-odps xx.20.224.19（9 ） 公文流轉(zhuǎn)服務(wù)器/瑞 星殺毒服務(wù)器 444 4.1.2 網(wǎng)網(wǎng)絡(luò)設(shè)備絡(luò)設(shè)備 保密性賦值 核心路由器、核心交換機(jī)上的數(shù)據(jù)為重要的征管數(shù)據(jù)，保密性設(shè)為 3； f5 負(fù)載均衡的數(shù)據(jù)為重要的征管數(shù)據(jù)，保密性設(shè)為 3； 可用性賦值 核心路由器、核心交換機(jī)是整個(gè)設(shè)級(jí)地稅網(wǎng)絡(luò)的核心網(wǎng)絡(luò)設(shè)備，可用性要求 比較高，設(shè)為 4 f5 負(fù)載均衡設(shè)備承擔(dān)為內(nèi)部四臺(tái)征管應(yīng)用提供數(shù)據(jù)中轉(zhuǎn)，f5 是否可用直接 會(huì)影響整個(gè)征管系統(tǒng)，可用性要求最高，設(shè)為 5； 完整性賦值 核心路由器、核心交換機(jī)上的數(shù)據(jù)為重要的征管數(shù)據(jù)，因此，完整性要求比 較高，設(shè)為 4； f5 負(fù)載均衡的數(shù)據(jù)為重要的征管數(shù)據(jù)，因此，完整性要求比較高，設(shè)為 4； xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 29 頁(yè) 共 41 頁(yè) 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱 ipip 地址地址用途用途保密性保密性可用性可用性完整性完整性 資產(chǎn)資產(chǎn) 等等級(jí)級(jí) 1sj7513xx.20.231.254 核心路由 器 344 2sj4506xx.20.231.1 核心交換 機(jī) 344 3f5xx.20.225.18 負(fù)載均衡 器 354 4.1.3 安全安全設(shè)備設(shè)備 保密性賦值 ips 為入侵防御系統(tǒng)，是一種安全設(shè)備，保密性要求比較低，設(shè)為 2； 可用性賦值 ips 為入侵防御系統(tǒng)，是一種安全設(shè)備，作為入侵防御系統(tǒng)，它串連在核心 路由與核心交換機(jī)之間，ips 是否可用，直接影響市地稅與下面分局或所的數(shù)據(jù) 能信，因此，可用性設(shè)為 4 完整性賦值 ips 為入侵防御系統(tǒng)，是一種安全設(shè)備，完整性要求不是很高，設(shè)為 3； 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱 ipip 地址地址保密性保密性可用性可用性完整性完整性 資產(chǎn)資產(chǎn)等等級(jí)級(jí) 1ipsxx.20.225.251243 4.1.4 存存儲(chǔ)設(shè)備儲(chǔ)設(shè)備 保密性賦值 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 30 頁(yè) 共 41 頁(yè) 存儲(chǔ)設(shè)備存儲(chǔ)的是重要數(shù)據(jù)庫(kù)數(shù)據(jù)，保密性要求比較高，設(shè)為 4； 可用性賦值 存儲(chǔ)設(shè)備對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份，可用性要求比較高，設(shè)為 4； 完整性賦值 存儲(chǔ)設(shè)備對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份，如果備份數(shù)據(jù)有問(wèn)題，可以進(jìn)行重新備份，因 此完整性的要求不是特別高，設(shè)為 3； 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱 ipip 地址地址硬件型號(hào)硬件型號(hào) 出出產(chǎn)產(chǎn) 廠商廠商 保密性保密性可用性可用性完整性完整性 1sjnasxx.20.225.165194-226ibm443 4.1.5 保障保障設(shè)備設(shè)備 保密性賦值 ups、空調(diào)、防雷、氣體消防系統(tǒng)均不存在數(shù)據(jù)和重要的監(jiān)控信息，因此，保 密性設(shè)為 1； 視頻監(jiān)控系統(tǒng)，由于負(fù)責(zé)機(jī)房視頻監(jiān)控，視頻數(shù)據(jù)有比較強(qiáng)的保密性要求， 因此，保密性設(shè)為 4； 可用性賦值 ups、消防系統(tǒng)分別承擔(dān)電源保障及機(jī)房消防，可用性要求最高，為 4； 空調(diào)設(shè)備有兩臺(tái)，一臺(tái)出現(xiàn)故障不會(huì)很大程度影響機(jī)房運(yùn)行，因此可用性設(shè) 為 2； 防雷設(shè)備，由于地稅大廈已經(jīng)做了防雷處理，因此，機(jī)房防雷的可用性要求 不是很高，設(shè)為 2； 動(dòng)力和環(huán)境監(jiān)測(cè)系統(tǒng)，不是核心保障設(shè)備，可用性設(shè)為 2； xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 31 頁(yè) 共 41 頁(yè) 設(shè)頻監(jiān)控系統(tǒng)，負(fù)責(zé)監(jiān)控機(jī)房日常情況，可用性要求設(shè)為 3 完整性賦值 ups、消防系統(tǒng)分別承擔(dān)電源保障及機(jī)房消防，設(shè)備的完整性直接影響整個(gè) 機(jī)房的運(yùn)行狀態(tài)，因此完整性設(shè)為 4； 空調(diào)設(shè)備有兩臺(tái)，一臺(tái)出現(xiàn)故障不會(huì)很大程度影響機(jī)房運(yùn)行，因此完整性設(shè) 為 2； 防雷設(shè)備，由于地稅大廈已經(jīng)做了防雷處理，因此，機(jī)房防雷的完整性要求 不是很高，設(shè)為 2； 動(dòng)力和環(huán)境監(jiān)測(cè)系統(tǒng)，不是核心保障設(shè)備，完整性設(shè)為 2； 設(shè)頻監(jiān)控系統(tǒng)，負(fù)責(zé)監(jiān)控機(jī)房日常情況，完整性要求設(shè)為 3 序號(hào)序號(hào) 設(shè)備設(shè)備名稱名稱 硬件型號(hào)硬件型號(hào) 出出產(chǎn)產(chǎn)廠商廠商 保密性保密性可用性可用性完整性完整性 資產(chǎn)資產(chǎn) 等等級(jí)級(jí) 1upsul33-0600l emerson network power 144 2 空調(diào) s23dw001hiross122 3 空調(diào) s23dw001hiross122 4 防雷 val-ms122 5 視頻監(jiān)控器 433 6 動(dòng)力、環(huán)境 監(jiān)測(cè) 222 7 氣體消防系 ld-kp06144 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 32 頁(yè) 共 41 頁(yè) 統(tǒng) 4.1.6 通通訊線訊線路路 保密性賦值 8m 縣（區(qū)）局線路和 2m 所級(jí)線路，是市局和各縣（區(qū)）局級(jí)機(jī)關(guān)進(jìn)行通訊的 線路及市級(jí)和各所級(jí)機(jī)關(guān)進(jìn)行通訊的線路，線路上主要是征管數(shù)據(jù)，保密性要求 為 3； 可用性賦值 8m 縣（區(qū)）局線路，是市局和各縣（區(qū)）局級(jí)機(jī)關(guān)進(jìn)行通訊的線路及市級(jí)，線 路上主要是征管數(shù)據(jù)，可用性要求為 4； 2m 所級(jí)線路，是市級(jí)和各所級(jí)機(jī)關(guān)進(jìn)行通訊的線路，線路上主要是征管數(shù) 據(jù)，可用性要求為 3； 完整性賦值 8m 縣（區(qū)）局線路和 2m 所級(jí)線路，是市局和各縣（區(qū)）局級(jí)機(jī)關(guān)進(jìn)行通訊的 線路及市級(jí)和各所級(jí)機(jī)關(guān)進(jìn)行通訊的線路，線路上主要是征管數(shù)據(jù)，完整性要求 為 2； 用用戶戶名稱名稱線線路供路供應(yīng)應(yīng)商商 端口速率端口速率 單單位位 保密性保密性可用性可用性完整性完整性 資產(chǎn)資產(chǎn) 等等級(jí)級(jí) 網(wǎng)通2m*115 各稅務(wù)所 333 市局 網(wǎng)通 8m*25 各縣（市）區(qū)局 343 4.2軟件資產(chǎn)賦值軟件資產(chǎn)賦值 4.2.1 系系統(tǒng)軟統(tǒng)軟件件 保密性賦值 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 33 頁(yè) 共 41 頁(yè) 除控制器上的兩個(gè)操作系統(tǒng)外，其它 win2000 操作系統(tǒng)及 ibm aix 保 密性均設(shè)為； 控制器上的主機(jī)系統(tǒng)由于承擔(dān)用戶驗(yàn)證的功能，因此，保密性要求為； 數(shù)據(jù)庫(kù)系統(tǒng)的保密性為； 可用性賦值 四臺(tái)征管應(yīng)用服務(wù)器上的主機(jī)系統(tǒng)由于采用了負(fù)載均衡，因此，征管應(yīng)用系 統(tǒng)上的操作系統(tǒng)可用性要求較底，為； 現(xiàn)臺(tái)域控制器上的系統(tǒng)，可用性為； 公文流轉(zhuǎn)上的主機(jī)系統(tǒng)，可用性為 主機(jī)系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)，可用性為； 完整性賦值 兩臺(tái)域控制系統(tǒng)、四臺(tái)征管應(yīng)用主機(jī)系統(tǒng)由于都是多臺(tái)系統(tǒng)提供功能，因此 完整性要求均為； 公文流轉(zhuǎn)主機(jī)系統(tǒng)為單一主機(jī)系統(tǒng)，完整性為； ibm aix主機(jī)系統(tǒng)及oracle數(shù)據(jù)庫(kù)系統(tǒng)，完整性為； 序號(hào)序號(hào) 系系統(tǒng)統(tǒng)名稱名稱 版本號(hào)版本號(hào) 對(duì)應(yīng)對(duì)應(yīng)主機(jī)主機(jī)資產(chǎn)資產(chǎn)出出產(chǎn)產(chǎn)廠商廠商 保密性保密性可用性可用性完整性完整性 資產(chǎn)資產(chǎn)等等級(jí)級(jí) 1windows2000 serverxx.20.225.19microsoft323 2windows2000 serverxx.20.225.21microsoft323 3windows2000 serverxx.20.225.23microsoft323 4windows2000 serverxx.20.225.25microsoft323 5windows2000 serverxx.20.225.10microsoft433 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 34 頁(yè) 共 41 頁(yè) 6windows2000 serverxx.20.225.11microsoft433 7windows2000 serverxx.20.225.14microsoft344 8aix4.3.3xx.20.225.1ibm344 9aix4.3.3xx.20.225.3ibm344 10oraclexx.20.225.1 甲骨文44 11oraclexx.20.225.3 甲骨文44 4.2.2 應(yīng)應(yīng)用用軟軟件件 保密性賦值 四套征管應(yīng)用系統(tǒng)保密性均為； 可用性賦值 四套征管應(yīng)用系統(tǒng)，由于采用了集群負(fù)載均衡的工作方式，單套可用性要求 不高，為； 完整性賦值 四套征管應(yīng)用系統(tǒng)，由于為業(yè)務(wù)應(yīng)用系統(tǒng)，對(duì)業(yè)務(wù)的完整性要求相對(duì)較高， 因此設(shè)為； 序序 號(hào)號(hào) 應(yīng)應(yīng)用用軟軟件名稱件名稱對(duì)應(yīng)對(duì)應(yīng)主機(jī)主機(jī)資產(chǎn)資產(chǎn) 軟軟件版件版 本號(hào)本號(hào) 出出產(chǎn)產(chǎn)廠商廠商 保密保密 性性 可用可用 性性 完整完整 性性 資產(chǎn)資產(chǎn) 等等級(jí)級(jí) 1 xx 地稅稅收征 收管理系統(tǒng) xx.20.225.19 2005 版 北京華安通聯(lián)有 限責(zé)任公司 423 2 xx 地稅稅收征 收管理系統(tǒng) xx.20.225.21 2005 版 北京華安通聯(lián)有 限責(zé)任公司 423 3 xx 地稅稅收征 xx.20.225.23 2005 版 北京華安通聯(lián)有 423 xx市地稅局信息系統(tǒng)資產(chǎn)評(píng)估報(bào)告 第 35 頁(yè) 共 41 頁(yè) 收管理系統(tǒng)限責(zé)任公司 4 xx 地稅稅收征 收管理系統(tǒng) xx.20.225.25 2005 版 北京華安通聯(lián)有 限責(zé)任公司 423 4.3數(shù)據(jù)資產(chǎn)賦值數(shù)據(jù)資產(chǎn)賦值 保密性賦值 稅收征管數(shù)據(jù)保密性要求非常高，設(shè)為； 可用性賦值 稅收征管數(shù)據(jù)可用性要求非常高，設(shè)為； 完整性賦值 稅收征管數(shù)據(jù)完整性要求非常高，設(shè)為； 序序 號(hào)號(hào) 數(shù)據(jù)名稱數(shù)據(jù)名稱用途用途 分分發(fā)發(fā) 范范圍圍 對(duì)應(yīng)對(duì)應(yīng)主主 機(jī)機(jī)資產(chǎn)資產(chǎn) 保密性保密性可用性可用性完整性完整性 資產(chǎn)資產(chǎn) 等等級(jí)級(jí) 1 稅收征管相 關(guān)資料 反映納稅人 相關(guān)情況 地稅系 統(tǒng)內(nèi)部 xx.20.225.1 xx.20.225.3 4.4文檔資產(chǎn)賦值文檔資產(chǎn)賦值 保密性賦值 xx 地稅局信息中心