安全安全安全管理崗位及其職責(zé)

1、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)編制說明稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)是稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理體系框架中的文檔之一，這個文檔是依據(jù)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全總體策略的相關(guān)要求編寫，目的是為了初步建立稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位，明確安全管理人員的職責(zé)。但由于各級稅務(wù)系統(tǒng)（總局、省局、地市局、區(qū)縣級局）具有不同的特點，沒有一種模式適用所有的組織，而且由于人員的限制，特別是地市局及區(qū)縣級局中人員的限制，通常沒有特定的專職人員來擔任本文檔中描述的眾多安全管理角色。因此，本文檔的適用范圍確定在總局、各省局、各地市局，對區(qū)縣級局不適用，各區(qū)縣級局可由其上級地市局根據(jù)具體情況做相應(yīng)要求。本

2、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)文檔共包括二章內(nèi)容，第一章為管理角色與職責(zé)，描述了稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理組織架構(gòu)，以及主要的信息安全管理角色與職責(zé)；第二章為管理崗位及設(shè)置原則，示例列出信息技術(shù)部門中主要信息安全管理崗位，并描述了稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位設(shè)置原則。稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)（試行稿）國家稅務(wù)總局信息中心二四年十月目 錄 TOC o 1-4 一、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理角色與職責(zé) PAGEREF _Toc h 1 信息安全領(lǐng)導(dǎo)小組 PAGEREF _Toc h 1 信息安全管理部門 PAGEREF _Toc h 2 具體執(zhí)行管理角色 PAGEREF _

3、Toc h 3安全管理員 PAGEREF _Toc h 3主機系統(tǒng)管理員 PAGEREF _Toc h 3網(wǎng)絡(luò)管理員 PAGEREF _Toc h 4數(shù)據(jù)庫管理員 PAGEREF _Toc h 4應(yīng)用管理員 PAGEREF _Toc h 4安全審計員 PAGEREF _Toc h 5病毒防護員 PAGEREF _Toc h 5密鑰管理員（包括證書管理員、證書操作員） PAGEREF _Toc h 5資產(chǎn)管理員 PAGEREF _Toc h 5安全保衛(wèi)員（機房安全員） PAGEREF _Toc h 5安全協(xié)調(diào)人員 PAGEREF _Toc h 5人事管理人員 PAGEREF _Toc h 6安全

4、法律顧問 PAGEREF _Toc h 6二、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及設(shè)置原則 PAGEREF _Toc h 6 信息安全管理崗位 PAGEREF _Toc h 6安全管理員崗位 PAGEREF _Toc h 6網(wǎng)絡(luò)系統(tǒng)管理員崗位 PAGEREF _Toc h 6應(yīng)用管理員崗位 PAGEREF _Toc h 6 安全崗位設(shè)置原則 PAGEREF _Toc h 7多人負責(zé)原則 PAGEREF _Toc h 7任期有限原則 PAGEREF _Toc h 7職責(zé)分離原則 PAGEREF _Toc h 7工作分開原則 PAGEREF _Toc h 7權(quán)限隨崗原則 PAGEREF _Toc h

5、7一、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理角色與職責(zé)為有效實施信息安全管理，保障和實施稅務(wù)系統(tǒng)的信息安全，在稅務(wù)系統(tǒng)內(nèi)部應(yīng)該建立自己的信息安全管理組織架構(gòu)。信息安全管理組織架構(gòu)是實施系統(tǒng)安全，進行安全管理的必要保證。根據(jù)稅務(wù)系統(tǒng)編制體系現(xiàn)狀以及人員結(jié)構(gòu)，信息安全管理組織架構(gòu)縱向涵蓋總局、省局、地市局三級，總局對省局、省局對地市局在信息化建設(shè)與安全管理運行方面，應(yīng)起到指導(dǎo)與監(jiān)管的作用。在一個機構(gòu)中，安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責(zé)任是實施信息安全管理的第一步。因此，總局、省局、地市局每一級應(yīng)設(shè)置相應(yīng)職能部門和人員負責(zé)各級信息系統(tǒng)安全管理工作。具體的信息安全組織和管

6、理角色及其職責(zé)描述如下。 信息安全領(lǐng)導(dǎo)小組信息安全是全國稅務(wù)系統(tǒng)工作人員必須共用承擔的責(zé)任，一般來說，各級稅務(wù)系統(tǒng)首先應(yīng)建立信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組是各級稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全工作的最高領(lǐng)導(dǎo)決策機構(gòu)，它不隸屬于任何部門，直接對本單位最高領(lǐng)導(dǎo)負責(zé)，信息安全領(lǐng)導(dǎo)小組是一個常設(shè)機構(gòu)，負責(zé)本單位信息安全工作的宏觀管理?？偩中畔踩I(lǐng)導(dǎo)小組負責(zé)全國稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全總體規(guī)劃與決策，并領(lǐng)導(dǎo)總局信息系統(tǒng)安全建設(shè)、運行、維護和管理等工作；省局信息安全領(lǐng)導(dǎo)小組負責(zé)組織落實上層決策，制定本省決策，并領(lǐng)導(dǎo)本省信息安全工作；地市局信息安全領(lǐng)導(dǎo)小組負責(zé)落實上層決策，制定本地市決策，并領(lǐng)導(dǎo)本地市信息安全工作

7、。各級信息安全領(lǐng)導(dǎo)小組的組長一般由各級稅務(wù)系統(tǒng)的高層領(lǐng)導(dǎo)掛帥，并結(jié)合與信息安全相關(guān)各職能部門的主要負責(zé)人參加。各級信息安全領(lǐng)導(dǎo)小組的職責(zé)是：總局信息安全領(lǐng)導(dǎo)小組負責(zé)領(lǐng)導(dǎo)制定全國稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全建設(shè)的總體規(guī)劃并審議監(jiān)督各省級安全工作規(guī)劃的制定與實施；負責(zé)制定總局信息安全總體策略并審批總局信息系統(tǒng)安全策略以及各省級上報的安全策略；負責(zé)領(lǐng)導(dǎo)制定總局與信息系統(tǒng)安全相關(guān)的規(guī)章制度；負責(zé)總局信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；負責(zé)審閱總局信息安全工作報告；負責(zé)全國稅務(wù)系統(tǒng)重大安全事故查處與匯報工作。省局信息安全領(lǐng)導(dǎo)小組負責(zé)領(lǐng)導(dǎo)落實全國稅務(wù)系統(tǒng)安全建設(shè)的總體規(guī)劃，制定本省建設(shè)規(guī)劃并監(jiān)督各地市級安

8、全工作規(guī)劃的制定與實施；在全國稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全總體方針的指導(dǎo)下，負責(zé)組織制定本省信息系統(tǒng)安全策略并審批地方局上報的信息系統(tǒng)安全策略；負責(zé)組織細化上級規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實規(guī)章制度；負責(zé)本省信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；負責(zé)審閱省局信息安全工作報告；負責(zé)本省重大安全事故查處與匯報工作。地市局信息安全領(lǐng)導(dǎo)小組負責(zé)領(lǐng)導(dǎo)落實本省信息系統(tǒng)安全建設(shè)規(guī)劃，制定地市局級安全規(guī)劃；在全國稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全總體方針以及省級相關(guān)策略文件的指導(dǎo)下，負責(zé)組織制定審批本地市信息系統(tǒng)安全策略；負責(zé)組織細化上級規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實規(guī)章制度；負責(zé)本地市信息系統(tǒng)安全管理層以

9、上的人員權(quán)限授予工作；負責(zé)審閱地市局信息安全工作報告；負責(zé)本地市重大安全事故查處與匯報工作。 信息安全管理部門在信息安全領(lǐng)導(dǎo)小組的基礎(chǔ)上，各級稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理應(yīng)該由本機構(gòu)信息安全相關(guān)的若干管理部門共同完成，例如有信息技術(shù)部門、業(yè)務(wù)應(yīng)用部門、安全保衛(wèi)部門、人事行政部門等等。信息技術(shù)部門對信息系統(tǒng)及信息系統(tǒng)安全保障提供技術(shù)決策和技術(shù)支持，在技術(shù)上對信息系統(tǒng)和信息系統(tǒng)安全保障承擔管理責(zé)任。業(yè)務(wù)應(yīng)用部門對信息系統(tǒng)的業(yè)務(wù)處理以及業(yè)務(wù)流程的安全承擔管理責(zé)任。安全保衛(wèi)部門對信息系統(tǒng)的場地以及系統(tǒng)資產(chǎn)的防災(zāi)、防盜、防破壞等承擔管理責(zé)任。行政部門從行政上對信息安全保障執(zhí)行管理工作。各個部門應(yīng)與信息技術(shù)

10、部門協(xié)作，共同對信息系統(tǒng)的建設(shè)和運行維護承擔管理責(zé)任。為明確安全職責(zé)，應(yīng)在相關(guān)管理部門中指定對信息安全負責(zé)的主管，這些主管共同貫徹執(zhí)行稅務(wù)系統(tǒng)安全工作的方針政策、規(guī)章制度及有關(guān)的技術(shù)標準、規(guī)范和方案，并監(jiān)督安全策略的落實。 具體執(zhí)行管理角色對于信息系統(tǒng)建設(shè)和運行維護的具體執(zhí)行，應(yīng)該有相應(yīng)的安全管理崗位，但由于全國稅務(wù)系統(tǒng)包括國家稅務(wù)總局在內(nèi)、各省局、各地市局的具體情況有所差別，不宜在本文檔中直接定義具體的安全崗位，而只是定義了相應(yīng)的安全角色和職責(zé)，各具體機構(gòu)根據(jù)實際情況設(shè)置相應(yīng)安全崗位，具體的安全角色和職責(zé)的描述如下。安全管理員負責(zé)對安全產(chǎn)品購置提供建議，負責(zé)組織制定各種安全產(chǎn)品策略與配置規(guī)則

11、，負責(zé)跟蹤安全產(chǎn)品投產(chǎn)后的使用情況；負責(zé)指導(dǎo)并監(jiān)督系統(tǒng)管理員（包括主機系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員和應(yīng)用管理員等）及普通用戶與安全相關(guān)的工作；負責(zé)組織信息系統(tǒng)的安全風(fēng)險評估工作，并定期進行系統(tǒng)漏洞掃描，形成安全評估報告；根據(jù)本機構(gòu)的信息安全需求，定期提出本機構(gòu)的信息安全改進意見，并上報信息安全管理部門主管；定期查看信息安全站點的安全公告，跟蹤和研究各種信息安全漏洞和攻擊手段，在發(fā)現(xiàn)可能影響信息安全的安全漏洞和攻擊手段時，及時做出相應(yīng)的對策，通知并指導(dǎo)系統(tǒng)管理員進行安全防范；負責(zé)組織審議各種安全方案、安全審計報告、應(yīng)急計劃以及整體安全管理制度；負責(zé)參與安全事故調(diào)查。主機系統(tǒng)管理員負責(zé)主機

12、操作系統(tǒng)的安全配置（包括及時修補系統(tǒng)漏洞）和日常審計，系統(tǒng)應(yīng)用軟件的安裝，從系統(tǒng)層面實現(xiàn)對用戶與資源的訪問控制；協(xié)助安全管理員制定主機操作系統(tǒng)的安全配置規(guī)則，并落實執(zhí)行；負責(zé)主機設(shè)備的日常管理與維護，保持系統(tǒng)處于良好的運行狀態(tài)；為安全審計員提供完整、準確的主機系統(tǒng)運行活動的日志記錄；在主機系統(tǒng)異?；蚬收习l(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；編制主機設(shè)備的維修、報損、報廢計劃，報主管領(lǐng)導(dǎo)審核；網(wǎng)絡(luò)管理員負責(zé)網(wǎng)絡(luò)的部署以及網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)安全產(chǎn)品的配置、管理與監(jiān)控，并對關(guān)鍵網(wǎng)絡(luò)配置文件進行備份，及時修補網(wǎng)絡(luò)設(shè)備的漏洞；協(xié)助安全管理員制定網(wǎng)絡(luò)設(shè)備安全配置規(guī)則，并落實執(zhí)行；為安全

13、審計員提供完整、準確地記錄重要網(wǎng)絡(luò)設(shè)備和網(wǎng)站運行活動的運行日志；在網(wǎng)絡(luò)及設(shè)備異常或故障發(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；編制網(wǎng)絡(luò)設(shè)備的維修、報損、報廢等計劃，報主管領(lǐng)導(dǎo)審核；數(shù)據(jù)庫管理員對數(shù)據(jù)庫系統(tǒng)進行安全配置，修補已發(fā)現(xiàn)的漏洞；負責(zé)數(shù)據(jù)庫系統(tǒng)的用戶賬號管理，對系統(tǒng)中所有的用戶進行登記備案；對數(shù)據(jù)庫系統(tǒng)的用戶、口令的安全性進行管理；對數(shù)據(jù)庫系統(tǒng)登錄用戶進行監(jiān)測和分析；負責(zé)業(yè)務(wù)數(shù)據(jù)及系統(tǒng)其它重要數(shù)據(jù)的備份與備份數(shù)據(jù)管理工作；為安全審計員提供完整、準確的數(shù)據(jù)庫系統(tǒng)運行活動的日志記錄，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；在發(fā)生安全問題導(dǎo)致數(shù)據(jù)損壞或丟失時

14、，進行數(shù)據(jù)的恢復(fù)；根據(jù)業(yè)務(wù)發(fā)展的需求，提交數(shù)據(jù)存儲介質(zhì)購買或存儲系統(tǒng)擴容計劃。應(yīng)用管理員對業(yè)務(wù)應(yīng)用系統(tǒng)進行安全配置；督促軟件開發(fā)商提供補丁來修補已發(fā)現(xiàn)的漏洞；對業(yè)務(wù)應(yīng)用系統(tǒng)的用戶、口令的安全性進行管理；對業(yè)務(wù)應(yīng)用系統(tǒng)的登錄用戶進行監(jiān)測和分析；負責(zé)提出數(shù)據(jù)的備份要求，制定數(shù)據(jù)備份策略，督促數(shù)據(jù)庫管理員按照備份方案按時完成，并恢復(fù)所需數(shù)據(jù)；實施系統(tǒng)軟件版本管理，應(yīng)用軟件備份和恢復(fù)管理。安全審計員負責(zé)定期對主機系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、應(yīng)用系統(tǒng)的日志文件進行分析審計，發(fā)現(xiàn)問題及時上報；負責(zé)對信息安全保障管理活動進行獨立的監(jiān)督，提供內(nèi)部獨立的審計和評估工作，并根據(jù)需要可以協(xié)同外部審計評估機構(gòu)進行評估和認證，為決

15、策領(lǐng)導(dǎo)提供信息系統(tǒng)和信息安全保障執(zhí)行狀況的客觀評價。病毒防護員協(xié)助安全管理員制定病毒防范操作規(guī)程；負責(zé)執(zhí)行和監(jiān)督整個系統(tǒng)全面的殺毒工作；定時升級網(wǎng)絡(luò)殺毒軟件的病毒庫，監(jiān)督個人殺毒軟件的升級工作；實時監(jiān)控重要業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的安全，杜絕非法開放的病毒入侵途徑，降低病毒侵害的影響；及時報告上級部門病毒入侵和感染情況，提供感染頻率高和嚴重性強的病毒的有效解決方案。密鑰管理員（包括證書管理員、證書操作員）負責(zé)稅務(wù)系統(tǒng)交易、傳輸、認證密鑰的管理以及加密機的操作。資產(chǎn)管理員負責(zé)信息技術(shù)部門全部資產(chǎn)的采購、登記、分發(fā)、回收、廢棄等管理。安全保衛(wèi)員（機房安全員）負責(zé)制定和執(zhí)行適當?shù)奈锢戆踩刂?；主要負?zé)非技術(shù)性

16、的、常規(guī)的安全工作，如信息處理場地的保衛(wèi)，辦公室安全，驗證出人信息中心的手續(xù)和多項規(guī)章制度的落實。安全協(xié)調(diào)人員負責(zé)安全項目、安全問題、安全事件、安全工作的組織協(xié)調(diào)。人事管理人員協(xié)助安全主管確定某個職位是否需要進行安全背景調(diào)查；還可能負責(zé)為員工離開本單位時提供與安全相關(guān)的離職規(guī)程。安全法律顧問負責(zé)本單位與外單位簽署安全服務(wù)合同的法律咨詢工作。二、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及設(shè)置原則 信息安全管理崗位根據(jù)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理角色與職責(zé)，相應(yīng)地，稅務(wù)系統(tǒng)組織機構(gòu)內(nèi)需要設(shè)置信息安全管理崗位，由于全國稅務(wù)系統(tǒng)包括國家稅務(wù)總局在內(nèi)、各省局、各地市局的具體情況有所差別，所以本文檔中僅列出信息技術(shù)部

17、門中的主要信息安全管理崗位，總局、各省局及各地市局應(yīng)根據(jù)本文檔結(jié)合本機構(gòu)的具體情況指導(dǎo)本機構(gòu)內(nèi)的崗位分工和各崗位安全職責(zé)，從而進行具體的設(shè)置。安全管理員崗位安全管理員崗位可以是安全管理員角色和安全審計員角色的組合，同時，根據(jù)具體需要，可以兼任病毒管理員和密鑰管理員的角色。也可以根據(jù)具體情況，設(shè)置多個安全管理員崗位。網(wǎng)絡(luò)系統(tǒng)管理員崗位網(wǎng)絡(luò)系統(tǒng)管理員崗位可以是主機系統(tǒng)管理員角色和網(wǎng)絡(luò)管理員角色的組合，同時，根據(jù)具體需要，可以兼任資產(chǎn)管理員的角色。也可以根據(jù)具體情況，設(shè)置多個網(wǎng)絡(luò)系統(tǒng)管理員崗位。應(yīng)用管理員崗位應(yīng)用管理員崗位可以是數(shù)據(jù)庫管理員角色和應(yīng)用管理員角色的組合。也可以根據(jù)具體情況，設(shè)置多個應(yīng)用

18、管理員崗位。對于其他的安全角色需要設(shè)置的崗位，可以由相關(guān)安全職能部門的人員兼任，也可以單獨設(shè)置崗位。 安全崗位設(shè)置原則為確保稅務(wù)信息系統(tǒng)的安全，必須加強人事安全管理，提高安全管理人員的技術(shù)水平和安全意識，同時在人員崗位的設(shè)置方面要遵循以下原則。多人負責(zé)原則對一些有較高密級的與安全有關(guān)的活動，都必須有兩人或多人在場。工作人員必須由系統(tǒng)主管領(lǐng)導(dǎo)指派，且忠誠可靠，能勝任工作；工作人員應(yīng)該認真記錄簽署工作情況，以證明安全工作已得到保障。上述所指與安全有關(guān)的活動包括：硬件和軟件的維護；系統(tǒng)軟件的設(shè)計、實現(xiàn)和維護；處理保密信息；系統(tǒng)用媒介的發(fā)放與回收；訪問控制用證件的發(fā)放與回收；重要程序和數(shù)據(jù)的刪除和銷毀等。任期有限原則決不能由一人長期擔任安全管理職務(wù)。對一些重要安全崗位的工作人員應(yīng)該不定期循環(huán)任職，強制實行輪換、休假制度，并規(guī)定對工作人員進行輪流培訓(xùn)，以使任期有限制度切實可行。職責(zé)分離原則非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批